Creazione ed implementazione di una Certifcation Authority open-source. Crescenzio Gallo e Michelangelo De Bonis

Transcript

1 Dipartimento di Scienze Economiche, Matematiche e Statistiche Università degli Studi di Foggia Creazione ed implementazione di una Certifcation Authority open-source Crescenzio Gallo e Michelangelo De Bonis Quaderno n. 26/2008 Esemplare fuori commercio per il deposito legale agli effetti della legge 15 aprile 2004 n. 106 Quaderno riprodotto dal Dipartimento di Scienze Economiche, Matematiche e Statistiche nel mese di dicembre 2008 e depositato ai sensi di legge. Authors only are responsible for the content of this reprint. Dipartimento di Scienze Economiche, Matematiche e Statistiche, Largo Papa Giovanni Paolo II, 1, Foggia (Italy), Phone , Fax

2 Creazione ed implementazione di una Certification Authority open-source Crescenzio Gallo Michelangelo de Bonis Dipartimento di Scienze Economiche, Matematiche e Statistiche Università degli Studi di Foggia Largo Papa Giovanni Paolo II, Foggia (Italy)

3 Indice 1 Dal cartaceo al digitale Evoluzione Problemi e pericoli della società cartacea Tre importanti necessità Autenticazione Autenticità ed integrità La riservatezza Le soluzioni della società digitale Le chiavi pubbliche e private La funzione hash ed il digest La firma elettronica La Certification Authority Una CA all interno dell Ateneo L Open Source Cos è l Open Source Ragioni scientifiche ed economiche: perché una tecnologia Open Source Descrizione e funzionamento della CA La Certification Authority scelta La CA implementata presso l Università di Foggia RA e CA: funzioni ed equipaggiamento Conclusioni I motivi Bibliografia 41 1

4 Introduzione L Ateneo di Foggia è attento all erogazione dei servizi in modalità sicura e quindi alla predisposizioni di una infrastruttura il più possibile omogenea che permetta ai diversi servizi di poter beneficiare di livelli di sicurezza ottimali. Ad oggi l infrastruttura standardizzata più diffusa è quella chiamata PKIX (Public Key Infrastructure X.509) basata sull uso di certificati X.509 i quali, tramite l uso di algoritmi di cifratura a chiavi pubblica, permettono l identificazione sicura dei diversi soggetti coinvolti in una comunicazione ed eventualmente di comunicare allo stesso tempo in modo protetto. L obiettivo del progetto Certification Authority dell Università di Foggia, iniziato nel 2004, è stato quello di progettare e realizzare una infrastruttura PKIX in modo da soddisfare i seguenti requisiti: poter emettere diverse tipologie di certificati a seconda del tipo di servizio (ad esempio certificati per server, per l autenticazione di utenti sull infrastruttura Active Directory, per la firma di documenti iinformatici, per l autenticazione nella posta elettronica, etc.); essere modulare, ovvero far sì che le diverse componenti dell infrastruttura siano il più indipendenti possibili e che allo stesso tempo possano comunicare tramite interfacce comuni; permettere un implementazione basata su software Open Source; offrire un architettura estremamente flessibile e personalizzabile. Nell ambito delle diverse soluzioni Open Source disponibili la scelta è ricaduta sul progetto OpenCA ( essendo il più aderente ai requisiti del progetto. 2

5 Capitolo 1 Dalla società cartacea a quella digitale 1.1 Società cartacea e società digitale Quando parliamo di società cartacea e digitale descriviamo un radicale cambiamento di abitudini, idee, modi di pensare che la maggior parte di noi associa all avvento di Internet al grande pubblico, o Internet per tutti, come i grandi media amano dire. In effetti una diffusione così veloce e così capillare sembrava in origine impensabile, e le dichiarazioni troppo avventate di persone che proprio grazie alla tecnologia su grande scala hanno conquistato fama e fortuna lo testimoniano; lo stesso Bill Gates, ormai ex presidente di Microsoft, non incluse nessun supporto per Internet fino alla versione 95 del sistema operativo Windows, in cui il browser Internet Explorer venne tra l altro aggiunto in corsa per adeguarsi alla rivoluzione digitale. Da quando Internet connette computer di tutto il mondo tra loro e li rende parte di una rete dalle dimensioni ormai planetarie, molte delle normali azioni che scandivano le nostre esistenze hanno lasciato il passo al loro surrogato digitale; per un esempio semplice e calzante, si pensi al peso che aveva la posta ordinaria prima dell avvento della posta elettronica, e all importanza che le hanno guadagnato in pochi anni, diventando senza troppi sforzi il metodo di comunicazione più usato per lavoro e tempo libero. Questo è un primo esempio di come la nostra società, prima definibile come cartacea, abbia offerto pochissima resistenza alle avances di un mondo, quello digitale, più semplice, più affascinante e per molti versi, più sicuro. D altronde, non è un mistero che per spedire una lettera normale ci sia biso- 3

6 CAPITOLO 1. DAL CARTACEO AL DIGITALE 4 gno di quasi due Euro (e di una buona dose di fortuna) per far sì che arrivi a destinazione in modo (forse) integro e veloce. Una è praticamente gratuita ed immediata ed ha, come vedremo, tanti strumenti che ne possono garantire l integrità e la riservatezza del contenuto. Ma le semplici differenze, per quanto esplicative, non rendono giustizia all enorme impatto che Internet e la tecnologia ad esso associata ha avuto su ogni nostro singolo gesto: il fatidico passaggio di cui parliamo, in effetti, non è ancora avvenuto del tutto; se così fosse, la burocrazia sarebbe (quasi) del tutto scomparsa lasciando posto ad una serie di accortezze che per chissà quale motivo in un Paese come il nostro hanno preso piede in maniera del tutto marginale. In una società cartacea la richiesta di un semplice certificato demografico richiede, dalla sua creazione fino alla consegna, il passaggio attraverso alcuni uffici comunali, con relativi timbri ed accettazioni che ne fanno lievitare la gestazione dai due ai tre giorni, file agli sportelli escluse. In una società digitale, un qualsiasi Comune dovrebbe impiegare per tali faccende solo il tempo utile alla creazione del documento, che sarebbe poi essere spedito tramite (appositamente protetta e certificata) al domicilio del cittadino, che provvederebbe a utilizzarlo in forma cartacea (stampandolo) o ancora digitale. Per farsi un idea, un certificato di residenza richiede solo alcuni minuti per essere creato ed autenticato in forma digitale su personal computer e praticamente niente per essere spedito. Supponendo che per portare a termine un operazione di questo tipo ci voglia all incirca mezz ora, avremmo comunque un rapporto di uno a trenta tra le due tempistiche. Una differenza incredibile, quasi spaventosa, che però non sembra convincere la popolazione italiana ed europea della bontà e della convenienza di certi mezzi. Pochissime sono ancora le iniziative che tendono alla semplificazione e alla velocizzazione delle incombenze grazie ai mezzi elettronici e telematici, ancora meno sono le persone che li utilizzano quotidianamente, rendendo la vita più facile anche ai tradizionalisti che ai protocolli di comunicazione sicura preferiscono di gran lunga una sana fila in un ufficio postale alle poste. Eppur qualcosa si muove, e non solo in America o in Russia, tradizionalmente dotate delle più grandi menti informatiche a livello mondiale. Molti mini-stati creatisi dopo la divisione dell ex-urss stanno dimostrando come sia possibile implementare software e procedure telematiche al fine di rendere moderna e flessibile l organizzazione di qualsiasi istituzione, rendendo libero l accesso a

7 CAPITOLO 1. DAL CARTACEO AL DIGITALE 5 Internet in luoghi pubblici e contribuendo grazie a tale illuminata gestione ad uno sviluppo impensabile solo qualche anno fa. Di esempi, in fondo, ce ne sono molti, a cominciare dalla Georgia e dall Estonia, che combattono i conflitti contro l ex madre Russia difendendo non le stazioni militari ma i siti governativi. Evidentemente il fatidico passaggio è difficoltoso non tanto per i mezzi, quanto per il cambiamento di mentalità che implica, e che porterebbe alla caduta tanti piccoli e inutili equilibri di cui uno stato moderno non necessita, ma che in un modo o nell altro sembrano resistere negli anni. D altra parte bisogna anche mettersi nei panni di chi, terrorizzato dalle mitologie della guerra fredda e dallo spauracchio hacker, non si fida di niente che non possa toccare con mano. La principale motivazione alla base della ritrosia all informatizzazione è sempre stata la scarsa diffusione di cultura informatica, che pone l Italia in posizione di svantaggio rispetto ad altre nazioni meno conservatrici e più aperte alle innovazioni. Senza entrare troppo nello specifico, chiunque non conosca il minimo indispensabile del funzionamento di un personal computer è impaurito dalla possibilità che qualcuno entri nel mio computer e mi rubi i documenti ; per quale motivo allora dovrebbero affidare alle macchine infernali i loro risparmi, o i documenti importanti? Se una pecca c è nella società digitale è la sua crescita smisurata; la varietà e l estensione capillare delle strumentazioni rende sì possibile la connessione globale, ma moltiplica in modo esponenziale i rischi che qualcosa vada storto, e che qualcuno o qualcosa ci vada di mezzo. Ecco perché è importante sviluppare tecnologie e modi di vivere che vadano di pari passo, per uniformare una forma mentis più elastica a dei mezzi più veloci e sicuri, anche se più complicati da gestire e controllare. E proprio per questo è cruciale la sperimentazione di tali tecnologie all interno di ambienti portati all innovazione e al progresso, quali scuole e università; l esperimento oggetto di questo documento è infatti una prova dell assoluta fattibilità di certe riforme tecnologiche, al contrario di quanto si possa pensare. 1.2 Problemi e pericoli della società cartacea Abbiamo già visto come i tempi e le problematiche di una società che si basi su una struttura di comunicazione obsoleta siano enormi e come questi possano

