Smart card: autenticazione utenti sotto windows. Struttura smart card. Cos è una smart card? Perché smart card. Classificazione



Documenti analoghi
Protezione delle informazioni in SMart esolutions

Active Directory. Installatore LAN. Progetto per le classi V del corso di Informatica

Inizializzazione degli Host. BOOTP e DHCP

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

Sistema di gestione Certificato MANUALE PER L'UTENTE

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Modelli architetturali di infrastruttura. Diego Feruglio Direzione Progettazione Infrastrutture CSI-Piemonte

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

RETI INFORMATICHE Client-Server e reti paritetiche

Software di sistema e software applicativo. I programmi che fanno funzionare il computer e quelli che gli permettono di svolgere attività specifiche

Aruba Sign 2 Guida rapida

MANUALE DI INSTALLAZIONE CERTIFICATO DIGITALE PER LA SICUREZZA CERTIFICATION AUTHORITY DEL SISTEMA PIEMONTE

La sicurezza nelle comunicazioni Internet

Sistemi Operativi. Conclusioni e nuove frontiere

Le garanzie del procedimento di accreditamento ECM: la firma digitale. Federico Guella Direttore Generale FISM Roma - 10 Febbraio 2006

Reti di Telecomunicazione Lezione 6

Manuale Operativo per la firma digitale

Identità e autenticazione

La Carta Raffaello é una carta a microprocessore che aderisce allo standard CNS (Carta Nazionale dei Servizi).

Guida alla registrazione on-line di un DataLogger

L autenticazione in rete e accesso ai servizi digitali. roberto palumbo

Problematiche correlate alla sicurezza informatica nel commercio elettronico

Portale Suap SPORVIC2 Manuale Prerequisiti tecnici di sistema

Prodotti e Soluzioni. Dispositivi Crittografici HSM 8000

Hardware delle reti LAN

MANUALE UTENTE FORMULA PEC

Autorità Emittente CNS Contraente. Certificatore Accreditato

Reti di Telecomunicazione Lezione 7

Manuale Operativo per la firma digitale

DigiSiS. Manuale di installazione di una postazione Workstation per l utilizzo di Digital Sign Server

Il software impiegato su un computer si distingue in: Sistema Operativo Compilatori per produrre programmi

Programmazione in Rete

La SMART CARD: Alcune informazioni tecniche

Approfondimenti. Contenuti

MI/ICCA Manuale Installazione Workstation Utente nell ambito del progetto FIPAV

Corso di Amministrazione di Reti A.A. 2002/2003

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

1 Presentazione progetti in modalità completamente digitale Descrizione delle modalità di presentazione dei progetti

Approccio stratificato

TS-CNS. Tessera Sanitaria Carta Nazionale dei Servizi. Manuale di installazione e configurazione. Versione del

Il web server Apache Lezione n. 3. Introduzione

NAS 322 Connessione del NAS ad un VPN

Autenticazione con CNS (Carta Nazionale dei Servizi) Configurazione e utilizzo con il portale GisMasterWeb (v1.02 del 09/07/2014)

Prima di generare l ambiente di sicurezza occorre configurare le Opzioni di sistema seguendo i passi riportati di seguito:

CORSO ACCESS PARTE II. Esistono diversi tipi di aiuto forniti con Access, generalmente accessibili tramite la barra dei menu (?)

Collegamento remoto vending machines by do-dots

Università Degli Studi dell Insubria. Centro Sistemi Informativi e Comunicazione (SIC) Rete Wireless di Ateneo UninsubriaWireless

NOTE TECNICHE allegate al MANUALE OPERATIVO ALLA CLIENTELA PER GLI ADEMPIMENTI VERSO DI ESSA PRESCRITTI IN MATERIA DI FIRMA ELETTRONICA AVANZATA

Fatti Raggiungere dal tuo Computer!!

Documenti cartacei e digitali. Autenticità. Cosa si vuole garantire? Riservatezza. Integrità 11/12/2012. PA digitale: documenti e firme (I.

