Smart card: autenticazione utenti sotto windows. Struttura smart card. Cos è una smart card? Perché smart card. Classificazione

Transcript

1 Università Degli Studi Di Salerno Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica, a.a Sistemi di Elaborazione: Sicurezza su Reti Prof.: Alfredo De Santis Windows Studenti: Antonio De Pascale, Tony Montone, Giacomo Scaffidi Domianello SOMMARIO Smart card - Veduta d insieme - Struttura e classificazione delle smart card - Lettore e terminale di base - Standard - Sicurezza Autenticazione - Cos è l autenticazione - Rischi delle tecnologie, attacchi più comuni e trasmissione dati su reti - Processo di autenticazione tramite smart card windows - Introduzione - Chiave pubblica: concetti - Smart card authentication - Programmare una smart card Analisi dei dispositivi hardware e software utilizzati - Smart card - Lettore smart card - Gemplus SmartDiag v2.0 - GemXpresso RAD III Windows 2 Cos è una smart card? La smart card è un evoluzione della tradizionale carta magnetica. Presenta un Circuito Integrato (IC) che può essere: - una semplice memoria - un microprocessore Struttura smart card Perché smart card - Migliorano la convenienza e la sicurezza di alcune operazioni. - Rendono inattaccabili le memorie degli utenti e l identità degli account. - Proteggono contro una serie di minacce per la sicurezza. - Offrono sicurezza ai sistemi a scambio virtuale di dati. - Possono servire anche come accesso al sistema di rete, a depositi bancari e ad altri dati. Windows 3 Windows 4 Classificazione Windows 5 Windows 6

2 Memory Card Lettore e Terminale di base Ci sono principalmente tre tipi di memory card: - Straight Memory Cards Immagazzinano solo dati e non hanno capacità di elaborazione. - Protected / Segmented Memory Cards Hanno incorporata la logica per controllare l'accesso alla memoria della scheda stessa. - Stored Value Memory Cards Sono progettate con lo specifico scopo di immagazzinare valori. Lettore: usato per descrivere un'unità che si interfaccia con un PC. Terminale: dispositivo di elaborazione indipendente. I lettori si presentano di molte forme e diverse capacità. Si connettono a porte seriali RS232, porte USB, slot PCMCIA, slot di floppy-disk, porte parallele ecc. Windows 7 Windows 8 Standard Gli standard delle smart card regolamentano le proprietà fisiche e le caratteristiche di comunicazione del chip incorporato e sono coperti dall'iso ,2,3. Le principali organizzazioni che propongono i loro standard sono: - International Standards Organization (ISO) - National Institute of Standards and Technology (NIST) - Europay, MasterCard and Visa - Microsoft - CEN (Comité Europèen de Normalisation) - ETSI (Istituto Europeo degli Standard delle Telecomunicazioni) ISO 7816 ISO 7816 consta di sei parti: 1. Caratteristiche fisiche - ISO : Dimensioni ed Ubicazione dei Contatti - ISO7816-2: Segnali Elettronici e Protocolli di Trasmissione - ISO : Comandi per Interscambi tra Industrie - ISO Sistemi di numerazione e Procedure di Registrazione per Identificatori Applicativi - ISO : Dati tra industrie - ISO Windows 9 Windows 10 Cos è la sicurezza? E fondamentalmente la protezione di qualsiasi cosa preziosa dal furto, dallo smarrimento o dalla sua alterazione. Cos è la sicurezza d informazione? E l applicazione di misure per assicurare la sicurezza e la privacy dei dati nella loro gestione, salvataggio e distribuzione. Gli elementi della sicurezza di dati - Hardware: server, memorie di massa ridondanti, canali e linee di comunicazione. - Software: sistemi operativi, sistemi di database gestionale, programmi applicativi. - Dati: database che contengono informazioni relative ai clienti. - Personale: utenti e/o fonti di dati; professionisti, personale amministrativo e informatico. Windows 11 Meccanismi della sicurezza sui dati Integrità dei dati: funzione che verifica le caratteristiche dei documenti e delle transazioni. Autenticazione: con essa si ispeziona e si conferma la corretta identità di persone coinvolte in una transazione di dati. Non-ripudio: elimina la possibilità che una transazione ripudiata o invalidata può essere verificata come corretta. Concessione e delegazione: processo che permette l accesso di specifici dati all'interno di un sistema. Controllo e registrazione: esamina la registrazione dei record, le attività per assicurare la conformità ai controlli stabiliti, le procedure operative in polizze. Gestione: è la tutela e la progettazione degli elementi e dei meccanismi discussi sopra. Windows 12

