The Design and Implementation of a Transparent Cryptographic Filesystem for UNIX

Documenti analoghi
SISTEMI OPERATIVI DISTRIBUITI

Introduzione alle tecnologie informatiche. Strumenti mentali per il futuro

Sistemi Operativi STRUTTURA DEI SISTEMI OPERATIVI 3.1. Sistemi Operativi. D. Talia - UNICAL

SDD System design document

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Il Software. Il software del PC. Il BIOS

TITLE Sistemi Operativi 1

Software. Algoritmo. Algoritmo INFORMATICA PER LE DISCIPLINE UMANISTICHE 2 (13042)

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Sistemi Operativi. Conclusioni e nuove frontiere

Sommario. 1. Cos è SecureDrive Caratteristiche Privacy dei dati: SecureVault... 4

Il software impiegato su un computer si distingue in: Sistema Operativo Compilatori per produrre programmi

Approccio stratificato

Software di sistema e software applicativo. I programmi che fanno funzionare il computer e quelli che gli permettono di svolgere attività specifiche

La gestione di un calcolatore. Sistemi Operativi primo modulo Introduzione. Sistema operativo (2) Sistema operativo (1)

Architettura di un sistema operativo

Sistemi Operativi di Rete. Sistemi Operativi di rete. Sistemi Operativi di rete

Protezione delle informazioni in SMart esolutions

Sommario. Una breve introduzione ai file system cifrati. Casi di studio. Tecniche di protezione dei file. Cifratura manuale dei file

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Introduzione alla Virtualizzazione

* Accesso ai file remoti - trasferimento effettivo dei dati mediante RPC - aumento delle prestazioni tramite caching

Servizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti

Sistemi operativi basati sul web

Come funzione la cifratura dell endpoint

VPN RETI PRIVATE VIRTUALI: ACCESSO REMOTO

CAPITOLO 1 I SISTEMI OPERATIVI

Approfondimenti. Contenuti

La sicurezza nel Web

MODULO 02. Iniziamo a usare il computer

Corso Linux Corso Online Amministratore di Sistemi Linux

L informatica INTRODUZIONE. L informatica. Tassonomia: criteri. È la disciplina scientifica che studia

GLI ARCHIVI DI DATI. File Un File è una sequenza di informazioni che costituisce una unità logica. Un file è un un contenitore di di informazioni

Il sistema operativo TinyOS

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

FTP. Appunti a cura del prof. ing. Mario Catalano

Una rassegna dei sistemi operativi per il Cloud Computing

Virtualization. Strutturare per semplificare la gestione. ICT Information & Communication Technology

EasyPROtection. La soluzione software per Commercialisti e Consulenti Fiscali. DATI E DOCUMENTI PROTETTI Sempre. Ovunque.

RETI INFORMATICHE Client-Server e reti paritetiche

Sommario. Modulo 8: Applicativi. Parte 3: Terminale remoto. Premessa Telnet SSH XWindows VNC RDP. Gennaio Marzo 2007

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare!

Agent, porte, connettività e reti L agent di Kaseya utilizza la porta 5721 per comunicare con il server, ma che tipo di porta è?...

Capitolo Silberschatz

D3.3 Documento illustrante le metodologie di interfacciamento tra il visualizzatore remoto e il portale EnginFrame in ambiente Cloud.

La Soluzione per CdA e Top Management. La soluzione è Secure Board by Boole Server

La CASSAFORTE DIGITALE per

La soluzione software per Avvocati e Studi legali

Guida alla registrazione on-line di un DataLogger

Software di base. Corso di Fondamenti di Informatica

LICARUS LICENSE SERVER

Privacy Day Forum - 23 Maggio 2013 Luca BOLOGNINI Renato CASTROREALE

SOFTWARE PER LA RILEVAZIONE PRESENZE SUL WEB

Introduzione alle applicazioni di rete

UN ARCHITETTURA PER L INTERNET CALIBRATION Nuove opportunità di taratura e di diagnostica a distanza della strumentazione

IBM SPSS Statistics per Linux - Istruzioni di installazione (Licenza per sito)

HP TECHNICAL SERVICES. Energy Card SALES & OPERATION GUIDE

Base di dati e sistemi informativi

SICUREZZA. Sistemi Operativi. Sicurezza

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Nozioni di Informatica di base. dott. Andrea Mazzini

WEB SECURITY. Enrico Branca WEBB.IT 03

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT

Sicurezza delle Applicazioni Informatiche. Qualificazione dei prodotti di back office Linee Guida RER

Piano Nazionale di Formazione degli Insegnanti sulle Tecnologie dell'informazione e della Comunicazione. Percorso Formativo C1.

