Sicurezza e Crittografia

Transcript

1

2 Diapositiva 1 Sicurezza e Crittografia Aspetti generali e possibili applicazioni pratiche nelle aziende 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 1 Questo Video-Corso punterà l attenzione sulle problematiche inerenti il trattamento di documenti personali e la loro segretezza andando, prima ad analizzare alcune tematiche riguardanti la crittografia come possono essere i vari termini che ne definiscono le proprietà oppure le varie tipologie di algoritmi crittografici e passando poi ad analizzarne sommariamente le caratteristiche con i relativi vantaggi e svantaggi. La seconda parte del Video-Corso si concentrerà invece sulle applicazioni pratiche di tali algoritmi portando quindi l attenzione sui concetti di firma digitale, sul suo funzionamento, sulla nascita degli enti preposti al rilascio di certificati digitali. Quindi il Corso verrà concluso con una breve introduzione del protocollo Kerberos, pilastro indiscutibile dell apparato di sicurezza di Windows 2000.

3 Diapositiva 2 Sicurezza Il crescente utilizzo di internet come mezzo per lo scambio rapido di informazioni, ha enfatizzato la necessità di comunicazioni sicure. Un ipotetico hacker " utilizzando un comunissimo software commerciale come Windows NT Network Monitor, potrebbe, con poco sforzo, intercettare e visionare i pacchetti in transito nella rete in modo da leggere i dati che si stanno scambiando due macchine appartenenti a due filiali di una stessa ditta. Questo, tuttavia, è solo un aspetto di un problema più vasto: in realtà lo stesso ipotetico "hacker" potrebbe non limitarsi a carpire le informazioni in questione, ma potrebbe manipolarle, o peggio ancora, potrebbe sostituirsi a una delle due parti, che si stanno scambiando i dati, spacciandosi per l'altra Una delle possibili risposte alla serie di violazioni appena descritte risiede in un metodo molto antico: la crittografia. 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 2 Il crescente utilizzo di internet come mezzo per lo scambio rapido di informazioni ha enfatizzato la necessità di comunicazioni sicure. Un ipotetico hacker " utilizzando un comunissimo software commerciale come Windows NT Network Monitor, potrebbe, con poco sforzo, intercettare e visionare i pacchetti in transito nella rete in modo da leggere i dati che si stanno scambiando due macchine appartenenti a due filiali di una stessa ditta. Questo, tuttavia, è solo un aspetto di un problema più vasto: in realtà lo stesso ipotetico "hacker" potrebbe non limitarsi a carpire le informazioni in questione, ma potrebbe manipolarle, o peggio ancora, potrebbe sostituirsi a una delle due parti, che si stanno scambiando i dati, spacciandosi per l'altra. Una delle possibili risposte alla serie di violazioni appena descritte risiede in un metodo molto antico: la crittografia.

4 Diapositiva 3 Crittografia Gli obiettivi che devono essere garantiti dalla crittografia sono essenzialmente quattro: Segretezza :solo il destinatario può essere in grado di leggere il messaggio Autenticità :il destinatario deve essere sicuro dell'origine del messaggio Integrità :il destinatario deve essere sicuro che il messaggio non abbia subito alcuna modifica durante la trasmissione Non ripudiabilità.: il mittente non può negare di aver scritto il messaggio 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 3 Gli obiettivi che devono essere garantiti dalla crittografia sono essenzialmente quattro: La segretezza, ossia quella caratteristica attraverso la quale solo il destinatario deve essere in grado di leggere il messaggio L autenticità che permette al destinatario di essere sicuro che il messaggio arrivatogli proviene sicuramente dal mittente dichiarato. L integrità che garantisce il destinatario che il messaggio pervenutogli non è stato modificato da nessuno e non ha subito quindi nessuna alterazione che ne renda il contenuto illeggibile oppure addirittura non esatto e quindi potenzialmente dannoso La non ripudiabilità che garantisce il destinatario, che qualora dovessero sorgere delle controversie in merito al contenuto del messaggio, la paternità di tale missiva è sicuramente attribuibile al mittente dichiarato, il quale non potrà in nessun caso affermare di non essere il proprietario di tale messaggio

