Sicurezza in E-Commerce
|
|
- Caterina Grilli
- 8 anni fa
- Visualizzazioni
Transcript
1 Sicurezza in E-Commerce Corso di Laurea Magistrale Scienze e Tecnologie Informatiche Sicurezza dei Sistemi Informatici A. A. 2008/2009 Luca Assirelli - Mirco Gamberini Gruppo 6
2 E-Commerce Internet, ha trasformato il commercio elettronico da semplice scambio di dati tra imprese in una vera attività commerciale in cui i siti Web funzionano come negozi virtuali annullando la distanza tra l azienda produttrice ed il consumatore finale. L E-Commerce è l'insieme delle transazioni per la commercializzazione di beni e servizi tra produttore (offerta) e consumatore (domanda), realizzate tramite Internet. In Italia si diffuse verso la fine degli anni 90. Oggi una delle realtà più significativa di E-Commerce è Ebay.
3 Vantaggi del E-Commerce Chi acquista: Comodità: non bisogna muoversi da casa per fare acquisti. Convenienza: ci sono vari sconti e promozioni sui prodotti. Informazione: vagliare gli acquisti con calma. Cortesia: i commessi virtuali trattano con dovuta premura i propri clienti nell'intento di fidelizzarli Chi vende: Flessibilità: è facile pianificare le vendite. Visibilità: grande quantità di visite e contatti ricevuti nella piazza di Internet. Economicità: non richiede grossi investimenti.
4 Ha effettuato acquisti in Rete negli ultimi 3 mesi Dati sull E-Commerce in Italia Penetrazione dell'ecommerce in alcuni paesi europei 60% 50% 50% 43% 43% 41% 40% 30% 26% 20% 13% 10% 7% 6% 0% Fonte: Experian 28/11/2008
5 Problemi sull E-Commerce Chi acquista: Mancanza del contatto diretto Impossibilità del possesso immediato Assenza di dimostrazioni pratiche Chi vende: Difetti di comprensione del comportamento della clientela Incapacità di prevedere le reazioni nell'ambiente in cui opera l'impresa Sottovalutazione dei tempi richiesti per il raggiungimento degli obiettivi aziendali.
6 Sicurezza in e-commerce Riguarda sicurezza sulle modalità di pagamento. Dubbi riguardo la sicurezza. Molte persone non usano la carta di credito in Internet per timore di furti e frodi. Inizialmente, trasferimento di informazioni avveniva in chiaro. Riservatezza Transazioni sicure
7 I Protocolli per la sicurezza delle transazioni Due sono i protocolli più diffusi per garantire la sicurezza delle transazioni: Transport Layer Security (TLS): è il successore di SSL. È un protocollo crittografico che permette comunicazioni sicure e integrità dei dati su reti TCP/IP. Ad oggi è sicuramente il sistema più usato. Opera a livello di trasporto (Transport Layer); Secure Electronic Transaction (SET): protocollo standard per rendere sicure le transazioni con carta di credito su reti insicure e, in particolare, su Internet.
8 SSL Si tratta di un protocollo a livello utente che permette di proteggere la segretezza, l'integrità e l'autenticità dei dati trasmessi tra due entità distinte su una rete di computer. L'abbinamento di questo protocollo al normale HTTP permette di ottenere un nuovo protocollo: l'https. Principali obiettivi: Sicurezza integrità; crittografica: deve garantire segretezza, autenticazione e Interoperabilità: diverse implementazioni dello stesso standard possono dialogare; Estendibilità: possibili aggiunta di nuovi sistemi di cifratura; Efficienza relativa: SSL fornisce alcuni metodi per limitare il carico computazionale e l utilizzo di banda.
9 Storia di SSL SSL v1 non è mai stato rilasciato; SSL v2 (Secure Socket Layer) è stato proposto da Netscape nel 1995 come elemento del suo browser: Netscape Navigator 1.1; Microsoft migliorò tale protocollo (aggiustando alcuni problemi di sicurezza) e rilasciando un suo protocollo incompatibile: PCT (Private Communications Technology); SSL v3 fu rilasciato nel 1996 da Netscape come revisione del precedente protocollo; Nel gennaio 1999, IETF produce il successore di SSL che prende il nome di TLS.
10 Funzionamento di SSLv3
11 Altri protocolli del SSL Oltre ai protocolli principali Handshake Protocol e Record Protocol, ci sono altri due importanti protocolli utilizzati in SSL: Alert Protocol: si occupa della gestione delle eventuali situazioni di errore, segnalandolo attraverso l invio di un messaggio che può essere: Fatal Warning ChangeCipherSpec Protocol: permette di passare dalla fase di negoziazione alla fase di trasmissione vera e propria. Da questo momento in poi, tutti i messaggi saranno criptati.
12 Tipi di attacchi (1/2) Man-In-The-Middle: se il server usa certificati correttamente firmati dalle CA ciò non è possibile; possibile con l Anonymous DH; Replay attack e riordino dei pacchetti: non è possibile grazie ai numeri di sequenza; CipherSuite list manipulation: in SSL v2 l avversario poteva modificare la lista delle ciphersuite (magari eliminando quelle più sicure) ed inducendo le parti coinvolte a concordare una suite più debole del necessario; in SSL v3 questo è stato sistemato inviando (in modo protetto) l hash di tutti i messaggi scambiati (rilevando così dei messaggi alterati);
13 Tipi di attacchi (2/2) Version manipulation: l avversario potrebbe manipolare il numero di versione supportato per indurre le parti ad usare una versione più debole di SSL (magari la v2); in SSL v3 ciò si può evitare poiché: Alla fine c è il doppio scambio di hash sui messaggi scambiati; Le implementazioni SSL v3 che supportano la v2 inseriscono una modifica nota all interno dell encryption RSA per riconoscere un client v3 anche se si spaccia per un v2. Rilevazione di dati semantici sul plaintext: analizzando il traffico cifrato l avversario potrebbe riuscire a rilevare delle informazioni sulla semantica dei dati in chiaro trasmessi, ad esempio: Invio multiplo di blocchi uguali: grazie agli stream cipher e ai modi di applicazione (tipo CBC) dei block cipher con i vettori di inizializzazione è possibile spezzare questi legami tra blocchi; Rilevazione della lunghezza dei dati inviati.
