Certificati di Attributi



Похожие документы
Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Sicurezza nelle applicazioni multimediali: lezione 7, sicurezza dei protocolli. Sicurezza dei protocolli (https, pop3s, imaps, esmtp )

Protezione della posta elettronica mediante crittografia

La firma digitale CHE COSA E'?

La Firma Digitale. Manuale d uso Fornitore. Introduzione alla Firma Digitale. Aprile 2015

Certificati digitali con CAcert Un'autorità di certificazione no-profit

La Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo

Firma digitale: aspetti tecnologici e normativi. Milano,

Introduzione alla crittografia con OpenPGP

Manuale Utente del Portale CA. Prerequisiti per l Attivazione della Firma Digitale su CNS/CRS. Sistema Operativo Windows

Gennaio. SUAP On Line i pre-requsiti informatici: La firma digitale

Quasar Sistemi S.r.l.

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

PEC. La posta elettronica certificata

Allegato A: Regole tecniche per la gestione dell identità.

DOCUMENTO ELETTRONICO E FIRMA DIGITALE

POSTA ELETTRONICA CERTIFICATA

Serve a garantire la nostra privacy nell era era della comunicazione digitale.

Seminario di Sicurezza A.A. 2003/2004 Autore: Gualdani Alessandro. Certificati x.509

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

Sicurezza: necessità. Roberto Cecchini Ottobre

Firma digitale Definizione

Documenti cartacei e digitali. Autenticità. Cosa si vuole garantire? Riservatezza. Integrità 11/12/2012. PA digitale: documenti e firme (I.

Firma digitale e PEC: facili e sicure

CHE COS E LA FIRMA DIGITALE

Informatica per la comunicazione" - lezione 13 -

Esercitazione 02. Sommario. Un po di background (1) Un certificato digitale in breve. Andrea Nuzzolese

Tecnologicamente, la firma digitale è il risultato di una procedura complessa che si basa su tre elementi:

Procedure di utilizzo e di descrizione applicativa

Vendere online. Andrea Marin. Università Ca Foscari Venezia SVILUPPO INTERCULTURALE DEI SISTEMI TURISTICI SISTEMI INFORMATIVI PER IL TURISMO

FAQ per l utilizzo della piattaforma tecnologica KEP (Key Exchanger Platform)

PEC un obbligo che semplifica

Firma HSM. A cura di: Enrico Venuto. Politecnico di Torino Coordinatore sicurezza informatica di ateneo

Esercitazione 2 Certificati

Sicurezza digitale. requisiti: confidenzialità, integrità, autenticazione, autorizzazione, assicurazione, riservatezza. soddisfatti mediante

Firma Digitale. dott. Andrea Mazzini

Posta elettronica e crittografia

Approfondimento di Marco Mulas

FIRMA DIGITALE Cos'è e come funziona

PER IL RILASCIO E L UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA CERTIFICATA DELL AZIENDA OSPEDALIERA UNIVERSITARIA FEDERICO II PER FINI ISTITUZIONALI

Utilizzo della smart card di Ateneo (CMRT)

Le comunicazioni telematiche in Toscana

POSTA ELETTRONICA (TRADIZIONALE e CERTIFICATA) FIRMA DIGITALE PROTOCOLLO INFORMATICO. Maurizio Gaffuri 11 ottobre 2007

Sistema di gestione Certificato MANUALE PER L'UTENTE

Software Servizi Web UOGA

Pretty Good Privacy. PGP fornisce crittografia ed autenticazione. creato da Phil Zimmermann nel in origine è un'applicazione per

Posta Elettronica Certificata & Firma Digitale

e-government La Posta Elettronica Certificata

Sicurezza in Internet. Criteri di sicurezza. Firewall

Lombardia Informatica S.p.A. Policy Certificati di Firma Digitale su CNS/CRS

Introduzione alla Posta Elettronica Certificata (PEC): le regole tecniche

Database. Si ringrazia Marco Bertini per le slides

La firma digitale e le sue possibili applicazioni

Sicurezza in Internet

PEC. Posta Elettronica Certificata. securepec.com

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato

il Rettore Richiamato lo Statuto di Ateneo emanato con D.R. n 501 in data 27 marzo 2000 e successive modificazioni;