8 CAPITOLO 1. DAL CARTACEO AL DIGITALE 6 influire negativamente sia sulla gestione del nostro tempo sia sulla qualità della vita. Un aspetto che ci riserviamo di osservare in questo paragrafo è invece la pericolosità di un mezzo semplice e per questo intrinsecamente a rischio come la carta, scritta o stampata che sia. Non è una novità il fatto che qualsiasi grafia, timbro o marchio possa essere contraffatto più o meno bene, prova ne sia la facilità con cui le banconote false circolano negli istituti di credito anche quando questi sono controllati in modo capillare. D altronde, per ogni istituzione (legale) che fissi un prezzo ai suoi servizi ve ne sarà sempre un altra che cercherà di spazzarla dal mercato, offrendo i medesimi servizi a prezzi più convenienti. La contraffazione è uno dei metodi illegali con cui singoli criminali o organizzazioni a delinquere si contrappongono allo stato e alla legge per scopi di lucro. Se in origine i falsari erano coloro che producevano monete con una quantità di materiale pregiato minore di quella prestabilita dalle autorità, ora i truffatori si avvalgono dei più comuni mezzi tecnologici per portare a termine i loro compiti. Come vedremo in seguito, creare un certificato completamente regolare e modificarne a proprio piacimento il contenuto non è un impresa che richieda scienziati da 007 o congegni ultra-moderni. D altronde, è ormai chiaro che le normali accortezze non sono più sufficienti a garantire l autenticità e la riservatezza dei documenti in determinati contesti, in quanto se l istituzione legale (il Comune o qualsiasi ufficio pubblico e privato) rimane all era cartacea, quella illegale si affida ai mezzi digitali tipici dell evoluzione tecnologica, di gran lunga superiori. È giusto chiarire che tali pericoli sono propri della società cartacea, ma non vengono evitati del tutto in quella digitale. Anzi, per la già citata legge della contrapposizione, più la parte genuina della contesa diviene moderna, più la sua antagonista si attrezza per superarne i divieti. Ecco perché non si parla di una società perfetta e di una imperfetta, bensì di una società più esposta a rischi e di un altra che lo è meno. Tali contrapposizioni tipiche di qualsiasi altro settore (la politica, l informatica, lo sport) devono far riflettere sulla necessità di uno sguardo più ampio e coerente rispetto alla mera preferenza di un mezzo rispetto ad un altro. Sui rischi di una gestione ferma ai vecchi paletti si può dire tutto, ma non che questi rischi non siano reali: una firma falsificata, un documento modificato e ristampato, un logo rubato e apposto dove non dovrebbe sono cose che un occhio nudo non può notare, sia per impossibilità oggettiva sia per scarsa attenzione. Ecco quindi che si ripropone l antico dualismo: può

9 CAPITOLO 1. DAL CARTACEO AL DIGITALE 7 una parte ferma a metodi obsoleti contrapporre validi metodi di sicurezza ad un antagonista all avanguardia per conoscenze e capacità? La risposta è ovvia e da un certo punto di vista anche inquietante. Ciò non vuol dire che la nostra società non sia sicura, ma piuttosto che il livello di prudenza deve essere alzato in modo drastico per cercare di limitare al massimo le situazioni di pericolo. E di sicuro i moderni mezzi tecnologici offrono una varietà di soluzioni e contromisure di gran lunga più ampia rispetto a quelli tradizionali. 1.3 Tre importanti necessità Autenticazione Alzi la mano chi non ha mai inserito nome utente e password per accedere in un qualsivoglia sistema informatico, fisicamente disponibile o tramite una connessione remota. Molto semplicemente, quando in informatica si parla di autenticazione si intende una procedura del tutto simile alla famosa parola d ordine utile ai soldati o agli agenti segreti per entrare nel loro quartier generale; con tale parola o frase si fornivano le credenziali necessarie alla identificazione presso un entità chiusa, che verificava la corrispondenza tra la parola d ordine del soldato e la loro, basando su questo la concessione o meno del privilegio di ingresso. Tale procedura è rimasta immutata attraverso gli anni, almeno per quanto riguarda la sua criticità ed i principi basilari. Ovviamente con il passare del tempo tale procedura ha subito degli stravolgimenti tali da diventare una vera e propria materia di studio; l autenticazione è infatti il procedimento cruciale di protezione, perché proibisce l accesso al sistema agli individui che non detengono le necessarie credenziali, fornendo quindi una protezione a livello base. Chi non ha accesso ad un sistema (così come ad un palazzo, o ad una casa) non può trovarne i punti deboli, né danneggiarlo in nessun modo. Uno dei principi fondamentali dell autenticazione è l originalità se non l unicità delle credenziali in possesso di ciascun utente: un medico, per accedere a zone controllate di un ospedale avrà bisogno di un tesserino magnetico; e tutti noi abbiamo bisogno della nostra carta bancomat per prelevare denaro contante agli sportelli della banca. In entrambi i casi, abbiamo bisogno che, proprio come accadeva con i soldati, chi sta dall altra parte della porta ci riconosca grazie a qualcosa che affermi la nostra identità e le funzioni che

10 CAPITOLO 1. DAL CARTACEO AL DIGITALE 8 possiamo svolgere una volta autenticati. Chi inserisce una carta bancomat infatti avrà la facoltà di ritirare denaro contante o di richiedere il saldo del proprio conto, ma non di effettuare altre operazioni che necessitino della presenza di un operatore. Queste facoltà in termini informatici si chiamano privilegi; tali privilegi 1, oltre a determinare le possibili azioni degli utenti, ne determinano anche il ruolo all interno dell organizzazione cui accedono. È quindi chiaro che l autenticazione rappresenta il cardine di un sistema sicuro. Quando parliamo dell autenticazione come necessità quindi intendiamo una necessità di sistemi, informatici o meno, adeguati a svolgere tale funzione in modo completo. Nonostante molte persone affermino che non ci sia bisogno di far passare questa funzione attraverso un adeguamento tecnologico importante, in realtà molte delle tradizionali attività che svolgiamo nella vita privata o sul posto di lavoro richiedono delle credenziali con cui autenticarsi. Tante aziende forniscono delle postazioni di lavoro su cui i dipendenti devono richiedere l autorizzazione tramite un nome utente ed una password. Ma visto che in qualsiasi contesto si parte sempre dall assunto che nessun metodo è totalmente sicuro, i metodi di autenticazione sono gradualmente cresciuti in termini di complessità e numerosità. Di sicuro è difficile trovare un sistema che richiedendo un elevato livello di protezione si affidi a metodi tradizionali per dividere i potenziali intrusi dagli individui dotati di un accesso autorizzato; in linea di massima, una prima divisione dei metodi si basa sulla natura delle credenziali: i moderni sistemi infatti richiedono all utente qualcosa che è, qualcosa che ha o qualcosa che sa. Credenziali ed accesso autenticato Nello specifico, per qualcosa che si è si intendono delle caratteristiche fisiche uniche, come le impronte digitali, l impronta della retina, la conformazione del volto. Sono caratteristiche difficilmente riproducibili, anche se alcune di esse (come il timbro della voce o la conformazione del volto) possono cambiare con il passare del tempo e diventare quindi inutilizzabili a tali scopi. E non è raro in questo campo imbattersi in clamorosi falsi positivi, cioè in situazioni in cui un sistema non riconosca un individuo anche se questi ha già presentato le corrette credenziali, e quindi è a tutti gli effetti chi dice di essere. Per qualcosa che si ha invece si assume che l utente ponga come cre- 1 Soggetti a veri e propri furti da parte di hacker malintenzionati, sia con tecniche informatiche che con semplici azioni di social engineering.

11 CAPITOLO 1. DAL CARTACEO AL DIGITALE 9 denziali un tesserino magnetico (bancomat) un documento o un congegno elettronico che sulla base di procedure elettroniche fornisca le informazioni richieste al sistema. Un discorso a parte può essere fatto in relazione ai supporti che vengono utilizzati nel processo di autenticazione: se ormai tesserini magnetici e codici a barre sono all ordine del giorno, sempre più spesso sentiamo di congegni portatili capaci di generare chiavi numeriche monouso che consentono un solo accesso per poi diventare inutilizzabili. Questi oggetti nell IT 2 vengono chiamati Token e hanno avuto grande diffusione negli ultimi anni, insieme alla cosiddette smart card che al contrario dei tesserini magnetici hanno al loro interno un chip contenente una chiave numerica 3. Infine si parla di qualcosa che si sa quando si analizzano delle credenziali conosciute esclusivamente dall individuo che richiede l autorizzazione. Per credenziali di questo tipo intendiamo password, codici numerici, etc. Spesso si utilizza una particolare modalità di autenticazione detta a due fattori in cui si uniscono due elementi, come un tesserino combinato con un codice numerico (il PIN del bancomat, ad esempio) che da soli non danno risultati ma combinati forniscono l autorizzazione desiderata. Questo tipo di soluzione è sempre più utilizzata per aumentare la sicurezza dei sistemi, aumentando il numero delle credenziali da fornire oppure diversificandole. In generale, possiamo affermare che il principio chiave da seguire per avere un autenticazione sicura è l associazione univoca dell entità fisica a quella virtuale, per essere completamente sicuri che chi fruisce del servizio sia esattamente chi sostiene di essere Autenticità ed integrità La seconda importante necessità che deve essere considerata in una società sicura è quella dell autenticità, o più precisamente dell integrità; in generale, quando si parla di integrità possiamo intendere la perfetta identità dei dati quando questi sono oggetto di un trasferimento. In parole povere, garantire l integrità di un documento, ad esempio, significa assicurare che esso arrivi al destinatario esattamente come è stato creato, senza subire nessuna modifica. Possiamo quindi ben capire come sia di fondamentale importanza assicurare questa integrità nonché approntare dei metodi affidabili per controllare che 2 Information Technology 3 Inaccessibile dall esterno, insieme ad una autonoma capacità eleborativa.