Portale Sintesi Procedure Base e di Registrazione

Wi-Fi, la libertà di navigare in rete senza fili. Introduzione.

StarShell. Autenticazione. StarShell

PROF. Filippo CAPUANI. Accesso Remoto

Servizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti

Dispensa di Informatica I.1

Domande frequenti su Phoenix FailSafe

Studio e sviluppo di un applicazione DTT client / server per l autenticazione tramite Carta Nazionale dei Servizi

Utilizzare Event Viewer

La Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo

Approfondimento di Marco Mulas

Coordinazione Distribuita

Il cittadino digitale. Francesco Meschia, Erminio Ribet CSI-Piemonte

SOFTWARE PER LA RILEVAZIONE PRESENZE SUL WEB

Guida all utilizzo del Token USB come Carta Nazionale dei Servizi

Una minaccia dovuta all uso dell SNMP su WLAN

Sicurezza nelle applicazioni multimediali: lezione 7, sicurezza dei protocolli. Sicurezza dei protocolli (https, pop3s, imaps, esmtp )

FTP. Appunti a cura del prof. ing. Mario Catalano

Sommario. 1.1 Problematiche di sicurezza Cos'è la Sicurezza Informatica Il modello di riferimento 7

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori

Università Degli Studi dell Insubria. Centro Sistemi Informativi e Comunicazione (SIC) Rete Wireless di Ateneo UninsubriaWireless

Introduzione Ai Data Bases. Prof. Francesco Accarino IIS Altiero Spinelli Via Leopardi 132 Sesto San giovanni

Allegato 3 Sistema per l interscambio dei dati (SID)

Total Security Knowledge Management Solution

PSNET UC RUPAR PIEMONTE MANUALE OPERATIVO

Gestione delle informazioni necessarie all attività di validazione degli studi di settore. Trasmissione degli esempi da valutare.

Corso di Informatica

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI

DiKe Pro Guida rapida all'uso

SETEFI. Marco Cantarini, Daniele Maccauro, Domenico Marzolla. 19 Aprile 2012

Lextel Servizi Telematici per l Avvocatura

Esercitazione su Windows. Introduzione al calcolatore Introduzione a Windows

Eventuali applicazioni future

Una soluzione per i portali amministrativi (e-government)

Reti e Domini Windows Corso di Amministrazione di Reti A.A. 2002/2003

TS-CNS. Tessera Sanitaria Carta Nazionale dei Servizi. Manuale di installazione e configurazione. Versione del

F.A.Q. PROCEDURA SICEANT PER LE COMUNICAZIONI ANTIMAFIA (EX ART 87)

Smart Card Sistema Universitario Piemontese

Database. Si ringrazia Marco Bertini per le slides

Manuale Utente Prerequisiti per DigitalSign Lite Sistema Operativo Linux a 64 bit

Firmare le utilizzando il client di posta elettronica Microsoft Office Outlook 2010

Allegato A: Regole tecniche per la gestione dell identità.

BREVE GUIDA ALL USO DI CNS E SMART CARD aggiornata a febbraio 2009

AGRISIAN. Portale CNS - Guida all accesso per gli Utenti Qualificati

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero

Acquisto con carta di credito. Acquisto con carta di credito

Transcript:

Università Degli Studi Di Salerno Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica, a.a. 2002-20032003 Sistemi di Elaborazione: Sicurezza su Reti Prof.: Alfredo De Santis Windows Studenti: Antonio De Pascale, Tony Montone, Giacomo Scaffidi Domianello SOMMARIO Smart card - Veduta d insieme - Struttura e classificazione delle smart card - Lettore e terminale di base - Standard - Sicurezza Autenticazione - Cos è l autenticazione - Rischi delle tecnologie, attacchi più comuni e trasmissione dati su reti - Processo di autenticazione tramite smart card windows - Introduzione - Chiave pubblica: concetti - Smart card authentication - Programmare una smart card Analisi dei dispositivi hardware e software utilizzati - Smart card - Lettore smart card - Gemplus SmartDiag v2.0 - GemXpresso RAD III Windows 2 Cos è una smart card? La smart card è un evoluzione della tradizionale carta magnetica. Presenta un Circuito Integrato (IC) che può essere: - una semplice memoria - un microprocessore Struttura smart card Perché smart card - Migliorano la convenienza e la sicurezza di alcune operazioni. - Rendono inattaccabili le memorie degli utenti e l identità degli account. - Proteggono contro una serie di minacce per la sicurezza. - Offrono sicurezza ai sistemi a scambio virtuale di dati. - Possono servire anche come accesso al sistema di rete, a depositi bancari e ad altri dati. Windows 3 Windows 4 Classificazione Windows 5 Windows 6