PROCEDURA AGGIORNAMENTO LISTE MEDIANTE L INTERFACCIA WEB

Telerilevamento e GIS Prof. Ing. Giuseppe Mussumeci

Protezione delle informazioni in SMart esolutions

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

Overview su Online Certificate Status Protocol (OCSP)

ALLEGATO A MANUALE OPERATIVO DI ATENEO IN MATERIA DI PEC

NOTE TECNICHE allegate al MANUALE OPERATIVO ALLA CLIENTELA PER GLI ADEMPIMENTI VERSO DI ESSA PRESCRITTI IN MATERIA DI FIRMA ELETTRONICA AVANZATA

PRESENTAZIONE PRATICHE TELEMATICHE SUAP

Base di dati e sistemi informativi

Sicurezza dei sistemi informatici Firma elettronica E-commerce

NOTA INFORMATIVA SULLA FIRMA GRAFOMETRICA

Procedura di identificazione dei richiedenti il certificato di firma qualificata tramite sistema di Video Conferenza ICBPI S.P.A.

Corso di ARCHITETTURA DEI SISTEMI INFORMATIVI - Prof. Crescenzio Gallo. 114 Sistemi informativi in rete e sicurezza 4.6

La sicurezza nelle reti di calcolatori

Posta Elettronica Certificata. dott. Andrea Mazzini

Avviso 1/2014 Procedura Caricamento Documentazione con Firma Digitale

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

OGGETTO: PROCEDURA USO MAILBOX

che, diversamente dalla raccomandata, nella ricevuta di avvenuta consegna sono presenti anche i contenuti del messaggio originale.

Programmazione in Rete

Brochure Internet. Versione The Keyrules Company s.r.l. Pagina 2 di 8

Esercizio data base "Biblioteca"

ARTeS iscrizione Albi e Registri Terzo Settore della Regione Lazio Guida alle procedure di iscrizione. Rev. 0 del 2 maggio 2012

PKI PUBLIC KEY INFRASTRUCTURES

Una rivoluzione importante. Sottoscrizione e trasporto di un documento digitale

Aruba Sign 2 Guida rapida


Corso di Sistemi di Elaborazione delle informazioni

Reti di Telecomunicazione Lezione 8

Accreditamento al SID

La Posta Elettronica Certificata (PEC)

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

Транскрипт:

Certificati di Attributi Sicurezza dei dati in rete La rete è un mezzo non sicuro I messaggi in rete possono essere intercettati e/o modificati a cura di: R.Gaeta, F.Zottola Sicurezza dei dati in rete Necessità di garantire: Riservatezza del contenuto Integrità del contenuto Autenticazione del mittente Non ripudio Una scienza antichissima: La Crittografia Cifratura: Trasformazione di un testo in chiaro in un testo cifrato Decifratura: Trasformazione di un testo cifrato in un testo in chiaro Trasformazione basata in genere su: - chiave - algoritmo (procedimento ben definito e pubblico) Una scienza antichissima: La Crittografia Le tecniche di sicurezza basate su chiavi di crittografia Autenticazione Privacy Integrità NonRipudio La sicurezza si basa su: segretezza della chiave robustezza dell algoritmo User ID pwd Crittografia simmetrica (DES) Crittografia asimmetrica (RSA) 1