5 Diapositiva 4 Algoritmo Crittografico Ogni algoritmo di crittografia può essere ricondotto al seguente: 1. generazione di una coppia di chiavi K1 e K2 2. codifica del documento per mezzo della chiave K1 da parte del mittente 3. invio del pacchetto codificato 4. decodifica tramite la chiave K2 da parte del ricevente. 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 4 Ogni algoritmo crittografico può essere ricondotto ai seguenti 4 passi: 1. generazione di una coppia di chiavi K1 e K2 2. codifica del documento per mezzo della chiave K1 da parte del mittente 3. invio del pacchetto codificato 4. decodifica tramite la chiave K2 da parte del ricevente

6 Diapositiva 5 Gli algoritmi di cifratura sono suddivisi in due classi: algoritmi a chiave privata (algoritmi simmetrici) algoritmi a chiave pubblica (algoritmi asimmetrici) 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 5 Gli algoritmi di cifratura sono suddivisi in due classi algoritmi a chiave privata (algoritmi simmetrici) algoritmi a chiave pubblica (algoritmi asimmetrici)

7 Diapositiva 6 Alg. Simmetrici Gli algoritmi di questo tipo sono caratterizzati dal fatto che sia la codifica che la decodifica vengono effettuate per mezzo della medesima chiave, tutto ciò li rende semplici e veloci e molto dipendenti dalla lunghezza della chiave generata Si riesce a garantire sicurezza, autenticazione e integrità non si può garantire la non ripudiabilità. Poiché, in teoria, chi ottiene la chiave con mezzi più o meno leciti è capace di decifrare i messaggi, diventa critico il passaggio della chiave tra il mittente ed il destinatario Continua.. 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 6 Gli algoritmi simmetrici sono caratterizzati dal fatto che sia la codifica che la decodifica vengono effettuate per mezzo della medesima chiave. Tutto ciò li rende semplici e veloci e molto dipendenti dalla lunghezza della chiave generata Si riesce a garantire la sicurezza, l autenticazione e integrità ma non si può garantire la non ripudiabilità. Poiché, in teoria, chi ottiene la chiave con mezzi più o meno leciti è capace di decifrare i messaggi, diventa critico il passaggio della chiave tra il mittente ed il destinatario.