14 Debolezze di SSL (1/2) Non protegge da attacchi agli host Tripwire: software che garantisce l integrit{ dei dati, ovvero permette di modificare gli stessi solo alle persone autorizzate. Alcuni dati spediti nel Client hello potrebbero essere spediti in un secondo momento, crittografati. Un errato MAC potrebbe far terminare la connessione, provocando nuovi attacchi, per esempio di tipo DoS, in cui si cerca di portare il funzionamento di un sistema informatico che fornisce un servizio al limite delle prestazioni.
15 Debolezze di SSL (2/2) Uno dei punti deboli di SSL sta proprio nel certificato del server; Se il certificato non viene controllato a dovere la sicurezza del sistema crolla vertiginosamente; E necessario anche controllare l URL e i dati del certificato.
16 TLS Il protocollo consente di comunicare attraverso una rete in modo tale da prevenire la manomissione dei dati, la falsificazione e l intercettazione. Definito da Internet Engineering Task Force (IETF) Giunto alla versione 1.2 Successore di SSL Funzionamento simile a SSL
17 Differenze con SSL Aggiunti più alert ad Alert Protocol HMAC (Hash MAC) Generazione della chiave con PRF CertificateVerify TLS-PSK o SRP
18 HMAC (1/3) La differenza sostanziale tra SSL e il suo successore TLS risiede nella fase di autenticazione dei messaggi. Infatti, in SSL l autenticazione è garantita dall utilizzo di una funzione pseudorandom, mentre in TLS l autenticazione del messaggio è garantita da un algoritmo di hash mediante l utilizzo di HMAC. HMAC (keyed-hash Message Authentication Code) è una tipologia di MAC basata su funzione hash, utilizzata in diverse applicazioni legate alla sicurezza informatica. Peculiarità di HMAC è il non essere legata a nessuna funzione di hash particolare, questo per rendere possibile una sostituzione della funzione nel caso fosse scoperta la sua debolezza. Nonostante ciò le funzioni più utilizzate sono MD5 e SHA-1. Utilizzato anche da IPSec.
19 HMAC (2/3) Chiave Ipad: Inner pad, byte 0x36 ripetuti 64 volte Opad: Outer pad, byte 0x5c ripetuti 64 volte. Messaggio da scambiare Funzione hash MAC del messaggio
20 HMAC (3/3) La funzione è definita nel seguente modo: Combinando chiave e funzioni hash in questo modo si evitano attacchi che vengono effettuati sucombinazioni più semplici del tipo: MAC = H(key ++ message) La funzione hash più esterna maschera il risultato di quella interna. Ipad e Opad permettono elevata distanza di Hamming. SICUREZZA Dipende dalla lunghezza della chiave. Non è affetto da collisioni. IMPORTANTE: la sicurezza di HMAC è basata sulle esistenti funzioni hash crittografiche.
21 Intermediate pseudo-random Output A partire dall H-MAC standard, TLS definisce una procedura attraverso la quale utilizzare H-MAC per generare un risultato pseudo-random. Questa procedura prende il input un segreto e un seme. La procedura genera tanti risultati pseudorandom quanti sono necessari.
22 PRF (Pseudo Random Function) Allo scopo di un ulteriore miglioramento, TLS utilizza la procedura per generare dei risultati pseudo-random vista in precedenza per creare una funzione pseudo-random detta PRF. Essa combina due separate istanze della procedura di generazione dei risultati pseudo-random: in una viene utilizzato l algoritmo hash MD5, mentre nell altra viene utilizzato l algoritmo hash SHA.
23 Key material generation TLS utilizza la PRF per generare contemporaneamente sia il master secret che la chiave.
24 Assenza di certificati Nel TLS l autenticazione è unilaterale: solo il server è autenticato ma non viceversa. Il protocollo però permette anche un autenticazione bilaterale attraverso lo scambio dei relativi certificati tra il server e il client. Incaso di assenza di certificati? Si possono utilizzare due protocolli distinti: Pre Shared Key (TLS-PSK); Secure Remote Password (SRP)
25 TLS-PSK (TLS Pre-Shared Key) TLS-PSK è un insieme di protocolli crittografici che garantiscono la comunicazione sicura attraverso l utilizzo di chiavi pre-condivise. Può essere utilizzato per la sola autenticazione delle parti, per autenticare lo scambio di chiavi Diffie-Helmann, o per combinare l autenticazione del server tramite certificato con l autenticazione del client con chiave pre-condivisa.