Memory Card Lettore e Terminale di base Ci sono principalmente tre tipi di memory card: - Straight Memory Cards Immagazzinano solo dati e non hanno capacità di elaborazione. - Protected / Segmented Memory Cards Hanno incorporata la logica per controllare l'accesso alla memoria della scheda stessa. - Stored Value Memory Cards Sono progettate con lo specifico scopo di immagazzinare valori. Lettore: usato per descrivere un'unità che si interfaccia con un PC. Terminale: dispositivo di elaborazione indipendente. I lettori si presentano di molte forme e diverse capacità. Si connettono a porte seriali RS232, porte USB, slot PCMCIA, slot di floppy-disk, porte parallele ecc. Windows 7 Windows 8 Standard Gli standard delle smart card regolamentano le proprietà fisiche e le caratteristiche di comunicazione del chip incorporato e sono coperti dall'iso 7816-1,2,3. Le principali organizzazioni che propongono i loro standard sono: - International Standards Organization (ISO) - National Institute of Standards and Technology (NIST) - Europay, MasterCard and Visa - Microsoft - CEN (Comité Europèen de Normalisation) - ETSI (Istituto Europeo degli Standard delle Telecomunicazioni) ISO 7816 ISO 7816 consta di sei parti: 1. Caratteristiche fisiche - ISO 7816-1:1987 2. Dimensioni ed Ubicazione dei Contatti - ISO7816-2:1988 3. Segnali Elettronici e Protocolli di Trasmissione - ISO 7816-3:1989 4. Comandi per Interscambi tra Industrie - ISO 7816-4 5. Sistemi di numerazione e Procedure di Registrazione per Identificatori Applicativi - ISO 7816-5:1994 6. Dati tra industrie - ISO 7816-6 Windows 9 Windows 10 Cos è la sicurezza? E fondamentalmente la protezione di qualsiasi cosa preziosa dal furto, dallo smarrimento o dalla sua alterazione. Cos è la sicurezza d informazione? E l applicazione di misure per assicurare la sicurezza e la privacy dei dati nella loro gestione, salvataggio e distribuzione. Gli elementi della sicurezza di dati - Hardware: server, memorie di massa ridondanti, canali e linee di comunicazione. - Software: sistemi operativi, sistemi di database gestionale, programmi applicativi. - Dati: database che contengono informazioni relative ai clienti. - Personale: utenti e/o fonti di dati; professionisti, personale amministrativo e informatico. Windows 11 Meccanismi della sicurezza sui dati Integrità dei dati: funzione che verifica le caratteristiche dei documenti e delle transazioni. Autenticazione: con essa si ispeziona e si conferma la corretta identità di persone coinvolte in una transazione di dati. Non-ripudio: elimina la possibilità che una transazione ripudiata o invalidata può essere verificata come corretta. Concessione e delegazione: processo che permette l accesso di specifici dati all'interno di un sistema. Controllo e registrazione: esamina la registrazione dei record, le attività per assicurare la conformità ai controlli stabiliti, le procedure operative in polizze. Gestione: è la tutela e la progettazione degli elementi e dei meccanismi discussi sopra. Windows 12

