UNIVERSITÀ DEGLI STUDI DI MILANO Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica. Prof.

Transcript

1 UNIVERSITÀ DEGLI STUDI DI MILANO Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica Studio e implementazione di una architettura PKI in ambito industriale: definizione dei requisiti, caratteristiche comparative ed implementazione di una soluzione Relatore: Correlatori: Prof. Roberto Bisiani Stefano Pisati Prof.ssa Emilia Rosti Tesi di Laurea di: Alessandro Magnolo Matricola: Anno Accademico

2 Introduzione Introduzione L infrastruttura di crittografia a chiave pubblica è una tecnologia fondamentale che è scalabile per realizzare la sicurezza all interno di un impresa, in Internet, ed infine per l intera società Eric C. Limits La crittografia a chiave pubblica consente di realizzare una serie di servizi per la protezione dei dati, lo scambio sicuro di informazioni ed il commercio elettronico. Fino a poco tempo fa, la mancanza di uno standard riconosciuto ha impedito la crescita del mercato e l implementazione diffusa di infrastrutture interoperabili. In seguito alla definizione, da parte dell IETF, di uno standard (PKIX) adottato da tutti i maggiori produttori di soluzioni PKI, si aprono delle prospettive interessanti per la realizzazione dei benefici derivanti dall impiego diffuso di questa tecnologia. Una infrastruttura PKI consiste in un sistema di certificati digitali, rilasciati da autorità di certificazione riconosciute, che verificano ed autenticano l identità di ogni partecipante ad una transazione elettronica attraverso l impiego della crittografia a chiave pubblica. Scopo di questa tesi è lo studio delle funzionalità richieste ad una PKI in ambito industriale, attraverso la modellazione di una soluzione ideale, e la successiva ricerca e prova di una soluzione commerciale in grado di rispondere ai requisiti individuati. Il lavoro è articolato in tre fasi distinte. La prima fase (capitolo 1) consiste nell analisi dei requisiti per l impiego di una PKI a livello industriale, corredata dello studio degli standard attuali e dalla modellazione di una soluzione ideale. I requisiti individuati richiedono una serie di servizi forniti agli utenti, che sono firma elettronica, cifratura di dati, autenticazione forte, non ripudio, e marcatura temporale. Le applicazioni che sfruttano tali servizi sono quelle relative al controllo dell accesso, posta elettronica, pubblicazione di documenti ed applicazioni su web, cifratura di reti private virtuali su reti pubbliche, commercio elettronico. Dal punto di vista gestionale, si considerano le problematiche relative a scalabilità, interoperabilità con altre infrastrutture, interazione con le applicazioni, gestione dei certificati, gestione delle chiavi, sicurezza. La sezione relativa agli standard (paragrafo 1.2) propone una panoramica dei protocolli e degli algoritmi di uso corrente nell ambito PKI, in particolare riguardo agli standard emergenti come dominatori del mercato quali LDAP per il servizio di directory, X.509 come formato per i certificati, e PKIX quale standard per l interoperabilità delle diverse infrastrutture. Conclude la prima fase l elaborazione di un modello teorico di una soluzione PKI ideale, chiamata ipki. Queste sono le sue caratteristiche salienti: organizzazione gerarchica, basata su PKIX; utilizzo di dispositivi di autenticazione forte (smart card); distinzione delle chiavi di cifratura e di firma/autenticazione; - I -

3 Introduzione meccanismo di key recovery; una interfaccia che richiede poche e semplici scelte da parte degli utenti finali, svolgendo in automatico le operazioni amministrative, quali ad esempio il rinnovo delle chiavi. La seconda fase (capitolo 2) ha lo scopo di ricercare e comparare le soluzioni PKI commerciali esistenti, al fine di individuare quella che più si avvicina al modello delineato nella fase 1. Dalla ricerca sono emersi una serie di aspetti comuni, tra cui in particolare l adozione quasi unanime di PKIX (con la sola eccezione di PGP), l assenza di meccanismi di sospensione dei certificati, l utilizzo di chiavi con usi distinti, e la mancanza di funzioni di marcatura temporale (fa eccezione Entrust). Le maggiori differenziazioni si sono avute riguardo ai servizi forniti sul lato client, che in molti casi si limitano alla possibilità di richiedere certificati tramite pagine web. Diversamente rispetto al modello implementativo di ipki, alcune soluzioni prevedono la gestione della CA in outsourcing, ripartendo le responsabilità di gestione tra il cliente, che si occupa della registrazione, revoca, e key recovery, ed il fornitore, che garantisce l emissione dei certificati e la sicurezza della CA. Altre soluzioni infine forniscono una serie di API per lo sviluppo di applicazioni ad hoc (Xeti JKIX), o sistemi per la protezione di ambienti di esecuzione all interno di risorse di calcolo condivise (IBM Vault Registry). In base alla ricerca effettuata, la soluzione che più si avvicina al modello di ipki è Entrust/PKI 5.0, in quanto si tratta di una soluzione completa che fornisce il più largo numero di funzionalità richieste da ipki, ed è l unica tra tutte quelle esaminate dotata di autorità di marcatura temporale (TSA) e verifica in tempo reale dello stato di validità di un certificato (OCSP). Ha però il grosso limite di essere una soluzione chiusa, basata su formati proprietari che impediscono l utilizzo di applicazioni per le quali non dispone di plug-in dedicati. Data la necessità, in questa fase di evoluzione degli standard, di non legarsi ad un determinato produttore, si è ritenuto opportuno optare per l infrastruttura fornita da Windows 2000: si tratta di una soluzione aperta, aderente agli standard e pienamente compatibile con le applicazioni predisposte all uso di PKI. Questa apertura consente l utilizzo di prodotti di terze parti o lo sviluppo di applicazioni ad hoc per integrare le carenze evidenziate dal lato client. Una caratteristica peculiare è la stretta integrazione con il sistema operativo, che consente una serie di semplificazioni a livello gestionale e fruitivo. La terza fase (capitolo 3) consiste nella implementazione di un case study, nella quale si sono verificate le effettive capacità del software, l interoperabilità di questa soluzione con altre infrastrutture, e l adeguatezza dei meccanismi di gestione ed utilizzo dell infrastruttura. Per queste prove si sono simulate le condizioni tipiche di un contesto aziendale. - II -

