Sommario. 1.1 Problematiche di sicurezza Cos'è la Sicurezza Informatica Il modello di riferimento 7

Transcript

1 Introduzione 2 Capitolo I - Sicurezza Informatica e Crittografia Problematiche di sicurezza Cos'è la Sicurezza Informatica Il modello di riferimento Valutazione del rischio e requisiti di sicurezza Tipologie di attacco Tecniche Crittografiche Definizioni La Crittografia Simmetrica La Crittografia Asimmetrica La Certificazione Protocolli per comunicazioni sicure 29 Tesi di Laurea di Elena Nuti 232

2 Capitolo II - Smart Cards Introduzione Origine delle Smart Cards Campi di applicazione Vantaggi Caratteristiche Fisiche Classificazione in base al tipo di microchip Carte a memoria Unprotected Cards Protected Cards Carte a Microprocessore Classificazione in base alla struttura fisica Carte a contatti (Contact Cards) Carte senza contatti (Contactless Cards) Carte ibride/combo Standards Standards orizzontali Standard ISO/IEC Altri standards ISO Standard PC/SC Standard PKCS # CDSA OpenCard Framework JavaCard VISA Open Platform Standards verticali Ciclo di vita della Smart Card Fase di fabbricazione Fase di pre-personalizzazione 62 Tesi di Laurea di Elena Nuti 233

3 2.9.3 Fase di personalizzazione Fase di utilizzazione Fase di invalidazione Diritti di accesso durante il ciclo di vita Sistema di utilizzo della carta Struttura logica della carta e controlli di accesso File System Comandi APDU Access Control Livelli di Accesso Attivazione della carta La Sicurezza delle Smart Cards Integrità dei dati Autenticazione Irriproducibilità e Riservatezza Politiche di sicurezza in risposta agli attacchi 79 Capitolo III - Smart Cards: due casi di studio La Siena Card Nascita del progetto Caratteristiche della Siena Card Il Borsellino elettronico Free Zone La Carta di Identità Elettronica Nascita del progetto Servizi forniti dalla CIE Servizi base e qualificati Gestione dei servizi Sicurezza nell'erogazione dei servizi 98 Tesi di Laurea di Elena Nuti 234

4 3.2.3 Caratteristiche tecniche della CIE Struttura e modalità costruttive della carta Materiali e standard per il microchip Architettura di riferimento Organizzazione del File System Oggetti Comandi di gestione Condizioni di Accesso Processo di Autenticazione Autenticazione della carta Autenticazione lato server 120 Capitolo IV - Ipotesi di Progetto Premessa Architettura del Sistema Servizi on-line ed off-line Modalità di accesso da parte dell'utente Certificati Generazione delle Chiavi Servizi di pagamento La firma di contratti Caratteristiche della carta Utilizzo di tecniche biometriche Esempi di utilizzo della carta Esempio 1: pagamento Esempio 2: firma di un contratto Esempio 3: utilizzo PIN/tecniche biometriche Esempio 4: transazione tramite Web Services 146 Conclusioni 147 Tesi di Laurea di Elena Nuti 235

5 Appendice A - Elenco degli acronimi utilizzati 149 Appendice B - Tecniche crittografiche 156 B.1 Cifrari a blocchi 157 B.1.1 DES 158 B.1.2 TDES o 3DES 162 B.2 Stream cipher 162 B.3 RSA 164 B.4 Lo scambio di chiavi alla Diffie & Hellman 166 B.5 Funzioni hash e MAC 168 B.5.1 SHA Appendice C - Protocolli per comunicazioni sicure 172 C.1 IPSec 172 C.2 SSL 177 C.3 SET 190 Appendice D - Web Services 193 D.1 Web Services: cosa sono 193 D.2 Architettura Web Services 195 D.3 Standardizzazione dei Web Services 199 D.4 Utilizzo di Web Services 200 Appendice E - Sistemi Biometrici 202 E.1 Definizione 202 E.2 Utilizzo dei sistemi biometrici 203 E.3 Processi biometrici 204 E.4 Affidabilità di un sistema biometrico 206 E.5 Grandezze biometriche 208 E.5.1 Scelta di tecniche biometriche 208 E.5.2 Impronte digitali 210 Tesi di Laurea di Elena Nuti 236

6 E.5.3 Analisi dell'iride dell'occhio 214 E.6 Standards per sistemi biometrici 216 E.7 Vantaggi e svantaggi dei sistemi biometrici 216 Appendice F Tecniche di attacco alle Smart Cards 218 F.1 Classificazione degli attacchi 218 F.1.1 Tecniche invasive 218 F Rimozione del chip 219 F Reverse engineering e microprobing 220 F Attacchi semi-invasivi 223 F Tecniche di negazione di accesso in scrittura 224 F.1.2 Tecniche non invasive 225 Riferimenti 228 Sommario 232 Tesi di Laurea di Elena Nuti 237