Sistema di sicurezza host-based Sistema di sicurezza card-based Tratta una scheda come un semplice veicolo che trasporta dati. Ogni protezione dei dati è fatta dal computer server. Il sistema è facilmente attaccabile. Possibili attacchi: alcune parti delle chiavi sono in chiaro e possono essere analizzate da hackers. Possibile rimedio: uso di memory cards che implementano un meccanismo di password per prevenire la lettura non autorizzata dei dati. Basato su microprocessori inclusi nelle card. L'accesso alle informazioni nella scheda è controllato da: a) un sistema operativo interno alla scheda. b) un insieme di permessi. Ci sono due tipi di approccio per i sistemi operativi di scheda: - Approccio Classico: tratta ogni scheda come un dispositivo sicuro di calcolo e di salvataggio dati. - Approccio Disk Drive: c è una memoria attiva che gestisce la scheda e permette di caricare specifiche applicazioni e file. Possbili attacchi: le password possono essere sniffate in chiaro. Windows 13 Windows 14 SOMMARIO Smart card - Veduta d insieme - Struttura e classificazione delle smart card - Lettore e terminale di base - Standard - Sicurezza Autenticazione - Cos è l autenticazione - Rischi delle tecnologie, attacchi più comuni e trasmissione dati su reti - Processo di autenticazione tramite smart card windows - Introduzione - Chiave pubblica: concetti - Smart card authentication - Programmare una smart card Analisi dei dispositivi hardware e software utilizzati - Smart card - Lettore smart card - Gemplus SmartDiag v2.0 - GemXpresso RAD III Windows 15 Cos è l autenticazione L'autenticazione è il processo attraverso il quale viene verificata l'identità di un utente che vuole accedere ad un computer o ad una una rete. Un buon processo di autenticazione ricorre normalmente ai seguenti tre fattori: - qualcosa che solo l'utente conosce - qualcosa che solo l'utente possiede - un aspetto fisiologico o comportamentale Windows 16 Quello che un utente conosce: le password La password è l'insieme di caratteri alfanumerici, di lunghezza variabile, che immessa in un sistema ne permette l'accesso. Per definizione nessuna password è sicura al 100%. Per incrementarne la sicurezza si può ricorrere alle password dinamiche. Sono password composte da una porzione alfanumerica fissa e una porzione alfanumerica, o più spesso solo numerica, che cambia ad ogni intervallo di tempo. Un esempio di questo sistema è fornito dall RSA. Quello che un utente possiede: i dispositivi hardware Smart card Chiave hardware Proximity tools Windows 17 Windows 18

Quello che un utente è: i dispositivi biometrici E un sistema di riconoscimento che stabilisce l'autenticità di una caratteristica fisiologica o del comportamento di un utente. Quali sono i rischi derivanti dall utilizzo di queste tecnologie? Il rischio maggiore è che la macchina non sia in grado di distinguere tra soggetti autorizzati ad accedere ad una risorsa e soggetti non autorizzati. Gli hackers giocano proprio su questo punto debole del sistema, ossia cercano di farsi riconoscere come persone autorizzate. Tipi di attacchi: - tentativi di indovinare le password - impossessarsi dei dispositivi hardware (chiavi USB, smart card, ) - man in the middle Windows 19 Windows 20 Quali sono i metodi di attacco più comuni? Quanto è sicura la trasmissione di dati su reti protette da protocolli di codifica Password cracker: dictionary based (veloce ma non molto efficace) brute force attack (lento ma quasi infallibile) tipo di attaccante Hacker Chiave a 40 bit 5 h. Chiave a 46 bit 10.000 anni Chiave a 56 bit 700.000.000 anni Chiave a 80 bit 700.000.000 anni Chiave a 128 bit 10 27 anni PMI 2 sec. 1 anno 70.000 anni 70.000 anni 10 19 anni Grande Impresa 2 ms. 9 gg. 7000 anni 7.000 anni 10 16 anni Intelligence Agency 2 ms. 13 sec. 7 anni 7 anni 10 15 anni Windows 21 Windows 22 Processo di autenticazione tramite smart card Interazione utente con un Infrastruttura a Chiave Pubblica Opera il riconoscimento, tra smart card e mondo esterno. Lo standard ISO definisce tre tipi di autenticazione: - interna - esterna - reciproca La suddivisione è definita in base e chi effettivamente effettua la verifica dell identità (il mondo esterno, la card o entrambi). Windows 23 Windows 24