4 Sommario Sommario INTRODUZIONE... I SOMMARIO...III GLOSSARIO...V 1 DEFINIZIONE DEI REQUISITI E DEI CRITERI DI VALUTAZIONE PER LA SCELTA DI UNA SOLUZIONE PKI CARATTERISTICHE E FUNZIONALITÀ Servizi per gli utenti Applicazioni Scalabilità Interoperabilità Interazione con le applicazioni Gestione dei certificati Gestione delle chiavi Sicurezza Altri fattori che vanno considerati DISCUSSIONE DEGLI STANDARD Infrastrutture a chiave pubblica Gestione delle chiavi Posta elettronica Certificati Algoritmi e protocolli di cifratura, firma e funzioni di hash MODELLO TEORICO DI UNA SOLUZIONE PKI IDEALE Caratteristiche di ipki ipki per l utente Amministrazione di ipki STUDIO DELLE SOLUZIONI PKI ESISTENTI RICERCA ED ANALISI DELLE SOLUZIONI Entegrity Solutions Notary Entrust/PKI GTE CyberTrust Enterprise CA IBM Vault Registry Lotus Domino Microsoft Windows 2000 PKI Netscape Certificate Management System Network Associates NetTools PKI Server e PGP VPN Client Network Associates PGP Certificate Server e PGP RSA Keon Thawte Enterprise PKI Verisign OnSite III -

5 Sommario Xcert Sentry Xeti JKIX ASPETTI GENERALI Documentazione Adesione agli standard Sospensione dei certificati Marcatura temporale Modalità di lavoro non in linea Utilizzo di chiavi con usi distinti Verifica della validità dei certificati Paradigmi di implementazione di PKI alternativi a quello di ipki Soluzioni parziali Implementazioni di riferimento SCELTA DI UNA SOLUZIONE IMPLEMENTAZIONE DI UN CASE STUDY INSTALLAZIONE E GESTIONE CA principale CA subordinata Impostazione dei parametri di emissione Gestione dei certificati APPLICAZIONI Cifratura e firma di con S/MIME Comunicazione web sicura con HTTPS Cifratura di file con EFS Autenticazione tramite smart card CONSIDERAZIONI Carenze Problemi Soluzioni BIBLIOGRAFIA SOMMARIO APPROFONDITO INDICE DELLE FIGURE INDICE ANALITICO IV -

6 Glossario Glossario Nel documento si utilizzeranno i seguenti termini nelle accezioni qui descritte. Public Key Infrastructure (PKI): per PKI si intende l insieme delle politiche e delle risorse umane, hardware e software che consentono l associazione dell identità di un attore a coppie di chiavi crittografiche tramite l emissione e la gestione (creazione, mantenimento, revoca, archiviazione) di certificati. Attore 1 : utente o fornitore, umano o macchina, dei servizi della PKI. Certification Authority (CA): rilascia certificati che attestano l appartenenza di una determinata coppia di chiavi ad un attore. I certificati sono firmati dalla CA, ed includono informazioni sul periodo di validità del certificato e sui possibili usi delle chiavi. La CA è responsabile non solo dell emissione dei certificati, ma anche della loro gestione (distribuzione, rinnovo e revoca) durante tutto il loro ciclo di vita. Certificato: documento elettronico firmato in cui l emittente dichiara l associazione di una chiave pubblica ad un determinato attore. Titolare di un certificato: il possessore della chiave privata relativa alla chiave pubblica contenuta nel certificato. Registration Authority (RA): effettua l identificazione degli attori che richiedono il rilascio di un certificato e fornisce gli strumenti necessari per la creazione delle chiavi. Può essere integrata nella CA. Riconoscimento (trust): relazione fiduciaria di un attore verso una CA. Un attore ritiene autentici i certificati firmati da una CA riconosciuta. Riconoscimento esplicito: un attore riconosce esplicitamente le CA di cui conserva i certificati in una particolare locazione. Riconoscimento implicito: un attore riconosce implicitamente una CA quando questa è dotata di una catena di certificati riconducibile ad una CA esplicitamente riconosciuta dall attore. Convalida di un certificato: consiste nella verifica che la firma apposta ad un certificato per attestarne l autenticità appartenga ad una CA riconosciuta, oppure sia accompagnata da un certificato a sua volta convalidato; viene verificato inoltre che il certificato non sia scaduto, sospeso o revocato. 1 Da non confondere col concetto di entità finale (end entity) come definito nei documenti RFC, che rappresenta invece solo gli utenti o i soggetti di un certificato. Rif. [16]. - V -

7 Glossario Time Stamping Authority (TSA): si occupa della generazione e memorizzazione di marche temporali da apporre ai documenti per attestarne l esistenza al momento della marcatura. Chiavi di firma: coppia di chiavi destinate alla generazione e verifica di firme digitali apposte o associate a documenti. Chiavi di autenticazione: coppia di chiavi per l accesso ad un sistema informativo protetto attraverso l autenticazione dell identità dell utente. Chiavi di cifratura: coppia di chiavi utilizzate nelle operazioni di cifratura e decifratura di documenti e nelle operazioni di autenticazione. Chiavi di certificazione: coppia di chiavi utilizzata per le operazioni di generazione e verifica di firme apposte ai certificati digitali. Chiavi di marcatura temporale: coppia di chiavi utilizzate per la generazione e verifica di firme sulle marche temporali. Impronta di un documento: sequenza binaria di lunghezza predefinita generata da una funzione di hash applicata al documento. Certificate Revocation List (CRL): lista di certificati la cui validità è stata revocata dalla CA che li aveva originariamente emessi. La revoca non può essere annullata. Certificate Suspension List (CSL): lista di certificati la cui validità è stata sospesa dalla CA che li aveva originariamente emessi. La sospensione può essere annullata. - VI -

