E-commerce sicuro. Le problematiche del pagamento elettronico. Acquisto on-line sicuro. Tecnologie per la gestione dei pagamenti su Internet

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "E-commerce sicuro. Le problematiche del pagamento elettronico. Acquisto on-line sicuro. Tecnologie per la gestione dei pagamenti su Internet"

Transcript

1 E-commerce sicuro Tecnologie per la gestione dei pagamenti su Internet 02/06/03 P. Cremonesi L. Muttoni S. Zanero Anno Accademico Le problematiche del pagamento elettronico Acquisto on-line sicuro Tipica transazione di commercio elettronico l acquirente sfoglia un catalogo di prodotti on-line, seleziona i prodotti da acquistare e invia al venditore i dati della propria carta di credito il venditore verifica i dati della carta di credito e conferma l ordine Differenze con il commercio tradizionale dati importanti viaggiano su Internet (numero di carta e nome acquirente, indirizzo, codice fiscale ) venditore e acquirente non si conoscono : manca il fattore fiducia Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 3/66

2 Requisiti generali Il protocollo IP e i protocolli applicativi web non incorporano elementi di identificazione (anonimità di Internet) Il protocollo IP non garantisce la riservatezza Un sistema di pagamento elettronico sicuro deve fornire un sostituto valido al rapporto di fiducia che si instaura tra acquirente e venditore negli acquisti tradizionali Garantire all acquirente l identità e la rintracciabilità del venditore Garantire al venditore la transazione di pagamento Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 4/66 Requisiti più specifici Fornire un sistema sicuro per lo scambio di informazioni (confidenzialità e integrità dei dati) Autenticare mutuamente le parti coinvolte nell operazione (acquirente e venditore, terze parti) Assicurare l atomicità delle operazioni di pagamento e di evasione dell ordine Garantire l interoperabilità delle applicazioni e delle tecnologie (problema della massa critica) Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 5/66 Problema della massa critica La fiducia di acquirenti e venditori on-line è legata anche alla diffusione dei servizi più numerosi sono gli utilizzatori di un sistema di pagamento on-line, maggiore è la fiducia dei nuovi utenti Definire standard che garantiscano: interoperabilità tra software diversi portabilità su piattaforme diverse Usare il più possibile gli standard già esistenti Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 6/66

3 Protocolli sicuri Esistono tre protocolli principali che cercano di garantire la sicurezza e la fiducia del pagamento elettronico SSL (Secure Socket Layer) per HTTP (HTTPs) sicurezza delle comunicazioni il cliente non ha garanzie sull uso che il venditore fa dei dati riservati (frode o errore) il venditore non ha garanzie che l acquirente sia chi dice di essere (carte di credito rubate) S/HTTP: Secure HTTP, un altro protocollo per la sicurezza di HTTP SET (Secure Electronic Transaction) fiducia tra acquirente e venditore Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 7/66 Un acquisto on-line: visione dall esterno 1. l acquirente sfoglia un catalogo on-line di prodotti 2. l acquirente seleziona gli articoli/servizi da acquistare 3. l acquirente seleziona il metodo di pagamento (carta di credito) 4. l acquirente invia al venditore i dettagli dell ordine 5. il venditore richiede alla banca dell acquirente l autorizzazione per il pagamento 6. il venditore invia all acquirente una conferma dell ordine 7. il venditore evade l ordine 8. il venditore richiede il pagamento da parte della banca del cliente Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 8/66 Architettura di un sistema di pagamento elettronico autenticazione e protezione dei dati payment gateway Bank Bank Network Network Internet customer browser Internet Internet e-commerce web site issuer bank acquirer bank Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 9/66

4 Glossario cardholder: è il cliente che esegue acquisti online pagando con carta di credito (o tramite bonifico) issuer: la banca su cui si appoggia la carta di credito del cliente e che deve autorizzare i pagamenti merchant: è il venditore che vende prodotti/servizi on-line acquirer: è la banca su cui si appoggia il venditore e che processa le richieste di pagamento via carta di credito payment gateway: è un sistema/sito utilizzato dall acquirer che processa le richieste e le autorizzazioni di pagamento certification authority: è l istituzione che garantisce l identità del cardholder e del merchant Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 10/66 PKI e Certification Authorities Crittografia asimmetrica: un ripasso testo messaggio digest Mittente crittaz. testo messaggio firma digitale Chiave PUBBLICA destinatario crittazione Chiave PRIVATA destinatario decrittazione Chiave PRIVATA mittente testo messaggio Autenticazione mittente confronto digest firma digitale Integrità messaggio digest decrittaz. Riservatezza messaggio Ricevente Chiave PUBBLICA mittente Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 12/66

5 Problema dell identità del mittente (2) La sicurezza con l utilizzo delle chiavi pubbliche e private è garantita solo se si è sicuri che la chiave pubblica che si sta usando appartiene proprio all utente che l ha dichiarata Fondamentalmente, non c è modo di scambiarsi le chiavi pubbliche, se non out-ofband (di persona e mediante dischetto, per esempio) Lo scopo di una PKI (Public Key Infrastructure) è di garantire l associazione chiave pubblicamittente Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 13/66 Authentication Per poter garantire l identità del mittente, è necessario utilizzare una terza parte fidata che autentichi la chiavi pubblica Questa terza parte viene chiamata certification authority (CA) La CA rilascia un certificato digitale che contiene alcune informazioni sull utente che l ha richiesto, tra cui la chiave pubblica dell utente Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 14/66 Rilascio di un certificato digitale L utente prova la propria identità alla CA (ad esempio mostrando un documento) La procedura dipende dalla CA ed è ovviamente molto sensibile! La CA crea una coppia di chiavi per l utente (pubblica e privata) A volte per contenere la chiave privata viene utilizzata una smart card La CA crea un certificato digitale, che contiene la chiave pubblica dell utente ed i dati identificativi Il certificato digitale è firmato elettronicamente con la chiave privata della CA Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 15/66

6 Certificato digitale proprietario del certificato validità del certificato chiave pubblica dell utente ente che ha rilasciato il certificato Mario Rossi dal 1/1/2000 all 1/1/2001 QH76H9H5GJ0J2JHAW CA firma digitale dell ente che ha rilasciato il certificato Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 16/66 Certificato digitale (2) informazioni contenute nel certificato chiave pubblica dell utente message digest firma digitale criptazione con la chiave privata dell ente che rilascia il certificato Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 17/66 Esempio di certificazione del server presso il client X certifica certifica certifica A B certifica PEER 1 PEER 1 PEER 1 manda a PEER 2 un certificato firmato dalla certification authority CA PEER2 PEER 2 Se PEER2 considera CA affidabile PEER2 considera PEER1 affidabile Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 18/66

7 Catene e reti di certificazioni Quis custodiebit custodes? I certificati rilasciati da un autorità possono essere garantiti soltanto da un autorità di livello superiore, ma la catena va fermata autorità pubbliche alla sommità della catena web-of-trust di PGP Società specializzate i cui certificati sono già presenti nei maggiori browser (de facto) La CA di top level usa un certificato selfsigned Problemi di prestazioni e di gestione delle revoche Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 19/66 Esempio di gerarchia di Certification Authorities Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 20/66 Esempio di catena di certificazione Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 21/66