12 CAPITOLO 1. DAL CARTACEO AL DIGITALE 10 tale criterio sia stato rispettato, ovvero un metodo che possa confrontare le due versioni dei dati e rilevare eventuali differenze. Come dicevamo a proposito delle differenze tra società cartacea e digitale, pretendere che con le attuali tecnologie sia sufficiente uno sguardo attento per distinguere una firma falsa da una autentica è impossibile; più che sviluppare un attitudine troppo paranoica nei confronti del mondo esterno, però, sarebbe più indicato aggiornare i propri sistemi e utilizzare gli strumenti più appropriati. L Information Technology, la branca dell informatica che si occupa della gestione dei sistemi informatizzati connessi in rete, ha messo a punto una serie di strumenti adatti a tali scopi: anche se si basano su concetti sofisticati come hash, algoritmi algebrici, funzioni matematiche complesse, questi strumenti vengono utilizzati grazie ad applicazioni che li rendono fruibili praticamente da chiunque. I documenti cartacei e quelli digitali Una delle prerogative che rendevano sicuri (fino a poco tempo fa) i documenti cartacei era la riconoscibilità di ciascuno di essi. I timbri, le firme, o la particolare carta utilizzata erano sufficienti a differenziare una banconota o un certificato veri da quelli contraffatti. Ovviamente tale differenza viene meno quando lo sviluppo tecnologico ci mette a disposizione un numero molto elevato di strumenti di grande precisione per effettuare qualsiasi lavoro di natura grafica o di scrittura: oggi qualsiasi personal computer dotato degli applicativi adatti può riprodurre fedelmente un documento e nella migliore delle ipotesi riportarne il contenuto nei minimi dettagli. Un qualsiasi individuo malintenzionato potrebbe sfruttare questa possibilità per modificare a suo piacimento e per interesse personale le disposizioni contenute in tale documento. Naturalmente, nessun programma può trasformare una persona normale in un infallibile falsario, e questo non può far altro che rassicurarci. Di contro, bisogna ammettere che la facilità di reperimento degli applicativi sopra citati e l enorme diffusione dei PC aumentano statisticamente il rischio di imbattersi in questi spiacevoli inconvenienti. D altronde, siamo capaci di illustrare in modo chiaro come la contraffazione di un semplice certificato di residenza porti intrinsecamente due tipi di pericoli: la modifica del contenuto e l utilizzo di elementi distintivi tipici di un ente o di un istituzione nella creazione di un altro documento completamente falso.

13 CAPITOLO 1. DAL CARTACEO AL DIGITALE La riservatezza Non è casuale che la riservatezza rivesta il terzo posto nella gerarchia degli obiettivi da perseguire per una totale sicurezza dei dati. Anche nella creazione di una CA, la riservatezza è l ultima necessità che viene soddisfatta, sovrastata com è dalle prime due. In realtà, la riservatezza è un punto fondamentale esattamente come gli altri due, e non sempre la realizzazione delle prime due condizioni sottintende il pieno raggiungimento della terza; se si pensa a quanto frequentemente stabiliamo dei rapporti di scambio di informazioni che viaggiano in modo non protetto, avremo una stima più o meno fedele della mole di rischi che corriamo nel dare o nel ricevere dati non protetti. D altronde, seguendo un basilare ragionamento, nessuno di noi parlerebbe dei particolari della propria vita privata in un luogo pubblico e ad alta voce; oltre che poco educato, sarebbe compromettente per la nostra privacy. E allora, se pensiamo a quanti modi abbiamo per comunicare via internet (chat, , istant messaging) dobbiamo anche credere che comunicare senza avvalersi di adeguate protezioni significherebbe fidarsi troppo della buona fede di chi ci sta intorno: si potrebbe infatti eccepire che non è buona educazione ascoltare le conversazioni altrui, ma più realisticamente dobbiamo considerare che non tutti sono fedeli osservatori del galateo. Esiste quindi la possibilità, per quanto remota, che qualcuno in rete stia facendo di tutto per intercettare le nostre parole, o più probabilmente dei dati a noi molto cari, che in gergo vengono chiamati dati sensibili; come evitare che tale spiacevole situazione possa nuocere a noi e a chi ci sta intorno? Diciamo prima di tutto che per quanto questo possa sembrare un problema tipico della società digitale, Internet e i computer hanno avuto il solo (cattivo) effetto di aumentare le situazioni potenzialmente pericolose; possiamo infatti riconoscere le intercettazioni telefoniche come dirette antenate delle attività cosiddette di sniffing e tampering tipiche dei nostri tempi, in cui l evoluzione delle comunicazioni è all ordine del giorno. Altro punto importante dovrebbe essere quello di ripetere che per quanto ci impegnamo, nessuna comunicazione può essere considerata totalmente sicura, esattamente come detto per le procedure di autenticazione.

14 CAPITOLO 1. DAL CARTACEO AL DIGITALE 12 Le spie digitali : pericoli e opportunità Quando si parla di spie si corre sempre il rischio di incappare nelle troppe figure mitologiche alimentate da film e telefilm: chiunque cerchi con i mezzi a propria disposizione di ascoltare o captare comunicazioni riservate è a tutti gli effetti trattato come quello che è; non una spia, ma uno spione o, come viene comunemente detto, ficcanaso. Essere una spia richiede addestramento e delle capacità fuori dal comune, che non tutti possiedono e che soprattutto pochissime persone hanno la possibilità di affinare. Sfortunatamente, come già ripetuto per altri argomenti, grazie all enorme mole di informazioni reperibili in rete chiunque abbia una minima conoscenza in fatto di computer può agevolmente appropriarsi di dati non suoi. Ed ecco ripresentarsi il solito dilemma: quali e quante contromisure si possono approntare per evitare di restare coinvolti in certe brutte abitudini? La bellezza della tecnologia in un certo senso è che per quanto sia facile cacciarsi nei guai, spesso è altrettanto semplice uscirne; nessuno vi avvertirà che i vostri dati o una frase detta durante una sessione chat troppo aperta sono stati intercettati da qualcuno. La cosa peggiore in queste situazioni è che ci si accorge del danno ricevuto solo quando è troppo tardi; di buono c è che una volta capito dove si è sbagliato si può facilmente porre rimedio. Dobbiamo partire dall assunzione che ogni comunicazione, di qualsiasi natura, può essere intercettata, e non è solo colpa dei computer: le onde radio, le linee telefoniche o le semplici comunicazioni verbali sono state e continuano ad essere libere e potenzialmente intercettabili. Cosa cambia con l avvento della Grande Rete? Di sicuro sono aumentate le possibilità: le comunicazioni non protette si sono moltiplicate a velocità supersonica e tenerle sotto controllo o proteggerle tutte è praticamente impossibile. Inoltre, essendo le comunicazioni digitali, esse sono ristrette ai valori 0 e 1 e quindi possono essere più facilmente ricostruite. L effettiva impossibilità di nascondere tali comunicazioni digitali ci mette davanti al vero problema; non essendo possibile comunicare senza che nessuno possa ascoltare, l unica contromisura attuabile è quella di camuffare il flusso di dati in modo tale che, anche intercettato, esso non sia comprensibile a chi non conosca la chiave di codifica. In questo modo, almeno, la nostra privacy sembra al sicuro. Senza entrare troppo nei dettagli, per ora questa sembra l unica strada percorribile, a meno che non si voglia concedere fiducia illimitata a chi ci sta intorno. D altronde, non è detto che tali

15 CAPITOLO 1. DAL CARTACEO AL DIGITALE 13 scorrettezze debbano essere perpetrate sempre e solo da qualche esperto di computer impiccione; semplicemente, se il pensiero che qualcuno, anche se autorizzato a farlo, possa spiare le nostre confidenze ad un vecchio amico ci infastidisce, possiamo rendergli la vita difficile e cercare di farlo desistere. Ecco quali sono i pericoli cui andiamo incontro: violazione della privacy nel migliore dei casi, veri e propri furti (di identità o di dati importanti) in quello peggiore. Di certo, quello della riservatezza è l unico settore in cui sembra che i pericoli digitali siano equiparabili per quantità e qualità a quelli cartacei, o meglio semplicemente verbali. E non ci sono dubbi sul fatto che solo pochi tecnici professionisti riescono ad innalzare il livello di riservatezza delle proprie comunicazioni ad un livello più alto, tanto nell epoca cartacea quanto in quella digitale. 1.4 Le soluzioni della società digitale Le chiavi pubbliche e private Abbiamo già spiegato nella parte introduttiva come negli ultimi anni si sia passati da un tipo di crittografia simmetrica ad una asimmetrica, caratterizzata dalla coesistenza forzata di una chiave conosciuta da un numero elevato di persone (quella pubblica) e di un altra, strettamente connessa, che invece deve essere forzatamente a conoscenza di un solo individuo, ovvero quella privata. La caratteristica principale della crittografia asimmetrica è che se un utente vuole mandare un messaggio criptato ad un altro, lo farà chiedendo al destinatario di spedirgli la chiave pubblica; con questa chiave verranno protetti i dati da spedire, che saranno apribili solo ed esclusivamente dalla chiave privata, gelosamente custodita da colui che ha spedito la propria chiave pubblica al mittente. Pensiamo ad una cassaforte che abbia due chiavi, una per chiudere ed un altra per aprire: da questo concetto un po macchinoso nasce il successo di questo tipo di crittografia. Per due motivi principali: principalmente perché utilizzando questo tipo di tecnologia si evita la proliferazione di chiavi di cifratura, che nella crittografia simmetrica dovevano essere di numero pari agli interlocutori che la utilizzavano 4. E poi perché di fatto la crittografia asimmetrica ha eliminato il più grande problema di quella simmetrica, ovvero 4 In particolare, il numero di chiavi in gioco per implementare comunicazioni sicure tra n interlocutori è pari a n(n 1) 2.