Algoritmi a chiavi asimmetriche 2 chiavi diverse: cifratura e decifratura (RSA/DSA 1024/2048 bit) Ogni corrispondente: - Chiave privata: segreto da custodire - Chiave pubblica: informazione da diffondere Algoritmi a chiavi asimmetriche Ogni chiave può essere usata indifferentemente per cifrare o decifrare Vantaggi: flessibilità (riservatezza, autenticità, integrità) Svantaggi: algoritmi lenti La firma digitale Generazione della firma Calcolare il digest del documento Hash Digest È una procedura che si basa su complessi algoritmi di cifratura e attribuisce un valore giuridico ad un documento informatico Cifrare il digest con la chiave privata del mittente (si ottiene la firma digitale) Aggiungere al documento originale la firma digitale ottenuta e inviare la coppia (Messaggio, ) Digest Key Privata digitale digitale Verifica della firma Separare il messaggio dalla firma Decifrare la firma usando la chiave pubblica del mittente Applicare al documento la funzione Hash cioè calcolare il digest Verificare che i due risultati coincidano digitale? Key Pubblica Hash Digest 1 Digest 2 = digitale Digest 1 Digest 2 SI: accetto NO: rifiuto Garanzie della firma Autenticità del mittente Integrità del messaggio durante il percorso mittente/destinatario 2

Il Certificato Digitale È utilizzato per identificare in maniera univoca oggetti reali, come utenti o computer Il Certificato Digitale Un documento d identità: Associa l identità di una persona (nome, cognome, data di nascita.) al suo aspetto fisico (foto) È emesso da un autorità riconosciuta Certificato di Chiave Pubblica È un documento elettronico Associa l identità di una persona ad una chiave pubblica È emesso secondo standard internazionali (X.509 raccomandato dall ITU-T (International Telecommunication Union Settore Telecomunicazioni), da una CA riconosciuta È firmato digitalmente con chiave privata della CA Certification (CA) Certifica il legame chiave pubblica/identità cioè garantisce che la chiave pubblica trascritta su un registro pubblico ed abbinata a Mario sia rilasciata proprio a Mario Registration (RA) Ha la responsabilità di registrare e verificare alcune o tutte le informazioni riguardanti l utente che richiede il certificato È un entità separata dalla CA La registrazione dell utente da parte della RA avviene prima dell emissione del PKC da parte della CA Certification Certificate Revocation List (CRL) Un certificato può essere revocato prima della sua scadenza naturale su richiesta del soggetto o autonomamente dall emittente. Tale certificato viene così inserito in una lista di certificati revocati o CRL Certification Registration Repository CRL Registration 3

Certificato di Chiave Pubblica Numero di serie assegnato dalla CA Identificatore dell algoritmo di firma Version: v2 Serial Number: 1234 Signature: 1.2.840.113549.1.1.5 Subject: CN=Mario Rossi, O=xy, C=IT Issuer: CN=Sia S.p.a., O=xy, C=IT Validity Period: 1.1.2006 1.1.2007 Subject Public Key Info: 9f0A34 Extensions: CA digital signature della CA Informazioni aggiuntive Utente a cui è stato rilasciato il certificato Autorità che ha rilasciato e firmato il certificato Periodo di validità Informazioni sulla chiave pubblica Public Key Infrastructure (PKI) E l insieme di hardware, software, persone, politiche e procedure necessarie per creare, gestire, memorizzare, distribuire e revocare PKC Directory Certification PKI Registration Public Key Infrastructure: componenti Il Processo Identificativo La procedura di verifica dell identità del mittente Certification Registration Sistema distribuito di directory contiene i certificati di chiave pubblica e la lista dei certificati revocati Database contiene un backup delle chiavi accessibile solo dalla CA Generatore di chiavi crea coppie di chiavi pubbliche e/o private Name server responsabile del trattamento dello spazio dei nomi Directory della CA mittente + firma + PKC Verifica che il PKC non sia sospeso/revocato destinatario PKC Identità verificata Verifica: PKC emesso da una CA trusted firma digitale estraendo la chiave pubblica processo identificativo Ma al di là della sua identità.. il firmatario possiede davvero i privilegi, le funzioni, le abilitazioni necessarie affinché il suo messaggio si possa ritenere valido a tutti gli effetti? Non è sufficiente sapere chi ha firmato un documento, ma è importante essere certi che egli era PKC autorizzato a farlo, quindi 4

