PKI PUBLIC KEY INFRASTRUCTURES



Documenti analoghi
Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Certificati digitali con CAcert Un'autorità di certificazione no-profit

NOTE TECNICHE allegate al MANUALE OPERATIVO ALLA CLIENTELA PER GLI ADEMPIMENTI VERSO DI ESSA PRESCRITTI IN MATERIA DI FIRMA ELETTRONICA AVANZATA

La Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo

Documenti cartacei e digitali. Autenticità. Cosa si vuole garantire? Riservatezza. Integrità 11/12/2012. PA digitale: documenti e firme (I.

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Serve a garantire la nostra privacy nell era era della comunicazione digitale.

Quasar Sistemi S.r.l.

Sicurezza in Internet. Criteri di sicurezza. Firewall

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

Sicurezza in Internet

Modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici. Decreto 23 gennaio art.. 1) Definizioni (art(

Sicurezza nelle applicazioni multimediali: lezione 7, sicurezza dei protocolli. Sicurezza dei protocolli (https, pop3s, imaps, esmtp )

Protezione delle informazioni in SMart esolutions

Protezione della posta elettronica mediante crittografia

La sicurezza nelle comunicazioni Internet

Firma digitale Definizione

Allegato A: Regole tecniche per la gestione dell identità.

La firma digitale CHE COSA E'?

Una rivoluzione importante. Sottoscrizione e trasporto di un documento digitale

Manuale Utente del Portale CA. Prerequisiti per l Attivazione della Firma Digitale su CNS/CRS. Sistema Operativo Windows

Programmazione in Rete

CHE COS E LA FIRMA DIGITALE

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

Problematiche correlate alla sicurezza informatica nel commercio elettronico

Intarsio IAM Identity & Access Management

La Firma Grafometrica. Per gestire i documenti informatici nativi che prevedono l apposizione di una o più firme autografe

Gennaio. SUAP On Line i pre-requsiti informatici: La firma digitale

Firma digitale: aspetti tecnologici e normativi. Milano,

La Posta Elettronica Certificata (PEC)

Esercitazione 02. Sommario. Un po di background (1) Un certificato digitale in breve. Andrea Nuzzolese

Approfondimento di Marco Mulas

Esercitazione 2 Certificati

DOCUMENTO ELETTRONICO E FIRMA DIGITALE

Tecnologicamente, la firma digitale è il risultato di una procedura complessa che si basa su tre elementi:

POSTA ELETTRONICA (TRADIZIONALE e CERTIFICATA) FIRMA DIGITALE PROTOCOLLO INFORMATICO. Maurizio Gaffuri 11 ottobre 2007

Firma Digitale. Firma digitale Definizione. SeQ dei servizi su internet Università degli Studi di Pavia, C.Parisi 1

PEC un obbligo che semplifica

Manuale Utente Prerequisiti per DigitalSign Lite Sistema Operativo Linux a 64 bit

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

Sicurezza digitale. requisiti: confidenzialità, integrità, autenticazione, autorizzazione, assicurazione, riservatezza. soddisfatti mediante

PEC. La posta elettronica certificata

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato

La Firma Digitale. Manuale d uso Fornitore. Introduzione alla Firma Digitale. Aprile 2015

Il ruolo ed i servizi della Certification Authority. Andrea Sassetti

Informatica per la comunicazione" - lezione 13 -

La sicurezza nelle reti di calcolatori

e-government La Posta Elettronica Certificata

Firma HSM. A cura di: Enrico Venuto. Politecnico di Torino Coordinatore sicurezza informatica di ateneo

Firma Digitale per l Ordine degli Ingegneri di Messina

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori

FIRMA ELETTRONICA AVANZATA IN MODALITÀ GRAFOMETRICA NOTA INFORMATIVA

Sicurezza: necessità. Roberto Cecchini Ottobre

Firma Digitale, Posta Elettronica Certificata, Conservazione Sostitutiva: gli strumenti per la dematerializzazione

FIRMA DIGITALE Cos'è e come funziona

NOTA INFORMATIVA SULLA FIRMA GRAFOMETRICA

Docsweb Digital Sign: la Firma Grafometrica

La sicurezza nel Web

Certificati di Attributi

Politica per la Sicurezza

Lombardia Informatica S.p.A. Policy Certificati di Firma Digitale su CNS/CRS

Utilizzo di Certificati SSL e relative implicazioni

LegalCert Remote Sign

Aruba Sign 2 Guida rapida

CERTIPOSTA.NET, LA PEC CON TIMENET

L esperienza della Regione Lazio

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

Torino - Aula magna Pala Giustizia - 11 maggio 2016 Dispositivi di firma digitale e CNS Dott. Paolo Lorenzin

Le imprese di nuova costituzione dovranno dotarsi di certificata da subito, all atto della costituzione.