3 Sistema di sicurezza host-based Sistema di sicurezza card-based Tratta una scheda come un semplice veicolo che trasporta dati. Ogni protezione dei dati è fatta dal computer server. Il sistema è facilmente attaccabile. Possibili attacchi: alcune parti delle chiavi sono in chiaro e possono essere analizzate da hackers. Possibile rimedio: uso di memory cards che implementano un meccanismo di password per prevenire la lettura non autorizzata dei dati. Basato su microprocessori inclusi nelle card. L'accesso alle informazioni nella scheda è controllato da: a) un sistema operativo interno alla scheda. b) un insieme di permessi. Ci sono due tipi di approccio per i sistemi operativi di scheda: - Approccio Classico: tratta ogni scheda come un dispositivo sicuro di calcolo e di salvataggio dati. - Approccio Disk Drive: c è una memoria attiva che gestisce la scheda e permette di caricare specifiche applicazioni e file. Possbili attacchi: le password possono essere sniffate in chiaro. Windows 13 Windows 14 SOMMARIO Smart card - Veduta d insieme - Struttura e classificazione delle smart card - Lettore e terminale di base - Standard - Sicurezza Autenticazione - Cos è l autenticazione - Rischi delle tecnologie, attacchi più comuni e trasmissione dati su reti - Processo di autenticazione tramite smart card windows - Introduzione - Chiave pubblica: concetti - Smart card authentication - Programmare una smart card Analisi dei dispositivi hardware e software utilizzati - Smart card - Lettore smart card - Gemplus SmartDiag v2.0 - GemXpresso RAD III Windows 15 Cos è l autenticazione L'autenticazione è il processo attraverso il quale viene verificata l'identità di un utente che vuole accedere ad un computer o ad una una rete. Un buon processo di autenticazione ricorre normalmente ai seguenti tre fattori: - qualcosa che solo l'utente conosce - qualcosa che solo l'utente possiede - un aspetto fisiologico o comportamentale Windows 16 Quello che un utente conosce: le password La password è l'insieme di caratteri alfanumerici, di lunghezza variabile, che immessa in un sistema ne permette l'accesso. Per definizione nessuna password è sicura al 100%. Per incrementarne la sicurezza si può ricorrere alle password dinamiche. Sono password composte da una porzione alfanumerica fissa e una porzione alfanumerica, o più spesso solo numerica, che cambia ad ogni intervallo di tempo. Un esempio di questo sistema è fornito dall RSA. Quello che un utente possiede: i dispositivi hardware Smart card Chiave hardware Proximity tools Windows 17 Windows 18

4 Quello che un utente è: i dispositivi biometrici E un sistema di riconoscimento che stabilisce l'autenticità di una caratteristica fisiologica o del comportamento di un utente. Quali sono i rischi derivanti dall utilizzo di queste tecnologie? Il rischio maggiore è che la macchina non sia in grado di distinguere tra soggetti autorizzati ad accedere ad una risorsa e soggetti non autorizzati. Gli hackers giocano proprio su questo punto debole del sistema, ossia cercano di farsi riconoscere come persone autorizzate. Tipi di attacchi: - tentativi di indovinare le password - impossessarsi dei dispositivi hardware (chiavi USB, smart card, ) - man in the middle Windows 19 Windows 20 Quali sono i metodi di attacco più comuni? Quanto è sicura la trasmissione di dati su reti protette da protocolli di codifica Password cracker: dictionary based (veloce ma non molto efficace) brute force attack (lento ma quasi infallibile) tipo di attaccante Hacker Chiave a 40 bit 5 h. Chiave a 46 bit anni Chiave a 56 bit anni Chiave a 80 bit anni Chiave a 128 bit anni PMI 2 sec. 1 anno anni anni anni Grande Impresa 2 ms. 9 gg anni anni anni Intelligence Agency 2 ms. 13 sec. 7 anni 7 anni anni Windows 21 Windows 22 Processo di autenticazione tramite smart card Interazione utente con un Infrastruttura a Chiave Pubblica Opera il riconoscimento, tra smart card e mondo esterno. Lo standard ISO definisce tre tipi di autenticazione: - interna - esterna - reciproca La suddivisione è definita in base e chi effettivamente effettua la verifica dell identità (il mondo esterno, la card o entrambi). Windows 23 Windows 24