8 Esempi di Certification Authorities Provider commerciali internazionali Verisign (www.verisign.com) CA riconosciute da AIPA (firma digitale a valore legale) Elenco completo su CA dipartimentali Per una singola azienda, p.es. il CED del Politecnico per i suoi dipendenti Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 22/66 Certificati digitali: standard X.509 Lo standard associa un DN (distinguished name) ad una chiave pubblica La struttura di un certificato X.509 è numero di versione del certificato serial number del certificato un numero diverso da qeullo di tutti gli altri certificati chiave pubblica DN della certification authority che ha rilasciato il certificato periodo di validità DN del proprietario del certificato tipo di certificato client, server, firma digitale della CA Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 23/66 Esempio di Certificato digitale X.509 Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 24/66

9 Esempio di certificato X.509 Certificate: Data: Version: v3 (0x2) Serial Number: 3 (0x3) Signature Algorithm: PKCS #1 MD5 With RSA Encryption Issuer: OU=Ace Certificate Authority, O=Ace Industry, C=US Validity: Not Before: Fri Oct 17 18:36: Not After: Sun Oct 17 18:36: Subject Public Key Info: Algorithm: PKCS #1 RSA Encryption Public Key: Modulus: 00:ca:fa:79:98:8f:19:f8:d7:de:e4:49:80:48:e6:2a:2a:86: 43:7d:45:6d:71:4e:17:3d:f0:36:4b:5b:7f:a8:51:a3:a1:00: Public Exponent: (0x10001) Extensions: Identifier: Certificate Type Certified Usage: SSL Client Identifier: Authority Key Identifier Critical: no Key Identifier: f2:f2:06:59:90:18:47:51:f5:89:33:5a:31:7a:e6:5c:fb:36: Signature: Algorithm: PKCS #1 MD5 With RSA Encryption Signature: 6d:23:af:f3:d3:b6:7a:df:90:df:cd:7e:18:6c:01:69:8e:54:65:fc:06: 4a:e5:26:38:ff:32:78:a1:38:f1:ed:dc:0d:31:d1:b0:6d:67:e9:46:a8: Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 25/66 Esempio di certificato X.509 (2) -----BEGIN CERTIFICATE----- MIICKzCCAZSgAwIBAgIBAzANBgkqhkiG9w0BAQQFADA3MQswCQYDVQQGEwJVUzER MA8GA1UEChMITmV0c2NhcGUxFTATBgNVBAsTDFN1cHJpeWEncyBDQTAeFw05NzEw MTgwMTM2MjVaFw05OTEwMTgwMTM2MjVaMEgxCzAJBgNVBAYTAlVTMREwDwYDVQQK EwhOZXRzY2FwZTENMAsGA1UECxMEUHViczEXMBUGA1UEAxMOU3Vwcml5YSBTaGV0 dhkwgz8wdqyjkozihvcnaqefbqadgy0amigjaogbamr6ezipgfjx3urjgejmkiqg 7SdATYazBcABu1AVyd7chRkiQ31FbXFOGD3wNktbf6hRo6EAmM5/R1AskzZ8AW7L iqzbcrxpc0k4du+2q6xju2mpm/8wkumontuvzpo+sgxelmhvcheqoocwfdizywyz NMmrJgaoMa2MS6pUkfQVAgMBAAGjNjA0MBEGCWCGSAGG+EIBAQQEAwIAgDAfBgNV HSMEGDAWgBTy8gZZkBhHUfWJM1oxeuZc+zYmyTANBgkqhkiG9w0BAQQFAAOBgQBt I6/z07Z635DfzX4XbAFpjlRl/AYwQzTSYx8GfcNAqCqCwaSDKvsuj/vwbf91o3j3 UkdGYpcd2cYRCgKi4MwqdWyLtpuHAH18hHZ5uvi00mJYw8W2wUOsY0RC/a/IDy84 hw3wwehbuqvk5sy4/zj4otjx7dwnmdgwbwfprqjd1a== -----END CERTIFICATE----- Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 26/66 Firma digitale a valor legale Normata dal D.P.R. 513/97 e successive modificazioni Basata sull uso di certificati X.509 (come da DPCM 8/02/99) a bordo di strumenti di firma hardware (al momento smart card, ma non necessariamente) Rilasciata da certificatori abilitati iscritti nell elenco AIPA e dotati di particolari requisiti (a livello di struttura societaria e di procedure) Ha lo stesso valore di una firma su documento cartaceo, ma non può essere disconosciuta Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 27/66

10 Utilizzo e feature Cosa si può fare con la firma digitale: firmare un contratto ( scrittura privata ) firmare documenti destinati alla P.A. applicare una marca temporale a un documento Cosa non si può fare: comprare una casa (l atto notarile richiede la presenza) Per cosa non è utile una firma a valore legale per il commercio online: avete mai firmato un contratto per comprare un oggetto al supermercato? per identificarsi verso un server remoto SSL: non avrebbe comunque valore legale! Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 28/66 Secure Socket Layer (SSL) Introduzione ad SSL È un protocollo di comunicazione per Internet Progettato da Netscape per le comunicazioni sicure via web, è divenuto standard de facto anche per altri protocolli In via di approvazione come standard IETF Garantisce: confidenzialità e integrità autenticazione del server (autenticazione del client) Utilizza sia crittografia a chiave simmetrica (segreta) sia a chiave asimmetrica (pubblica e privata) Esiste una ottima implementazione free, SSLeay (www.ssleay.org) Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 30/66

11 Fasi di SSL SSL funziona in due fasi: handshake: utilizzando la crittografia asimmetrica viene scambiato un segreto di sessione tra client e server, da utilizzare per la crittografia simmetrica connessione sicura: utilizzando il segreto scambiato durante l handshake il client e il server possono comunicare in modo sicuro mediante crittografia simmetrica Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 31/66 Cipher setting Il client e il server possono avere a disposizione diversi algoritmi per la crittografia a chiave simmetrica e asimmetrica; l insieme degli algoritmi di crittografia conosciuti dal client (o dal server) viene chiamato cipher setting Durante la fase di handshake client e server devono mettersi d accordo su quali algoritmi di crittografia utilizzare Tra gli algoritmi implementati come minimo, ci sono DES, RC2, RC4 e IDEA (simmetrici), RSA e DSS (autenticazione), SHA e MD5 (integrità), X.509 (chiavi), Diffie-Hellman e RSA (scambio di chiavi); è inoltre richiesto il supporto per il sistema hardware FORTEZZA. Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 32/66 SSL handshake: overview 1. cipher setting 2. cipher setting 2. server public key 3. client public key Session key generation 4. session key cripted with server public key client server Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 33/66