SOMMARIO Smart card - Veduta d insieme - Struttura e classificazione delle smart card - Lettore e terminale di base - Standard - Sicurezza Autenticazione - Cos è l autenticazione - Rischi delle tecnologie, attacchi più comuni e trasmissione dati su reti - Processo di autenticazione tramite smart card windows - Introduzione - Chiave pubblica: concetti - Smart card authentication - Programmare una smart card Analisi dei dispositivi hardware e software utilizzati - Smart card - Lettore smart card - Gemplus SmartDiag v2.0 - GemXpresso RAD III Windows 25 Kerberos Consente ad un processo (client) per conto di un utente (user) di autenticarsi presso un verificatore. L autenticazione viene effettuata senza spedire dati significativi attraverso la rete. Windows 26 Active Directory Domini, Foreste e Fiducia E un namespace (spazio di nomi): un area limitata nella quale un dato nome può essere risolto. La risoluzione del nome è il processo di traduzione di un nome in qualche oggetto o informazione che esso rappresenta. Una directory telefonica, ad esempio, forma un namespace nel quale i nomi degli abbonati telefonici possono essere risolti in numeri telefonici. Un dominio è un singolo confine di sicurezza in Windows 2000, avente le proprie politiche e relazioni di sicurezza con gli altri domini. Quando domini multipli sono connessi da relazioni di fiducia ci troviamo di fronte ad un domain tree (albero di dominio). Alberi di dominio multipli possono essere connessi assieme in una foresta. Windows 27 Windows 28 Cos è un infrastruttura a chiave publica? Certificati E un insieme di componenti che gestiscono certificati e chiavi, utilizzati per la codifica e per servizi di firma digitale. I componenti del PKI di Windows 2000 includono: servizi dell autorità di certificazione (CA) Microsoft CryptoAPI politiche di infrastruttura Windows 29 Windows 30

Lo standard dei certificati X.509 Nello standard X.509 v3 un certificato consiste dei seguenti campi : versione numero seriale ID dell algoritmo di firma nome di chi ha emesso il certificato periodo di validità nome dell utente informazioni sulla chiave pubblica dell utente identificatore (unico) dell emittente (versione 2 e 3) identificatore (unico) dell utente (versione 2 e 3) estensioni (solo versione 3) firma dei campi precedenti Autorità di Certificazione (CA) I certificati sono emessi da un autorità di certificazione (CA), che garantisce per l identità di coloro per cui emette i certificati e a cui associa una data chiave. Per prevenire la perdita di certificati, la chiave pubblica della CA deve essere attendibile. Una CA deve pubblicizzare la sua chiave pubblica ed esibire un certificato di un altra CA a più alto livello che attesti la validità della propria chiave. Windows 31 Windows 32 Smart card authentication Logon interattivo Una smart card può essere utilizzata per autenticarsi ad un dominio Windows 2000 in tre modi: Logon interattivo: l utente, inserendo il PIN, si autentica alla macchina utilizzando la smart card Autenticazione client: la smart card è utilizzata durante la generazione di una sessione sicura con SSL o TLS Logon remoto: utilizza certificati a chiave pubblica per autenticare un user remoto ad un account memorizzato in Active Directory PIN Windows 33 Windows 34 Logon interattivo Dopo che l user inserisce il PIN nella finestra di logon, il sistema operativo inizia una sequenza di azioni per determinare se l utente può essere identificato e autenticato. Windows 2000, in questa fase, utilizza: Protocollo Kerberos versione 5 Certificati X.509 Microsoft CryptoAPI Active Directory Autenticazione client Il ruolo della smart card nell autenticazione client è quello di firmare una parte del protocollo durante la sessione iniziale di negoziazione SSL. La chiave privata corrispondente al certificato a chiave pubblica è memorizzata sulla smart card quindi il metodo di autenticazione è forte. L operazione che coinvolge la chiave privata è fatta sulla card; in tal modo la chiave privata non è mai esposta al computer host o alla rete. Windows 35 Windows 36