26 Diffie-Hellman: un protocollo per scambio di chiavi Un protocollo per generare un segreto S condiviso tra due utenti E legato al problema del logaritmo discreto Calcolare z = g^w mod p è facile es: z = 2^4 mod 11 z = 5 Il problema inverso, ovvero trovare w dati z,g e p è difficile es: 3 = 2^w mod 11 w =?? Uno dei modi per ottenere il logaritmo discreto è quello di provare tutte le potenze di w finchè non si trova l esponente giusto, macon numeri grandi questo richiede molte risorse di calcolo
27 Diffie-Hellman: funzionamento 1. Inizio: determinare un numero primo grande n, ed un generatore g, 1<g<n Possono essere valori pubblici! 2. Alice: sceglie a, spedisce A = g a mod n a Bob, dove a è segreto 3. Bob: sceglie b, spedisce B = g b mod n ad Alice, dove b è segreto 4. Entrambi calcolano S = g (a*b) mod n Alice: S = B a mod n; Bob: S = A b mod n; Si ha che: (g a mod n) b mod n = (g b mod n) a mod n
28 DHE_PSK & RSA_PSK Esistono diverse chypersuite per il TLS-PSK che sono: il PSK, il DHE_PSK e l RSA_PSK. Tutti utilizzano la stessa struttura per il premaster secret che viene generato includendo la chiave pre-condivisa e altri segreti. DHE_PSK: utilizza PSK per autenticare lo scambio di chiavi Diffie Hellman. In questo caso, il ServerKeyExchange e il ClientKeyExchange includono i parametri Diffie Hellman; RSA_PSK: utilizza RSA e un certificato per autenticare il server e nello stesso tempo raggiunge anche l autenticazione reciproca tramite l utilizzo della chiave pre-condivisa.
29 SRP (Secure Remote Password) È un protocollo di autenticazione pensato per lo scambio sicuro ed autenticato di chiave di sessione, progettato per resistere ad attacchi attivi e passivi. Il meccanismo è analogo a quello del protocollo di Diffie-Hellman di cui SRP è un estensione. Eredita i vantaggi del protocollo DH, risolvendone la maggior parte delle vulnerabilità. S corrisponde al pre-master secret utilizzato da TLS per ricavare il master secret attraverso la chiave K cosi generata.
30 Software liberi OpenSSL: è un'implementazione open source dei protocolli SSL e TLS. Le librerie di base (scritte in linguaggio C) eseguono le funzioni crittografiche principali. Nei diversi linguaggi di programmazione sono disponibili procedure che permettono di accedere alle funzioni della libreria OpenSSL. GnuTLS: è un'implementazione libera dei protocolli SSL e TLS. Il suo scopo è di offrire un'interfaccia di programmazione (API) per aprire un canale di comunicazione sicura attraverso la rete. GnuTLS è rilasciato tramite la licenza GNU
31 SET (Secure Electronic Transaction) Il SET è un protocollo standard per rendere sicure le transazioni con carta di credito su reti insicure quali Internet. È stato sviluppato da Visa e Mastercard ed alcune altre grandi aziende quali la Microsoft, IBM e Netscape a partire dal Le fasi previste dallo standard sono: 1. Registrazione del possessore della carta di credito; 2. Registrazione del commerciante; 3. Sottomissione di un ordine; 4. Autorizzazione del pagamento. Le prime due fasi sono eseguite una volta sola e indipendentemente dalle due parti.
32 Architettura Il SET opera sul livello applicativo (digital wallet) indipendentemente dal livello di trasporto, una proprietà che lo distingue da SSL. Si focalizza solo sul pagamento ed esclude la ricerca e la selezione dei beni. Esso introduce tre novità: la certification authority che certifica i partecipanti; il payment gateway, che fa da filtro fra Internet e la rete bancaria; la dual signature, la doppia firma. Vi sono sei partecipanti: il cardholder, la cui carta è conforme alle specifiche SET; il commerciante; il payment gateway; l Issuing Istitution, che emette la carta di credito; la Certification Authority (CA); l Acquiring istitution, che è la banca del commerciante.
33 Funzionamento (1/2) Il SET essendo una forma di pagamento viene selezionata dal cliente sulla pagina Web una volta che questi ha preparato l ordine. A questo punto il browser lancia automaticamente un software denominato digital wallet (borsello elettronico) cui si accede inserendo il proprio codice di identificazione e password. In questo modo si può avviare la procedura di pagamento: al venditore viene inviato un messaggio con le informazioni riguardo al pagamento e l ordine effettuato dal cliente, insieme all ordine destinato l Acquiring istitution. A questo punto il venditore richiederà all Acquiring Istitution di verificare la validità della carta di credito utilizzata dal cliente. Se la carta di credito è valida, l Acquiring Istitution invia al venditore il documento firmato e certificato per autorizzare l acquisto, e se confermato effettuerà il pagamento tramite la rete interbancaria
34 Funzionamento (2/2)
35 Crittografia nel SET Il SET combina la crittografia a chiave pubblica con algoritmi di crittografia a chiave simmetrica: anche le chiavi segrete vengono distribuite con algoritmi a chiave pubblica. Si ottiene la cosiddetta busta digitale: la chiave simmetrica viene inviata utilizzando la chiave pubblica del destinatario per mezzo dell RSA e inviata insieme al messaggio cifrato. Combina la crittografia a chiave pubblica con l uso dei message digest. Il SET fa uso di due tipologie di funzioni hash: SHA-1 HMAC
36 Dual Signature Ladoppia firma si ottiene nel modo seguente: A calcola il message digest di M1 (h(m1)) e di M2 (h(m2)); A concatena i due digest ottenuti e firma con la sua chiave privata di signature (ea) il risultato della concatenazione ottenendo ea(h(m1) h(m2)); A invia a B1 il messaggio <M1, h(m2), ea(h(m1) h(m2))> ed a B2 il messaggio <h(m1),m2, ea(h(m1) h(m2))>. Per verificare la firma di A, si estrae il message digest della doppia firma di A, si calcola il message digest di M1 e lo si concatena a quello di M2, quindi si computa il message digest del risultato e lo si confronta con quello estratto dalla doppia firma di A. Se coincidono allora A ha firmato il messaggio M=M1 M2.