12 SSL handshake: dettagli 1. Connection Request SSL connection request client cipher settings client random data client server il client invia al server una richiesta di connessione SSL, contenete i cipher setting del client, dei dati generati a caso ed altre informazioni che servono per stabilire la connessione sicura SSL Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 34/66 SSL handshake: dettagli 2. Connection Response server cipher settings server random data server authentication client server certificate client certificate request server il server invia al client i suoi cipher setting, dei dati generati a caso, il suo certificato e il server facoltativamente richiede il certificato del client il client autentica il server; se l autenticazione fallisce, la procedura di handshake viene interrotta Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 35/66 SSL handshake: dettagli 3. Client Authentication client certificate client authentication client server se il server ha richiesto l autenticazione del client, il client invia al server il suo certificato il server verifica l identità del client; se l autenticazione fallisce, la procedura di handshake viene interrotta Alternativamente, il client genera una coppia di chiavi ed invia la chiave pubblica (senza certificato) al server Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 36/66

13 SSL handshake: dettagli 4. Session Key Exchange session key session key client server il client genera una chiave simmetrica (session key) che viene criptata con la chiave pubblica del server e inviata al server il server decripta la session key con la sua chiave privata server e client hanno una stessa chiave simmetrica scambiata in modo sicuro Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 37/66 SSL handshake: server autentication CA public key CA public key CA name CA name CA public key CA public key CA name CA name client trusted CA server public key certificate validity period server domain name CA name digital signature server certificate 1. il certificato del server è nel periodo di validità? 2. la CA del server è considerata attendibile? (anche risalendo la gerarchia delle CA del server e del client) 3. la chiave pubblica della CA valida la firma digitale del certificato del server? 4. il nome (indirizzo) del server specificato nel certificato corrisponde all indirizzo reale del server a cui mi sto collegando? Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 38/66 Attacchi di tipo man-in-the-middle Un attacco man-in-the-middle si verifica quando esiste un computer che può intercettare e manipolare tutte le comunicazioni tra un client e un server Questo tipo di attacco pone i maggiori problemi al progettista di protocolli, perché niente può essere considerato sicuro Nel caso di SSL, cosa può fare il MITM? Intercettando tutte le comunicazioni risponde al client come se fosse il server e comunica con il server come se fosse il client! La corretta verifica di quanto al punto 4 della slide precedente evita questo attacco, perché il MITM può inviare un falso certificato ma non può farselo firmare dalla CA! Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 39/66

14 SSL handshake con MITM 1. cipher setting 2. cipher setting 3a. fake auth. 3. server auth. Session key generatio n 4. client auth. 5. session key criptata con fake key 4a. fake auth. 5. session key criptata con server key client MITM server Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 40/66 HTTPS HTTP sopra un canale sicuro costruito con SSL Utilizza la porta 443 invece della classica 80 Una alternativa più potente ma non usata è S/HTTP HTTP HTTP SSL SSL TCP/IP Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 41/66 S/HTTP S/HTTP è un protocollo per la sicurezza delle transazioni che segue strettamente le specifiche HTTP IETF Draft Standard da anni, ma utilizzato CMS/MOSS (Crypto Message Std / Multipart Obj. Security Std) definiscono gli header per oggetti crittografati Layering di algoritmi e indipendenza (attualmente usa MD5 per, DES-CBC come algoritmo simmetrico, e NIST-DSS per generare le chiavi) Key management: scambio manuale, uso di PKI o di protocolli a chiave pubblica Tutti i browser lo supportano, ma non ci sono implementazioni free Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 42/66

15 Secure Electronic Transaction (SET) Perché SET e non SSL Problema: SSL protegge i dati da terzi, ma costringe il cardholder a dare il numero di c.c. al merchant Soluzione il cliente invia al merchant un certificato digitale che contiene il message digest dei dati della carta di credito il cliente invia i dati della carta di credito al payment gateway (di cui si fida) il merchant invia il certificato del cliente al payment gateway il payment gateway verifica la coerenza dei dati Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 44/66 Architettura di SET certification authority Entità che processa le informazioni dal server del merchant. Internet payment gateway Bank Network cardholder merchant issuer acquirer Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 45/66

16 Un ulteriore problema il cardholder vuole comunicare con il merchant e il payment gateway con un unico messaggio il messaggio contiene ordine di acquisto istruzioni per il pagamento l ordine di acquisto sarà utilizzato dal merchant le istruzioni per il pagamento saranno utilizzate dall acquirer si vuole impedire all acquirer di vedere il contenuto dell ordine e al merchant di vedere le istruzioni per il pagamento Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 46/66 Dual signature SET introduce il concetto della doppia firma: questo meccanismo consente di interagire con soggetti diversi rivelando a ciascuno solo la parte di dati di sua competenza (confidenzialità) e al contempo legando tra loro le due parti del messaggio. La doppia firma è generata creando due message digest, uno per ogni messaggio, e creando una firma digitale con i due digest combinati Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 47/66 Generazione della dual signature Descr. Ordine A B criptazione con la chiave privata del mittente Descr. Pagamento Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 48/66

17 Verifica del merchant Merchant Buyer A A decripto con chiave pubblica del mittente B cripta con chiave privata del mittente Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 49/66 Buyer Interazione tra merchant e payment gateway Merchant A A Payment gateway B cripta con chiave privata del mittente B Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 50/66 Le fasi di SET Fasi preliminari una tantum: registrazione del cardholder registrazione del merchant richiesta di acquisto autorizzazione al pagamento (authorization) conferma del pagamento (capture) Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 51/66

18 Registrazione del cardholder richiesta del certificato della CA certificato della CA firmato richiesta del certificato formulario per ottenere il certificato richiesta del certificato certificato del cardholder cardholder CA Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 52/66 Registrazione del merchant richiesta del certificato formulario per ottenere il certificato richiesta del certificato certificato del merchant merchant CA Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 53/66 Dettagli sulla registrazione Ovviamente viene eseguita una tantum È necessaria per generare i certificati ed attribuirli a delle persone fisiche o giuridiche Valgono le osservazioni fatte nel discorso sulla PKI e relative al rilascio di credenziali sotto forma di certificati digitali Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 54/66

19 Richiesta di acquisto richiesta del certificato del merchant certificato del merchant richiesta di acquisto fattura digitale firmata cardholder merchant Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 55/66 La richiesta in dettaglio Il cliente, al momento di pagare, seleziona l opzione carta di credito Il merchant genera il conto e lo spedisce al buyer per l approvazione Il buyer sceglie e inserisce i dati della propria carta Il software richiede al merchant la chiave pubblica sua e del suo payment gateway. Il merchant genera una risposta composta da: Un identificativo della transazione Il certificato del merchant Il certificato del payment gateway Il buyer verifica i certificati ed invia due pacchetti di informazioni al merchant, l Order Information packet (OI), e il Purchase Instructions (PI) packet. Il PI è criptato con la chiave pubblica del payment gateway perché il merchant non vi acceda, e contiene i dati usati dalla acquiring bank per processare la transazione. Contiene: Numero di carta e scadenza Ammontare da pagare L identificativo della transazione L OI è invece destinato al merchant e contiene: L identificativo della transazione La marca della carta La data della transazione SET descrive in modo preciso il formato dei messaggi Viene generata una dual signature per PI e OI Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 56/66 Generazione della dual signature PI A B criptazione con la chiave privata del mittente OI Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 57/66