8 CAPITOLO 1 1 Definizione dei requisiti e dei criteri di valutazione per la scelta di una soluzione PKI D iversi sistemi per garantire la sicurezza su reti telematiche non sicure, come Internet, utilizzano protocolli che si basano su algoritmi crittografici a chiave pubblica. Utilizzando questi protocolli si possono realizzare servizi di: confidenzialità: le informazioni trasmesse sono accessibili solo agli interlocutori espressamente autorizzati; integrità: verifica che i dati non abbiano subito modifiche; autenticazione: accerta l identità di un utente o un di server; non ripudio: il firmatario di un documento non può successivamente disconoscerlo. Il collegamento tra un soggetto e la sua coppia di chiavi (chiave pubblica e chiave privata) viene stabilito attraverso un certificato digitale, emesso da un autorità fidata e riconosciuta. L autenticità e la validità temporale di un certificato possono essere verificate da un utente senza l intervento di un server, quindi la distribuzione dei certificati può avvenire utilizzando vie di comunicazione non sicure e questi dati possono essere conservati in una cache locale non sicura. In questo modo si ottimizzano le prestazioni in termini di tempo e di uso della rete senza dover predisporre difese aggiuntive per i canali di comunicazione esistenti. Lo scopo di una infrastruttura a chiave pubblica (Public Key Infrastructure, PKI) è quello rendere possibile l uso dei protocolli basati su crittografia a chiave pubblica gestendo in modo efficace e sicuro i certificati e le chiavi ad essi associate

9 Capitolo 1.1 Caratteristiche e funzionalità 1.1 Caratteristiche e funzionalità In questa sezione vengono esposte le funzionalità di base che un architettura PKI deve fornire per poter essere impiegata in un contesto aziendale con molti utenti da gestire. Dopo aver esposto un analisi dei servizi che si richiedono all infrastruttura, si prendono in considerazione le problematiche di gestione implicate dall uso di tali funzionalità nel contesto delineato, evidenziando i punti critici e le possibili soluzioni Servizi per gli utenti Firma L operazione di firma consiste nella generazione, tramite un opportuno algoritmo di hash, di un impronta di un file, e nella successiva cifratura di questa impronta con la chiave privata di firma. L impronta viene poi allegata al documento insieme al certificato della chiave, in modo che sia possibile per chiunque verificarne l autenticità. Per la verifica della firma, bisogna effettuare questi controlli: verifica che l autore dichiarato nel documento corrisponda a quello presente nel certificato; verifica che il certificato sia valido: nessun certificato della catena che riconduce il certificato ad una CA riconosciuta deve essere stato revocato oppure scaduto al momento in cui il documento è stato firmato; verifica che il certificato sia stato utilizzato per uno scopo consentito dalle politiche di rilascio dello stesso; verifica che il documento non sia stato alterato dopo la firma, confrontando l impronta allegata al documento (decifrata con la chiave pubblica contenuta nel certificato) con l impronta generata applicando lo stesso algoritmo di hash sul documento. Se tutti questi controlli danno esito positivo, il documento è inconfutabilmente autentico ed integro Cifratura La cifratura consiste nella codificazione di un documento in modo che sia reso comprensibile solo a chi dispone della chiave opportuna. Per velocizzare l operazione, si utilizza un algoritmo crittografico simmetrico (quindi più veloce) per la cifratura del documento, la cui chiave viene generata ad hoc. Diverse copie di questa chiave sono poi cifrate con le chiavi pubbliche di cifratura degli attori cui si vuole rendere disponibile il documento, e conservate insieme allo stesso. Questa tecnica, oltre ad essere più veloce rispetto alla cifratura del documento con un algoritmo asimmetrico, consente anche un notevole risparmio di spazio nel caso in cui si voglia rendere accessibile il documento a diversi soggetti. In questo caso, infatti, l occupazione di spazio per ogni soggetto aggiuntivo è pari alla dimensione della chiave utilizzata nell algoritmo simmetrico, tipicamente dai 128 ai 256 bit. La cifratura dell intero documento con la chiave pubblica del soggetto richiederebbe invece uno spazio pari alle dimensioni del documento

10 Capitolo 1.1 Caratteristiche e funzionalità Autenticazione L autenticazione consente di verificare l identità di un attore attraverso una prova di possesso della chiave privata di cifratura. Questo tipo di autenticazione prende il nome di autenticazione forte per distinguerla dalla autenticazione basata su una password ricordata a memoria, che è passibile di attacchi a forza bruta, dictionary attack e password guessing Non ripudio Il possesso di un documento firmato e di un certificato valido relativo alla firma garantisce al possessore che il firmatario non può negare di aver originato il documento Marcatura temporale L apposizione di una marcatura temporale ad un documento da parte della TSA ne attesta l esistenza al momento della marcatura. La marcatura temporale consiste in una firma con data e ora dell impronta del documento (non è quindi necessario rivelare alla TSA il contenuto del documento) Applicazioni Controllo dell accesso La PKI consente un controllo dell accesso più versatile rispetto a quella basata su algoritmi a chiave segreta, in quanto per l autenticazione il gestore non necessita della chiave privata dell utente, ma solo di un certificato pubblico. Questo consente all utente di utilizzare un unico meccanismo di autenticazione (single sign on) Posta elettronica Utilizzando gli strumenti della PKI gli attori possono scambiarsi messaggi di posta elettronica in modo confidenziale e sicuro, senza doversi conoscere o concordare un codice segreto in precedenza Web Gli utenti possono verificare l autenticità del server a cui sono collegati; l autenticazione dell utente consente l accesso alle pagine riservate o a pagamento. I pacchetti software possono essere firmati per consentirne l autenticazione prima dell esecuzione (ad esempio applet Java e controlli ActiveX) Rete privata virtuale su rete pubblica Cifrando il canale di comunicazione su una rete pubblica, quale Internet, si può realizzare un rete privata virtuale (Virtual Private Network, VPN). Esempi di utilizzo sono la connessione di due LAN aziendali remote oppure consentire ai clienti di accedere a determinate risorse aziendali Commercio elettronico L adozione di una PKI apre le porte al commercio elettronico, consentendo transazioni sicure (Zimits e Montaño [6]) e la stipula di contratti per via telematica. L articolo 10, comma 2, del DPR 513 [5], recita: L apposizione o l associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo

11 Capitolo 1.1 Caratteristiche e funzionalità L attribuzione di valore legale alla firma elettronica consente la stipula di contratti senza che siano stati presi accordi in precedenza. Le regole tecniche per la validità delle firme e dei certificati sono illustrate nel DPCM [4] Assimilazione nella società Dopo la sua diffusione nei settori del commercio elettronico e delle reti telematiche, la tecnologia basata su PKI diventerà di uso comune nella società, rimpiazzando i tradizionali metodi di autenticazione quali la firma ad inchiostro (Zimits e Montaño [6]), e progressivamente sostituendo il denaro fisico con il portafoglio elettronico [1]. Gli utenti potranno auspicabilmente usufruire di un accesso unificato a tutti i servizi offerti da diverse PKI, sia governative che commerciali Scalabilità L automazione di alcuni processi di routine gioca un ruolo importante nella determinazione del grado di scalabilità di una implementazione di PKI. Alcuni accorgimenti implementativi sono inoltre fondamentali: replica delle informazioni nei vari segmenti di rete interessanti, caching di certificati e CRL/CSL, utilizzo di diversi punti di distribuzione di CRL/CSL partizionate, controllo che le date di scadenza di chiavi e certificati non siano concentrate in periodi critici ma piuttosto ben distribuite. Sempre per questioni di scalabilità e di gestione, le CA sono organizzate gerarchicamente, permettendo una gestione decentralizzata dei certificati. Una CA può avere una CA padre ed un numero variabile di CA figli. Una CA rilascia ai figli un certificato che ne attesta l identità ed il rapporto di relazione col padre, creando così una catena di riconoscimento (chain of trust). Gli attori riconoscono implicitamente tutte le CA appartenenti ad una catena di riconoscimento di una CA riconosciuta esplicitamente. L organizzazione gerarchica consente ad esempio ad una sede staccata di gestire localmente i certificati dei propri utenti; inoltre si può disabilitare in modo selettivo un ramo della gerarchia in caso di compromissione. La CA deve appoggiarsi ad un meccanismo di directory per la distribuzione e la memorizzazione dei certificati e delle chiavi. E importante strutturare la gerarchia delle directory ed il relativo schema in modo che vengano garantite le caratteristiche di scalabilità e sicurezza. Oltre alla gerarchia di certificazione, esiste la funzionalità di mutuo riconoscimento, consistente nel riconoscimento reciproco di due CA, così che gli attori che riconoscono una delle due CA possano convalidare automaticamente tutti i certificati rilasciati dall altra. Per realizzarla, entrambe le CA coinvolte rilasciano un certificato di mutuo riconoscimento (cross certificate). Il mutuo riconoscimento elimina la complessità di una gerarchia, rendendo immediata e semplice la comunicazione ad esempio con un partner commerciale. La praticabilità di questa soluzione è però limitata a piccoli numeri, in quanto per gestire una gran numero di utenti si rende necessaria un organizzazione gerarchica delle CA. Infine, per raggiungere una diffusione globale, l infrastruttura deve aprirsi a gerarchie pubbliche e commerciali. In una tipica implementazione, le CA apparterranno ad una o più gerarchie, ed utilizzeranno il mutuo riconoscimento per situazioni particolari o come scorciatoia verso i domini più utilizzati

12 Capitolo 1.1 Caratteristiche e funzionalità Interoperabilità Affinché una PKI esprima tutte le sue potenzialità è necessario raggiungere un adeguato livello di interoperabilità che consenta lo scambio di messaggi sicuri e la verifica dell autenticità delle informazioni anche con attori afferenti ad un altra PKI. Questo può essere il caso ad esempio di una necessità di comunicazione fra due società che utilizzano differenti implementazioni di PKI. Anche all interno di una stessa organizzazione ci potrebbero essere differenti PKI, in base alle diverse esigenze dei vari dipartimenti o gruppi di lavoro. L interoperabilità implica non soltanto l utilizzo di standard comuni (per la cifratura, la firma, la richiesta di certificati, ecc.) ma anche la condivisione di politiche di emissione e di sicurezza compatibili. Si presenta la necessità di mappare le relazioni fiduciarie tra attori di diverse PKI compatibilmente con le specifiche politiche di emissione e di mantenere traccia di queste mappatura per gestirne l evoluzione. In mancanza di uno standard ufficiale, la capacità di una infrastruttura di utilizzare diversi protocolli pubblici e di non dipendere da soluzioni o estensioni proprietarie, è un fattore determinante per consentire l effettivo impiego dell infrastruttura in un contesto eterogeneo ed in continua evoluzione. Si richiede quindi alla PKI di essere in grado di operare in conformità agli standard attualmente in uso ed in fase di definizione trattati nella sezione 0, dedicata all illustrazione degli standard Interazione con le applicazioni Affinché l infrastruttura messa a disposizione dalla PKI sia sfruttata, è necessario che le applicazioni ed i sistemi operativi dispongano di un interfaccia verso tali servizi, altrimenti lo sforzo per istituire l infrastruttura è vanificato. Per la scelta di una soluzione PKI occorre esaminare il tipo di supporto che essa fornisce alle applicazioni che si intendono utilizzare. Il supporto può essere fornito in questi modi: integrazione con l applicazione interessata, sotto forma di estensione, macro o plugin dedicato; supporto degli standard utilizzati dall applicazione, nel caso in cui questa sia già abilitata alle funzionalità PKI; fornitura di interfacce di programmazione (API) ad alto livello che consentano di sviluppare delle soluzioni ad hoc per l interazione applicazione - PKI. Il sistema di certificazione deve essere consistente per le diverse applicazioni e le diverse piattaforme supportate. Deve funzionare come un singolo login (single sign on), che consenta al sistema di autenticare automaticamente l utente presso i diversi servizi, seguendo le procedure appropriate. Per esempio durante una sessione l utente potrebbe voler utilizzare la posta elettronica, collegarsi ad un server web per effettuare una transazione sicura, e lavorare su dei file cifrati. Per farlo, l utente avvia il software client della PKI, e si autentica digitando la password o utilizzando un apposita smart card. Fatto questo, l integrazione dei servizi di PKI nell ambiente operativo gli consente di effettuare le operazioni prima citate senza curarsi di periodi di validità delle chiavi, scelta della chiave da utilizzare tra quelle disponibili, tipo di algoritmi di cifratura impiegati, ecc