37 Confronto tra SET e SSL SET protegge l identit{ delle parti, SSL no; il SET è un protocollo da utente a utente, mentre l SSL è point-to-point, cioè tra client e server; nel SET non solo i dati vengono trasferiti dal consumatore al commerciante, ma il SET garantisce che quegli stessi dati vengano trasferiti alla banca del commerciante; l SSL non garantisce la non ripudiabilit{ di una transazione.
38 Concludendo SET fu ampiamente pubblicizzato alla fine degli anni novanta come lo standard approvato dalle carte di credito ma non riuscì a conquistare quote di mercato. Tra le cause di ciò, vanno citati: la necessità di installare un software client (digital wallet) da parte dell utente; il costo e la complessità per gli imprenditori di offrire supporto tecnico agli utenti; la difficoltà logistica di distribuzione dei certificati sul lato client; tempi di risposta inadeguati.
39 Bibliografia trazione%20di%20sistema/lds-ssl.pdf; SSL and TLS essentials. Securing the Web Stephen Thomas John Wiley & Sons; Andrea Manganaro, Mingyur Koblensky, Michele Loreti, Analisi del protocollo SRP (Secure Remote Password), 2007; ico%20sicuro.pdf.
Approfondimento di Marco Mulas
Approfondimento di Marco Mulas Affidabilità: TCP o UDP Throughput: banda a disposizione Temporizzazione: realtime o piccoli ritardi Sicurezza Riservatezza dei dati Integrità dei dati Autenticazione di
DettagliSSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer
: applicazioni telematiche Secure Socket Layer E-commerce Trading on-line Internet banking... Protocollo proposto dalla Netscape Communications Corporation Garantisce confidenzialità e affidabilità delle
DettagliCorso di Sicurezza Informatica. Sicurezza Web. Ing. Gianluca Caminiti
Corso di Sicurezza Informatica Sicurezza Web Ing. Gianluca Caminiti SSL Sommario Considerazioni sulla Sicurezza del Web Secure Socket Layer (SSL) 3 Brevi Considerazioni sulla Sicurezza del Web Web come
DettagliSommario. Introduzione alla Sicurezza Web
Sommario Introduzione alla Sicurezza Web Considerazioni generali IPSec Secure Socket Layer (SSL) e Transport Layer Security (TLS) Secure Electronic Transaction (SET) Introduzione alla crittografia Introduzione
DettagliComunicazioni sicure su Internet: https e SSL. Fisica dell Informazione
Comunicazioni sicure su Internet: https e SSL Fisica dell Informazione Il servizio World Wide Web (WWW) Come funziona nel dettaglio il Web? tre insiemi di regole: Uniform Resource Locator (URL) Hyper Text
DettagliLa sicurezza nelle reti di calcolatori
La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico
DettagliProgrammazione in Rete
Programmazione in Rete a.a. 2005/2006 http://www.di.uniba.it/~lisi/courses/prog-rete/prog-rete0506.htm dott.ssa Francesca A. Lisi lisi@di.uniba.it Orario di ricevimento: mercoledì ore 10-12 Sommario della
DettagliSETEFI. Marco Cantarini, Daniele Maccauro, Domenico Marzolla. 19 Aprile 2012
e VIRTUALCARD 19 Aprile 2012 e VIRTUALCARD Introduzione Il nostro obiettivo é quello di illustrare la struttura e le caratteristiche di fondo che stanno alla base delle transazioni online operate tramite
DettagliLa sicurezza nelle comunicazioni Internet
Accesso remoto sicuro a intranet e a server aziendali di posta elettronica Un esempio Cosa ci si deve aspettare di sapere alla fine del corso La sicurezza nelle comunicazioni Internet Esiste un conflitto
DettagliSicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15
Sicurezza dei sistemi e delle 1 Mattia Lezione VI: Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2014/15 1 cba 2011 15 M.. Creative Commons Attribuzione Condividi
DettagliInformatica per la comunicazione" - lezione 13 -
Informatica per la comunicazione" - lezione 13 - Funzionamento di una password" 1: l utente tramite il suo browser richiede l accesso a una pagina del server; 2: il server richiede il nome utente e la
DettagliAcquisto con carta di credito. Acquisto con carta di credito
Acquisto con carta di credito Vantaggio: facile da implementare Svantaggio: per un malintenzionato è più facile carpire il numero della carta attraverso Internet che non via telefono Svantaggio: credibilità
DettagliAllegato 3 Sistema per l interscambio dei dati (SID)
Sistema per l interscambio dei dati (SID) Specifiche dell infrastruttura per la trasmissione delle Comunicazioni previste dall art. 11 comma 2 del decreto legge 6 dicembre 2011 n.201 Sommario Introduzione...
DettagliElementi di Sicurezza informatica
Elementi di Sicurezza informatica Secure Socket Layer Università degli Studi di Perugia Indice 1 1.Introduzione 2 3 Perché SSL Funzionalità Storia di SSL Introduzione Introduzione Perché SSL; Funzionalità;
DettagliSicurezza a livello IP: IPsec e le reti private virtuali
Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.
DettagliLa Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.
Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione
DettagliSicurezza nelle applicazioni multimediali: lezione 7, sicurezza dei protocolli. Sicurezza dei protocolli (https, pop3s, imaps, esmtp )
Sicurezza dei protocolli (https, pop3s, imaps, esmtp ) Stack di protocolli nella trasmissione della posta elettronica 2 Sicurezza a livello applicativo Ma l utilizzo di meccanismi di cifratura e autenticazione
DettagliProblematiche correlate alla sicurezza informatica nel commercio elettronico
Problematiche correlate alla sicurezza informatica nel commercio elettronico http://www.infosec.it info@infosec.it Relatore: Stefano Venturoli, General Manager Infosec Italian Cyberspace Law Conference
DettagliSoftware Servizi Web UOGA
Manuale Operativo Utente Software Servizi Web UOGA S.p.A. Informatica e Servizi Interbancari Sammarinesi Strada Caiese, 3 47891 Dogana Tel. 0549 979611 Fax 0549 979699 e-mail: info@isis.sm Identificatore
DettagliRC4 RC4. Davide Cerri. Davide Cerri CEFRIEL - Politecnico di Milano cerri@cefriel.it http://www.cefriel.it/~cerri/
POLITECNICO DI MILANO CEFRIEL - Politecnico di Milano cerri@cefriel.it http://www.cefriel.it/~cerri/ è un cifrario a flusso progettato da Ron Rivest (la R di RSA) nel 1987. Era un segreto commerciale della
DettagliProtezione delle informazioni in SMart esolutions
Protezione delle informazioni in SMart esolutions Argomenti Cos'è SMart esolutions? Cosa si intende per protezione delle informazioni? Definizioni Funzioni di protezione di SMart esolutions Domande frequenti
DettagliAppendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi. prof.
Operatore Informatico Giuridico Informatica Giuridica di Base A.A 2003/2004 I Semestre Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi prof.
DettagliLa sicurezza nel Web
La sicurezza nel Web Protezione vs. Sicurezza Protezione: garantire un utente o un sistema della non interazione delle attività che svolgono in unix ad esempio i processi sono protetti nella loro esecuzione
DettagliCrittografia e sicurezza informatica. Sistema di voto elettronico
Crittografia e sicurezza informatica Sistema di voto elettronico Deliano Perfetti Gabriele Paone Anno 2003 1 indice 1. Specifiche 2 2. Scelte progettuali 2 Schema Server Authority Server di Voto Client
DettagliSICUREZZA. Sistemi Operativi. Sicurezza
SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema
DettagliSistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1
SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema
Dettagliazienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.
INTRODUZIONE ALLA VPN (Rete virtuale privata - Virtual Private Network) Un modo sicuro di condividere il lavoro tra diverse aziende creando una rete virtuale privata Recensito da Paolo Latella paolo.latella@alice.it
DettagliFirma digitale Definizione
FIRMA DIGITALE Firma digitale Definizione La definizione di firma digitale è contenuta nel Dlgs. Del 4/04/2006 n.159 che integra il Codice dell amministrazione digitale in vigore dal 1/01/2006. Firma digitale
DettagliSicurezza nelle applicazioni multimediali: lezione 8, sicurezza ai livelli di rete e data-link. Sicurezza ai livelli di rete e data link
Sicurezza ai livelli di rete e data link Sicurezza a livello applicativo Ma l utilizzo di meccanismi di cifratura e autenticazione può essere introdotto anche ai livelli inferiori dello stack 2 Sicurezza
DettagliRETI DI CALCOLATORI. Crittografia. La crittografia
RETI DI CALCOLATORI Crittografia La crittografia La crittografia è la scienza che studia la scrittura e la lettura di messaggi in codice ed è il fondamento su cui si basano i meccanismi di autenticazione,
DettagliMeccanismi di autenticazione sicura. Paolo Amendola GARR-CERT
Meccanismi di autenticazione sicura Paolo Amendola GARR-CERT Argomenti Crittografazione del traffico Identita digitali One-time passwords Kerberos Crittografazione del traffico Secure Shell SASL SRP sftp
DettagliSecure E-Mail: domande e risposte
domande e risposte Indice Secure E-Mail: scopo e utilità Che cosa è Secure E-Mail? Perché La Suva introduce Secure E-Mail? Quali mail criptare? Che differenza c è tra Secure E-Mail e altri canali di comunicazione
DettagliStudio della sicurezza in OMA SUPL e di una sua implementazione in Java
tesi di laurea Studio della sicurezza in OMA SUPL e di una sua implementazione in Java Anno Accademico 2005/2006 relatore Ch.mo prof. Massimo Ficco candidato Nicola Costagliola Matr. 831/165 Obiettivi
DettagliSicurezza dei sistemi informatici Firma elettronica E-commerce
Sicurezza dei sistemi informatici Firma elettronica E-commerce Il contesto applicativo Commercio elettronico Quanti bit ho guadagnato!! Marco Mezzalama Politecnico di Torino collegamenti e transazioni
DettagliSicurezza: necessità. Roberto Cecchini Ottobre 2002 1
Sicurezza: necessità Riservatezza: la comunicazione è stata intercettata? Autenticazione: l utente è veramente chi dice di essere? Autorizzazione: ogni utente può accedere solo alle risorse cui ha diritto.
DettagliIl glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.
Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC. Avviso di mancata consegna L avviso, emesso dal sistema, per indicare l anomalia
DettagliObiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative
Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica
DettagliSECURE SOCKET LAYER FEDERICO REALI
SECURE SOCKET LAYER FEDERICO REALI Sommario. In questo articolo vengono esposte le principali caratteristiche del protocollo SSL. Esso è stato introdotto sin dal 1994 e rappresenta una delle soluzioni
DettagliPROCEDURA AGGIORNAMENTO LISTE MEDIANTE L INTERFACCIA WEB
PROCEDURA AGGIORNAMENTO LISTE MEDIANTE L INTERFACCIA WEB Precondizioni Per poter eseguire i passi previsti da questa procedura è necessario che: - l'operatore (di seguito OP) abbia presentato l istanza
DettagliIl servizio di E-Commerce
24 novembre 2015 Il servizio di E-Commerce Relatore: Alberto Taroni Assistente Servizi Direzione Territoriale Toscoemiliana 24/11/2015 2 Cos è Qui Pago è l offerta di BPER per il Commercio Elettronico:
Dettagli! La crittoanalisi è invece la scienza che cerca di aggirare o superare le protezioni crittografiche, accedendo alle informazioni protette
Crittografia Cenni Damiano Carra Università degli Studi di Verona Dipartimento di Informatica La crittografia! Scienza che si occupa di proteggere l informazione rendendola sicura, in modo che un utente
DettagliVendere online. Andrea Marin. Università Ca Foscari Venezia SVILUPPO INTERCULTURALE DEI SISTEMI TURISTICI SISTEMI INFORMATIVI PER IL TURISMO
Andrea Marin Università Ca Foscari Venezia SVILUPPO INTERCULTURALE DEI SISTEMI TURISTICI SISTEMI INFORMATIVI PER IL TURISMO a.a. 2013/2014 Section 1 Introduzione Parliamo di acquisti online quando a seguito
DettagliComunicazione tra Computer. Protocolli. Astrazione di Sottosistema di Comunicazione. Modello di un Sottosistema di Comunicazione
I semestre 04/05 Comunicazione tra Computer Protocolli Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/professori/auletta/ Università degli studi di Salerno Laurea in Informatica 1
DettagliWi-Fi, la libertà di navigare in rete senza fili. Introduzione.
Wi-Fi, la libertà di navigare in rete senza fili. Introduzione. L evoluzione delle tecnologie informatiche negli ultimi decenni ha contribuito in maniera decisiva allo sviluppo del mondo aziendale, facendo
Dettaglie-government La Posta Elettronica Certificata
Creare un canale preferenziale di contatto tra lo Stato e il cittadino attraverso la forza di internet La Posta Elettronica Certificata Francesco Cipollone francesco.cipollone@gmail.com La Posta Elettronica
DettagliSicurezza nei Sistemi Distribuiti
Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti
DettagliSicurezza nei Sistemi Distribuiti
Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti
DettagliLa VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I
La VPN con il FRITZ!Box Parte I 1 Introduzione In questa mini-guida illustreremo come realizzare un collegamento tramite VPN(Virtual Private Network) tra due FRITZ!Box, in modo da mettere in comunicazioni
DettagliOpenVPN: un po di teoria e di configurazione
Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica 10 dicembre 2004 Sommario 1 Introduzione: definizione e utilizzo delle VPN 2 3 4 5 Sommario
DettagliManuale Utente Prerequisiti per DigitalSign Lite Sistema Operativo Linux a 64 bit
- Carta Regionale dei Servizi e Certificati Qualificati di Firma Digitale Manuale Utente Prerequisiti per DigitalSign Lite Sistema Operativo Linux a 64 bit Codice del Documento: CRS-CA-MES#05 Revisione
DettagliCreare connessioni cifrate con stunnel
ICT Security n. 24, Giugno 2004 p. 1 di 5 Creare connessioni cifrate con stunnel Capita, e purtroppo anche frequentemente, di dover offrire servizi molto insicuri, utilizzando ad esempio protocolli che
DettagliDEFINIZIONE MODALITÀ DI COMUNICAZIONE
DEFINIZIONE MODALITÀ DI COMUNICAZIONE MODALITÀ OP_EMAIL_RR Nell'ambito di questa modalità OP necessita di comunicare con GRO tramite: propria casella di posta elettronica. N.B.: OP si assume e sottoscrive
DettagliInsegnamento di Informatica CdS Scienze Giuridiche A.A. 2007/8
Insegnamento di Informatica CdS Scienze Giuridiche A.A. 2007/8 Livelli di rete e architettura Client-Server Lez 12 architettura client-server 1 Scorsa lezione: comunicazione Gli utenti chiedono comunicazione
DettagliServizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE
Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Redatto: Nucleo Gestione Innovazione e fornitori IT Versione: 1.0 Data emissione: 9/11/2006
DettagliPEC un obbligo che semplifica
PEC un obbligo che semplifica Obbligatorietà della PEC. Risvolti organizzativi e opportunità per lo studio professionale STEFANO STRINGA Ordine Dottori Commercialisti e Esperti Contabili di Mantova Da
DettagliReti di Telecomunicazione Lezione 8
Reti di Telecomunicazione Lezione 8 Marco Benini Corso di Laurea in Informatica marco.benini@uninsubria.it Livello di trasporto Programma della lezione relazione tra lo strato di trasporto e lo strato
DettagliUtilizzo di Certificati SSL e relative implicazioni
Utilizzo di Certificati SSL e relative implicazioni Affinché possano essere correttamente stabilite delle connessioni cifrate tramite i protocolli SSL/TLS ai servizi di IceWarp, è necessario che sul server
DettagliProva di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00
Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00 NB: alcune domande hanno risposta multipla: si richiede di identificare TUTTE le risposte corrette. Cognome: Nome:
DettagliINPS: Direzione Centrale Sistemi Informativi e Telecomunicazioni
INPS: Direzione Centrale Sistemi Informativi e Telecomunicazioni PAGAMENTI ONLINE VIA INTERNET BOLLETTINI LAVORATORI DOMESTICI Sommario 1. Premessa...3 2. Accesso alla applicazione...4 3. Pagamento online