20 Autorizzazione al pagamento richiesta di autorizzazione (comprende i dati del cardholder) autrizzazione firmata merchant payment gateway Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 58/66 L autorizzazione in dettaglio Il software del merchant controlla il messaggio del buyer e verifica che non siano stati manipolati Il software genera una richiesta di autorizzazione al pagamento, che contiene l identificativo di transazione Il merchant invia al payment gateway un messaggio criptato con la chiave pubblica del gateway stesso, in cui inserisce: La richiesta di autorizzazione Il PI ottenuto dal buyer Il proprio certificato pubblico Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 59/66 Verifica del merchant Merchant Buyer A A decripto con chiave pubblica del mittente B cripta con chiave privata del mittente Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 60/66

21 L autorizzazione in dettaglio (2) Il payment gateway decripta il messaggio, e controlla le varie componenti per eventuali manipolazioni e verifica che il transaction identifier nella richiesta d autorizzazione coincida con quello nel PI del buyer Il payment gateway invia una richiesta di autorizzazione all issuer, attraverso i normali canali interbancari L issuer invia una risposta di conferma o di diniego attraverso il sistema interbancario Il gateway genera un appropriata risposta per il merchant, che comprende: La risposta dell issuer Un capture token La risposta viene cifrata e inviata al merchant Il merchant la decifra e ottiene entrambe le informazioni, salva il capture token e procede con l appropriata funzione: Se la transazione è stata approvata, invia al buyer una conferma dell acquisto avvenuto, Se la transazione è stata rifiutata, invia al buyer un messaggio d errore. Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 61/66 Buyer Interazione tra merchant e payment gateway Merchant A A Payment gateway B cripta con chiave privata del mittente B Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 62/66 Conferma del pagamento richiesta di pagamento conferma del pagamanto merchant payment gateway Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 63/66

22 Payment Capture In seguito, il merchant utilizza il capture token per inviare una richiesta di payment capture al payment gateway, contenente: Il capture token L ID della transazione Le informazioni d autorizzazione Il payment gateway invia una richiesta di pagamento all issuer, attraverso i normali canali interbancari L issuer invia una risposta di conferma attraverso il sistema interbancario La risposta viene cifrata e inviata al merchant Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 64/66 Esempi di payment gateway Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 65/66 Altri standard e protocolli SET è molto diffuso, anche perchè sostenuto nientemeno che da VISA e MasterCard! Esistono tuttavia altri standard e toolkit che vanno menzionati: S/PAY (Secure Payment): toolkit per applicazioni SET, sviluppato da RSA e distribuito da Trintech (www.trintech.com) OFX (Open Financial Exchange): protocollo di Microsoft e altri che usa SSL per fornire servizi di banking e transazioni (www.ofx.net) MPTP (Micro Payment Transfer Protocol): sviluppato dal W3C, altamente flessibile ma ancora in fase di sviluppo JECF (Java Electronic Commerce Framework): un framework per implementare transazioni in Java; flessibile, portabile, e 100% pure Java Cremonesi/Muttoni/Zanero Impianti Informatici - A.A. 02/03 66/66

E-business sicuro. Tecnologie per la gestione delle transazioni su Internet 05/06/06

E-business sicuro. Tecnologie per la gestione delle transazioni su Internet 05/06/06 E-business sicuro Tecnologie per la gestione delle transazioni su Internet 05/06/06 Ecommerce: problematiche Differenze con il commercio tradizionale dati importanti viaggiano su Internet (numero di carta

Dettagli

Tecnologie per la gestione delle transazioni su Internet 19/04/06

Tecnologie per la gestione delle transazioni su Internet 19/04/06 E-business sicuro Tecnologie per la gestione delle transazioni su Internet 19/04/06 Ecommerce: problematiche Differenze con il commercio tradizionale dati importanti viaggiano su Internet (numero di carta

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 7, sicurezza dei protocolli. Sicurezza dei protocolli (https, pop3s, imaps, esmtp )

Sicurezza nelle applicazioni multimediali: lezione 7, sicurezza dei protocolli. Sicurezza dei protocolli (https, pop3s, imaps, esmtp ) Sicurezza dei protocolli (https, pop3s, imaps, esmtp ) Stack di protocolli nella trasmissione della posta elettronica 2 Sicurezza a livello applicativo Ma l utilizzo di meccanismi di cifratura e autenticazione

Dettagli

Programmazione in Rete

Programmazione in Rete Programmazione in Rete a.a. 2005/2006 http://www.di.uniba.it/~lisi/courses/prog-rete/prog-rete0506.htm dott.ssa Francesca A. Lisi lisi@di.uniba.it Orario di ricevimento: mercoledì ore 10-12 Sommario della

Dettagli

L. Muttoni S. Zanero Anno Accademico

L. Muttoni S. Zanero Anno Accademico E-commerce sicuro Tecnologie per la gestione dei pagamenti su Internet 08/06/04 L. Muttoni S. Zanero Anno Accademico 2003-2004 Le problematiche del pagamento elettronico Acquisto on-line sicuro Tipica

Dettagli

Sommario. Introduzione alla Sicurezza Web

Sommario. Introduzione alla Sicurezza Web Sommario Introduzione alla Sicurezza Web Considerazioni generali IPSec Secure Socket Layer (SSL) e Transport Layer Security (TLS) Secure Electronic Transaction (SET) Introduzione alla crittografia Introduzione

Dettagli

Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi. prof.

Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi. prof. Operatore Informatico Giuridico Informatica Giuridica di Base A.A 2003/2004 I Semestre Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi prof.

Dettagli

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione Comunicazioni sicure su Internet: https e SSL Fisica dell Informazione Il servizio World Wide Web (WWW) Come funziona nel dettaglio il Web? tre insiemi di regole: Uniform Resource Locator (URL) Hyper Text

Dettagli

Sicurezza nell'utilizzo di Internet

Sicurezza nell'utilizzo di Internet Sicurezza nell'utilizzo di Internet 1 Sicurezza Definizioni Pirati informatici (hacker, cracker): persone che entrano in un sistema informatico senza l autorizzazione per farlo Sicurezza: protezione applicata

Dettagli

Sicurezza dei sistemi informatici Firma elettronica E-commerce

Sicurezza dei sistemi informatici Firma elettronica E-commerce Sicurezza dei sistemi informatici Firma elettronica E-commerce Il contesto applicativo Commercio elettronico Quanti bit ho guadagnato!! Marco Mezzalama Politecnico di Torino collegamenti e transazioni

Dettagli

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer : applicazioni telematiche Secure Socket Layer E-commerce Trading on-line Internet banking... Protocollo proposto dalla Netscape Communications Corporation Garantisce confidenzialità e affidabilità delle

Dettagli

Corso di Sicurezza Informatica. Sicurezza Web. Ing. Gianluca Caminiti

Corso di Sicurezza Informatica. Sicurezza Web. Ing. Gianluca Caminiti Corso di Sicurezza Informatica Sicurezza Web Ing. Gianluca Caminiti SSL Sommario Considerazioni sulla Sicurezza del Web Secure Socket Layer (SSL) 3 Brevi Considerazioni sulla Sicurezza del Web Web come

Dettagli

Acquisto con carta di credito. Acquisto con carta di credito

Acquisto con carta di credito. Acquisto con carta di credito Acquisto con carta di credito Vantaggio: facile da implementare Svantaggio: per un malintenzionato è più facile carpire il numero della carta attraverso Internet che non via telefono Svantaggio: credibilità