8 Diapositiva 7..dettagli Sulla base del tipo di computazione si individuano due tipi di cifratura : stream cipher (cifratura sequenziale): il messaggio è visto come una sequenza di bit e viene cifrato un bit alla volta. Sono sicuramente i più veloci ma sono considerati poco sicuri, sebbene la sicurezza dipenda dall'algoritmo utilizzato; RC4, sviluppato da RSA Data Security Inc. E' un algoritmo molto veloce che accetta chiavi a lunghezza variabile. La sua sicurezza non è stata ancora ben accertata, ma finora ha resistito molto bene a diversi tipi di attacchi. Usa essenzialmente un generatore di numeri casuali e il numero generato viene poi applicato mediante XOR (OR esclusivo) alla sequenza di bit. block cipher (cifratura a blocchi): il messaggio è suddiviso in blocchi di lunghezza fissa e cifrato un blocco per volta. Sebbene siano più lenti dei precedenti, sono considerati più sicuri perché ogni blocco è cifrato mescolandolo opportunamente al blocco precedente DES, sviluppato nel 1970, è divenuto poi lo standard per il governo americano. Adotta blocchi da 64 bit ed una chiave a 56 bit. Data la ridotta lunghezza della chiave risulta essere facilmente violabile dai computer moderni. Recentemente è stata sviluppata una variante detta Triple- DES o 3DES che cifra il messaggio tre volte con altrettante differenti chiavi. Blowfish, sviluppato da Bruce Schneier. Adotta una blocco a 64 bit ed una chiave fino a 448 bit. Ha ottenuto grandi consensi da parte della comunità internazionale e finora non si conoscono attacchi vincenti. Usato in alcuni famosi sistemi come Nautilus a PGPfone. IDEA (International Data Encryption Algorithm), sviluppato in Svizzera, usa una chiave a 128 bit ed è generalmente considerato molto sicuro. 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 7 Sulla base del tipo di computazione si individuano due tipi di cifratura : stream cipher (cifratura sequenziale): il messaggio è visto come una sequenza di bit e viene cifrato un bit alla volta. Sono sicuramente i più veloci ma sono considerati poco sicuri, sebbene la sicurezza dipenda dall'algoritmo utilizzato; RC4, sviluppato da RSA Data Security Inc. E' un algoritmo molto veloce che accetta chiavi a lunghezza variabile. La sua sicurezza non è stata ancora ben accertata, ma finora ha resistito molto bene a diversi tipi di attacchi. Usa essenzialmente un generatore di numeri casuali e il numero generato viene poi applicato mediante XOR (OR esclusivo) alla sequenza di bit. block cipher (cifratura a blocchi): il messaggio è suddiviso in blocchi di lunghezza fissa e cifrato un blocco per volta. Sebbene siano più lenti dei precedenti, sono considerati più sicuri perché ogni blocco è cifrato mescolandolo opportunamente al blocco precedente DES, sviluppato nel 1970, è divenuto poi lo standard per il governo americano. Adotta blocchi da 64 bit ed una chiave a 56 bit. Data la ridotta lunghezza della chiave risulta essere facilmente violabile dai computer moderni. Recentemente è stata sviluppata una variante detta Triple-DES o 3DES che cifra il messaggio tre volte con altrettante differenti chiavi. Blowfish, sviluppato da Bruce Schneier. Adotta un blocco a 64 bit ed una chiave fino a 448 bit. Ha ottenuto grandi consensi da parte della comunità internazionale e finora non si conoscono attacchi vincenti.. IDEA (International Data Encryption Algorithm), sviluppato in Svizzera, usa una chiave a 128 bit ed è generalmente considerato molto sicuro.

9 Diapositiva 8 Vantaggi.Svantaggi Molto veloci Idonei per cifrare grandi moli di dati Richiedono la distribuzione della chiave privata a tutti i destinatari. Necessitano quindi di un ulteriore canale sicuro attraverso cui distribuire la chiave. Tale contraddizione, nel recente passato, ha posto dei limiti allo sviluppo della crittografia fino alla scoperta degli algoritmi a chiave pubblica. 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 8 Vediamo i vantaggi e gli svantaggi degli algoritmi simmetrici Sono molto veloci Sono idonei per cifrare grandi moli di dati Richiedono la distribuzione della chiave privata a tutti i destinatari. Necessitano quindi di un ulteriore canale sicuro attraverso cui distribuire la chiave. Tale contraddizione, nel recente passato, ha posto dei limiti allo sviluppo della crittografia fino alla scoperta degli algoritmi a chiave pubblica.

10 Diapositiva 9 Alg. Asimmetrici In questo tipo di algoritmi la chiave è composta da due sottochiavi, una pubblica nota a tutti e una privata che deve essere tenuta segreta. La notevole forza, di questo tipo di algoritmi, consiste proprio nella presenza di questa coppia. Infatti ciò che è criptato con una chiave può essere decifrato solo con l'altra: questo fatto annulla completamente il problema dello scambio della chiave, che invece costituiva un problema di sicurezza importantissimo con l'altro tipo di algoritmi Di contro, usando chiavi asimmetriche si va incontro ad un onere di calcolo tale da renderli più lenti dei precedenti. Continua.. 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 9 Negli algoritmi asimmetrici la chiave è composta da due sottochiavi, una pubblica nota a tutti e una privata che deve essere tenuta segreta. La notevole forza, di questo tipo di algoritmi, consiste proprio nella presenza di questa coppia. Infatti ciò che è criptato con una chiave può essere decifrato solo con l'altra: questo fatto annulla completamente il problema dello scambio della chiave, che invece costituiva un problema di sicurezza importantissimo con l'altro tipo di algoritmi Per contro, usando chiavi asimmetriche si va incontro ad un onere di calcolo tale da renderli più lenti dei precedenti.