5 SOMMARIO Smart card - Veduta d insieme - Struttura e classificazione delle smart card - Lettore e terminale di base - Standard - Sicurezza Autenticazione - Cos è l autenticazione - Rischi delle tecnologie, attacchi più comuni e trasmissione dati su reti - Processo di autenticazione tramite smart card windows - Introduzione - Chiave pubblica: concetti - Smart card authentication - Programmare una smart card Analisi dei dispositivi hardware e software utilizzati - Smart card - Lettore smart card - Gemplus SmartDiag v2.0 - GemXpresso RAD III Windows 25 Kerberos Consente ad un processo (client) per conto di un utente (user) di autenticarsi presso un verificatore. L autenticazione viene effettuata senza spedire dati significativi attraverso la rete. Windows 26 Active Directory Domini, Foreste e Fiducia E un namespace (spazio di nomi): un area limitata nella quale un dato nome può essere risolto. La risoluzione del nome è il processo di traduzione di un nome in qualche oggetto o informazione che esso rappresenta. Una directory telefonica, ad esempio, forma un namespace nel quale i nomi degli abbonati telefonici possono essere risolti in numeri telefonici. Un dominio è un singolo confine di sicurezza in Windows 2000, avente le proprie politiche e relazioni di sicurezza con gli altri domini. Quando domini multipli sono connessi da relazioni di fiducia ci troviamo di fronte ad un domain tree (albero di dominio). Alberi di dominio multipli possono essere connessi assieme in una foresta. Windows 27 Windows 28 Cos è un infrastruttura a chiave publica? Certificati E un insieme di componenti che gestiscono certificati e chiavi, utilizzati per la codifica e per servizi di firma digitale. I componenti del PKI di Windows 2000 includono: servizi dell autorità di certificazione (CA) Microsoft CryptoAPI politiche di infrastruttura Windows 29 Windows 30

6 Lo standard dei certificati X.509 Nello standard X.509 v3 un certificato consiste dei seguenti campi : versione numero seriale ID dell algoritmo di firma nome di chi ha emesso il certificato periodo di validità nome dell utente informazioni sulla chiave pubblica dell utente identificatore (unico) dell emittente (versione 2 e 3) identificatore (unico) dell utente (versione 2 e 3) estensioni (solo versione 3) firma dei campi precedenti Autorità di Certificazione (CA) I certificati sono emessi da un autorità di certificazione (CA), che garantisce per l identità di coloro per cui emette i certificati e a cui associa una data chiave. Per prevenire la perdita di certificati, la chiave pubblica della CA deve essere attendibile. Una CA deve pubblicizzare la sua chiave pubblica ed esibire un certificato di un altra CA a più alto livello che attesti la validità della propria chiave. Windows 31 Windows 32 Smart card authentication Logon interattivo Una smart card può essere utilizzata per autenticarsi ad un dominio Windows 2000 in tre modi: Logon interattivo: l utente, inserendo il PIN, si autentica alla macchina utilizzando la smart card Autenticazione client: la smart card è utilizzata durante la generazione di una sessione sicura con SSL o TLS Logon remoto: utilizza certificati a chiave pubblica per autenticare un user remoto ad un account memorizzato in Active Directory PIN Windows 33 Windows 34 Logon interattivo Dopo che l user inserisce il PIN nella finestra di logon, il sistema operativo inizia una sequenza di azioni per determinare se l utente può essere identificato e autenticato. Windows 2000, in questa fase, utilizza: Protocollo Kerberos versione 5 Certificati X.509 Microsoft CryptoAPI Active Directory Autenticazione client Il ruolo della smart card nell autenticazione client è quello di firmare una parte del protocollo durante la sessione iniziale di negoziazione SSL. La chiave privata corrispondente al certificato a chiave pubblica è memorizzata sulla smart card quindi il metodo di autenticazione è forte. L operazione che coinvolge la chiave privata è fatta sulla card; in tal modo la chiave privata non è mai esposta al computer host o alla rete. Windows 35 Windows 36