Dettagli

Approfondimento di Marco Mulas

Approfondimento di Marco Mulas Approfondimento di Marco Mulas Affidabilità: TCP o UDP Throughput: banda a disposizione Temporizzazione: realtime o piccoli ritardi Sicurezza Riservatezza dei dati Integrità dei dati Autenticazione di

Dettagli

Informatica per la comunicazione" - lezione 13 -

Informatica per la comunicazione - lezione 13 - Informatica per la comunicazione" - lezione 13 - Funzionamento di una password" 1: l utente tramite il suo browser richiede l accesso a una pagina del server; 2: il server richiede il nome utente e la

Dettagli

PKI e firma digitale

PKI e firma digitale PKI e firma digitale Architetture, standard, vulnerabilità, requisiti legali 04/04/06 PKI-1 Crittografia asimmetrica testo messaggio hash function digest Mittente crittaz. testo messaggio firma digitale

Dettagli

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato Guida all installazione e all utilizzo di un certificato personale S/MIME (GPSE) Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale

Dettagli

Public-key Infrastructure

Public-key Infrastructure Public-key Infrastructure Alfredo De Santis Dipartimento di Informatica ed Applicazioni Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Marzo 2014 Distribuzione chiavi pubbliche

Dettagli

PKI PUBLIC KEY INFRASTRUCTURES

PKI PUBLIC KEY INFRASTRUCTURES Premesse PKI PUBLIC KEY INFRASTRUCTURES Problemi Come distribuire in modo sicuro le chiavi pubbliche? Come conservare e proteggere le chiavi private? Come garantire l utilizzo corretto dei meccanismi crittografici?

Dettagli

Vendere online. Andrea Marin. Università Ca Foscari Venezia SVILUPPO INTERCULTURALE DEI SISTEMI TURISTICI SISTEMI INFORMATIVI PER IL TURISMO

Vendere online. Andrea Marin. Università Ca Foscari Venezia SVILUPPO INTERCULTURALE DEI SISTEMI TURISTICI SISTEMI INFORMATIVI PER IL TURISMO Andrea Marin Università Ca Foscari Venezia SVILUPPO INTERCULTURALE DEI SISTEMI TURISTICI SISTEMI INFORMATIVI PER IL TURISMO a.a. 2013/2014 Section 1 Introduzione Parliamo di acquisti online quando a seguito

Dettagli

Sicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15

Sicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15 Sicurezza dei sistemi e delle 1 Mattia Lezione VI: Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2014/15 1 cba 2011 15 M.. Creative Commons Attribuzione Condividi

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

SET: un protocollo per transazioni elettroniche sicure su Internet

SET: un protocollo per transazioni elettroniche sicure su Internet CRATOS Centro di Ricerca sulle Applicazioni della Telematica alle Organizzazioni e alla Società SET: un protocollo per transazioni elettroniche sicure su Internet M. Bruschi, L. Delgrossi e-mail: m.bruschi@agonet.it,

Dettagli

Sicurezza della Firma Digitale

Sicurezza della Firma Digitale Sicurezza della Firma Digitale Architettura e vulnerabilità della firma digitale italiana a valore legale Ing. Stefano Zanero Politecnico di Milano Dip. di Elettronica ed Informazione Crittografia asimmetrica:

Dettagli

S.E.T. (SECURE ELECTRONIC TRANSACTION)

S.E.T. (SECURE ELECTRONIC TRANSACTION) UNIVERSITÀ DEGLI STUDI DI PERUGIA FACOLTÀ DI SCIENZE MATEMATICHE FISICHE E NATURALI Sicurezza Informatica S.E.T. (SECURE ELECTRONIC TRANSACTION) Andrea Valentini Albanelli Fabrizio Cardellini Introduzione

Dettagli

CRITTOGRAFIA, CERTIFICATI DIGITALI E PROTOCOLLI DI SICUREZZA

CRITTOGRAFIA, CERTIFICATI DIGITALI E PROTOCOLLI DI SICUREZZA CRITTOGRAFIA, CERTIFICATI DIGITALI E PROTOCOLLI DI SICUREZZA SU COSA SI BASANO I CERTIFICATI DIGITALI...2 Che cos è la Crittografia? E come viene applicata?...2 Crittografia a chiave simmetrica o segreta......2

Dettagli

Firma digitale Definizione

Firma digitale Definizione FIRMA DIGITALE Firma digitale Definizione La definizione di firma digitale è contenuta nel Dlgs. Del 4/04/2006 n.159 che integra il Codice dell amministrazione digitale in vigore dal 1/01/2006. Firma digitale

Dettagli

Reti di Calcolatori:

Reti di Calcolatori: Reti di Calcolatori: Internet, Intranet e Mobile Computing a.a. 2007/2008 http://www.di.uniba.it/~lisi/courses/reti/reti0708.htm dott.ssa Francesca A. Lisi lisi@di.uniba.it Orario di ricevimento: mercoledì

Dettagli

Sicurezza della Firma Digitale

Sicurezza della Firma Digitale Sicurezza della Firma Digitale Architettura e vulnerabilità della firma digitale italiana a valore legale Ing. Stefano Zanero Politecnico di Milano Dip. di Elettronica ed Informazione Crittografia asimmetrica:

Dettagli

Sicurezza in Internet

Sicurezza in Internet Sicurezza in Internet Mario Cannataro cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Servizi di filtraggio Firewall Servizi di sicurezza Autenticazione Riservatezza ed integrità delle comunicazioni

Dettagli

SETEFI. Marco Cantarini, Daniele Maccauro, Domenico Marzolla. 19 Aprile 2012

SETEFI. Marco Cantarini, Daniele Maccauro, Domenico Marzolla. 19 Aprile 2012 e VIRTUALCARD 19 Aprile 2012 e VIRTUALCARD Introduzione Il nostro obiettivo é quello di illustrare la struttura e le caratteristiche di fondo che stanno alla base delle transazioni online operate tramite

Dettagli

Esercitazione 02. Sommario. Un po di background (1) Un certificato digitale in breve. Andrea Nuzzolese

Esercitazione 02. Sommario. Un po di background (1) Un certificato digitale in breve. Andrea Nuzzolese Sommario Esercitazione 02 Andrea Nuzzolese Certificati Descrizione esercitazione Free Secure Email Certificates (con InstantSSL) ALMA MATER STUDIORUM UNIVERSITA DI BOLOGNA Un certificato digitale in breve

Dettagli

Posta elettronica e crittografia

Posta elettronica e crittografia Posta elettronica e crittografia Francesco Gennai IAT/CNR Roma 7 novembre 2000 Posta elettronica e crittografia Breve introduzione ai meccanismi che regolano la crittografia a chiave pubblica La certificazione:

Dettagli

Sicurezza nell utilizzo di Internet

Sicurezza nell utilizzo di Internet Sicurezza nell utilizzo di Internet 1 Sicurezza Definizioni Pirati informatici (hacker, cracker): persone che entrano in un sistema informatico senza l autorizzazione per farlo Sicurezza: protezione applicata