11 Diapositiva 10..dettagli Gli algoritmi più diffusi sono: - Diffie-Hellman, è generalmente considerato sicuro, soprattutto nello scambio di chiavi simmetriche, quando usato con chiavi abbastanza lunghe preferibilmente di almeno 1024 bit. - RSA, è il più usato, sia per cifratura di messaggi che per apporre la firma digitale. E' generalmente considerato sicuro quando usato con chiavi di almeno 1024 bit (512 insicuro, 768 moderatamente sicuro, 1024 sicuro). E' basato sulla difficoltà di scomporre un numero nei suoi fattori primi. Difatti presi due numeri sufficientemente grandi x e y è estremamente semplice calcolare il loro prodotto p = x * y ma risulta estremamente complicato scomporre p ricavando proprio i due numeri di partenza. - Curve ellittiche, è un algoritmo emergente relativamente giovane, ma molto lento. E' considerato estremamente sicuro ma non è stato ancora sottoposto agli stessi test a cui è stato sottoposto RSA. - DSS (Digital Signature Standard) usato principalmente per la firma digitale è stato adottato dal governo USA. 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 10 Gli algoritmi più diffusi sono: Diffie-Hellman, è generalmente considerato sicuro, soprattutto nello scambio di chiavi simmetriche, quando usato con chiavi abbastanza lunghe preferibilmente di almeno 1024 bit. RSA, è il più usato, sia per cifratura di messaggi che per apporre la firma digitale. E' generalmente considerato sicuro quando usato con chiavi di almeno 1024 bit (512 insicuro, 768 moderatamente sicuro, 1024 sicuro). Curve ellittiche, è un algoritmo emergente relativamente giovane, ma molto lento. E' considerato estremamente sicuro ma non è stato ancora sottoposto agli stessi test a cui è stato sottoposto RSA. DSS (Digital Signature Standard) usato principalmente per la firma digitale è stato adottato dal governo USA

12 Diapositiva 11 La tecnica adottata nella pratica Gli algoritmi a chiave pubblica sono considerevolmente più lenti di quelli a chiave privata, in particolare nella cifratura di grosse moli di dati. Pertanto, nei sistemi crittografici si preferisce adottare algoritmi simmetrici per la cifratura dei messaggi e algoritmi a chiave pubblica per la cifratura delle chiavi simmetriche. Il mittente genera una chiave simmetrica, cifra il messaggio, cifra la chiave generata con la chiave pubblica del destinatario e invia insieme il messaggio e la chiave generata. Il destinatario decifra la chiave simmetrica con la propria chiave privata ed infine decifra il messaggio. 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 11 Gli algoritmi a chiave pubblica sono considerevolmente più lenti di quelli a chiave privata, in particolare nella cifratura di grosse moli di dati. Pertanto, nei sistemi crittografici si preferisce adottare algoritmi simmetrici per la cifratura dei messaggi e algoritmi a chiave pubblica per la cifratura delle chiavi simmetriche. Il mittente genera una chiave simmetrica, cifra il messaggio, cifra la chiave generata con la chiave pubblica del destinatario e invia insieme il messaggio e la chiave generata. Il destinatario decifra la chiave simmetrica con la propria chiave privata ed infine decifra il messaggio.