16 CAPITOLO 1. DAL CARTACEO AL DIGITALE 14 la necessità di scambiarsi la chiave di cifratura. D altronde non è un segreto che per mandarsi un messaggio cifrato bisogna condividere una chiave: per far sì che la chiave sia conosciuta da entrambi gli interlocutori, allora, si usa la crittografia di tipo asimmetrico, più lenta e avida di risorse; per scambiarsi le informazioni invece si utilizzano più frequentemente le chiavi simmetriche, veloci e performanti. Ecco che si va a delineare quindi una linearità nelle comunicazioni: la coppia di chiavi pubblico/private non è usata solo per comunicare in codice : tante sono le opportunità che questo nuovo tipo di tecnologia ha aperto e sta ancora aprendo. L importante è che la chiave pubblica sia liberamente accessibile, perché chiunque voglia comunicare con la persona che l ha generata dovrà preventivamente munirsi di questa, con la quale cripterà il messaggio. La relativa facilità di utilizzo (una volta compreso il meccanismo) unita alla quasi totale impossibilità di risalire alla chiave privata da quella pubblica fanno dimenticare ai fruitori di tale tecnologia il dispendio di risorse (in gergo fabbisogno computazionale) che richiede. Inoltre quella della crittografia simmetrica è un tipo di tecnologia che può rispondere a più di una necessità tipica della società digitale, e non solo fornire una qualità di riservatezza; come vedremo tra poco, essa risponde anche alla richiesta di autenticità dei dati, grazie all applicazione nella firma elettronica. Attualmente la firma elettronica rappresenta il metodo più forte per garantire l autenticità di un dato: ma il suo funzionamento non può prescindere dalla spiegazione degli strumenti che vengono utilizzati durante la sua creazione: a parte le chiavi pubbliche e private, che agiscono anche per altri scopi, dobbiamo giocoforza riservare un doveroso discorso a parte alla funzione hash ed al suo risultato più pratico, ovvero il digest, perché senza di esse tutta la struttura poi chiamata firma digitale non potrebbe esistere La funzione hash ed il digest Hash [3] è un termine della lingua inglese che per estensione indica un composto eterogeneo cui viene data una forma incerta: To make a hash of something vuol dire infatti creare confusione, o fare una cosa piuttosto male. Nel nostro caso, parliamo però di funzione hash, ovvero un algoritmo matematico in grado di prendere un qualsiasi dato (non importa di che tipo o di quale dimensione) e di ricavarne una stringa digitale alfanumerica di grandezza stabilita, comunemente chiamata digest.

17 CAPITOLO 1. DAL CARTACEO AL DIGITALE 15 Visto che la funzione hash è irreversibile, non si può risalire al dato originario partendo dal digest, tanto che questo viene sempre più spesso chiamato impronta digitale, a conferma di quanto esso sia unico ed inutilizzabile per altri scopi a parte quello per cui è stato creato. Creare un digest non è difficile, anzi è elementare, grazie ai tanti strumenti presenti in rete. Ne possiamo osservare un esempio pratico: Figura 1.1: Un esempio di digest Ecco come grazie ad un semplice algoritmo abbiamo ricavato l impronta digitale di una frase; come si può notare, un semplice carattere in più o in meno comporta la modifica dell impronta. Da tali impronte, come detto, non si può risalire alla frase o al documento originario. Ed è grazie a questa caratteristica che l hash è affidabile, anche se da più di una fonte è stata certificata la possibilità di collisioni, ovvero che da due documenti diversi si possa ottenere un digest identico. Tale probabilità, già remota di per sé, viene ritenuta comunque impensabile anche grazie all applicazione di algoritmi di hashing più complessi, che producono impronte più lunghe ma con meno rischio di collisioni. L hash infatti non è unico ma varia in corrispondenza dell algoritmo utilizzato. Il più famoso di questi è il SHA256 che genera un impronta digitale di 256 bit; tale algoritmo è in effetti poco utilizzato se non in situazioni in cui si richieda il più alto livello di sicurezza possibile; se scaricate qualcosa da Internet, ad esempio, potreste imbattervi nel ben più diffuso (anche se meno sicuro) algoritmo MD5. Abbiamo quindi individuato i due componenti principali della tanto citata firma digitale, ovvero la crittografia a coppie di chiavi e la funzione hash: tali concetti ci consentono di introdurre l argomento più importante.

18 CAPITOLO 1. DAL CARTACEO AL DIGITALE La firma elettronica Come già accennato in precedenza, il sistema crittografico asimmetrico può rispondere a diverse esigenze, a seconda delle sue differenti applicazioni. Essendo la funzione principale quella di assicurare la riservatezza dei dati, ci si deve chiedere come si possano applicare tali concetti all autenticità dei documenti. La richiesta di tecnologie che assicurino l integrità dei dati, diventa un punto cardine della società moderna. La firma elettronica è il metodo al momento più forte per garantire l autenticità di un dato: consiste in un sistema di autenticazione basato sulla crittografia asimmetrica e su degli appositi certificati digitali presenti su un dispositivo fisico. Si parte dalla creazione di una coppia di chiavi (pubblica e privata) del tutto identiche a quelle usate per rendere riservata una comunicazione; in questo caso però il percorso seguito è inverso, in quanto l unico possessore della chiave privata cifra il messaggio, che potrà essere decifrato solo da chi possiede la chiave pubblica corrispondente. Abbiamo però più volte affermato che per comprendere a fondo la firma digitale avremmo dovuto conoscere i concetti di hash e digest; come vengono utilizzati tali strumenti all interno di una procedura che voglia garantire l autenticità di un documento? Supponiamo di voler spedire un documento tramite ; criptare un intero documento, soprattutto se di grandi dimensioni, richiede tempo e le giuste conoscenze tecniche; ecco che il sistema di firma digitale ci viene in aiuto. Abbiamo già la nostra chiave privata, e abbiamo dato a chi di dovere le rispettive chiavi pubbliche; grazie alla funzione di hash generiamo un digest lungo al massimo qualche decina di caratteri. In questo modo, avremo un impronta digitale fedele al documento inviato. Ma non basta: grazie alla nostra chiave privata criptiamo il digest: se il destinatario riuscirà a decriptare il messaggio con la nostra chiave pubblica, sarà sicuro della sua provenienza. Abbiamo quindi la nostra firma digitale, ovvero il digest criptato grazie ad un sistema di chiavi pubblico/private. A questo punto il nostro documento può permettersi di viaggiare in chiaro insieme alla relativa firma digitale. Se un malintenzionato volesse intercettarlo, modificarlo e poi inoltrarlo nuovamente, non avrà fatto altro che sprecare il suo tempo; una semplice procedura di confronto fra l hash spedito insieme al documento e quello generato dal computer del destinatario potrà chiarire ogni dubbio (vedi fig. 1.2). Ora abbiamo un idea più chiara di cosa la firma digitale possa garantire

19 CAPITOLO 1. DAL CARTACEO AL DIGITALE 17 Figura 1.2: La firma digitale

20 CAPITOLO 1. DAL CARTACEO AL DIGITALE 18 e a quali rischi si vada incontro. Nell ordinamento giuridico italiano la firma digitale è riconosciuta ed equiparata a tutti gli effetti di legge alla firma autografa su carta, grazie al D.P.R. 513 del 10 novembre 1997 (e successive evoluzioni normative, in particolare la legge 445/2000). Questo non deve stupire, se pensiamo a quanto la firma digitale sia più sicura di quella autografa, sia nell utilizzo che nella verifica. Dobbiamo però distinguere in modo netto la firma digitale da quella elettronica, laddove per quest ultima si intenda una qualsiasi procedura che consenta l identificazione univoca del titolare. In tal senso, proprio il DPR definisce la firma digitale come una firma elettronica qualificata, anche se, essendo quella appena descritta l unica procedura conosciuta, i due termini vanno infine a coincidere. Un importante passaggio del decreto inoltre ci consente di introdurre l argomento successivo. Si legge infatti che la titolarità della firma digitale è garantita dai certificatori (disciplinati dagli articoli 26-32): si tratta di soggetti con particolari requisiti di onorabilità, che possono essere accreditati presso il Centro Nazionale per l Informatica nella Pubblica Amministrazione (CNIPA) e che vengono chiamati certificatori accreditati o nella dicitura anglosassone Certification Authority La Certification Authority La Certification Authority è un ente di terza parte (trusted third party), pubblico o privato, abilitato a rilasciare un certificato digitale tramite procedura di certificazione che segue standard internazionali e conforme alla normativa europea e nazionale in materia. Il sistema in oggetto utilizza la crittografia a doppia chiave, o asimmetrica, in cui una delle due chiavi viene resa pubblica all interno del certificato (chiave pubblica), mentre la seconda, univocamente correlata con la prima, rimane segreta e associata al titolare (chiave privata). Una coppia di chiavi può essere attribuita ad un solo titolare, e l autorità dispone di un certificato con il quale sono firmati tutti i certificati emessi agli utenti, che ovviamente deve essere installata su di una macchina sicura. Le Certification Authority sono caratteristiche di una infrastruttura a chiave pubblica (PKI), ovvero una serie di accordi che consentono a terze parti fidate di verificare e farsi garanti dell identità di un utente, oltre che di associare ad esso una chiave pubblica a un utente, normalmente per mezzo di software distribuito su diversi sistemi. Di solito la PKI (termine usato per