13 Capitolo 1.1 Caratteristiche e funzionalità Questa flessibilità deve essere messa a disposizione anche dei programmatori che vogliano sviluppare delle applicazioni sicure utilizzando delle librerie che si interfaccino al client PKI e ne sfruttino i servizi senza richiedere allo sviluppatore di intervenire a livello di implementazione di algoritmi di cifratura o protocolli di certificazione. L utilizzo di interfacce di programmazione ad alto livello fornite a corredo della PKI semplifica il processo di sviluppo mettendo a disposizione una serie di procedure la cui correttezza è stata verificata e testata scrupolosamente. Per lo sviluppo di applicazioni sicure è però sempre necessaria una approfondita conoscenza delle problematiche di sicurezza e dei principi di funzionamento di algoritmi e protocolli forniti dalle librerie. Un utilizzo improprio di tali servizi può compromettere l intera architettura di sicurezza. La PKI inoltre si integra con i servizi di directory aziendali, attraverso il supporto di LDAP. La directory viene utilizzata per contenere non solo i certificati e le CRL/CSL, ma anche informazioni relative alle CA, come ad esempio quali domini gestiscono, i certificati di mutuo riconoscimento, la periodicità di pubblicazione delle CRL e CSL, ecc. Agli oggetti contenuti nella directory che identificano un attore viene associato il certificato emesso dalla CA. Il servizio di directory può essere implementato ad hoc per la PKI, oppure la PKI può fare uso di un servizio già esistente. In questo caso il servizio deve essere in grado di gestire gli oggetti della PKI (certificati, CRL, CSL) e garantire la distribuzione degli aggiornamenti in tutte le repliche del database. Gli attori utilizzano le directory per acquisire le chiavi pubbliche di altri attori con cui vogliono comunicare, e per verificare la validità dei certificati di cui fanno uso Gestione dei certificati Un certificato di per sé non fornisce autenticazione: perché il certificato venga convalidato, infatti, è necessario che la firma apposta allo stesso sia stata fatta da una CA di cui si riconosce la validità. E necessario quindi che per ogni attore venga mantenuto un archivio delle CA da esso riconosciute. Ad esempio, i browser abilitati alle tecnologie PKI vengono forniti con una serie di certificati di CA sia commerciali che governative già installati, e danno la possibilità all utente di installarne di nuovi in modo che i certificati emessi da queste CA vengano riconosciuti automaticamente dal programma. Se invece il browser incontra un certificato firmato da una CA non riconosciuta, l evento viene segnalato all utente così che egli possa prendere una decisione: potrebbe rigettare il certificato (ed i dati che erano da questo certificati) oppure accettarlo ed inserire la nuova CA tra quelle riconosciute (nel caso in cui il certificato fosse stato acquisito in maniera sicura). Nel caso di una PKI aziendale, affinché la CA principale (root CA) venga riconosciuta dalle applicazioni si può procedere in uno di questi modi: la chiave pubblica della CA principale viene certificata da una CA che è già riconosciuta dalle applicazioni che ne devono fare uso; la CA principale viene inserita tra le CA riconosciute dalle applicazioni già in fase di installazione; - 6 -

14 Capitolo 1.1 Caratteristiche e funzionalità la CA principale emette un certificato sottoscritto relativo alla sua chiave pubblica, poi questo certificato viene distribuito in modo sicuro agli utenti così che possano inserirlo nel proprio archivio di certificati di CA riconosciute. Una volta che la CA principale viene riconosciuta, la creazione e certificazione di una CA subordinata, che ad esempio può servire un particolare dominio o un dipartimento, è semplice: la CA principale emette un certificato relativo alla chiave pubblica della CA subordinata attestandone così l autenticità. In questo modo, attraverso il meccanismo della catena di riconoscimento, la nuova CA è riconosciuta automaticamente da tutti gli attori che riconoscono la CA principale. Come vengono gestiti i certificati? Per la prima emissione di un certificato, è necessario verificare di persona la legittimità della richiesta, utilizzando mezzi tradizionali: questo è compito della RA. Ad esempio la RA potrebbe essere rappresentata da un addetto alla sicurezza che verifica l autenticità della richiesta tramite la presentazione da parte del richiedente di un documento d identità, assiste l utente nella creazione di una coppia di chiavi fornendogli un dispositivo di firma (smart card), ed infine fornisce i dati alla CA che emette il certificato. Un documento (Certification Practice Statement, CPS) espone in modo completo ed inequivocabile le procedure relative alla creazione, revoca, sospensione e rinnovo di chiavi e certificati. Questo documento contiene inoltre la definizione delle politiche che stabiliscono la durata di chiavi e certificati in base all uso, la scelta degli algoritmi utilizzati (tipo di algoritmo e lunghezza delle chiavi) per ogni tipo di attività, e la definizione dei ruoli di tutti i componenti dell infrastruttura. Rif. [21]. Ogni certificato ha una durata prestabilita, pertanto si deve procedere regolarmente al rinnovo utilizzando un protocollo di richiesta di un nuovo certificato. Per fare questo l attore deve inoltrare la richiesta di rinnovo utilizzando gli strumenti messi a disposizione dalla PKI, firmando elettronicamente la richiesta prima che il certificato di cui è in possesso sia scaduto. L intera procedura può essere gestita automaticamente dall infrastruttura senza richiedere l intervento dell utente, che così non deve preoccuparsi di controllare lo stato di validità dei propri certificati. Contestualmente al rinnovo di un certificato si possono rinnovare le chiavi ad esso associate (vedi 1.1.7); i certificati scaduti vengono conservati per la convalida dei documenti che erano stati emessi durante il periodo in cui il certificato era valido. Prima della sua naturale scadenza, un certificato può essere revocato per uno dei seguenti motivi: compromissione della chiave privata; errore o frode nell emissione del certificato; cambio delle condizioni per le quali il certificato era stato emesso. In caso di sospetta compromissione un certificato può essere sospeso. Differentemente rispetto alla revoca, la sospensione può essere annullata così che il certificato torni valido. La revoca avviene attraverso la pubblicazione del certificato nella CRL, che è firmata dalla CA. La CRL ha una marcatura temporale di emissione e l indicazione del momento in cui verrà pubblicato un aggiornamento. Per facilitarne la gestione e la scalabilità, la CRL può essere separata in diverse liste, suddivise ad esempio per tipo di - 7 -