13 Diapositiva 12 La firma digitale Grazie alla complementarità delle chiavi pubblica e privata, una stringa cifrata con una chiave può essere decifrata solo mediante l'altra chiave. Pertanto, la decifratura di un testo mediante una chiave assicura che esso è stato cifrato con la chiave complementare. Gli algoritmi di firma digitale sfruttano questa caratteristica per verificare la reale provenienza del messaggio (autenticazione del mittente). La firma digitale è una stringa ricavata dal messaggio applicando un particolare algoritmo, cifrata mediante la chiave privata del mittente e spedita insieme al messaggio. La decifratura della firma mediante la chiave pubblica prova che è stata cifrata dal mittente o da qualcuno in possesso della sua chiave privata. Inoltre, il confronto della stringa decifrata con una stringa ricavata ex-novo dal messaggio applicando lo stesso algoritmo, consente di verificare l integrità: se le due stringhe coincidono il messaggio è integro. 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 12 Grazie alla complementarietà delle chiavi pubblica e privata, una stringa cifrata con una chiave può essere decifrata solo mediante l'altra chiave. Pertanto, la decifratura di un testo mediante una chiave assicura che esso è stato cifrato con la chiave complementare. Gli algoritmi di firma digitale sfruttano questa caratteristica per verificare la reale provenienza del messaggio (autenticazione del mittente). La firma digitale è una stringa ricavata dal messaggio applicando un particolare algoritmo, cifrata mediante la chiave privata del mittente e spedita insieme al messaggio. La decifratura della firma mediante la chiave pubblica prova che è stata cifrata dal mittente o da qualcuno in possesso della sua chiave privata. Inoltre, il confronto della stringa decifrata con una stringa ricavata ex-novo dal messaggio applicando lo stesso algoritmo, consente di verificare l integrità: se le due stringhe coincidono il messaggio è integro.

14 Diapositiva 13 Come funziona il mittente, unico possessore della chiave privata, produce un impronta del messaggio, detta hash o message-digest, e la cifra con la sua chiave privata. L'hash cifrato rappresenta la firma digitale. Il destinatario riceve il messaggio insieme alla firma. Dal messaggio, eventualmente cifrato, ricostruisce l'impronta, mentre dall hash, dopo averlo decifrato con la chiave pubblica del mittente, ricava l'impronta del messaggio com era al momento della sua spedizione. Se le due impronte così ottenute coincidono si è certi che la firma è stata apposta mediante la chiave privata del mittente e che il messaggio non è stato modificato durante la trasmissione. 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 13 Ma come funziona? Il mittente, unico possessore della chiave privata, produce un impronta del messaggio, detta hash o message-digest. L'hash cifrato rappresenta la firma digitale. Il destinatario riceve il messaggio insieme alla firma. Dal messaggio, eventualmente cifrato, ricostruisce l'impronta, mentre dall hash, dopo averlo decifrato con la chiave pubblica del mittente, ricava l'impronta del messaggio com era al momento della sua spedizione. Se le due impronte così ottenute coincidono si è certi che la firma è stata apposta mediante la chiave privata del mittente e che il messaggio non è stato modificato durante la trasmissione

15 Diapositiva 14 Certificazione L autenticazione della chiave pubblica, cioè il confermare che una chiave appartiene veramente all'ente con cui si stanno scambiando informazioni e non ad un impostore, è un nodo fondamentale per la costituzione di sistemi di comunicazione sicura. Un primo modo di autenticare un certo messaggio è quello di usare la firma digitale, tuttavia il rischio di mistificazioni esiste sempre. E' necessario dunque un documento che leghi inequivocabilmente il proprietario della chiave pubblica con la stessa: questo documento è, appunto, il certificato. Poiché tutto il funzionamento della firma digitale si basa sulla fiducia è necessaria la creazione di una Certification Authority (CA): questa deve essere una terza parte credibile (Thrusted Third Party detta TTP) incaricata del rilascio dei certificati e della verifica dell'identità richiedente, nonché del mantenimento di quella che va sotto il nome di "lista di revoca dei certificati" (CRL cioè Certificate Revocation List) dove risiedono i certificati non validi. Alcune delle maggiori società che si occupano del rilascio dei certificati dette CA sono: VeriSign BelSign AT&T Deusche Telekom American Express 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 14 L autenticazione della chiave pubblica, cioè il confermare che una chiave appartiene veramente all'ente con cui si stanno scambiando informazioni e non ad un impostore, è un nodo fondamentale per la costituzione di sistemi di comunicazione sicura. Un primo modo di autenticare un certo messaggio è quello di usare la firma digitale, tuttavia il rischio di mistificazioni esiste sempre. E' necessario dunque un documento che leghi inequivocabilmente il proprietario della chiave pubblica con la stessa: questo documento è, appunto, il certificato. Poiché tutto il funzionamento della firma digitale si basa sulla fiducia è necessaria la creazione di una Certification Authority (CA): questa deve essere una terza parte credibile (Thrusted Third Party detta TTP) incaricata del rilascio dei certificati e della verifica dell'identità richiedente, nonché del mantenimento di quella che va sotto il nome di "lista di revoca dei certificati" (CRL cioè Certificate Revocation List) dove risiedono i certificati non validi. Alcune delle maggiori società che si occupano del rilascio dei certificati dette CA sono: VeriSign BelSign AT&T Deusche Telekom American Express

