Introduzione 2 Capitolo I - Sicurezza Informatica e Crittografia 6 1.1 Problematiche di sicurezza 6 1.1.1 Cos'è la Sicurezza Informatica 6 1.1.2 Il modello di riferimento 7 1.1.3 Valutazione del rischio e requisiti di sicurezza 9 1.1.4 Tipologie di attacco 14 1.2 Tecniche Crittografiche 17 1.2.1 Definizioni 17 1.2.2 La Crittografia Simmetrica 18 1.2.3 La Crittografia Asimmetrica 20 1.2.4 La Certificazione 27 1.2.5 Protocolli per comunicazioni sicure 29 Tesi di Laurea di Elena Nuti 232
Capitolo II - Smart Cards 31 2.1 Introduzione 31 2.2 Origine delle Smart Cards 33 2.3 Campi di applicazione 34 2.4 Vantaggi 35 2.5 Caratteristiche Fisiche 37 2.6 Classificazione in base al tipo di microchip 37 2.6.1 Carte a memoria 39 2.6.1.1 Unprotected Cards 39 2.6.1.2 Protected Cards 40 2.6.2 Carte a Microprocessore 40 2.7 Classificazione in base alla struttura fisica 43 2.7.1 Carte a contatti (Contact Cards) 44 2.7.2 Carte senza contatti (Contactless Cards) 45 2.7.3 Carte ibride/combo 47 2.8 Standards 48 2.8.1 Standards orizzontali 48 2.8.1.1 Standard ISO/IEC 7816. 49 2.8.1.2 Altri standards ISO 52 2.8.1.3 Standard PC/SC 52 2.8.1.4 Standard PKCS #11 54 2.8.1.5 CDSA 55 2.8.1.6 OpenCard Framework 55 2.8.1.7 JavaCard 56 2.8.1.8 VISA Open Platform 58 2.8.2 Standards verticali 59 2.9 Ciclo di vita della Smart Card 61 2.9.1 Fase di fabbricazione 61 2.9.2 Fase di pre-personalizzazione 62 Tesi di Laurea di Elena Nuti 233
2.9.3 Fase di personalizzazione 63 2.9.4 Fase di utilizzazione 64 2.9.5 Fase di invalidazione 65 2.9.6 Diritti di accesso durante il ciclo di vita 65 2.10Sistema di utilizzo della carta 65 2.11Struttura logica della carta e controlli di accesso 68 2.11.1 File System 68 2.11.2 Comandi APDU 71 2.11.3 Access Control 72 2.11.3.1 Livelli di Accesso 73 2.11.3.2 Attivazione della carta 74 2.12La Sicurezza delle Smart Cards 75 2.12.1 Integrità dei dati 76 2.12.2 Autenticazione 77 2.12.3 Irriproducibilità e Riservatezza 78 2.12.4 Politiche di sicurezza in risposta agli attacchi 79 Capitolo III - Smart Cards: due casi di studio 83 3.1 La Siena Card 83 3.1.1 Nascita del progetto 83 3.1.2 Caratteristiche della Siena Card 85 3.1.2.1 Il Borsellino elettronico 87 3.1.2.2 Free Zone 89 3.2 La Carta di Identità Elettronica 93 3.2.1 Nascita del progetto 93 3.2.2 Servizi forniti dalla CIE 96 3.2.2.1 Servizi base e qualificati 96 3.2.2.2 Gestione dei servizi 97 3.2.2.3 Sicurezza nell'erogazione dei servizi 98 Tesi di Laurea di Elena Nuti 234
3.2.3 Caratteristiche tecniche della CIE 100 3.2.3.1 Struttura e modalità costruttive della carta 100 3.2.3.2 Materiali e standard per il microchip 102 3.2.3.3 Architettura di riferimento 103 3.2.3.4 Organizzazione del File System 106 3.2.3.5 Oggetti 111 3.2.3.6 Comandi di gestione 114 3.2.3.7 Condizioni di Accesso 116 3.2.4 Processo di Autenticazione 117 3.2.4.1 Autenticazione della carta 118 3.2.4.2 Autenticazione lato server 120 Capitolo IV - Ipotesi di Progetto 125 4.1 Premessa 125 4.2 Architettura del Sistema 126 4.3 Servizi on-line ed off-line 128 4.4 Modalità di accesso da parte dell'utente 128 4.5 Certificati 132 4.6 Generazione delle Chiavi 133 4.7 Servizi di pagamento 134 4.8 La firma di contratti 136 4.9 Caratteristiche della carta 136 4.10 Utilizzo di tecniche biometriche 141 4.11 Esempi di utilizzo della carta 142 4.11.1 Esempio 1: pagamento 142 4.11.2 Esempio 2: firma di un contratto 144 4.11.3 Esempio 3: utilizzo PIN/tecniche biometriche 145 4.11.4 Esempio 4: transazione tramite Web Services 146 Conclusioni 147 Tesi di Laurea di Elena Nuti 235
Appendice A - Elenco degli acronimi utilizzati 149 Appendice B - Tecniche crittografiche 156 B.1 Cifrari a blocchi 157 B.1.1 DES 158 B.1.2 TDES o 3DES 162 B.2 Stream cipher 162 B.3 RSA 164 B.4 Lo scambio di chiavi alla Diffie & Hellman 166 B.5 Funzioni hash e MAC 168 B.5.1 SHA-1 174 Appendice C - Protocolli per comunicazioni sicure 172 C.1 IPSec 172 C.2 SSL 177 C.3 SET 190 Appendice D - Web Services 193 D.1 Web Services: cosa sono 193 D.2 Architettura Web Services 195 D.3 Standardizzazione dei Web Services 199 D.4 Utilizzo di Web Services 200 Appendice E - Sistemi Biometrici 202 E.1 Definizione 202 E.2 Utilizzo dei sistemi biometrici 203 E.3 Processi biometrici 204 E.4 Affidabilità di un sistema biometrico 206 E.5 Grandezze biometriche 208 E.5.1 Scelta di tecniche biometriche 208 E.5.2 Impronte digitali 210 Tesi di Laurea di Elena Nuti 236
E.5.3 Analisi dell'iride dell'occhio 214 E.6 Standards per sistemi biometrici 216 E.7 Vantaggi e svantaggi dei sistemi biometrici 216 Appendice F Tecniche di attacco alle Smart Cards 218 F.1 Classificazione degli attacchi 218 F.1.1 Tecniche invasive 218 F.1.1.1 Rimozione del chip 219 F.1.1.2 Reverse engineering e microprobing 220 F.1.1.3 Attacchi semi-invasivi 223 F.1.1.4 Tecniche di negazione di accesso in scrittura 224 F.1.2 Tecniche non invasive 225 Riferimenti 228 Sommario 232 Tesi di Laurea di Elena Nuti 237