21 CAPITOLO 1. DAL CARTACEO AL DIGITALE 19 indicare sia l insieme degli accordi sia gli algoritmi che gestiscono le chiavi pubbliche) è così organizzata: una policy di sicurezza che fissa i principi generali; un certificate practise statement (CPS), ossia il documento in cui è illustrata la procedura per l emissione, registrazione, sospensione e revoca del certificato; un sistema di certification authority (CA); un sistema di registration authority (RA), ovvero il sistema di registrazione e autenticazione degli utenti che domandano il certificato; un certificate server. Una infrastruttura PKI è strutturata gerarchicamente da più CA, al cui vertice si trova una CA root che certifica le sub-ca. Il primo passo per costruire una infrastruttura PKI è creare la CA radice dell albero, ossia la CA root. Se la CA root è la radice dell albero, chi le firma il certifcato? La risposta è molto semplice: la CA auto firma il suo certificato. In pratica vengono create le chiavi pubblica e privata, quindi la CA crea la richiesta di rilascio di un certificato e la firma con la sua chiave privata. Da qui si evince la necessità della buona reputazione di una CA: in pratica non c è nessuna autorità garante dal punto di vista architetturale sopra la CA radice; è necessario quindi passare a forme di garanzia giuridiche. Il ruolo più importante giocato dalle CA nelle comunicazioni telematiche è quello di garantire che un messaggio sia stato spedito da una determinata persona; ciò che le CA tendono a verificare è non tanto l arrivo a destinazione di tale messaggio 5 ma l univoca associazione di una firma digitale ad un individuo reale. Ipotizziamo che due persone vogliano intraprendere una comunicazione protetta: dispongono di una coppia di chiavi pubblico/private, e il mittente firma il suo messaggio con la propria chiave privata, criptandolo anche con la chiave pubblica del destinatario. A questo punto, chi riceve il messaggio sa che questo era diretto a lui, perchè riesce a decifrarlo con la sua chiave privata; e inoltre è sicuro del mittente perchè lui, a sua volta, dispone della chiave pubblica corrispondente a quella privata con cui è stato firmato il messaggio. 5 Compito della posta elettronica certificata, PEC.

22 CAPITOLO 1. DAL CARTACEO AL DIGITALE 20 Ma ipotizziamo che una terza persona abbia intercettato la chiave pubblica del mittente e riesca a sostituirla con la propria, spacciandosi quindi per lui: cosa potrebbe succedere? Di certo sappiamo che non c è possibilità di riconoscere se la chiave pubblica di qualcuno è effettivamente associata a quel qualcuno. A meno che non sia una CA a dircelo, o meglio il suo certificato digitale; grazie a delle relazioni di trust la CA può definire tali associazioni e creare un certificato digitale firmato con la propria chiave privata. A questo punto il terzo incomodo non può spacciarsi per quello che non è, perché non è in grado di riprodurre la firma della CA. In fig. 1.3 è schematizzata una PKI o infrastruttura a chiave pubblica. Come si può vedere dalla figura, al vertice di una PKI esiste una cosiddetta Figura 1.3: L infrastruttura PKI Root CA, che garantisce per tutte le CA subordinate. Ciò significa che le CA più periferiche si attengono alle policy (o politiche di comportamento) fissate dalla CA primaria. Tramite queste, e grazie ai loro distaccamenti come la RA, registration authority o più semplicemente ufficio registrazioni, arrivano agli users, ovvero ai fruitori finali. Cosa fa in effetti una CA? Prima di tutto si sincera che chi richiede un

23 CAPITOLO 1. DAL CARTACEO AL DIGITALE 21 certificato digitale sia esattamente chi dice di essere, ed abbia i requisiti giusti per poter ottenere ciò che chiede. Poi ovviamente rilascia i certificati ma si riserva anche il diritto di sospenderli o revocarli, quando i titolari abbiano effettuato abusi, falsificazioni o altri atti non permessi. Proprio per questo si mantengono due liste, la CRL (certificate revocation list) e la CSL (certificate suspension list). E ormai un dato certo che la maggior parte dei siti che si occupano di commercio elettronico, ad esempio, usufruiscono della autenticazione per certificati. Grazie ad una negoziazione tra il nostro computer e quello del sito, le due macchine provvedono ad avviare una connessione protetta [1] grazie alla richiesta (si spera esaudita) del certificato appositamente riconosciuto. Da parte dell utente, il computer provvede ad un controllo sull intero albero delle CA: nel caso in cui anche solo uno di questi certificati non risultasse valido, il browser con cui navighiamo in rete ci avvertirebbe, lasciando a noi la decisione Una CA all interno dell Ateneo Siamo quindi giunti all argomento principale: perché creare ed implementare una CA all interno di un Ateneo, e soprattutto perché farlo con certe specifiche tecnologie? L università, come tutte le istituzioni di grande rilevanza nella società odierna, conta al suo interno decine di dipendenti, come il personale docente e tecnico-amministrativo, gli studenti, i professori ed i ricercatori. Proprio per questo motivo spesso si dimentica che un Ateneo è non solo un luogo in cui si tengono lezioni e si sostengono esami, ma anche in cui i ricercatori sono perennemente al lavoro e cercano nuove soluzioni da applicare poi alla realtà che ci circonda. Tutto ciò comporta la presenza all interno di tale Ateneo di una serie di informazioni e di documenti di rilevante importanza scientifica ed amministrativa. Aggiungiamo a tale considerazione la presenza di strumenti tecnologici di considerevole valore, ed avremo già una serie di banali motivi per implementare delle misure di sicurezza che vadano al di là della semplice sorveglianza umana. D altronde, abbiamo visto grazie a trasmissioni satiriche come Striscia la notizia quanto sia semplice entrare e circolare liberamente in luoghi pubblici di grande importanza come tribunali o questure: più persone ci lavorano all interno, minore sarà la possibilità che qualcuno noti un volto estraneo o una figura poco familiare. E spesso, invece di inventare folli piani

24 CAPITOLO 1. DAL CARTACEO AL DIGITALE 22 terroristici, chi vuole introdursi da qualche parte riesce tranquillamente a farlo senza ostacoli. Gli hacker più famosi confessano sempre di essere riusciti ad entrare in possesso di password e chiavi d accesso semplicemente fingendosi, telefonicamente o di persona, qualcuno che non si è: un tecnico, un dirigente, un assistente di qualcuno di un altro ufficio, insomma chiunque. E così facendo hanno ottenuto informazioni che avrebbero richiesto tempo e fatica immani con altri mezzi. È la cosiddetta Ingegneria Sociale (vedi [13]), l arte di portare uno sconosciuto a fidarsi ed indurlo a confidare informazioni di vitale importanza. Uno dei più grandi pirati informatici della storia, un americano di nome Kevin Mitnick 6, grazie soprattutto a questa tecnica riuscì ad entrare in possesso di documenti segreti della Motorola, il primo produttore statunitense di telefoni cellulari. Eravamo nel Ma non si deve aver paura di sembrare paranoici, né si deve cadere nell errore di diventarlo: la miglior forma di protezione è data all ottanta per cento dall attenzione a ciò che ci succede intorno. E dall avere i migliori strumenti atti allo scopo, per evitare di trovarci a rimpiangerli. Una CA interna, ad esempio, è una di quelle soluzioni che possono rendere la vita molto difficile a chi voglia introdursi in particolari aree dell Ateneo senza averne il diritto. Risponde a due delle grandi necessità che abbiamo poc anzi illustrato: l autenticazione e la integrità dei documenti possono essere facilmente comprovate grazie al citato meccanismo delle chiavi pubblico/private; uno studente dotato della propria chiave privata potrà accedere ad aree ad egli riservate con la certezza che nessun altro possa prendere il suo posto. Inoltre tale CA, proprio perché creata ed implementata dal personale universitario, rappresenta un apripista per tante altre iniziative: sappiamo infatti che la diatriba sull utilizzo del software proprietario nelle amministrazioni pubbliche è ancora adesso accesissima; diversi uffici pubblici in Italia hanno proposto (attuandola loro per primi) l adozione di strumenti software cosiddetti open source, ovvero liberi dall obbligo di pagamento di licenze di distribuzione e, come vedremo più avanti, liberamente modificabili e redistribuibili. Una delle ragioni principali di questa proposta è l abbattimento del costo relativo a tale voce di bilancio. Una licenza Microsoft (azienda proprietaria del sistema operativo monopolista Windows) costa tra i 90 e i 150 Euro; se calcoliamo che i terminali in 6 Che a sua volta fu smascherato da un altro ugualmente famoso Hacker, Shimomura, assoldato dall FBI.

25 CAPITOLO 1. DAL CARTACEO AL DIGITALE 23 uso in un qualsiasi ufficio della pubblica amministrazione non sono mai meno di tre, possiamo farci un idea di quanto si risparmierebbe se tale via fosse percorsa in modo massiccio. Ecco quindi un altra motivazione utile al nostro scopo: non ci sono costi aggiuntivi da sostenere, e chiunque sarà d accordo sul fatto che tra due tecnologie equivalenti sia più conveniente quella che costa di meno. Non stiamo entrando nel merito di discussioni di carattere etico o filosofico, ma guardiamo il lato concreto: una soluzione che non comporta costi è una soluzione preferibile ad una che, a parità di condizioni, richieda un esborso di denaro. Una seconda importante motivazione è che, parlando a livello strettamente tecnico, l implementazione di una tale tecnologia rappresenta una soluzione fatta in casa che risponde a due importanti obiettivi: innalzare il livello di sicurezza generale della banca dati dell Ateneo, e fornire un importante precedente nell ambiente universitario per chiunque voglia intraprendere la stessa strada; essendo ampiamente documentato, può fornire ragguagli tecnici e importanti feedback di efficienza che ne favoriranno il futuro miglioramento. Sempre per rimanere nell ottica più concreta possibile, possiamo ricordare come la scelta dei supporti che contengono le chiavi digitali sia stata non dettata dal caso ma da un ottica di ottimizzazione delle spese; altri supporti, come i su citati Token, avrebbero comportato una spesa ben più elevata senza per questo innalzare significativamente le prestazioni. È quindi da evidenziare come, in un progetto di così ampio respiro scientifico, l ottimizzazione delle spese ed il rispetto dei requisiti di economicità siano stati due concetti ampiamente considerati e rispettati nelle varie fasi dello sviluppo. Abbiamo quindi concluso una prima panoramica su quelli che sono i concetti basilari di una società digitale, e su come questi concetti (e gli strumenti che li vedono coinvolti) possano e debbano essere necessariamente essere ricompresi in quella gamma di operazioni quotidiane che non possono più garantire la necessaria privacy e protezione. Possiamo quindi passare ad un livello più tecnico ma anche concettualmente più appassionante; andremo a sviscerare in maniera più approfondita le motivazioni di una scelta così precisa, precedute da una doverosa introduzione a quello che è l ambiente del software libero, e dei suoi concetti base.