Introduzione alla Posta Elettronica Certificata (PEC): le regole tecniche

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

Firma Digitale per l Ordine degli Ingegneri di Napoli

A. Nesti A.M. Fino. C. Villani REGISTRO DELLE MODIFICHE REVISIONE DESCRIZIONE EMISSIONE. Prima emissione 14/07/2014

La Posta Certificata per la trasmissione dei documenti informatici. renzo ullucci

Firma Digitale per il il Consiglio Nazionale degli Ingegneri

Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security con token SAML

Crittografia e sicurezza informatica. Sistema di voto elettronico

ALLEGATO AL CONTRATTO DI FORNITURA DEL SERVIZIO LEGALMAIL

Pretty Good Privacy. PGP fornisce crittografia ed autenticazione. creato da Phil Zimmermann nel in origine è un'applicazione per

Corso di ARCHITETTURA DEI SISTEMI INFORMATIVI - Prof. Crescenzio Gallo. 114 Sistemi informativi in rete e sicurezza 4.6

La firma digitale e le sue possibili applicazioni

Firma Digitale. dott. Andrea Mazzini

Indice. Prefazione. Presentazione XIII. Autori

DEL DOCUMENTO INFORMATICO

Firma Digitale. Informazioni sul servizio ORDINE DEGLI INGEGNERI DELLA PROVINCIA DI GENOVA

POSTA ELETTRONICA CERTIFICATA

PKI e gestione delle Identità degli accessi. Franco Tafini. Security Solution Leader INTESA An IBM Company

Interoperabilità SISTRI Specifiche tecniche per l utilizzo della firma elettronica con il Soft Token PKCS#11

Seminario formativo. Firma Digitale

Procedure di utilizzo e di descrizione applicativa

Guida ai certificati SSL User Guide

La firma digitale: a cosa serve

PER IL RILASCIO E L UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA CERTIFICATA DELL AZIENDA OSPEDALIERA UNIVERSITARIA FEDERICO II PER FINI ISTITUZIONALI

SETEFI. Marco Cantarini, Daniele Maccauro, Domenico Marzolla. 19 Aprile 2012


Transcript:

Premesse PKI PUBLIC KEY INFRASTRUCTURES Problemi Come distribuire in modo sicuro le chiavi pubbliche? Come conservare e proteggere le chiavi private? Come garantire l utilizzo corretto dei meccanismi crittografici? Come dare un valore effettivo alla firma digitale? Credits: Lucio Travagnin Soluzioni PKI (infrastrutture a chiave pubblica) Certificatori a norma di legge FDL - 2009 2 Cos è una PKI? Le attività di una PKI Infrastruttura per la gestione effettiva di Crittografia a chiave pubblica (cifratura, firma) Chiavi pubbliche e private Certificati digitali Segretezza, integrità, autenticazione, non ripudio, certezza del momento Una PKI deve fornire Servizi di base Applicazioni e/o SDK (Software Development Kit) Regole e procedure (Policy) E una terza parte fidata (Trusted Third Party) Identificare il firmatario e gli eventuali poteri che gli sono attribuiti; Garantire l unicità delle firme (almeno all interno del dominio di competenza); Mantenere un Registro dei possessori delle chiavi; Gestire le chiavi a rischio, revocate o sospese, tenendo traccia dei Certificati non più utilizzabili e rendendoli pubblicamente noti; Agire da Terza Parte Fidata per rendere di dominio pubblico (con l emissione di certificati e con l accesso ai propri registri) la chiave pubblica di un utente. FDL - 2009 3 FDL - 2009 4