15 Capitolo 1.1 Caratteristiche e funzionalità certificato, con diverse frequenze di emissione in base alla rilevanza delle chiavi certificate. Per esempio, una CA potrebbe mettere le revoche di routine (come nel caso di un cambiamento nel nome di una persona) in una CRL e le revoche derivanti da compromissione delle chiavi in un altra CRL, aggiornata più frequentemente. Le CRL potrebbero poi essere suddivise in base al dipartimento cui gli attori appartengono, così da ridurne le dimensioni e velocizzarne l accesso (ogni dipartimento può tenere una copia della propria CRL in un server locale). Un meccanismo analogo gestisce le sospensioni, tramite l uso di CSL. La sospensione o la revoca non hanno valore retroattivo; sono pertanto ritenuti validi tutti i documenti firmati prima del provvedimento. Le CRL e CSL sono pubblicate periodicamente nella directory e sono accessibili tramite LDAP, o HTTP; particolari applicazioni possono richiedere la verifica in tempo reale della validità di un certificato direttamente alla CA. I certificati e le liste possono essere replicati e memorizzati anche in modo non sicuro, in quanto l integrità è garantita dalla firma della CA. Essendo la pubblicazione delle CRL/CSL a carattere periodico, c è un problema di latenza durante il quale un certificato da revocare risulta valido perché non è stato ancora emesso un aggiornamento della lista. Questo periodo di latenza può essere ridotto aumentando la frequenza di emissione, ma per applicazioni particolarmente critiche potrebbe essere necessario ricorrere ad un meccanismo di verifica in tempo reale. Per fare questo, l attore comunica direttamente con la CA, a cui richiede lo stato di validità di un certificato in quel momento. Questo tipo di verifica on-line richiede un maggiore impiego di risorse ed inoltre necessita di una connessione sicura con la CA. Per converso, la verifica off-line tramite CRL/CSL può fare uso di tecniche di caching delle liste e non richiede un canale di comunicazione sicuro Gestione delle chiavi Le coppie di chiavi vengono generate dagli attori o dalla RA per conto degli attori, poi sono certificate dalla CA. Nel certificato viene stabilita l appartenenza ad un determinato attore ed i possibili usi delle chiavi; le chiavi non possono essere usate per scopi non definiti esplicitamente nel certificato. Le chiavi hanno una durata di validità e vengono rinnovate in accordo alle politiche stabilite, nel modo più trasparente possibile per l utente. Mentre per la chiave privata di firma è opportuno che esista una sola copia (custodita esclusivamente dal titolare), della chiave privata di cifratura possono esistere altre copie conservate in luogo sicuro. Attraverso l utilizzo di un meccanismo di memorizzazione e recupero delle chiavi (key escrow), si consente al personale autorizzato di avere accesso ai dati cifrati ed alle chiavi private. Questa funzionalità serve in caso di smarrimento della chiave da parte dell utente oppure se l azienda ha necessità di accedere a certi file anche se il dipendente che li ha cifrati non vuole o non può collaborare, ad esempio in caso di licenziamento o morte. L opportunità dell impiego di questo meccanismo deve essere vagliata attentamente in quanto la sicurezza del deposito delle chiavi private sarebbe ad alto rischio di attacco, ed inoltre c è il rischio di un abuso del sistema da parte di chi è autorizzato ad accedervi. Un accorta definizione delle politiche di autorizzazione deve regolamentare - 8 -

16 Capitolo 1.1 Caratteristiche e funzionalità questa delicata funzionalità. A seconda della tipologia di utente, il meccanismo di recovery potrebbe essere abilitato solo su richiesta dell utente, oppure non implementato affatto. In questo caso sarebbe responsabilità dell utente mantenere una copia della chiave privata in quanto nessun altro potrebbe assisterlo nel recupero di informazioni cifrate con una chiave smarrita o rubata. Vi è infine la possibilità di utilizzare due chiavi private diverse, una con la comodità del recovery, l altra con la sicurezza dell unicità, e scegliere volta per volta quale utilizzare. Gli svantaggi di questa soluzione consistono nel dover gestire più chiavi e nell affidarsi all utente finale per la scelta della chiave, cosa che richiede una comprensione non superficiale delle relative problematiche. Diversamente, si potrebbe presentare questa situazione: l azienda non autorizza un utente a salvare file privati cui egli avrebbe accesso esclusivo, quindi implementa un key recovery per il file system. La legge ed il buon senso impongono però che la posta rimanga privata, e quindi le applicazioni di utilizzano un altra chiave apposita di cui non esiste recovery. La scelta di quale chiave utilizzare non è a carico dell utente, ma viene fatta automaticamente dalle applicazioni utilizzando le estensioni del certificato, dove si potrebbe indicare chiaramente se la chiave serve per cifrare file o e- mail. Un altro approccio ai problemi affrontati dal key recovery consiste nell utilizzare un meccanismo di data recovery, che permette il recupero dei dati cifrati senza risalire alla chiave privata. Secondo questo paradigma, i dati vengono sempre salvati in due copie 2, una cifrata con la chiave pubblica di cifratura dell utente ed un altra cifrata con un apposita chiave di recovery (detta chiave del security agent). Sarebbe così possibile decifrare i dati senza la chiave privata dell utente. Il data recovery, rispetto al key recovery, evita che terze parti vengano in possesso della chiave dell utente, con lo svantaggio però di una minore flessibilità. Facciamo un esempio: un utente dimentica la password per l uso della sua smart card dove conserva la chiave privata di cifratura. Con un meccanismo di key recovery, l amministratore recupera la chiave dell utente, la memorizza in un altra smart card e la consegna all utente che ha così riguadagnato l accesso ai suoi dati. Se invece il meccanismo di recovery del sistema fosse quello del data recovery, l amministratore sarebbe costretto ad individuare tutti i documenti dell utente, decifrarli con la chiave di recovery, cifrarli con una nuova chiave ed infine consegnare questa nuova chiave all utente. Un altro problema del data recovery deriva dal fatto che la chiave di recovery è unica per tutti gli utenti, così che un amministratore in possesso della chiave di recovery ha accesso ai dati cifrati di tutti gli utenti. Il key recovery consente un controllo più granulare del recovery, in quanto è possibile consegnare ad un amministratore autorizzato la chiave del solo utente di cui si vogliono decifrare i documenti. 2 Tecnicamente questa operazione non richiede un sostanziale aumento dello spazio occupato su disco, in quanto per la cifratura dei dati si utilizza un algoritmo simmetrico con una chiave generata ad hoc: è solo questa chiave che viene successivamente cifrata con la chiave dell utente ed eventualmente con la chiave di recovery, e poi memorizzata insieme al documento (vedi )