Dettagli

Sicurezza delle email, del livello di trasporto e delle wireless LAN

Sicurezza delle email, del livello di trasporto e delle wireless LAN Sicurezza delle email, del livello di trasporto e delle wireless LAN Damiano Carra Università degli Studi di Verona Dipartimento di Informatica La sicurezza nello stack protocollare TCP/IP Livello di rete

Dettagli

Corso di ARCHITETTURA DEI SISTEMI INFORMATIVI - Prof. Crescenzio Gallo. 114 Sistemi informativi in rete e sicurezza 4.6

Corso di ARCHITETTURA DEI SISTEMI INFORMATIVI - Prof. Crescenzio Gallo. 114 Sistemi informativi in rete e sicurezza 4.6 Approcci al problema della sicurezza 114 Sistemi informativi in rete e sicurezza 4.6 Accessi non autorizzati Hacker: coloro che si avvalgono delle proprie conoscenze informatiche e di tecnologia delle

Dettagli

Corso di Laurea in Informatica Reti e Sicurezza Informatica

Corso di Laurea in Informatica Reti e Sicurezza Informatica Corso di Laurea in Informatica Reti e Sicurezza Informatica Esercitazione 6 Autenticazione in Tomcat per lo sviluppo di Web Service. In questo documento si presentano i meccanismi fondamentali che consentono

Dettagli

Problema: distribuzione delle chiavi pubbliche. Autenticazione delle chiavi pubbliche - PKI: Public Key Infrastructure

Problema: distribuzione delle chiavi pubbliche. Autenticazione delle chiavi pubbliche - PKI: Public Key Infrastructure Problema: distribuzione delle chiavi pubbliche Sicurezza nei Sistemi Informativi Autenticazione delle chiavi pubbliche - PKI: Public Key Infrastructure Ing. Orazio Tomarchio Orazio.Tomarchio@diit.unict.it

Dettagli

Sicurezza in Internet. Criteri di sicurezza. Firewall

Sicurezza in Internet. Criteri di sicurezza. Firewall Sicurezza in Internet cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Criteri di sicurezza Servizi di filtraggio Firewall Controlli di accesso Servizi di sicurezza Autenticazione Riservatezza,

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

RETI DI CALCOLATORI. Crittografia. La crittografia

RETI DI CALCOLATORI. Crittografia. La crittografia RETI DI CALCOLATORI Crittografia La crittografia La crittografia è la scienza che studia la scrittura e la lettura di messaggi in codice ed è il fondamento su cui si basano i meccanismi di autenticazione,

Dettagli

La sicurezza nel Web

La sicurezza nel Web La sicurezza nel Web Protezione vs. Sicurezza Protezione: garantire un utente o un sistema della non interazione delle attività che svolgono in unix ad esempio i processi sono protetti nella loro esecuzione

Dettagli

Sicurezza a livello IP: IPsec e le reti private virtuali

Sicurezza a livello IP: IPsec e le reti private virtuali Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.

Dettagli

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni PRINCIPI DI COMPUTER SECURITY Andrea Paoloni 2 Cade il segreto dei codici cifrati Corriere della Sera 26 febbraio 2008 3 Gli hacker sono utili? 4 Safety vs Security SAFETY (salvezza): protezione, sicurezza

Dettagli

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori Roma, 30 gennaio 2003 La realtà della carta di identità elettronica (nel seguito CIE) e della carta nazionale dei servizi (nel seguito CNS) rende ineluttabile l individuazione di servizi da erogare in

Dettagli

Problematiche correlate alla sicurezza informatica nel commercio elettronico

Problematiche correlate alla sicurezza informatica nel commercio elettronico Problematiche correlate alla sicurezza informatica nel commercio elettronico http://www.infosec.it info@infosec.it Relatore: Stefano Venturoli, General Manager Infosec Italian Cyberspace Law Conference

Dettagli

Secure E-Mail della Suva

Secure E-Mail della Suva Secure E-Mail della Suva Opuscolo informativo per responsabili decisionali e informatici SEM_Informationsbroschuere_06-2013_it / WasWoShop: 2979/1.I 1 Indice Secure E-Mail della Suva in sintesi 3 Problemi

Dettagli

Certificati di Attributi

Certificati di Attributi Certificati di Attributi Sicurezza dei dati in rete La rete è un mezzo non sicuro I messaggi in rete possono essere intercettati e/o modificati a cura di: R.Gaeta, F.Zottola Sicurezza dei dati in rete

Dettagli

Protezione della posta elettronica mediante crittografia

Protezione della posta elettronica mediante crittografia Consorzio per la formazione e la ricerca in Ingegneria dell'informazione Politecnico di Milano Protezione della posta elettronica mediante crittografia Davide Cerri CEFRIEL - Area e-service e Technologies

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup prof. Monica Palmirani Lezione 13 Sicurezza Sicurezza dell autenticazione dei soggetti attori autenticazione Sicurezza degli applicativi autorizzazione

Dettagli

Esercitazione 2 Certificati

Esercitazione 2 Certificati Sommario Esercitazione 2 Certificati Laboratorio di 2015/2016 Andrea Nuzzolese Certificati Descrizione esercitazione Free Secure Email Certificates (con InstantSSL) ALMA MATER STUDIORUM UNIVERSITA DI BOLOGNA

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Secure E-Mail: domande e risposte

Secure E-Mail: domande e risposte domande e risposte Indice Secure E-Mail: scopo e utilità Che cosa è Secure E-Mail? Perché La Suva introduce Secure E-Mail? Quali mail criptare? Che differenza c è tra Secure E-Mail e altri canali di comunicazione

Dettagli

La firma digitale CHE COSA E'?

La firma digitale CHE COSA E'? La firma digitale La Firma Digitale è il risultato di una procedura informatica che garantisce l autenticità e l integrità di messaggi e documenti scambiati e archiviati con mezzi informatici, al pari

Dettagli

CHE COS E LA FIRMA DIGITALE

CHE COS E LA FIRMA DIGITALE CHE COS E LA FIRMA DIGITALE La firma digitale può essere definita l'equivalente elettronico di una tradizionale firma apposta su carta, assumendone lo stesso valore legale. E' associata stabilmente al

Dettagli

Sicurezza digitale. requisiti: confidenzialità, integrità, autenticazione, autorizzazione, assicurazione, riservatezza. soddisfatti mediante

Sicurezza digitale. requisiti: confidenzialità, integrità, autenticazione, autorizzazione, assicurazione, riservatezza. soddisfatti mediante Sicurezza digitale requisiti: confidenzialità, integrità, autenticazione, autorizzazione, assicurazione, riservatezza soddisfatti mediante crittografia = codifica dei dati in forma illeggibile per assicurare

Dettagli

Sicurezza: necessità. Roberto Cecchini Ottobre 2002 1

Sicurezza: necessità. Roberto Cecchini Ottobre 2002 1 Sicurezza: necessità Riservatezza: la comunicazione è stata intercettata? Autenticazione: l utente è veramente chi dice di essere? Autorizzazione: ogni utente può accedere solo alle risorse cui ha diritto.