DettagliDettaglio attività e pianificazione. snamretegas.it. San Donato Milanese Aprile 2014
Evoluzioni tecnologiche nelle integrazioni B2B introdotte dalla Nuova Piattaforma informatica per la Gestione dei processi commerciali di Programmazione e Bilancio Dettaglio attività e pianificazione San
DettagliLa sicurezza nelle reti di calcolatori
La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico
DettagliEsercitazione 02. Sommario. Un po di background (1) Un certificato digitale in breve. Andrea Nuzzolese
Sommario Esercitazione 02 Andrea Nuzzolese Certificati Descrizione esercitazione Free Secure Email Certificates (con InstantSSL) ALMA MATER STUDIORUM UNIVERSITA DI BOLOGNA Un certificato digitale in breve
DettagliProva di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00
Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 200, ore 1.00 NB: alcune domande hanno risposta multipla: si richiede di identificare TUTTE le risposte corrette. Cognome: Nome:
DettagliApplicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009
Applicazioni per l autenticazione Kerberos Kerberos Servizio di autenticazione sviluppato dal MIT Fornisce un server di autenticazione centralizzato Basato su crittografia simmetrica (chiave privata) Permette
DettagliFirewall, Proxy e VPN. L' accesso sicuro da e verso Internet
L' accesso sicuro da e verso Internet L' accesso ad Internet è ormai una necessità quotidiana per la maggior parte delle imprese. Per garantire la miglior sicurezza mettiamo in opera Firewall sul traffico
DettagliLa firma digitale e le sue possibili applicazioni
Il documento informatico e la firma digitale nelle applicazioni pratiche La firma digitale e le sue possibili applicazioni dott. Enrico Zimuel (enrico@zimuel.it) Pescara, 15 febbraio 2008 Centro Studi
DettagliLa Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo
La Firma Digitale La sperimentazione nel Comune di Cuneo Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo Perchè questa presentazione Il Comune di Cuneo, aderente alla RUPAR, ha ricevuto due
DettagliLo scenario: la definizione di Internet
1 Lo scenario: la definizione di Internet INTERNET E UN INSIEME DI RETI DI COMPUTER INTERCONNESSE TRA LORO SIA FISICAMENTE (LINEE DI COMUNICAZIONE) SIA LOGICAMENTE (PROTOCOLLI DI COMUNICAZIONE SPECIALIZZATI)
DettagliWireless Network Esercitazioni. Alessandro Villani avillani@science.unitn.it
Wireless Network Esercitazioni Alessandro Villani avillani@science.unitn.it Security e Reti Wireless Sicurezza: Overview Open network Open network+ MAC-authentication Open network+ web based gateway WEP
Dettagli1) GESTIONE DELLE POSTAZIONI REMOTE
IMPORTAZIONE ESPORTAZIONE DATI VIA FTP Per FTP ( FILE TRANSFER PROTOCOL) si intende il protocollo di internet che permette di trasferire documenti di qualsiasi tipo tra siti differenti. Per l utilizzo
DettagliLezione 7 Sicurezza delle informazioni
Lezione 7 Sicurezza delle informazioni Sommario Concetti generali Meccanismi per la sicurezza IT: Crittografia Hash Firma digitale Autenticazione 1 Concetti generali Availability Confidentiality Integrity
Dettagli2.1 Configurare il Firewall di Windows
.1 Configurare il Firewall di Windows LIBRERIA WEB Due o più computer possono scambiare dati, informazioni o servizi di tipo diverso utilizzando una connessione. Quindi, spesso, ad una connessione fisica
DettagliCanali e Core Banking
Canali e Core Banking Front End Unico Soluzione integrata per l operatività di filiale Internet e Mobile Banking Soluzioni evolute per la clientela retail anche in mobilità Corporate & Retail Banking Front
DettagliCrittografia. Crittografia Definizione. Sicurezza e qualità dei servizi su internet. 2009 Università degli Studi di Pavia, C.
Definizione La crittografia è la scienza che utilizza algoritmi matematici per cifrare e decifrare i dati. La criptoanalisi è la scienza che analizza e decifra i dati crittografati senza conoscerne a priori
DettagliLa firma digitale CHE COSA E'?
La firma digitale La Firma Digitale è il risultato di una procedura informatica che garantisce l autenticità e l integrità di messaggi e documenti scambiati e archiviati con mezzi informatici, al pari
DettagliReti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete
IP Analizziamo con sufficiente dettaglio il sistema denominato IP, usato per consentire a due computer mobili di spostarsi liberamente in altre reti pur mantenendo lo stesso indirizzo IP. In particolare,
DettagliSicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security con token SAML
Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security
DettagliSicurezza dei dati. Xml Encryption e Digital Signature. Sicurezza dei dati. XML Encryption. Svantaggio di SSL. SSL (Secure Socket Layer)
Università degli studi di Milano CLS tecnologie dell informazione e comunicazione Seminario di Laboratorio di Base di Dati 2 Xml Encryption e Digital Signature Sicurezza dei dati Grazie alla sua caratteristiche
DettagliDocumenti cartacei e digitali. Autenticità. Cosa si vuole garantire? Riservatezza. Integrità 11/12/2012. PA digitale: documenti e firme (I.
Università degli studi di Catania Pubblica Amministrazione digitale Elementi tecnici sulla firma digitale Ignazio Zangara Agatino Di Bella Area della Formazione Gestione dell archivio (novembre dicembre
DettagliPostaCertificat@ Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@
PostaCertificat@ Postecom S.p.A. Poste Italiane S.p.A. Telecom Italia S.p.A. Pag. 1/5 LA SICUREZZA DEL SERVIZIO PostaCertificat@ Limitazione delle comunicazioni - il servizio di comunicazione PostaCertificat@
DettagliIdentità e autenticazione
Identità e autenticazione Autenticazione con nome utente e password Nel campo della sicurezza informatica, si definisce autenticazione il processo tramite il quale un computer, un software o un utente,
DettagliAllegato A: Regole tecniche per la gestione dell identità.