26 Capitolo 2 L Open Source 2.1 Cos è l Open Source C è molta confusione riguardo al termine Open Source : in inglese questo termine sta per sorgente aperta, e già questo potrebbe dirci molto; per Open Source si intende quel tipo di software distribuito con una licenza che ne permette la libera modifica e la redistribuzione, allo scopo di ottenere un prodotto che, avvalendosi del lavoro di più persone, raggiunga livelli di efficienza maggiori di quelli ottenibili da un singolo soggetto. L open source ha ovviamente tratto grande beneficio da Internet. Alla filosofia di tale movimento si è via via andato affiancando anche un rilievo filosofico, che consiste in una nuova concezione della vita, aperta e refrattaria ad ogni oscurantismo. Inoltre sono tante le aziende, soprattutto oltreoceano, che hanno adottato come modello aziendale quello della libera collaborazione, evitando di porre troppo rilievo sul problema dei diritti d autore e dei brevetti; in breve, l open source non è un concetto che si rifà solo all informatica, bensì un modus operandi e di pensiero che abbraccia ogni lato della vita sociale ed economica. Per sapere dove e quando nasce questo movimento bisogna fare un passo indietro agli anni 70, all epoca della creazione di un sistema operativo come UNIX [15, 9] da parte di una famosa azienda di telecomunicazioni americana, la AT&T; una causa antitrust vietò all azienda di vendere il software per evitare che la sua posizione dominante (era ed è ancora adesso una delle società USA più importanti) nel mercato diventasse più solida. Da questo, e dagli sforzi dei suoi tecnici più volenterosi, nacque l idea di condividere con tutti i centri universitari i codici del sistema operativo. Il costo era 24

27 CAPITOLO 2. L OPEN SOURCE 25 esiguo, praticamente chi voleva ottenere UNIX doveva pagare solo le spese di spedizione! Fu questo a definire ed in seguito a rafforzare una comunità che viveva nell idea della collaborazione continua, e nel miglioramento costante del lavoro degli altri. Grazie a questo processo, nel corso degli anni settanta videro la luce le prime 7 versioni del sistema operativo. Unix costituì un forte aggregatore per la nascente scienza dell informazione e si può affermare che fu il suo sviluppo congiunto a definire per la prima volta l idea di informatica come scienza. Tra l altro, una sua versione minimale fu utilizzata dalla AT&T nella manutenzione delle linee telefoniche, incrementando la qualità del servizio e risparmiando al consumatore la necessità di rivolgersi ad un tecnico ogni qualvolta c era un malfunzionamento sulla linea. Successivamente alla causa antitrust, la AT&T venne smembrata in 7 aziende più piccole: nel 1984 si formarono le cosiddette Baby-Bells che, non godendo più della fatidica posizione dominante, decisero di riprendersi Unix. Solo alcune università (come quella di Berkley, in California) continuarono a sviluppare il proprio software. Unix divenne un software del tutto commerciale, che doveva concorrere con le migliaia di altre versioni nel frattempo sviluppate e diffuse. Con una logica prettamente commerciale, innalzò i prezzi delle licenze e modificò il sistema operativo in modo che i programmi non originali non fossero utilizzabili dai computer su cui girava Unix. In questo contesto di spietata concorrenza commerciale, la richiesta di professionisti dell informatica crebbe, e grandi università come la stessa Berkley o il MIT di Boston furono presi d assalto per accaparrarsi le menti migliori. Menti che, una volta assunte, avrebbero dovuto firmare un accordo di non divulgazione delle proprie scoperte, per non favorire gli avversari. Ma alcuni di questi non accettarono di lavorare per società commerciali, sostenendo che ciò andasse contro i loro principi. Il più famoso fu Richard Stallman, che qualche anno più tardi avrebbe dato vita alla FSF (Free Software Foundation) [4] e scritto la maggior parte della licenza GPL, un documento in cui si spiegano le dinamiche dell Open Source e del software libero. Per essere considerato libero, secondo il manifesto della FSF, un software deve rispecchiare quattro libertà fondamentali: libertà di eseguire il programma per qualsiasi scopo (chiamata libertà 0 ); libertà di studiare il programma e modificarlo ( libertà 1 );

28 CAPITOLO 2. L OPEN SOURCE 26 ibertà di copiare il programma in modo da aiutare il prossimo ( libertà 2 ); libertà di migliorare il programma e di distribuirne pubblicamente i miglioramenti, in modo tale che tutta la comunità ne tragga beneficio ( libertà 3 ). Inoltre la FSF contribuì in modo decisivo allo sviluppo di GNU [6], un sistema operativo che prende il nome da un acronimo ricorsivo, GNU is Not Unix (Gnu non è Unix). Da qui nasce quello che è l Open Source, il più grande movimento collaborativo del mondo. Ma la storia non è affatto finita, anzi. Gli anni 80 fanno storia per l immenso successo commerciale di Windows, il sistema operativo di Microsoft; la standardizzazione dei Personal Computer e l abbattimento dei costi al consumatore ne rendono possibile la diffusione in tutto il mondo. Ed è proprio in questo contesto che l open source arriva agli onori della cronaca: negli anni in cui lo strapotere di Microsoft sembrava consolidato ed inarrestabile, un progetto nato in Finlandia da uno sconosciuto programmatore di Helsinki cominciò ad attirare l attenzione di migliaia di appassionati e professionisti in tutto il mondo. Grazie alla neonata rete Internet, il progetto venne reso disponibile alle modifiche di chiunque. Ben presto semplici appassionati e regolari professionisti del settore si trovarono fianco a fianco a lavorare ad un progetto comune, anche senza conoscersi se non per . Nacque così il sistema operativo LINUX [8], o meglio GNU/LINUX. Lo sviluppatore finlandese, che rispondeva al nome di Linus Torvalds, scelse la licenza di Stallman [7], la GPL, per diffondere il suo lavoro: pochi concetti per chiarire che ciò che aveva fatto era a disposizione di chiunque volesse modificarlo, per passione o per professione. L unica condizione era quella di condividere le proprie modifiche così come fatto dallo sviluppatore originale, in modo che il progetto non si fermasse mai, ma continuasse ad essere incessantemente modificato e migliorato. Linux crebbe enormemente: per rendersene conto, Torvalds chiese ad ogni persona interessata allo sviluppo delle sue idee di mandargli una cartolina, cosa che avvenne subito. Ricevette qualcosa come cinquecento cartoline in un mese [17], una cifra spaventosa per un progetto che era nato come un semplice passatempo, e che in quel momento non aveva neanche un nome ed un volto. La collaborazione continuò per diversi anni, finché Torvalds non si sentì pronto per rilasciare la prima versione e si appoggiò a GNU per renderlo

29 CAPITOLO 2. L OPEN SOURCE 27 fruibile a tutti. Uno dei casi più eclatanti di collaborazione a livello globale era ora pronto per fare concorrenza ad una multinazionale dal fatturato di miliardi di dollari. Linux pian piano diventò un software di livello mondiale; a suo favore giocarono sicuramente il movimento che lo accompagnava, fatto di persone che ritenevano la condivisione del sapere un bene imprescindibile, e l indisposizione verso un mercato che, di fatto, costringeva gli utenti ad usare un solo sistema operativo, ovvero Windows. D altronde, molti degli utilizzatori di computer notarono immediatamente la differenza; Linux era molto più stabile e meno problematico di Windows, anche se praticamente tutto il software commerciale era utilizzabile solo dal prodotto di Microsoft, e questo di fatto lo tagliò fuori dalla grande distribuzione. Attualmente, la maggior parte dei computer che forniscono servizi telematici, come web server o mail server sono gestiti da sistemi operativi GNU/Linux, apprezzatissimi per la loro stabilità e quindi per la continuità che garantiscono ai servizi in rete. Inoltre molte cose sono cambiate dai primi anni 90, e attualmente Linux è diventato un sistema operativo userfriendly, grazie alle modifiche ed agli applicativi sviluppati dalla sua comunità di programmatori: praticamente ogni software commerciale ha oggi un suo equivalente free (inteso sia come gratis sia come di libera distribuzione). Anche i videogiochi più evoluti, l ultima frontiera della parificazione, hanno trovato il modo di essere emulati su Linux Ragioni scientifiche ed economiche: perché una tecnologia Open Source I vantaggi di una tecnologia open source Il discorso appena concluso fornisce delle convincenti motivazioni che già da sole potrebbero bastare a rispondere a tale quesito. Dobbiamo però riordinare tali motivazioni in un ordine che ci consenta di capire quali effetti abbia dato tale scelta ed in quali settori questa scelta abbia influito di più. Possiamo riconoscere tre motivazioni principali: economicità, efficienza e sperimentazione. Come già accennato, possiamo dire senza ombra di dubbio che l efficienza di un sistema informatico basato su Gnu/Linux sia elevatissima: senza entrare nel merito strettamente tecnico, è chiaro che la bontà di un sistema sia desumibile non tanto dalle sue qualità intrinseche, bensì dal modo in cui esso si adatta al compito che è chiamato a svolgere.