Dettagli

Guida ai certificati SSL User Guide

Guida ai certificati SSL User Guide Guida ai certificati SSL User Guide PROBLEMATICHE DEL WEB... 2 PRIVACY...3 AUTORIZZAZIONE/AUTENTICAZIONE...4 INTEGRITA DEI DATI...4 NON RIPUDIO...4 QUALI SONO I PRINCIPALI STRUMENTI UTILIZZATI PER GARANTIRE

Dettagli

Certificati digitali con CAcert Un'autorità di certificazione no-profit

Certificati digitali con CAcert Un'autorità di certificazione no-profit Certificati digitali con CAcert Un'autorità di certificazione no-profit Davide Cerri Associazione di Promozione Sociale LOLUG Gruppo Utenti Linux Lodi davide@lolug.net 11 novembre 2008 Crittografia asimmetrica:

Dettagli

UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE

UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE Marco Gallone Sella Holding Banca 28 Novembre 2006 Il Gruppo Banca Sella ed il Commercio Elettronico Dal 1996 Principal Member dei circuiti Visa e MasterCard

Dettagli

Sicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it

Sicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it Sicurezza delle reti wireless Alberto Gianoli alberto.gianoli@fe.infn.it Concetti di base IEEE 802.11: famiglia di standard tra cui: 802.11a, b, g: physical e max data rate spec. 802.11e: QoS (traffic

Dettagli

Petra VPN 3.1. Guida Utente

Petra VPN 3.1. Guida Utente Petra VPN 3.1 Guida Utente Petra VPN 3.1: Guida Utente Copyright 1996, 2004 Link s.r.l. (http://www.link.it) Questo documento contiene informazioni di proprietà riservata, protette da copyright. Tutti

Dettagli

Seminario di Sicurezza A.A. 2003/2004 Autore: Gualdani Alessandro. Certificati x.509

Seminario di Sicurezza A.A. 2003/2004 Autore: Gualdani Alessandro. Certificati x.509 Certificati x.509 Lo standard x.509 è stato definito nel 1988 da ITU-T (International Telecommunication Union Telecommunication Standardization Sector, l ente regolatore per gli standard nelle telecomunicazioni)

Dettagli

DOCUMENTO ELETTRONICO E FIRMA DIGITALE

DOCUMENTO ELETTRONICO E FIRMA DIGITALE DOCUMENTO ELETTRONICO E FIRMA DIGITALE CHE COSA È LA CRITTOGRAFIA LA CRITTOLOGIA È SCIENZA CHE STUDIA LE SCRITTURE SEGRETE 2 CRITTOGRAFIA STUDIA I SISTEMI DI PROTEZIONE DEI MESSAGGI CRITTOANALISI STUDIA

Dettagli

Protezione delle informazioni in SMart esolutions

Protezione delle informazioni in SMart esolutions Protezione delle informazioni in SMart esolutions Argomenti Cos'è SMart esolutions? Cosa si intende per protezione delle informazioni? Definizioni Funzioni di protezione di SMart esolutions Domande frequenti

Dettagli

Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security con token SAML

Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security con token SAML Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security

Dettagli

Problemi legati alla sicurezza e soluzioni

Problemi legati alla sicurezza e soluzioni Corso DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO Docente: Ing. Luca Romanelli Mail: romanelli@baxsrl.com Accesso remoto ad impianti domotici Problemi legati alla sicurezza e soluzioni Domotica

Dettagli

Sicurezza delle reti e dei calcolatori

Sicurezza delle reti e dei calcolatori Sicurezza e dei calcolatori Introduzione a IPSec Lezione 11 1 Obiettivi Aggiungere funzionalità di sicurezza al protocollo IPv4 e IPv6 Riservatezza e integrità del traffico Autenticità del mittente La

Dettagli

TRASMISSIONE DI DATI VIA INTERNET

TRASMISSIONE DI DATI VIA INTERNET TRASMISSIONE DI DATI VIA INTERNET 2.0 1 11 Sommario SOMMARIO...2 1. STORIA DELLE MODIFICHE...3 2. TRASMISSIONE DATI VIA INTERNET...4 2.1 SCOPO DEL DOCUMENTO...4 2.2 INTRODUZIONE...4 3. FORMATO DEI DOCUMENTI...5

Dettagli

Firma digitale e PEC: facili e sicure

Firma digitale e PEC: facili e sicure Firma digitale e PEC: facili e sicure Trento, 23 Novembre 2012 Ing. Andrea Gelpi Commissione Ingegneria dell'informazione Ordine degli Ingegneri della Provincia di Trento Firma Digitale La Firma digitale

Dettagli

La sicurezza nelle comunicazioni Internet

La sicurezza nelle comunicazioni Internet Accesso remoto sicuro a intranet e a server aziendali di posta elettronica Un esempio Cosa ci si deve aspettare di sapere alla fine del corso La sicurezza nelle comunicazioni Internet Esiste un conflitto

Dettagli

Secure E-Mail della Suva. Opuscolo informativo per responsabili decisionali e informatici

Secure E-Mail della Suva. Opuscolo informativo per responsabili decisionali e informatici Secure E-Mail della Suva Opuscolo informativo per responsabili decisionali e informatici Indice Secure E-Mail della Suva in sintesi 3 Problemi legati alla posta elettronica tradizionale 4 Secure E-Mail

Dettagli

Sicurezza interna alle applicazioni. Sicurezza esterna alle applicazioni. SSL: introduzione. Sicurezza nei Sistemi Informativi

Sicurezza interna alle applicazioni. Sicurezza esterna alle applicazioni. SSL: introduzione. Sicurezza nei Sistemi Informativi Sicurezza nei Sistemi Informativi La sicurezza nei protocolli di rete Ing. Orazio Tomarchio Orazio.Tomarchio@diit.unict.it Dipartimento di Ingegneria Informatica e delle Telecomunicazioni Università di

Dettagli

Sicurezza degli accessi remoti. La sicurezza degli accessi remoti

Sicurezza degli accessi remoti. La sicurezza degli accessi remoti Sicurezza degli accessi remoti Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Situazione standard autenticazione ed autorizzazione basate su password problema: password

Dettagli

Lezione 7 Sicurezza delle informazioni

Lezione 7 Sicurezza delle informazioni Lezione 7 Sicurezza delle informazioni Sommario Concetti generali Meccanismi per la sicurezza IT: Crittografia Hash Firma digitale Autenticazione 1 Concetti generali Availability Confidentiality Integrity

Dettagli

Serve a garantire la nostra privacy nell era era della comunicazione digitale.