16 Diapositiva 15 Contenuti di un certificato Nome del richiedente Data di rilascio Data di scadenza Nome dell' autorità che ha rilasciato il certificato Un numero di serie La chiave pubblica del richiedente Firma digitale ottenuta tramite la criptazione di quanto sopra con la chiave privata della CA. Quando si decide di fidarsi di una CA si può usare la chiave pubblica di questa per verificarlo. Si ricorda che solo la CA può aver firmato il certificato in quanto solo lei possiede la sua chiave privata. 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 15 I contenuti di un certificato sono: Nome del richiedente Data di rilascio Data di scadenza Nome dell' autorità che ha rilasciato il certificato Un numero di serie La chiave pubblica del richiedente Firma digitale ottenuta tramite la criptazione di quanto sopra con la chiave privata della CA. Quando si decide di fidarsi di una CA si può usare la chiave pubblica di questa per verificarlo. Si ricorda che solo la CA può aver firmato il certificato in quanto solo lei possiede la sua chiave privata.

17 Diapositiva 16 Kerberos Kerberos fu sviluppato al MIT (Massachussets Institute of Technology) negli anni Ottanta con un progetto denominato Athena. Lo scopo di Athena era di progettare, implementare e amministrare gli ambienti distribuiti, in modo da ottenere una massiccia autenticazione per le applicazioni client/server attraverso la crittografia a chiave segreta e condivisa. Il protocollo Kerberos utilizza una tecnica di autenticazione basata sui cosiddetti segreti condivisi: se A confida un segreto a B, il segreto è conosciuto solo da loro; ma se B riceve comunicazioni riguardo quel segreto, deve essere certo che si tratti di A, perciò A include una password. Se i due si mettono d accordo sulla password, essa rappresenta un segreto condiviso. Questo meccanismo di può essere violato: se qualcuno avesse sentito A pronunciare la password, il segreto non sarebbe più tale. Kerberos risolve i problemi legati alla sicurezza dell autenticazione attraverso l utilizzo della crittografia a chiave simmetrica: piuttosto che condividere una password, A e B condividono una chiave crittografica. 14/03/2003 A cura di Andrea Brivio - Join.it s.r.l. 16 Kerberos fu sviluppato al MIT (Massachussets Institute of Technology) negli anni Ottanta con un progetto denominato Athena. Lo scopo di Athena era di progettare, implementare e amministrare gli ambienti distribuiti, in modo da ottenere una massiccia autenticazione per le applicazioni client/server attraverso la crittografia a chiave segreta e condivisa. Il protocollo Kerberos utilizza una tecnica di autenticazione basata sui cosiddetti segreti condivisi: se A confida un segreto a B, il segreto è conosciuto solo da loro; ma se B riceve comunicazioni riguardo quel segreto, deve essere certo che si tratti di A, perciò A include una password. Se i due si mettono d accordo sulla password, essa rappresenta un segreto condiviso. Questo meccanismo può essere violato: se qualcuno avesse sentito A pronunciare la password, il segreto non sarebbe più tale. Kerberos risolve i problemi legati alla sicurezza dell autenticazione attraverso l utilizzo della crittografia a chiave simmetrica: piuttosto che condividere una password, A e B condividono una chiave crittografica.