Http e Https http usa la porta 80 E usato semplicemente per navigare Il traffico dati è in chiaro, visibile da altri in ascolto sul canale trasmissivo Sniffing del traffico dati facile in una rete wi-fi locale Un po più difficile in una rete ethernet, ma fattibile Perciò è nato https - usa la porta 443 Usato per criptare i propri dati sensibili e di accesso (user e password) ai siti web
Crittografia Metodo per offuscare un messaggio, trasformando i caratteri dell alfabeto usato Scopo: rendere il messaggio incomprensibile agli altri, difficilmente decifrabile
Crittografia a chiave simmetrica Il messaggio è crittografato con l uso di una chiave (una stringa di caratteri abbastanza lunga, usata appunto per trasformare il messaggio), conosciuta dal mittente e dal destinatario Es. chiave WPA2 per poter criptare e decriptare il traffico in una rete wi-fi, e poter quindi accedere alla rete, inviare e ricevere i pacchetti. Il destinatario deve conoscere la chiave di codifica Questo può essere rischioso
Crittografia a chiave asimmetrica Si usano due chiavi: pubblica e privata Sono generate dal destinatario dei nostri messaggi Il destinatario può essere anche un sito Web (poi lo vediamo) Il mittente possiede la chiave pubblica corrispondente a quella privata La chiave pubblica serve per crittografare (criptare) il messaggio La chiave pubblica può averla chiunque. Il destinatario possiede la chiave privata che serve per decriptare il messaggio, la conosce solo lui.
Firma digitale Un soggetto può anche usare la sua chiave privata per firmare i messaggi che manda agli altri una firma digitale è una stringa creata tramite un processo di matematico si crea una funzione hash del messaggio su cui vogliamo applicare la firma Si codifica l hash con la chiave privata, ottenendo così la firma digitale La firma serve per farsi riconoscere Chi riceve il messaggio, può decifrare la firma del mittente con la relativa chiave pubblica (del mittente) e verificare così l identità del mittente
Certificati digitali Unico problema: come facciamo ad essere sicuri che la chiave pubblica che abbiamo è realmente quella del soggetto con cui vogliamo comunicare (es. un sito web)? Si usano i certificati Un certificato è rilasciato da un autorità di certificazione, e firmato da quest ultima Il certificato attesta l identità del soggetto, cioè della sua chiave pubblica, che ci viene messa a disposizione Il certificato contiene La chiave pubblica del soggetto I dati del soggetto: nome, indirizzo, società, indirizzo IP, etc. La firma dell autorità di certificazione
Il browser Web Il browser Web contiene la lista dei certificati auto-firmati delle autorità di certificazione, In parole semplici, contiene le chiavi pubbliche delle autorità di certificazione, e si fida di esse. Quando ci connettiamo ad un sito, il sito ci dà la sua chiave pubblica certificata con la firma di un autorità di certificazione Il browser riconosce la firma dell autorità di certificazione, e se l esito del riconoscimento è positivo, si fida del sito web, stabilendo una connessione criptata https (http con SSL) con cui possiamo fare l accesso sicuro al sito web
Attenzione Questo discorso vale se il nostro browser è pulito Attenzione al software che installiamo sul nostro computer Il nostro computer non deve essere infetto da virus o simili Se fosse infetto, il browser potrebbe essere stato modificato dal virus, il quale potrebbe aver inserito nel browser dei certificati di autorità fasulle O semplicemente, potrebbe aver installato sul computer un key-logger con una backdoor
Approfondimento Sicurezza Multi-utenza Amministratore Utenti limitati Privilegiare l uso dell utenza limitata Uso di firewall e antivirus Controllare l attendibilità delle fonti nel Web