30 CAPITOLO 2. L OPEN SOURCE 28 Un sistema di questo tipo garantisce stabilità ed enorme semplicità nell elaborazione dei dati, ovvero tutto ciò che un servizio di questo tipo deve offrire. Una delle grandi qualità di questi sistemi operativi è la loro modularità, ovvero la possibilità di essere installati tralasciando le cose superflue e montando solo gli strumenti utili allo scopo. Per fare un esempio, Windows ha solo due edizioni, una home per l uso casalingo e una professional per l utilizzo lavorativo; Linux è invece componibile in quasi tutte le sue parti, a cominciare dall ambiente grafico. E un sistema che viene costituito a seconda delle esigenze della persona che ne fruisce, ed è per questo che funziona meglio. In gergo vengono chiamate distribuzioni le versioni diverse di Linux sviluppate per le diverse esigenze: ci sono distribuzioni costruite per i servizi web, altre che vengono utilizzate dalla polizia scientifica per le proprie rilevazioni, altre ancora per il disegno 3D e così via. D altronde, che senso avrebbe tenere un fuoristrada full-optional per spostarsi solo in città? Fin dagli anni 70, Unix fu concepito per costruire strumenti potentissimi concatenando tra loro pochi semplici strumenti; tale filosofia viene pedissequamente seguita da Linux, e dalle sue innumerevoli versioni. Un secondo ordine di motivazioni alla scelta di questo tipo di software è dato dal lato scientifico: la scelta di un software che non sia preinstallato, e che deve essere appositamente configurato per adattarsi al compito da svolgere, può essere equiparato ad una qualsiasi stragegia di marketing; essa presuppone l analisi delle esigenze da soddisfare, e la capacità di riuscirci mediante l impiego degli applicativi adatti. Come abbiamo già detto, ci sono sistemi operativi Linux assemblati per determinati scopi, e c è la possibilità di prendere tali sistemi e modificarli a proprio piacimento. Una configurazione come quella usata per la CA ha dovuto ad esempio dare più attenzione all elaborazione di una elevata quantità di dati (quelli di tutti coloro che lavorano o collaborano con l università, nonché degli studenti), ed al lato della sicurezza di cui si è abbondantemente discusso nelle pagine precedenti. Si è quindi dovuto implementare il DBMS MySql, tipicamente usato per i grandi database, e le librerie di crittografia utili a generare le coppie di chiavi pubblico/private da inserire nei supporti. Il terzo ed ultimo motivo è quello prettamente economico: il lato economico è una voce preponderante in qualsiasi progetto si vada ad affrontare. La cosa più evidente è l effettiva economicità del software utilizzato, soprattutto se confrontato con i suoi equivalenti commerciali ; un sistema operativo

31 CAPITOLO 2. L OPEN SOURCE 29 come quello utilizzato in questo caso (Fedora) è liberamente prelevabile da Internet, o acquistabile da società di distribuzione Linux (a prezzi molto contenuti) se si vuole godere dell assistenza qualificata. Molto spesso si confonde il software libero con quello gratuito; vi è in realtà una sottile differenza tra ciò che è liberamente acquisibile ma che deve essere giocoforza redistribuito e ciò che invece non ha prezzo, nel senso che viene liberamente donato a chiunque abbia interesse a possederlo. Anche se gran parte dei software open source risponde ad entrambe queste caratteristiche è bene ricordare che open source non corrisponde a gratuito. L Open Source applicato all economia Proprio dall errore di scambiare libero con gratis (gli americani specificano continuamente che il loro free significa entrambe le cose) arriva la convinzione, molto radicata, che il concetto di open source sia qualcosa di astratto, un approccio che ha poco a che fare con la realtà di tutti i giorni. Qualcosa che insomma continuerà a orbitare intorno a Linux e a pochi concetti di informatica per appassionati e virtuosi. Possiamo dire da ora che tale convinzione è del tutto errata, in quanto molti aspetti del movimento OS sono replicabili con ottimi risultati in ambienti avulsi o quasi dalla ristretta cerchia degli informatici. Se pensiamo a quanta importanza venga data nelle discipline manageriali al lavoro in team siamo sulla buona strada: il concetto che il tutto sia ben più grande della somma dei singoli componenti è stato ripetutamente applicato con ottimi risultati, spesso anche con ottimi profitti. In America diverse aziende hanno risposto alle esigenze del mercato ricalcando l attitudine collaborativa che ha permesso di diffondere l OS; hanno modificato il proprio modus operandi grazie alla convinzione che aprire agli altri le proprie conoscenze porti più vantaggi che grattacapi, e molte di queste hanno fatto centro. La questione è: come può un modello pensato per la divulgazione libera della conoscenza portare ad un profitto? Prima di tutto, intorno a Linux ed alla sua diffusione tante aziende hanno fatto la loro fortuna: se il software è libero, l assistenza viene pagata, e profumatamente. Molte aziende specializzate in questo settore hanno subito tra il 1995 ed il 1996 una crescita esponenziale del valore delle proprie azioni; uno dei maggiori beneficiari di tale inaspettata crescita fu proprio Linus Torvalds (che riuscì a pagare il

32 CAPITOLO 2. L OPEN SOURCE 30 suo computer solo grazie alle donazioni arrivategli via Internet), cui più di una azienda aveva regalato un numero consistente di azioni. Inoltre diverse aziende avevano preso Linux e lo avevano modificato, rivendendolo. Niente di tutto ciò andava contro la licenza GPL, che non proibisce la vendita, ma solo la mancata redistribuzione. Grazie alla moda mediatica che accompagnava la rivoluzione digitale, furono in molti a guadagnarci: i proprietari di Red Hat, una delle versioni più longeve, ebbero ottime quotazioni. Ma fu l OPA di VA Linux, l azienda dell allora sconosciuto Larry Augustin, a fare scalpore: nella prima giornata di scambi in borsa il valore delle singole azioni arrivò a 300 dollari cadauna. Alla fine dell OPA, Augustin tornò a casa con un miliardo e 600 milioni di dollari. Per quanto affascinante, questi esempi non mostrano le potenzialità di un teorico modello OS applicato in campo economico, ma solo la potenza di un ritrovato tecnologico ottenuto con un esteso spirito di condivisione delle risorse. Nel 2000, Linus Torvalds scelse di raccontare ad un giornalista americano, David Diamond, la sua storia e quella del suo sistema operativo: diversi sono gli spunti interessanti, soprattutto quando Torvalds esprime le proprie convinzioni in relazione al copyright ed ai diritti di licenza, definendo la possibilità di detenere i diritti d autore di un opera creativa e contemporaneamente venderne le licenze di utilizzo come un tentativo, abilmente riuscito, di avere la botte piena e la moglie ubriaca. Secondo Torvalds, da sempre le grandi idee sono rovinate dalla smisurata cupidigia di pochi miopi soggetti che decidono di spremere al massimo le potenzialità di una scoperta, o di un buon lavoro di team, e per rafforzare questa tesi porta ad esempio le industrie dell intrattenimento musicale e cinematografico, colpevoli di aver chiuso le loro tecnologie per paura di veder diminuire i guadagni, fin quando qualcun altro non ha trovato un modo più conveniente per offrire (o ottenere) lo stesso servizio. Curiosamente, si scopre che la cifratura dei DVD fu aggirata non a scopo di lucro, bensì perché qualcuno voleva fruire di quella tecnologia su Linux! Una piccola parte del libro è poi improntata sulla possibilità che una filosofia di tipo OS venga attuata anche nelle aziende convenzionali: partendo dall assunto che questo modello non è altro che l evoluzione documentata e regolamentata del lavoro che veniva svolto (e in alcuni casi viene ancora svolto) dai ricercatori universitari, si arriva a delle considerazioni molto interessanti; in un mondo che va sempre più veloce, in cui le informazioni viaggiano alla velocità della luce, perché la scienza, la tecnologia, le idee in

33 CAPITOLO 2. L OPEN SOURCE 31 generale devono essere confinate e non possono raggiungere chiunque? Torvalds parla di un progetto OS in ambito giuridico: ad Harvard i professori Larry Lessig (ora a Stanford) e Charles Nesson hanno applicato l open Source alla legge; avvocati e studenti pubblicano ricerche e progetti sul sito [...] l idea è che le argomentazioni più forti verranno discusse e approfondite man mano che la mole di informazioni diventa più imponente, al pari delle menti che ci lavorano. Ciò che si perde in segretezza afferma il Prof. Lessig si guadagna in profondità delle fonti e in vastità degli argomenti. Eppure lo spinoso dilemma resta: questo tipo di approccio funziona bene all interno di ambiti di ricerca come quelli accademici, ma il profitto? Torvalds chiarisce: bisogna considerare prima di tutto un aspetto motivazionale: chiunque lavori in un azienda in cui la sopravvivenza è più o meno assicurata, non ha il danaro come obiettivo primario [...] è stato provato che qualsiasi professionista lavora al meglio quando guidato dalla passione e dal divertimento. E cosa c è di più eccitante che lavorare con i migliori professionisti del mondo invece che con i quattro gatti assunti dalla tua azienda?. Il punto poi si sposta sulla bontà del prodotto: se il prodotto è fatto bene ha ottimi possibilità di produrre profitto, di dar da mangiare a chi lo crea, e non deve difendersi da imitazioni e contraffazioni, perché se una cosa è di tutti, non può essere rubata. Non c è nessuna regola che vieta di chiedere soldi in cambio di un sistema operativo open source. E di soldi ed opportunità ce ne sono a bizzeffe. Sempre Torvalds spiega: Man mano che l OS prende l abbrivio nell economia mondiale e i suoi sviluppatori sono sempre più riconosciuti, il loro valore di mercato continua a crescere. Le aziende spulciano le credit list allegate alla documentazione del software open source e incaricano i responsabili delle risorse umane di contattare questo o quel programmatore per fargli un offerta di lavoro. Insomma, non è politica o religione, ma neanche corsa all oro. Un apertura di questo tipo, anche se minima, la ritroviamo sempre più spesso nel marketing; soprattutto negli ultimi anni è cresciuta a dismisura la quantità di campagne promozionali che chiedono ai potenziali consumatori di sottoporre ad un azienda un proprio lavoro o un idea. Questa minima seppur significativa modifica nell approccio delle aziende verso i consumatori (non più polli da spennare ma cervelli che pensano ) è sintomatica di una lenta ma inesorabile presa di coscienza: un attitudine chiusa e ristretta rallenta i tempi di ideazione e influisce sulla qualità generale del prodotto finito, rendendolo meno appetibile. Più persone collaborano a tale progetto,

34 CAPITOLO 2. L OPEN SOURCE 32 meno saranno quelle che ne rimarranno deluse; ancora, quante più persone si sentiranno parte integrante della creazione di qualcosa, tante avranno voglia di possederla, e faranno la fila per acquistarlo. Naturalmente tale approccio non è applicabile a tutte le aziende, ma questo non significa che non sia applicabile in generale. Fondamentalmente, tutte le aziende potrebbero avvalersi di un modello OS ed innalzare il proprio livello di qualità. La disputa infinita sulla bontà di Linux rispetto a Windows, e su quanto paradossale sia il fatto che Microsoft continui a detenere una fetta preponderante del mercato contro un avversario migliore e soprattutto gratuito ne è la prova.