7 Autenticazione client Logon remoto Per le connessioni di rete e remote è possibile utilizzare i seguenti metodi e protocolli di autenticazione: Protocollo PAP (Password Authentication Protocol) Protocollo CHAP (Challenge Handshake Authentication Protocol) Protocollo SPAP (Shiva Password Authentication Protocol) Protocollo MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) Protocollo MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol versione 2) Protocollo EAP (Extensible Authentication Protocol) Autenticazione basata su smart card e altri certificati Windows 37 Windows 38 Programmare una smart card Non si può pensare di comperare un insieme di smart card, distribuirle agli utenti e aspettarsi che esse lavorino. Queste devono prima essere programmate da un amministratore. La procedura da seguire può essere suddivisa in quattro passi: 1. configurare la CA per emettere i certificati corretti 2. specificare la politica che stabilisce quali user possono iscriversi per questi certificati 3. configurare l account dell agente di iscrizione 4. iscrivere gli user per le smart card Windows 39 SOMMARIO Smart card - Veduta d insieme - Struttura e classificazione delle smart card - Lettore e terminale di base - Standard - Sicurezza Autenticazione - Cos è l autenticazione - Rischi delle tecnologie, attacchi più comuni e trasmissione dati su reti - Processo di autenticazione tramite smart card windows - Introduzione - Chiave pubblica: concetti - Smart card authentication - Programmare una smart card Analisi dei dispositivi hardware e software utilizzati - Smart card - Lettore smart card - Gemplus SmartDiag v2.0 - GemXpresso RAD III Windows 40 Smart card Lettore smart card Reader Gemplus GemPC410 0 Message The reader is available for use. Message Details The diagnostic tool recognizes this reader and did not find any problem. MessageDetailsNote front back Vendor Type Gemplus COM Device Caratteristiche: Java Card 2.1 API Java Card 2.1 VM Visa OP Security algorithm: 3-DES & RSA (512 bit-key) 8 bit processor Windows 41 Maximum Data Rate Model Plug and Play ID Version Certifications Information Web Page Driver File Name Driver File Version Driver Signature Latest Driver Card ATR GemPC410 or Compatible GEM0410 GemCore-R1.21-GM Designed for Windows 98, NT4 and gemser.sys F 6D B E Windows 42

8 Gemplus SmartDiag v 2.0 Questo programma verifica che il lettore di smart card e la card in esso contenuta, siano disponibili per altri programmi. GemXpresso RAD III Permette di sviluppare, simulare, testare le applicazioni e gli applets della Java card rendendo la programmazione più facile e più efficente. Comprende due software per poter interoperare con una smart card: - JCardManager - GemXpresso Simulator Windows 43 Windows 44 JCardManager Tools Windows 45 Windows 46 Authenticate Change PIN Windows 47 Windows 48

9 Delete Get Data Windows 49 Windows 50 Get memory space Get status Windows 51 Windows 52 Install Put data Windows 53 Windows 54

10 Put key Quick load Windows 55 Windows 56 Reset Select Windows 57 Windows 58 Send APDU Set status Windows 59 Windows 60

11 Upload File into a Card GemXpresso Simulator (GSE GUI) Visualizza contesti di smart card simulate e tiene traccia dei comandi e delle risposte scambiate tra la card simulata e un applicazione client (come ad esempio JCardManager). Windows 61 Windows 62 GemXpresso Simulator (GSE GUI) Option(s). Si possono specificare le seguenti opzioni: -card simmode dove simmode può essere: JAVACARD_21 JAVACARD_21_IS GXP211V2 GXP211V2_IS GXP211_PK GXP211_PS_IS GXPLITE GXXV3 -atr ATRvalue -motherkey customkey -serial customserialno Windows 63