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova

Sommario. Modellazione di Kerberos mediante DASM. Kerberos (1) Descrizione Kerberos. Descrizione Kerberos Modellazione Analisi di Correttezza

Wi-Fi, la libertà di navigare in rete senza fili. Introduzione.

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

C Cloud computing Cloud storage. Prof. Maurizio Naldi

SISTEMI E RETI. Crittografia. Sistemi distribuiti e configurazione architetturale delle applicazioni WEB.

Architetture software

Sistemi Operativi. Interfaccia del File System FILE SYSTEM : INTERFACCIA. Concetto di File. Metodi di Accesso. Struttura delle Directory

IT Cloud Service. Semplice - accessibile - sicuro - economico

Sistemi avanzati di gestione dei Sistemi Informativi

PROGRAMMA CORSO SISTEMISTA INFORMATICO

Teleassistenza mediante PCHelpware

Sistema Operativo Compilatore

Una architettura peer-topeer per la visualizzazione 3D distribuita

Introduzione. File System Distribuiti. Nominazione e Trasparenza. Struttura dei DFS. Strutture di Nominazione

File System Distribuiti

ISTITUTO TECNICO ECONOMICO MOSSOTTI

Allegato 3 Sistema per l interscambio dei dati (SID)

Programma corsi LogX S.r.l.

connessioni tra i singoli elementi Hanno caratteristiche diverse e sono presentati con modalità diverse Tali relazioni vengono rappresentate QUINDI

Il Sistema Operativo. Introduzione di programmi di utilità. Elementi di Informatica Docente: Giorgio Fumera

Sistema Operativo. Fondamenti di Informatica 1. Il Sistema Operativo

Linux e software libero nella P.A.: l'esperienza dell'i.z.s.a.m.

InfoCertLog. Scheda Prodotto

Il File System. Il file system

w w w. n e w s o f t s r l. i t Soluzione Proposta

Organizzazione di Sistemi Operativi e Reti

Gestione catalogo e ordini

Contenuti. Visione macroscopica Hardware Software. 1 Introduzione. 2 Rappresentazione dell informazione. 3 Architettura del calcolatore

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

Lezione 1. Introduzione e Modellazione Concettuale

Implementazione del File System

La soluzione software per CdA e Top Management

Transcript:

The Design and Implementation of a Transparent Cryptographic Filesystem for UNIX Ciro Amati, Stefania Cardamone Universitá degli Studi di Salerno December 5, 2014 1 / 47

Introduzione Conoscenze scientifiche e tecniche attuali Cryptographic File System(CFS) CriptFS Self-certifying FS The Architecture Authenticating servers Group Sharing Key Management Raw Key Management Scheme Basic Key Management Scheme Kerberized Key Management Scheme Cryptographic Engine Implementations Performance Conclusioni 2 / 47

Introduzione Paper info Dipartimento di Informatica ed Appl., Universitá di Salerno L articolo é stato presentato nel 2001, in occasione dell USENIX Annual Technical Conference, in Boston 3 / 47

Introduzione Introduzione Il networking e la condivisione delle risorse File system come primo servizio distribuito Grande diffusione di sistemi mobili Repository sempre accessibile Accesso indipendente dalla tecnologia di rete Svantaggio: problemi di sicurezza 4 / 47

Introduzione NFS 5 / 47

Introduzione NFS 6 / 47

Introduzione Sicurezza dei dati Con il termine sicurezza informatica si intende quel ramo dell informatica che si occupa dell analisi delle vulnerabilitá, del rischio, delle minacce o attacchi e quindi della protezione dell integritá fisica (hardware) e logico-funzionale (software) di un sistema informatico e dei dati in esso contenuti o scambiati in una comunicazione con un utente. 7 / 47