Serve a garantire la nostra privacy nell era era della comunicazione digitale. La crittografia di Antonio Cilli 1. La crittografia, perché? 2. Crittografia asimmetrica 3. Firma digitale 4. Documento elettronico 5. Autorità di certificazione 6. Certificati digitali 7. Requisiti di

Dettagli

Posta Elettronica Certificata & Firma Digitale

Posta Elettronica Certificata & Firma Digitale Posta Elettronica Certificata & Firma Digitale Introduzione Sicurezza nelle comunicazioni digitali Obbligo per Professionisti (entro 1 anno) e Aziende (3 anni) di dotarsi di caselle di Posta Elettronica

Dettagli

Servizi Applicativi su Internet SMTP/POP/IMAP. La posta elettronica. Pierluigi Gallo, Domenico Garlisi, Fabrizio Giuliano

Servizi Applicativi su Internet SMTP/POP/IMAP. La posta elettronica. Pierluigi Gallo, Domenico Garlisi, Fabrizio Giuliano Servizi Applicativi su Internet SMTP/POP/IMAP La posta elettronica Pierluigi Gallo, Domenico Garlisi, Fabrizio Giuliano E-mail - Indice 2 Introduzione Formato del messaggio Server Protocolli Comandi SMTP

Dettagli

Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec

Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec Crittografia Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec Elementi di crittografia Crittografia: procedimento

Dettagli

E-commerce Da una visione globale alla sicurezza. Rimini 24/03/2015

E-commerce Da una visione globale alla sicurezza. Rimini 24/03/2015 E-commerce Da una visione globale alla sicurezza Rimini 24/03/2015 Di cosa parliamo - E-commerce - Uno sguardo globale - L e-commerce in Europa - L e-commerce in Italia - Fatturato e-commerce in Italia

Dettagli

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Redatto: Nucleo Gestione Innovazione e fornitori IT Versione: 1.0 Data emissione: 9/11/2006

Dettagli

Introduzione alla crittografia con OpenPGP

Introduzione alla crittografia con OpenPGP Introduzione alla crittografia con OpenPGP D avide Cerri dav ide@ linux.it Crittografia Per proteggere le comunicazioni su Internet si utilizza la crittografia. La crittografia è la scienza che si occupa

Dettagli

Protezione dei Dati Digitali: Scenari ed Applicazioni

Protezione dei Dati Digitali: Scenari ed Applicazioni Protezione dei Dati Digitali: Scenari ed Applicazioni 1 Sommario Parte I : Scenari Parte II : La Teoria Parte III: La Pratica 2 Parte I: Scenari 3 Applicazioni quotidiane (1/2) Transazioni finanziarie

Dettagli

La Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo

La Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo La Firma Digitale La sperimentazione nel Comune di Cuneo Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo Perchè questa presentazione Il Comune di Cuneo, aderente alla RUPAR, ha ricevuto due

Dettagli

Vallarino Simone. Corso di sicurezza A.A. 2003/2004 HTTPS

Vallarino Simone. Corso di sicurezza A.A. 2003/2004 HTTPS Vallarino Simone Corso di sicurezza A.A. 2003/2004 HTTPS INTRODUZIONE Per cominciare a parlare di https è necessario aprire la discussione ricordando le caratteristiche dell http: HTTP Nel sistema telematico

Dettagli

La firma digitale e le sue possibili applicazioni

La firma digitale e le sue possibili applicazioni Il documento informatico e la firma digitale nelle applicazioni pratiche La firma digitale e le sue possibili applicazioni dott. Enrico Zimuel (enrico@zimuel.it) Pescara, 15 febbraio 2008 Centro Studi

Dettagli

Allegato 3 Sistema per l interscambio dei dati (SID)

Allegato 3 Sistema per l interscambio dei dati (SID) Sistema per l interscambio dei dati (SID) Specifiche dell infrastruttura per la trasmissione delle Comunicazioni previste dall art. 11 comma 2 del decreto legge 6 dicembre 2011 n.201 Sommario Introduzione...

Dettagli

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009 Applicazioni per l autenticazione Kerberos Kerberos Servizio di autenticazione sviluppato dal MIT Fornisce un server di autenticazione centralizzato Basato su crittografia simmetrica (chiave privata) Permette

Dettagli

Come creare un certificato SSL per IIS utilizzando la CA Privata di W indow s 2 0 0 3 Server

Come creare un certificato SSL per IIS utilizzando la CA Privata di W indow s 2 0 0 3 Server Come creare un certificato SSL per IIS utilizzando la CA Privata di W indow s 2 0 0 3 Server Di Massimiliano Brolli, Roma 24/10/2004 SSL permette di eseguire una connessione criptata tra un Server WEB

Dettagli

Il servizio di E-Commerce

Il servizio di E-Commerce 24 novembre 2015 Il servizio di E-Commerce Relatore: Alberto Taroni Assistente Servizi Direzione Territoriale Toscoemiliana 24/11/2015 2 Cos è Qui Pago è l offerta di BPER per il Commercio Elettronico:

Dettagli

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione Sicurezza della comunicazione Proprietà desiderabili Segretezza Autenticazione 09CDUdc Reti di Calcolatori Sicurezza nelle Reti Integrità del messaggio Segretezza Il contenuto del messaggio può essere

Dettagli

Appendice C. C. Protocolli per comunicazioni sicure

Appendice C. C. Protocolli per comunicazioni sicure C. C.1 IPSec Il protocollo IPSec (Internet Protocol Security) è costituito da un insieme di elementi che realizzano un architettura di sicurezza a livello IP in modo trasparente rispetto alle applicazioni,

Dettagli

CONCETTI DI NAVIGAZIONE IN RETE

CONCETTI DI NAVIGAZIONE IN RETE CONCETTI DI NAVIGAZIONE IN RETE Internet (La rete delle reti) è l insieme dei canali (linee in rame, fibre ottiche, canali radio, reti satellitari, ecc.) attraverso cui passano le informazioni quando vengono

Dettagli

Software Servizi Web UOGA

Software Servizi Web UOGA Manuale Operativo Utente Software Servizi Web UOGA S.p.A. Informatica e Servizi Interbancari Sammarinesi Strada Caiese, 3 47891 Dogana Tel. 0549 979611 Fax 0549 979699 e-mail: info@isis.sm Identificatore

Dettagli

Metodologie Informatiche Applicate al Turismo 7. Aspetti di sicurezza nell reti

Metodologie Informatiche Applicate al Turismo 7. Aspetti di sicurezza nell reti Metodologie Informatiche Applicate al Turismo 7. Aspetti di sicurezza nell reti Paolo Milazzo Dipartimento di Informatica, Università di Pisa http://www.di.unipi.it/~milazzo/ milazzo di.unipi.it Corso

Dettagli

<Portale LAW- Lawful Activities Wind >

<Portale LAW- Lawful Activities Wind > Pag. 1/33 Manuale Utente ( WEB GUI LAW ) Tipo di distribuzione Golden Copy (Copia n. 1) Copia n. Rev. n. Oggetto della revisione Data Pag. 2/33 SOMMARIO 1. INTRODUZIONE...

Dettagli

Capitolo 8 La sicurezza nelle reti

Capitolo 8 La sicurezza nelle reti Capitolo 8 La sicurezza nelle reti Reti di calcolatori e Internet: Un approccio top-down 4 a edizione Jim Kurose, Keith Ross Pearson Paravia Bruno Mondadori Spa 2008 Capitolo 8: La sicurezza nelle reti

Dettagli

Argomenti Crittografia Firma digitale e certificati Certification Authority e PKI La normativa

Argomenti Crittografia Firma digitale e certificati Certification Authority e PKI La normativa Argomenti Crittografia Firma digitale e certificati Certification Authority e PKI La normativa Il crittanalista.... il secondo mestiere più vecchio del mondo! Crittografia Attenzione! Asterix ci ascolta!

Dettagli