Il processo di firma digitale Il processo di firma digitale richiede che l utente effettui una serie di azioni preliminari necessarie alla predisposizione delle chiavi utilizzate dal sistema di crittografia su cui il meccanismo di firma si basa. La registrazione dell utente presso un Autorità di Certificazione La generazione di una coppia di chiavi K + e K - La certificazione della chiave pubblica K + La registrazione della chiave pubblica K + Per tutta la durata del periodo di validità della certificazione della chiave pubblica, l utente è in grado di firmare elettronicamente un numero qualunque di documenti sfruttando la sua chiave segreta K -. FDL - 2009 5 PKI Servizi di base Certificazione Verifica informazioni Emissione certificato Distribuzione (dei certificati) Validazione (un certificato emesso è valido?) Periodo di validità Revoca/Sospensione Restrizioni d uso Certificate/Key Management Rinnovo/modifica Liste di revoca FDL - 2009 6 PKI - Applicazioni Certificati Email sicure (S/MIME) Comunicazioni C/S sicure (SSL, HTTPS, etc.) Commercio Elettronico (SET) Notariato digitale (Timestamping) Esempio: S/MIME Bob ottiene la certificazione della propria chiave pubblica Alice effettua la stessa operazione Bob ottiene il certificato di Alice, Alice quello di Bob Bob e Alice sanno che le reciproche chiavi pub. sono fidate Bob può inviare una Email firmata e cifrata ad Alice Documento digitale contenente Chiave pubblica del titolare Informazioni sul titolare (nome, Email, etc.) Informazioni sulla PKI emittente Binding autenticato da una TTP Firma della PKI emittente Identità fisica Chiave privata Identità digitale Certificato Chiave pubblica PoP Alice può decifrare e verificare la firma FDL - 2009 8 FDL - 2009 7

Tipologie di PKI PKI X.509 PKI X.509 Certificatori PKI di tipo eterogeneo basate sui certificati X.509v3 Web Browser PKCS PKIX Internet/Intranet Email SSL VPN RSA X.509v3 LDAP Smartcard ITSEC Strong Crypto Intranet/P.A. Firma digitale legalmente riconosciuta FDL - 2009 9 Obiettivi Esercizio effettivo della crittografia a chiave pubblica per applicazioni in ambito Internet/Intranet/Extranet Efficienza d uso e di gestione Compatibilità Interoperabilità FDL - 2009 10 PKI X.509 Architettura PKI X.509 Entità FDL - 2009 11 Client Standard: Web Browser, Email Custom Registration Authority Accettazione richieste di certificazione Certification Authority Creazione certificati Distribuzione certificati e liste di revoca (via HTTP) Directory Server Directory di oggetti Gerarchia X.500 (Distinguished Name) Accesso con protocollo LDAP Distribuzione di certificati e liste di revoca FDL - 2009 12

PKI X.509 Operazioni PKI X.509 Operazioni 1. Creazione Keypair Da parte dell utente Da parte della PKI 2. Memorizzazione e protezione della chiave privata 3. Creazione e invio di una Certification Request Chiave pubblica Informazioni utente (nome, Email, etc.) FDL - 2009 13 4. Certificazione Richiesta: una o più Registration Authority accettano le richieste di certificazione Autenticazione fisica: l amministratore della PKI verifica la veridicità delle informazioni fornite Certificazione: l amministratore della PKI attiva la creazione di un certificato mediante la Certification Authority 5. Distribuzione (certificati utente e PKI) Certification Authority (HTTP, HTTPS) Directory Service (LDAP) Email (S/MIME) FDL - 2009 14 PKI X.509 Operazioni X.509v3 6. Gestione della validità (statica) Periodo di validità Restrizioni sull utilizzo (ad es. solo firma digitale) 7. Gestione della validità (dinamica) Periodicamente la PKI emette una lista di revoca (CRL) contenente i certificati validi ma revocati Altre operazioni Rinnovo Verifica FDL - 2009 15 Emesso da ITU-T come parte di X.500 Standard de facto per i certificati digitali Standard correlati PKCS IETF PKIX Servizi e applicazioni: S/MIME, SSL, SET, LDAP Formato di certificati e Liste di revoca (CRL) Versatile Estendibile Definito rigidamente mediante ASN.1 Codifiche: binaria (DER) o testo (PEM) FDL - 2009 16

X.509v3 Certificati e CRL X.509v3 Standard correlati Standard di RSA Data Security PKCS#7! Messaggi cifrati e/o autenticati PKCS#10! Richieste di certificazione PKCS#11! Interfacciamento con Smartcard & token PKCS#12! Scambio di certificati e chiavi private Naming X.500 Estensioni Standard IETF PKIX: Infrastruttura a chiave pubblica in ambito Internet Proprietarie Chiavi e algoritmi FDL - 2009 parametrici (ObjectID) 17 FDL - 2009 18 PKI X.509 Gerarchie PKI X.509 Funzioni Avanzate creazione di PKI dipendenti da una PKI di livello superiore Suddivisione del dominio in sottodomini Specificazione delle Policy Si segue la catena di certificazione Root Certificate: certificato Self-Signed emesso dalla PKI di primo livello Cross-Certification: mutua certificazione tra PKI Key Recovery/Escrow: recupero di chiavi private Prevenzione contro uso non appropriato Limitazione della Privacy Doppio Keypair: chiavi separate per firma e cifratura Chiavi di firma: forti e senza Recovery Chiavi di cifratura: con Recovery FDL - 2009 19 FDL - 2009 20