Introduzione Principali obiettivi Integritá: la correttezza dei dati Cifratura: la confidenzialitá dei dati Autenticazione: l accesso fisico e/o logico solo ad utenti autorizzati Protezione: la protezione del sistema da attacchi di software malevoli per garantire i precedenti requisiti 8 / 47

Introduzione Algoritmi di cifratura 9 / 47

Introduzione Protezione dati Gli utenti devono adottare misure per evitare l esposizione di dati sensibili Tre livelli: Utente Applicazione Sistema é un file system distribuito che affronta il problema della sicurezza a livello di sistema I meccanismi di cifratura e decifratura sono trasparenti all utente Cifrare i dati soltanto durante lo scambio client-server non garantisce che non siano esposti ad utenti maligni 10 / 47

Conoscenze scientifiche e tecniche attuali Cryptographic File System(CFS) CFS 11 / 47

Conoscenze scientifiche e tecniche attuali Cryptographic File System(CFS) CFS Probabilmente il piú diffuso Architettura simile a Principali caratteristiche: Non é trasparente all utente Granularitá a livello di directory Implementato come applicazione utente Condivisione in gruppo non supportata Autenticazione dati non presente 12 / 47

Conoscenze scientifiche e tecniche attuali CriptFS CriptFS Modalitá di cifratura: Cypher Block Chaining Algoritmo di cifratura utilizzato: Blowfish 13 / 47

Conoscenze scientifiche e tecniche attuali CriptFS CriptFS E un file system virtuale cifrato utilizzato al di sopra di file system locali o remoti. Non garantisce integritá dei dati Non consente la presenza di file in chiaro sul file system Vantaggio: buone performance 14 / 47

Conoscenze scientifiche e tecniche attuali Self-certifying FS Self-certifying File System E basato su Public Key Infrastructure Separa la gestione della chiave dalla sicurezza del file system Autenticazione a un server: Il server ha una chiave pubblica Il client utilizza la chiave per connettersi al server Self-certifying pathname Hash della chiave pubblica del server Sintassi: /sfs/location:hostid/real/pathname Gli utenti non hanno bisogno di ricordare alcuna chiave 15 / 47

The Architecture The Architecture Ricerca di un sistema capace di fornire un robusto meccanismo di sicurezza Vantaggi: un modello di fiducia minimo impatto minimo sull amministrazione del sistema impatto minimo sulle applicazioni client impatto minimo sull utente finale 16 / 47

The Architecture The Architecture: lettura (1) 17 / 47

The Architecture The Architecture: lettura (2) 18 / 47

The Architecture The Architecture: scrittura (1) 19 / 47

The Architecture The Architecture: scrittura (2) 20 / 47

The Architecture The Architecture: scrittura (3) 21 / 47

Authenticating servers Authenticating servers prevede meccanismi di autenticazione per i dati l utente deve solo fidarsi del kernel della macchina client utilizzata per accedere al file system Nessun bisogno di dover autenticare il server Privacy del client sempre garantita 22 / 47

Group Sharing Group Sharing Possibilitá di condivisione di file o directory tra gli utenti Threshold: numero minimo di membri attivi per rendere accessibili i file del gruppo Per ogni gruppo viene generata una chiave Ad ogni membro del gruppo viene data una share 23 / 47

Group Sharing Accesso ai file del gruppo 24 / 47

Group Sharing Accesso ai file del gruppo 25 / 47

Key Management Key Management necessita di una chiave di cifratura per proteggere i file Gestione della chiave su differenti livelli: Processo Utente Processi con stesso UID 26 / 47

Raw Key Management Scheme Raw Key Management Scheme Semplice interfaccia per fornire la chiave al kernel Il kernel non effettua nessun controllo sulla chiave l applicazione deve fare in modo che la chiave giusta sia passata al kernel E una base sopra la quale costruire schemi KM piú sofisticati 27 / 47