17 Capitolo 1.1 Caratteristiche e funzionalità Il numero di chiavi gestite da una CA aziendale è molto grande, quindi va posta una particolare attenzione ai meccanismi che ne regolano l emissione, l uso e l aggiornamento. I possibili problemi che si possono presentare sono rappresentanti da utenti che dimenticano la password, impiegati che cambiano il proprio ruolo all interno dell azienda (o che la lasciano), scadenza del periodo di validità di chiavi e certificati. Oltre a queste problematiche di gestione, l azienda ha necessità di poter accedere a documenti cifrati anche senza la chiave di chi li aveva inizialmente cifrate, e di verificare firme anche per lunghi periodi di tempo dopo che la chiave di firma è scaduta. Tutto questo implica la necessità di mantenere delle copie delle chiavi, sia mentre queste sono in uso, sia dopo la loro naturale scadenza. Si richiede alla PKI di supportare funzionalità di memorizzazione, backup e recupero delle chiavi di cifratura per consentire agli utenti di riguadagnare l accesso alle proprie chiavi (e quindi ai propri dati) nel caso in cui dimentichino la password di accesso. Un altra importante problematica è quella dell aggiornamento delle chiavi. Ad intervalli regolari, le chiavi scadono e devono essere rinnovate. La frequenza può essere diversa in base ai vari utilizzi delle chiavi, ma comunque nessuna chiave ha una validità indefinita. La durata del periodo di validità di una chiave viene stabilita in base agli usi per i quali la chiave è stata creata ed alla importanza dei dati cifrati, raggiungendo un compromesso tra la sicurezza di una durata breve e l impiego di risorse per un rinnovo frequente. Alcuni accorgimenti vanno presi per garantire la gestibilità dell aggiornamento delle chiavi, ad esempio la procedura va iniziata prima della scadenza delle chiavi (l utente deve sempre avere almeno una chiave valida), ed il processo deve essere scaglionato a livello aziendale, distribuendo i periodi di validità delle chiavi su date diverse. E auspicabile che l aggiornamento avvenga in modo trasparente per l utente e senza l intervento dell amministratore. Il sistema controlla se la scadenza della chiave è prossima, ed in tal caso provvede ad inoltrare alla CA la richiesta di una nuova chiave. Una volta ottenuta la nuova chiave (con relativo certificato), quella vecchia non viene cancellata, ma conservata con tutte le altre chiavi scadute nella key history. La key history è necessaria per accedere a tutti quei dati cifrati con chiavi ormai scadute ma che erano valide al momento della cifratura. La scelta della chiave opportuna per la decifratura di un determinato documento deve avvenire automaticamente e senza l intervento da parte dell utente. Diversamente, per quanto riguarda le chiavi di firma non vengono mantenute copie della chiave privata in quanto non è necessaria per la verifica di una firma. Inoltre, in caso di smarrimento essa può essere revocata e si può procedere alla creazione di una nuova chiave senza perdite di dati. La chiave pubblica, con relativo certificato, deve invece essere sempre disponibile per consentire l autenticazione ed il non ripudio, anche dopo che la chiave privata è stata revocata o è scaduta Sicurezza La sicurezza delle CA è di estrema importanza, pertanto si deve porre particolare cura nella protezione fisica dei server, memorizzazione sicura delle chiavi ed implementazione di funzionalità di auditing. Le chiavi delle CA sono conservate su smart card oppure in altri dispositivi crittografici dedicati a prova di manomissione; in

18 Capitolo 1.1 Caratteristiche e funzionalità questo modo, esse non vengono mai viste direttamente dal sistema operativo del server ospitante, ma possono essere accedute solo tramite le funzioni messe a disposizione dall hardware. Di queste chiavi esistono delle copie, conservate in altro luogo seguendo le stesse procedure adottate per custodire i più importanti documenti e chiavi fisiche aziendali. Le chiavi possono anche essere separate in modo che sia necessario avere almeno un certo numero di parti per ricostruire l intera chiave; i diversi pezzi vengono custoditi separatamente. Le chiavi private rappresentano l unico segreto da custodire per una CA. L archivio delle chiavi destinate al key recovery è infatti custodito separatamente, e cifrato con una chiave pubblica apposita. La gestione della corrispettiva chiave privata è meno problematica che per la chiave della CA; infatti una copia è contenuta in un dispositivo hardware che ne consenta l utilizzo nel server contenente l archivio, mentre le copie di sicurezza sono cifrate con la chiave della CA e quindi possono essere tenute anche in luoghi non sicuri. In definitiva, le diverse chiavi private della CA principale (differenziate in base all uso) sono l unico segreto da custodire per l intera infrastruttura PKI. Tutto il resto è protetto da queste chiavi utilizzando gli stessi servizi forniti dall infrastruttura. Gli utenti possono utilizzare dei dispositivi di firma (smart card) a prova di manomissione (tamper proof) che hanno la possibilità di generare e memorizzare al proprio interno coppie di chiavi ed effettuare internamente le operazioni di firma digitale. Per l autenticazione, gli utenti utilizzano smart card oppure token card, che sono protette da un codice di utilizzo per impedirne l utilizzo da parte di impostori in caso di smarrimento. Gli algoritmi di cifratura devono essere di provata affidabilità, e le chiavi di lunghezza sufficiente per escludere la fattibilità di un attacco a forza bruta su tutte le possibili chiavi. Le scelte implementative degli algoritmi non devono comprometterne la sicurezza. Per una discussione degli algoritmi di cifratura vedi E importante qui sottolineare che l utilizzo di una PKI non esaurisce in sé la totalità delle misure necessarie per raggiungere un adeguato livello di sicurezza. Possibili minacce e vulnerabilità vanno individuate attraverso una ricerca ad ampio raggio su tutti gli aspetti delle modalità di interazione col sistema informativo aziendale. Di seguito si elenca brevemente una serie di potenziali fonti di pericolo; una completa disamina delle problematiche di sicurezza informatica ed aziendale esula dagli obiettivi di questo documento, pertanto si rimanda per un approfondimento a testi dedicati: si veda ad esempio [7] Virus e cavalli di troia La diffusione di virus, che infettano il sistema operativo o una particolare applicazione, può causare la negazione del servizio (denial of service, DoS) oltre alla perdita di dati. I cavalli di troia sono applicazioni che eseguono, oltre alle funzioni dichiarate, anche delle operazioni ostili, a insaputa dell utente. Particolarmente insidiosi sono i cavalli di troia che sostituiscono i normali programmi utilizzati per l accesso ai servizi della PKI al fine di intercettare informazioni riservate