Certificatori Certificatori Requisiti Progetto AIPA convertito in legge (italiana) DPR 513 del 10 novembre 1997 DPCM 8 febbraio 1999 (regole tecniche) Obiettivi Firma digitale legalmente riconosciuta Conservazione di documenti pubblici Strumenti Certificatori (PKI) Servizi di Timestamping Standard preesistenti RSA, DSA, SHA-1,X.509v3, LDAP FDL - 2009 21 Firma apponibile solo con dispositivi hardware (Smartcard, CryptoUSB) Chiavi di lunghezza minima 1024 bit Autenticazione forte durante la richiesta (richiesta scritta, PoP) Servizio di autenticazione temporale (Timestamping) Sistemi Hw/Sw protetti (norme ITSEC) Sistemi e procedure certificate (ISO 9000) Elevato impegno economico sistemi di backup/recovery sistemi di sicurezza fisica dei locali sistemi di identificazione biometrica FDL - 2009 22 Certificatori Architettura POSSIBILI APPROCCI 1. AUTOCERTIFICAZIONE 2. CERTIFICATION AUTHORITY ESTERNA 3. CERTIFICATION AUTHORITY INTERNA FDL - 2009 23 FDL - 2009 24

1 soluzione - Autocertificazione 2 soluzione - Certification Authority esterna - Creazione di chiavi - Certificazione Autocertificazione - Creazione di chiavi - Certificazione Autocertificazione L utente genera la sua chiave privata e firma i suoi certificati. Scambia i certificati mediante messaggi S/MIME o altri meccanismi di import/export. Valida i Certificati con meccanismi out-of-band. - Crea le chiavi Crea doppie chiavi e richiede Certificati Importa Certificati in locale S/MIME PKCS#10 S/MIME PKCS#7 Signed Certificates - Certificazione Certification Authority Accetta richieste Crea certificati Genera risposte FDL - 2009 25 FDL - 2009 26 3 soluzione - Certification Authority interna Genera solo richieste di PSE No generazione di chiavi Importa PSE e Certificati in locale WWW, Email, Personal Presence Local Administrator - Creazione chiavi - Autenticazione Certification Authority - Accetta richieste - Crea le doppie chiavi - Crea certificati - Crea PSE Internal PSE Format PSE (Personal Security Environment): è la residenza delle chiavi private FDL - 2009 27 Binding Documento digitale (impronta) Informazione temporale affidabile Binding autenticato da una TTP: TSA (Time Stamping Autorithy) Timestamping Viene assicurata la certezza del momento di un particolare evento Accresce il valore della firma digitale L utente firma un documento La TSA certifica la firma digitale FDL - 2009 28

Timestamping Architettura PKI o Certificatori? TSS (TimeStamping Service) Marcatura temporale di generici documenti digitali Emissione di TimeStamp Token, ev. conservati TSA e PKI possono essere collegate Uso e sviluppo di applicazioni Firma digitale per atti pubblici " Certificatori Firma digitale per E.C. " PKI Transazioni sicure " PKI Notariato digitale " PKI Notariato digitale per atti pubblici " Certificatori Voto elettronico " Certificatori Manca uno standard de facto! FDL - 2009 29 Attivazione di una PKI A norma di legge " Uso di Cert. Per applicazioni Internet/Intranet " Uso/creaz. PKI FDL - 2009 30 PKI Pubbliche in rete Web Based Operazioni Online (HTTP, HTTPS, LDAP) Certificati User (S/MIME, SSL) Server (SSL, HTTPS, etc.) Server Step-Up (SSL a 128 bit) Object Signing (Java, MS Authenticode) VPN Standard: RSA, X.509v3, PKCS, PKCS#10 Esempi di PKI PKI Pubbliche in rete Thwate http://www.thawte.com Globalsign http://www.globalsign.net Verisign http://www.verisign.com TrustItalia http://www.trustitalia.it Entrust http://www.entrust.net CNIPA (Centro Nazionale Per l Informatica nella Pubblica Amministrazione) ex AIPA http://www.cnipa.gov.it/site/it-it/attività/certificatori_accreditati/firma_digitale_(elenco_certificatori)/ FDL - 2009 31 FDL - 2009 32

HomeWork 1. Utilizzando un browser creare un certificato (associato al proprio indirizzo di posta) presso Thawte (è gratuito!) personal e-mail certificate, secure email communications 2. Scambiare mail autenticate e/o cifrate con utenti, colleghi e... il sottoscritto FDL - 2009 33

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back