al Processo Identificativo segue sempre il Processo Autorizzativo Identificazione vs Autorizzazione Un ordine di carcerazione può essere emesso solo da un giudice Un progetto per la costruzione di un opera edile deve essere firmato da un ingegnere Il processo identificativo si basa sull identità del soggetto Il processo autorizzativo si basa invece sugli attributi del soggetto: ruolo, mansioni, rango, privilegi, abilitazioni, etc Il Processo Autorizzativo Tradizionale Le informazioni nel database sono facilmente modificabili e ciò comporta un serio problema. Si basa sul vecchio concetto di anagrafica utenti (database locale contenente informazioni sugli utenti) Il Processo Autorizzativo Tradizionale I documenti firmati digitalmente potrebbero essere esaminati dal destinatario non immediatamente alla loro ricezione ma dopo diverse settimane o mesi, quando gli attributi del mittente-firmatario potrebbero anche essere cambiati Se il database è gestito dal destinatario non può essere considerato affidabile erga omnes Il Processo Autorizzativo Tradizionale Perché i normali certificati non bastano? Anagrafica applicativa documento + firma + PKC Accesso al profilo del mittente e verifica degli attributi identità del mittente autorizzazione Processo autorizzativo tradizionale È possibile includere nel PKC informazioni relative agli attributi del titolare Il Distinguished Name (DN) del titolare può includere una serie di campi opzionali (title, description, directoryattributes, etc ) Le estensioni (una fonte inesauribile di ulteriori possibilità) mittente destinatario Ma 5

Due forti ragioni per non includere informazioni autorizzative nel certificato di chiave pubblica: La CA non è l ente più adatto per attestare gli attributi degli utenti e ne esistono già appositi che lo fanno a livello istituzionale Gli attributi di un utente variano frequentemente nel corso del tempo Fissare gli attributi in un PKC comporta la necessità di revocare il certificato al variare di quest ultimi Una soluzione migliore: il Certificato di Attributi simile al certificato di chiave pubblica contiene il distinguished name del titolare non contiene la sua chiave pubblica ma uno o più attributi che specificano gruppo di appartenenza, ruoli, funzioni, etc firmato digitalmente da una terza parte, l Autorità degli Attributi Attribute (AA) Attribute Non è propriamente una Trusted Third Party in quanto non necessariamente è third né trusted Non svolge il suo compito in virtù del fatto di essere affidabile ma perché ha l autorità di assegnare e modificare gli attributi Solo un ente che abbia una conoscenza intima degli attributi degli utenti può svolgere il ruolo di AA Per i dipendenti di un azienda, la AA non può essere che l azienda stessa Per gli appartenenti ad un ordine professionale, la AA non può essere che l ordine professionale stesso Per i clienti di un servizio, la AA non può essere che il servizio stesso Requisiti di una AA La AA è un sistema molto simile alla CA Si appoggia ad un database relazionale È dotato di un interfaccia web Usa un dispositivo crittografico hardware Interagisce con un directory server Certificato di Attributi: sintassi AttributeCertificate ::= SEQUENCE { acinfo AttributeCertificateInfo, signaturealgorithm AlgorithmIdentifier, signaturevalue BIT STRING } AttributeCertificateInfo ::= SEQUENCE { version AttCertVersion, holder Holder, issuer AttCertIssuer, signature AlgorithmIdentifier, serialnumber CertificateSerialNumber, attrcertvalidityperiod AttrCertValidityPeriod, attributes SEQUENCE OF Attribute, issueruniqueid UniqueIdentifier OPTIONAL, extensions Extensions OPTIONAL } 6