19 Capitolo 1.1 Caratteristiche e funzionalità Informazioni conservate nei dispositivi di memorizzazione Deve essere analizzata la modalità di cancellazione dei file all interno di un file system: tipicamente i settori dei dischi occupati da un file vengono semplicemente marcati come disponibili, e quindi l informazione è ancora memorizzata nel disco rigido. Per ovviare a questo è necessaria una soprascrittura (anche multipla) di tutti i settori utilizzati dal file prima della sua cancellazione dal file system. Il file di swap della memoria virtuale, sulla quale la PKI non ha controllo, può contenere dati sensibili, pertanto deve essere possibile effettuarne una soprascrittura o anche, nei casi più critici, impedirne l uso. La applicazioni possono far uso di file temporanei, che creati in base alle necessità e cancellati in modo insicuro. Per eliminare le informazioni che vi sono conservate è necessaria una soprascrittura di tutti i settori inutilizzati del dispositivo di memorizzazione Intercettazione ambientale ed elettromagnetica I dispositivi di spionaggio consentono di intercettare suoni, voci, conversazioni telefoniche, osservare la tastiera di un utente mentre digita la password, vedere schermate di informazioni confidenziali. Anche escludendo la visione all esterno con tende alle finestre, si è esposti alla intercettazione elettromagnetica, che consente di ricostruire le immagini visualizzate sui monitor. Qualora si rendesse necessario, per la protezione da questo tipo di attacco si deve provvedere alla schermatura dei dispositivi critici ed alla insonorizzazione dell ambiente Analisi del traffico di rete Anche se i dati sono cifrati, per viaggiare su una rete pubblica devono indicare l origine e la destinazione del messaggio, oltre a contenere altre informazioni come ad esempio la lunghezza del messaggio. Se si desidera che queste informazioni non vengano rivelate, si deve ricorrere all uso di una rete privata, in cui i dati sono trasmessi a flusso continuo e cifrati anche a livello di pacchetti di rete, oppure inserire del rumore, ovvero scambi di dati il cui solo scopo è quello di falsare le informazioni ricavate da un analisi del traffico Social engineering, minacce e corruzione Col termine social engineering si indica una modalità di attacco che si basa sull attacco dei difetti del personale umano piuttosto che quelli del software. In pratica si tratta di un raggiro al fine di ottenere password o documenti riservati, per proteggersi dal quale si deve educare il personale ed attenersi a precise procedure di notifica e gestione dei problemi. Il personale può essere minacciato o corrotto, e in questo caso le contromisure consistono nel cercare di attestare l affidabilità e l integrità morale dei dipendenti Altri fattori che vanno considerati Facilità di implementazione In fase di implementazione, va considerata l integrazione con i servizi di directory eventualmente presenti nella rete aziendale, e la disponibilità di API per lo sviluppo di applicazioni che sfruttino i servizi della PKI

20 Capitolo 1.1 Caratteristiche e funzionalità Facilità d uso Gli utenti devono essere messi in condizione di poter comprendere ed utilizzare i servizi della PKI senza che questo comporti un cambiamento radicale per il loro modo di lavorare, onde evitare il ricorso a pratiche non sicure e programmi non compatibili con la PKI Problematiche di amministrazione Una cura particolare va messa nella pianificazione e definizione dello schema da applicare alla directory di appoggio alla PKI, in quanto una successiva riorganizzazione potrebbe avere risvolti gestionalmente molto pesanti. Ad esempio una variazione della posizione di un oggetto nella directory comporta la necessità di rinnovare il certificato associato in quanto il campo relativo al nome dell oggetto risulterebbe invalidato. Se viene modificato il nome di un nodo nell albero della directory, tutti i certificati relativi agli oggetti presenti nella gerarchia sottostante andrebbero rinnovati. Bisogna quindi prevedere le specifiche esigenze della PKI nell uso della directory, ed impostare lo schema in modo che le possibilità di successive modifiche vengano ridotte al minimo. Un altra problematica riguarda la gestione delle repliche dei dati e dei server, che devono essere sincronizzate in modo da consentire l utilizzo di risorse locali e garantire il funzionamento anche in caso di guasti Flessibilità delle politiche d uso (policies) La gestione delle politiche di accesso ed uso deve consentire di creare dei profili adeguati alle diverse tipologie di utenti e di esigenze Robustezza Il sistema deve garantire adeguati livelli di fault tolerance Costi Nel calcolo del costo del dispiegamento dell infrastruttura vanno conteggiati l acquisto dell hardware e del software dedicato, lo sviluppo o modifica delle applicazioni per abilitarle all utilizzo dei servizi PKI, e la formazione degli utenti Prestazioni Valutazione delle prestazioni in termini di utilizzo delle risorse di calcolo, di rete, e di memorizzazione