Basic Key Management Scheme Basic Key Management Scheme Chiave (master key) generata dall utente Login password utilizzata per cifrare la master key Memorizzata in un database BKMS segue i seguenti comandi: 28 / 47

Basic Key Management Scheme Basic Key Management Scheme for Groups 29 / 47

Kerberized Key Management Scheme Kerberized Key Management Scheme (KKMS) Sviluppo: 1980, al MIT Kerberos é un servizio di autenticazione distribuita Permette a un client e a un server di autenticarsi a vicenda e di stabilire un canale di comunicazione privato KKMS alternativa al BKM Nuova componente: Key Server (KS) Differenza sostanziale: tutte le operazioni di gestione delle chiavi sono effettuate tramite rete 30 / 47

Kerberized Key Management Scheme Communication among client and KS 31 / 47

Cryptographic Engine Cryptographic Engine 32 / 47

Cryptographic Engine Principali caratteristiche File cifrati non accessibili senza la conoscenza di file key o master key Impossibile controllare se due file cifrati corrispondono allo stesso testo in chiaro L authentication tag impedice che i dati sul server vengano modificati 33 / 47

Implementations Implementations Progettato per lavorare in kernel space come layer intermedio tra Virtual File System e FS tradizionali Operazioni di protezione/cifratura offerte all utente tramite servizi Interazione con il layer attraverso mount e ioctl Layer manipola solo i dati dell applicazione e non le strutture logiche del FS é stato implementato su Linux e BSD Gestione delle chiavi effettuata a livello utente Fornisce una libreria di sviluppo 34 / 47

Implementations Linux Version 35 / 47

Implementations Linux Version 36 / 47

Implementations Linux Version 2.0 Il kernel di Linux supporta i Loadable Kernel Module (LKM) Parti kernel caricabili a runtime quando se ne ha bisogno Servizi di cifratura di implementati come LKMs Scelti a runtime per cifrare/decifrare con differenti tecniche Moduli indipendenti Utilizzo simultaneo di piú tecniche 37 / 47

Implementations BSD Version 4.4BSD fornisce un interfaccia generica per diversi tipi di FS chiamata virtual node layer Astrae le operazioni di invocazione file system specifici Permette il montaggio e l accesso a file system diversi alla stessa maniera per BSD implementato come un FS layer Offre solo i servizi di cifratura dei file Ridirige le altre chiamate ai FS sottostanti Process Keys Job batch su risorse cifrate Trasparente ai processi Utility tcfsrun 38 / 47

Performance Performance Benchmark utilizzato: versione modificata dell Andrew benchmark Input: sottoalbero contenente il codice sorgente di una applicazione UNIX Cinque fasi: 1. Directories creation 2. File copy 3. Recursive directories stats 4. Recursive file scan 5. Compilation 39 / 47

Performance Performance Quattro suite di test per la misurazione delle performance di: NFS su file non cifrati con cifratura eseguita dal modulo NULL con cifratura eseguita dal modulo 3DES Tutti i test sono stati effettuati su un Pentium II a 233 MHz con 64Mb di memoria 40 / 47

Performance Performance Due serie di esperimenti Prima serie: Albero sorgente in locale File destinazione su file system remoto Seconda serie: Albero sorgente su file system remoto File destinazione in locale 41 / 47

Performance Performance 42 / 47

Conclusioni E oggi? I nostri dati sono al sicuro? 43 / 47

Conclusioni Dropbox Denunciato della Federal Trade Commission per pratiche commerciali ingannevoli 44 / 47

Conclusioni Wuala Basato su una serie di progetti open-source Risultato di attivitá di ricerca e sviluppo condotte da ETH Zurich - Swiss Federal Institute of Technology 45 / 47

Conclusioni Wuala Tutti i dati vengono cifrati a livello locale prima di essere trasferiti al cloud Nessuno potrá visualizzare i dati, se non l utente stesso La password non lascia mai il computer dell utente Nemmeno gli amministratori potranno accedere in chiaro ai file depositati. 46 / 47

Conclusioni Grazie per l attenzione! 47 / 47

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back