35 Capitolo 3 Descrizione e funzionamento della CA 3.1 La Certification Authority scelta La soluzione OpenCA scelta è altamente modulare in quanto logicamente è composta dalle seguenti componenti: un front end utente: è la componente che permette l interazione con l utente finale, consentendo la richiesta e la revoca di un certificato digitale; una o più Registration Authority (RA): è la componente che permette all operatore di RA di approvare le richieste e di inviarle alla CA; Certification Authority: è la componente che permette all operatore di emettere i certificati e le liste di revoche e di pubblicarli sul repository; Repository LDAP: è il punto di accesso pubblico per poter accedere ai certificati emessi ed alle liste di revoca. Tutte le suddette componenti sono in grado di comunicare fra di loro tramite un interfaccia di comunicazione comune. Tramite l uso dei certificati X.509 l Ateneo può beneficare di diversi servizi con alti livelli di sicurezza come ad esempio: posta S/MIME: tramite i certificati è possibile l invio di posta elettronica cifrata e firmata digitalmente; 33

36 CAPITOLO 3. DESCRIZIONE E FUNZIONAMENTO DELLA CA 34 accesso a servizi WEB in HTTPS: l utente può accedere ad applicazioni WEB tramite canale sicuro ed eventualmente autenticarsi tramite il proprio certificato digitale (mutua autenticazione); accesso a reti wireless: tramite il protocollo 802.1X è possibile autenticarsi ad una rete WiFi tramite il proprio certificato e instaurare un canale di comunicazione radio protetto; accesso a domini Windows: l utente che possiede una smart card con il suo certificato può effettuare il login ad dominio senza usare username e password; accesso in VPN alla rete interna: i diversi protocolli di VPN (tipicamente IPSEC o SSL) permettono l utilizzo dei certificati come sistema di autenticazione avanzato. 3.2 La CA implementata presso l Università di Foggia Passiamo ora ad una descrizione più dettagliata del funzionamento della CA così com è stata progettata ed implementata presso l Università di Foggia, e della procedura pensata per rendere possibile la produzione e la distribuzione delle smart-card. Abbiamo precedentemente affermato che le CA sono parte di una infrastruttura a chiave pubblica (PKI Public Key Infrastructure) creata su relazioni di fiducia tra terze parti che permettono di identificare univocamente un soggetto grazie a certificati emessi da una Root CA, ovvero una entità posta al vertice di una gerarchia piramidale che garantisce anche i certificati emessi dalle CA ad esso subordinate. In questo caso ci troviamo davanti ad una struttura che contiene due entità, poste su due differenti elaboratori: una Certification Authority (unica, quindi Root CA), ed una Registration Authority, ovvero una macchina che ha il compito di raccogliere ed elaborare le richieste di emissione di un certificato. Come funzionano queste due macchine? Dobbiamo in primis specificare che le richieste di emissione di certificato possono essere effettuate da tre tipi di utenti: i tecnici amministrativi, gli studenti e il personale docente. Noi ci occuperemo del gruppo più nutrito, ovvero degli studenti: chi voglia ottenere una smart-card, deve giocoforza

37 CAPITOLO 3. DESCRIZIONE E FUNZIONAMENTO DELLA CA 35 richiedere un certificato, che andrà a far parte del contenuto della sua carta, insieme ad altri elementi che chiariremo più avanti. Una richiesta può essere inoltrata via cartacea o elettronicamente, compilando un form disponibile sul sito dell università: dopo l immissione di pochi dati, comincia la procedura vera e propria. Il sistema prima di tutto controlla la carriera del richiedente, nonché la possibilità che a suo nome siano stati già emessi altri certificati: non dimentichiamo infatti, che essendo basati sul numero di matricola, uno stesso studente dovrà richiedere un nuovo certificato se, ad esempio, dopo la laurea triennale decide di iscriversi a quella specialistica. Cambiando il numero di matricola, cambierà anche la coppia di chiavi pubblico/privata. Terminati questi controlli preliminari, la richiesta viene inoltrata via mail all ufficio amministrativo. Schematizziamo le due macchine su citate in questo modo, considerando che tali elaboratori funzionano in modo automatico e sincronizzato, essendo in comunicazione l uno con l altro. In particolare la RA, che gestisce la maggior parte del lavoro, è divisa in due aree logiche: una pubblica ed una privata. In quella pubblica, vengono elaborate le richieste inoltrate. La RA controlla la veridicità della richiesta generando una stringa casuale che la persona incaricata deve firmare con il suo certificato di RAO (Registration Authority Operator); effettuato tale controllo, si passa alla parte operativa, in cui vengono generate certificato e coppia di chiavi, nonché personalizzata e materialmente prodotta la smartcard. Grazie ad un software apposito distribuito dal produttore stesso dei supporti, si inseriscono i dati personali del richiedente sul modello del supporto, e si procede alla stampa grazie ad una apposita stampante ad alta definizione. Inoltre, il software in questione provvede a creare un collegamento univoco tra il PIN della carta e il numero di matricola, aumentando la sicurezza e la univocità del supporto. Una volta appurato che non ci siano certificati analoghi e verificatone la fattibilità, la richiesta è di fatto approvata. Una volta ottenuta la carta, la si inserisce in un apposito lettore, e vi si accede (queste smart-card hanno un microprocessore che consente l utilizzo di apposite funzionalità crittografiche), inserendovi la coppia di chiavi pubblico/privata e il certificato con la sua estensione, ovvero un account di dominio dell ateneo nel gruppo studenti. Ovviamente, essa contiene i dati del richiedente, ottenuti grazie alla sincronizzazione tra i database degli uffici amministrativi, che contengono la carriera degli studenti e le loro

38 CAPITOLO 3. DESCRIZIONE E FUNZIONAMENTO DELLA CA 36 informazioni personali, ovviamente registrate. 3.3 RA e CA: funzioni ed equipaggiamento Abbiamo poc anzi affermato che i due server (che costituiscono di fatto la struttura PKI) sono in comunicazione l uno con l altro: uno, la Registration Authority, si occupa delle richieste di emissione dei certificati, l altro, che funziona da Root CA, emette i certificati corrispondenti e rimanda le richieste alla RA, che provvede quindi a rendere disponibile il certificato per l inserimento nella smart-card. Di fatto, quindi, la CA emette solo i certificati per le richieste pervenutegli, che sono già state precedentemente approvate. I due server e le loro comunicazioni sono automatizzate, e vengono aggiornate con una frequenza che va dai dieci ai dodici minuti. Ci sono due ordini di motivi per questa scelta: principalmente per la difficoltà effettiva che si avrebbe nell effettuare queste operazioni in modo manuale, in quanto ogni passaggio avrebbe bisogno di misure di sicurezza che invece i server generano e confrontano automaticamente. Più nel particolare, possiamo definire tale scelta come una ulteriore misura di sicurezza per prevenire guasti ed inconvenienti: le funzioni vengono dislocate su due macchine (pur potendo convivere anche su una) perché in caso di guasto di una delle due si potrebbe spostare le funzionalità di una nell altra e non arrecare ritardi o intoppi nello svolgimento dei loro compiti. Possiamo schematizzare in questo modo la coesistenza di questi due server: ogni macchina contiene un database MySql che è più o meno corrispondente a quello dell altra. Tali database servono semplicemente come area di confronto tra le richieste approvate (nella RA) e i certificati emessi e da emettere (nella CA). I due server sono sincronizzati nel DATA EXCHANGE, ovvero nello scambio di dati finalizzato al cosiddetto AutoEnroll, che non è altro che la procedura automatizzata dell emissione dei certificati. Da notare che i due DB MySql non comunicano autonomamente tra loro, ma tramite i server. Il loro confronto è però costante nella frequenza che abbiamo prima specificato. Entrambi i server sono equipaggiati con il sistema operativo Open Source Linux, in particolare nella distribuzione Fedora; tale SO è interamente gratuito e sviluppato dalla comunità virtuale che si è creata negli anni. Inoltre, per implementare la CA sono stati installati: la PKI OpenCA, liberamente prelevabile dal sito OpenCA.org;

39 CAPITOLO 3. DESCRIZIONE E FUNZIONAMENTO DELLA CA 37 l utility di comunicazione sicura OpenSSL; il software di generazione di chiavi asimmetrice OpenSSH. È invece stato utilizzato il software TokenManager (con libreria PKCS#11) per inserire i dati nelle smart-card. Da notare come sebbene i server siano equipaggiati con sistemi operativi di derivazione UNIX, dal lato amministrativo i DB e le utilità di richiesta certificato vengono invece utilizzati con sofware Microsoft, come Microsoft Sql Server. Di seguito un esempio di certificato emesso dalla CA UNIFG. Figura 3.1: Esempio di certificato emesso dalla CA UNIFG