Autenticazione client Logon remoto Per le connessioni di rete e remote è possibile utilizzare i seguenti metodi e protocolli di autenticazione: Protocollo PAP (Password Authentication Protocol) Protocollo CHAP (Challenge Handshake Authentication Protocol) Protocollo SPAP (Shiva Password Authentication Protocol) Protocollo MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) Protocollo MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol versione 2) Protocollo EAP (Extensible Authentication Protocol) Autenticazione basata su smart card e altri certificati Windows 37 Windows 38 Programmare una smart card Non si può pensare di comperare un insieme di smart card, distribuirle agli utenti e aspettarsi che esse lavorino. Queste devono prima essere programmate da un amministratore. La procedura da seguire può essere suddivisa in quattro passi: 1. configurare la CA per emettere i certificati corretti 2. specificare la politica che stabilisce quali user possono iscriversi per questi certificati 3. configurare l account dell agente di iscrizione 4. iscrivere gli user per le smart card Windows 39 SOMMARIO Smart card - Veduta d insieme - Struttura e classificazione delle smart card - Lettore e terminale di base - Standard - Sicurezza Autenticazione - Cos è l autenticazione - Rischi delle tecnologie, attacchi più comuni e trasmissione dati su reti - Processo di autenticazione tramite smart card windows - Introduzione - Chiave pubblica: concetti - Smart card authentication - Programmare una smart card Analisi dei dispositivi hardware e software utilizzati - Smart card - Lettore smart card - Gemplus SmartDiag v2.0 - GemXpresso RAD III Windows 40 Smart card Lettore smart card Reader Gemplus GemPC410 0 Message The reader is available for use. Message Details The diagnostic tool recognizes this reader and did not find any problem. MessageDetailsNote front back Vendor Type Gemplus COM Device Caratteristiche: Java Card 2.1 API Java Card 2.1 VM Visa OP 2.0.1 Security algorithm: 3-DES & RSA (512 bit-key) 8 bit processor Windows 41 Maximum Data Rate Model Plug and Play ID Version Certifications Information Web Page Driver File Name Driver File Version Driver Signature Latest Driver Card ATR 115200 GemPC410 or Compatible GEM0410 GemCore-R1.21-GM Designed for Windows 98, NT4 and 2000 http://www.gemplus.com gemser.sys 2.0.10.0 3F 6D 00 00 80 31 80 65 B0 05 01 02 5E 83 00 90 00 Windows 42

Gemplus SmartDiag v 2.0 Questo programma verifica che il lettore di smart card e la card in esso contenuta, siano disponibili per altri programmi. GemXpresso RAD III Permette di sviluppare, simulare, testare le applicazioni e gli applets della Java card rendendo la programmazione più facile e più efficente. Comprende due software per poter interoperare con una smart card: - JCardManager - GemXpresso Simulator Windows 43 Windows 44 JCardManager Tools Windows 45 Windows 46 Authenticate Change PIN Windows 47 Windows 48

Delete Get Data Windows 49 Windows 50 Get memory space Get status Windows 51 Windows 52 Install Put data Windows 53 Windows 54

Put key Quick load Windows 55 Windows 56 Reset Select Windows 57 Windows 58 Send APDU Set status Windows 59 Windows 60

Upload File into a Card GemXpresso Simulator (GSE GUI) Visualizza contesti di smart card simulate e tiene traccia dei comandi e delle risposte scambiate tra la card simulata e un applicazione client (come ad esempio JCardManager). Windows 61 Windows 62 GemXpresso Simulator (GSE GUI) Option(s). Si possono specificare le seguenti opzioni: -card simmode dove simmode può essere: JAVACARD_21 JAVACARD_21_IS GXP211V2 GXP211V2_IS GXP211_PK GXP211_PS_IS GXPLITE GXXV3 -atr ATRvalue -motherkey customkey -serial customserialno Windows 63

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back