Certificato di Attributi: esempio Version: v2 Owner: c=it, O=Policlinico, CN=Rossi Mario Issuer: c=it,o=policlinico, CN=Ufficio Ruoli Signature: 1.2.840.113549.1.1.5 Serial Number: 1234 Validity: 1.1.2004 1.1.2005 Attributes: title=radiologo IssuerUniqueID: 22431 Extensions: Identità del titolare Informazioni aggiuntive Autorità che ha rilasciato e firmato il certificato Identificatore dell algoritmo di firma Mario Rossi è un radiologo del Policlinico e questa funzione gli è stata attribuita dall Ufficio Ruoli Durata di attributi La durata degli attributi è classificata in relazione al periodo di validità del PKC di riferimento: attributi a vita, la cui validità segue il titolare per tutta la sua vita, salvo revoche in casi eccezionali attributi a lunga durata, la cui validità supera quella del PKC di riferimento attributi di breve durata, la cui validità è inferiore a quella del PKC di riferimento Revoca di attributi Un AC può essere revocato prima della sua scadenza naturale: ACRL su richiesta del titolare autonomamente dall emittente implicitamente, con brevi periodi di validità come i PKC, usando Attribute Certificate Revocation List (ACRL) emesse periodicamente dall emittente dell AC contengono i numeri seriali dei certificati revocati 12345343 23657342 54453876 34244678 Modelli di distribuzione di AC Modello Pull il server recupera da una directory l AC del client Modello Push il client presenta il suo AC al server più efficiente non c è bisogno di una richiesta aggiuntiva da parte del server per recuperare l AC dalla repository La scelta di uno dei due modelli dipende dalle esigenze del sistema Modelli di distribuzione di AC Privilege Management Infrastructure (PMI) DIR Server lookup server pubblicazione Rilascio AC Al server AA Infrastruttura per l uso e la gestione dei certificati di attributo Definita nel 2001, nella quarta edizione dello standard X.509 Client lookup Client push Rilascio AC al Client Fornisce i servizi di autorizzazione dopo che è avvenuta l autenticazione fornita dalla PKI 7

Privilege Management Infrastructure: componenti Legame tra AC e PKC Source of decide quali privilegi sono necessari per accedere alle risorse e li assegna agli utenti Attribute assegna i privilegi su delega della SOA Privilege holder possessore dei privilegi Repository contiene AC, ACRL e privilege policy Attribute Certificate Version Holder Issuer Signature Serial Number AttCertValidityPeriod Attributes IssuerUniqueID Extensions Public Key Certificate Version Serial Number Signature Issuer Subject Validity Period SubjectPublicKeyInfo IssuerUniqueID SubjectUniqueID Extensions PKC vs AC: esempio PKC carta d identità identifica il possessore dura per molto tempo non dovrebbe essere banale da ottenere AC carta di credito rilasciata da un autorità diversa di durata minore ottenerla tipicamente richiede di presentare una carta d identità Cifratura di AC Se un AC contiene informazioni importanti, come un applicazione username/password, allora può essere necessario cifrare gli attributi in esso contenuti gli attributi sono cifrati prima che l AC venga firmato viene usata la struttura EnvelopedData specificata nell RFC 2630 (Cryptographic Message Syntax) Processo Autorizzativo basato sugli AC Conclusioni Directory della AA documento + firma + PKC + AC Verifica che l AC non sia sospeso o revocato AC Attributi verificati Processo autorizzativo Come abbiamo visto, la certificazione di attributi rappresenta una tecnologia innovativa a supporto del processo autorizzativo. Si tratta di una tecnologia ancora relativamente giovane ed immatura dal punto di vista del mercato, ma tuttavia assai elegante e promettente. Gli standard di riferimento hanno già fissato gli aspetti principali, ma permangono delle aperture che fanno da ostacolo all interoperabilità. Col tempo, comunque, questi problemi saranno risolti ed è prevedibile che la tecnologia degli AC si diffonderà sempre di più. mittente destinatario 8

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back