Allegato A: Regole tecniche per la gestione dell identità. Allegato A: Regole tecniche per la gestione dell identità. Art. 1. Aventi diritto alle Credenziali-People 1. Per l accesso ai Servizi-People sviluppati
DettagliIl seguente Syllabus è relativo al Modulo 7, Reti informatiche, e fornisce i fondamenti per il test di tipo pratico relativo a questo modulo
Modulo 7 Reti informatiche Il seguente Syllabus è relativo al Modulo 7, Reti informatiche, e fornisce i fondamenti per il test di tipo pratico relativo a questo modulo Scopi del modulo Modulo 7 Reti informatiche,
DettagliVPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it
VPN: connessioni sicure di LAN geograficamente distanti IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Virtual Private Network, cosa sono? Le Virtual Private Networks utilizzano una parte di
DettagliIstruzioni e regole del servizio 3D Secure. Allegato tecnico e-commerce
Istruzioni e regole del servizio 3D Secure Allegato tecnico e-commerce INDICE 1 Introduzione 2 2 Funzionamento del servizio 3D Secure 2 3 Protocollo 3D Secure: Verified by Visa/SecureCode MasterCard 3
DettagliSicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it
Sicurezza delle reti wireless Alberto Gianoli alberto.gianoli@fe.infn.it Concetti di base IEEE 802.11: famiglia di standard tra cui: 802.11a, b, g: physical e max data rate spec. 802.11e: QoS (traffic
DettagliCorso di ARCHITETTURA DEI SISTEMI INFORMATIVI - Prof. Crescenzio Gallo. 114 Sistemi informativi in rete e sicurezza 4.6
Approcci al problema della sicurezza 114 Sistemi informativi in rete e sicurezza 4.6 Accessi non autorizzati Hacker: coloro che si avvalgono delle proprie conoscenze informatiche e di tecnologia delle
DettagliREOL-Services Quick Reference Ver. 1.1 Tecno Press Srl. 1
In questa semplice guida sono riportate tutte le informazioni relative alla prima registrazione e quelle relative alla configurazione dell ambiente di lavoro per poter utilizzare al meglio la nostra suite
DettagliPEC. Posta Elettronica Certificata. securepec.com
PEC Posta Elettronica Certificata securepec.com SECUREPEC La nuova evoluzione nell invio di messaggi La Posta Elettronica Certificata (PEC) è l evoluzione della posta elettronica convenzionale. E la posta
DettagliIntroduzione alla Posta Elettronica Certificata (PEC): le regole tecniche
Dipartimento Matematica Facoltà di Scienze Università degli Studi di Trento Introduzione alla Posta Elettronica Certificata (PEC): le regole tecniche Dott. Enrico Zimuel Secure Software Engineer http://www.zimuel.it
DettagliComunicazione sicura grazie a Secure E-Mail della Suva
Comunicazione sicura grazie a Secure E-Mail della Suva Cosa è Secure E-Mail? Secure E-Mail della Suva offre ai nostri clienti e business partner la possibilità di scambiare con la Suva informazioni confi
Dettagliiproject Gestione e Controllo Costi Cantiere iproject
Gestione e Controllo Costi Cantiere iproject Caratteristiche del software iproject. Lavorare in un cantiere edile significa realizzare giorno dopo giorno ciò che è definito in una commessa. A partire dalla
DettagliNelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento
I protocolli del livello di applicazione Porte Nelle reti di calcolatori, le porte (traduzione impropria del termine port inglese, che in realtà significa porto) sono lo strumento utilizzato per permettere
DettagliSIMULAZIONE PROVA SCRITTA ESAME DI STATO. PER LA DISCIPLINA di SISTEMI
SIMULAZIONE PROVA SCRITTA ESAME DI STATO PER LA DISCIPLINA di SISTEMI L assessorato al turismo di una provincia di medie dimensioni vuole informatizzare la gestione delle prenotazioni degli alberghi associati.
Dettagli1 Come posso registrarmi al servizio? 2 In quanto tempo la posta viene spedita/recapitata?
FAQ Sommario 1 Come posso registrarmi al servizio?... 2 2 In quanto tempo la posta viene spedita/recapitata?... 2 3 Qualcuno potrebbe leggere la mia posta?... 3 4 Si risparmia rispetto alla posta tradizionale?...
DettagliInvio telematico delle istanze all Albo nazionale gestori ambientali
Invio telematico delle istanze all Albo nazionale gestori ambientali AgestTelematico COS'E' UNA PROCEDURA TELEMATICA L'Albo Nazionale Gestori Ambientali ha messo a disposizione delle imprese un sistema
DettagliConfigurazione di Outlook Express
OUTLOOK Outlook Express è il client di posta elettronica sviluppato da Microsoft, preinstallato su sistemi operativi Windows a partire da Windows 98 fino all'uscita di Windows XP. Con l'arrivo di Windows
DettagliIntroduzione alla crittografia. Il crittosistema RSA e la sua sicurezza
Introduzione alla crittografia. Il crittosistema RSA e la sua sicurezza Prof. Massimiliano Sala MINICORSI 2011. Crittografia a chiave pubblica: oltre RSA Università degli Studi di Trento, Lab di Matematica
DettagliCertificati digitali con CAcert Un'autorità di certificazione no-profit
Certificati digitali con CAcert Un'autorità di certificazione no-profit Davide Cerri Associazione di Promozione Sociale LOLUG Gruppo Utenti Linux Lodi davide@lolug.net 11 novembre 2008 Crittografia asimmetrica:
Dettagli