View
1
Download
0
Category
Preview:
Citation preview
Smart card: autenticazione utenti sotto Windows 1
Sistemi di Elaborazione: Sicurezza su RetiSistemi di Elaborazione: Sicurezza su RetiProf.: Alfredo De Prof.: Alfredo De SantisSantis
Studenti: Antonio De Studenti: Antonio De PascalePascale, Tony Montone, Giacomo , Tony Montone, Giacomo ScaffidiScaffidi DomianelloDomianello
Smart card: autenticazione utenti sotto WindowsSmart card: autenticazione utenti sotto Windows
Università Degli Studi Di SalernoUniversità Degli Studi Di SalernoFacoltà di Scienze Matematiche, Fisiche e NaturaliFacoltà di Scienze Matematiche, Fisiche e NaturaliCorso di Laurea in Informatica, a.a. 2002Corso di Laurea in Informatica, a.a. 2002--20032003
Smart card: autenticazione utenti sotto Windows 2
SOMMARIOSOMMARIO•• Smart cardSmart card
-- Veduta d’insiemeVeduta d’insieme-- Struttura e classificazione delle smart cardStruttura e classificazione delle smart card-- Lettore e terminale di base Lettore e terminale di base -- Standard Standard -- Sicurezza Sicurezza
•• AutenticazioneAutenticazione-- Cos’è l’autenticazione Cos’è l’autenticazione -- Rischi delle tecnologie, attacchi più comuni e trasmissione datRischi delle tecnologie, attacchi più comuni e trasmissione dat i su reti i su reti -- Processo di autenticazione tramite smart cardProcesso di autenticazione tramite smart card
•• Smart card: autenticazione utenti sotto windowsSmart card: autenticazione utenti sotto windows-- Introduzione Introduzione -- Chiave pubblica: concettiChiave pubblica: concetti-- Smart card authenticationSmart card authentication-- Programmare una smart cardProgrammare una smart card
•• Analisi dei dispositivi hardware e software utilizzatiAnalisi dei dispositivi hardware e software utilizzati-- Smart cardSmart card-- Lettore smart cardLettore smart card-- Gemplus SmartDiag v2.0Gemplus SmartDiag v2.0-- GemXpressoGemXpresso RAD IIIRAD III
Smart card: autenticazione utenti sotto Windows 3
La smart card è un’evoluzione della tradizionale carta magnetica. Presenta un Circuito Integrato (IC) che può essere: - una semplice memoria - un microprocessore
Cos’è una smart card?
Perché smart card
- Migliorano la convenienza e la sicurezza di alcune operazioni. - Rendono inattaccabili le memorie degli utenti e l’identità degli account. - Proteggono contro una serie di minacce per la sicurezza.- Offrono sicurezza ai sistemi a scambio virtuale di dati.- Possono servire anche come accesso al sistema di rete, a depositi bancari e ad altri
dati.
Smart card: autenticazione utenti sotto Windows 4
Struttura smart card
Smart card: autenticazione utenti sotto Windows 5
Classificazione
Smart card: autenticazione utenti sotto Windows 6
Smart card: autenticazione utenti sotto Windows 2
Smart card: autenticazione utenti sotto Windows 7
Memory Card
Ci sono principalmente tre tipi di memory card:
- Straight Memory CardsImmagazzinano solo dati e non hanno capacità di elaborazione.
- Protected / Segmented Memory CardsHanno incorporata la logica per controllare l'accesso alla memoria della scheda stessa.
- Stored Value Memory CardsSono progettate con lo specifico scopo di immagazzinare valori.
Smart card: autenticazione utenti sotto Windows 8
Lettore e Terminale di base
Lettore: usato per descrivere un'unità che si interfaccia con un PC.
Terminale: dispositivo di elaborazione indipendente.
I lettori si presentano di molte forme e diverse capacità.
Si connettono a porte seriali RS232, porte USB, slot PCMCIA, slot di floppy-disk, porte parallele ecc.
Smart card: autenticazione utenti sotto Windows 9
StandardGli standard delle smart card regolamentano le proprietà fisiche e le caratteristiche di comunicazione del chip incorporato e sono coperti dall'ISO 7816-1,2,3.Le principali organizzazioni che propongono i loro standard sono:
- International Standards Organization (ISO)
- National Institute of Standards and Technology (NIST)
- Europay, MasterCard and Visa
- Microsoft
- CEN (Comité Europèen de Normalisation)
- ETSI (Istituto Europeo degli Standard delle Telecomunicazioni)
Smart card: autenticazione utenti sotto Windows 10
ISO 7816
ISO 7816 consta di sei parti:
1. Caratteristiche fisiche - ISO 7816-1:1987
2. Dimensioni ed Ubicazione dei Contatti - ISO7816-2:1988
3. Segnali Elettronici e Protocolli di Trasmissione - ISO 7816-3:1989
4. Comandi per Interscambi tra Industrie - ISO 7816-4
5. Sistemi di numerazione e Procedure di Registrazione per Identificatori Applicativi- ISO 7816-5:1994
6. Dati tra industrie - ISO 7816-6
Smart card: autenticazione utenti sotto Windows 11
Cos’ è la sicurezza?
E’ fondamentalmente la protezione di qualsiasi cosa preziosa dal furto, dallo smarrimento o dalla sua alterazione.
Cos’è la sicurezza d’informazione?E’ l’applicazione di misure per assicurare la sicurezza e la privacy dei dati nella lorogestione, salvataggio e distribuzione.
Gli elementi della sicurezza di dati- Hardware: server, memorie di massa ridondanti, canali e linee di comunicazione.- Software: sistemi operativi, sistemi di database gestionale, programmi applicativi.- Dati: database che contengono informazioni relative ai clienti.- Personale: utenti e/o fonti di dati; professionisti, personale amministrativo e
informatico.
Smart card: autenticazione utenti sotto Windows 12
Meccanismi della sicurezza sui dati
Integrità dei dati: funzione che verifica le caratteristiche dei documenti e delletransazioni. Autenticazione: con essa si ispeziona e si conferma la corretta identità di persone coinvolte in una transazione di dati. Non-ripudio: elimina la possibilità che una transazione ripudiata o invalidata può essere verificata come corretta.Concessione e delegazione: processo che permette l’accesso di specifici dati all'interno di un sistema. Controllo e registrazione: esamina la registrazione dei record, le attività per assicurare la conformità ai controlli stabiliti, le procedure operative in polizze. Gestione: è la tutela e la progettazione degli elementi e dei meccanismi discussi sopra.
Smart card: autenticazione utenti sotto Windows 3
Smart card: autenticazione utenti sotto Windows 13
Sistema di sicurezza host-based
Tratta una scheda come un semplice veicolo che trasporta dati.Ogni protezione dei dati è fatta dal computer server. Il sistema è facilmente attaccabile.
Possibili attacchi: alcune parti delle chiavi sono in chiaro e possono essere analizzate da hackers.
Possibile rimedio: uso di memory cards che implementano un meccanismo di password per prevenire la lettura non autorizzata dei dati.
Possbili attacchi: le password possono essere sniffate in chiaro.
Smart card: autenticazione utenti sotto Windows 14
Sistema di sicurezza card-based
Basato su microprocessori inclusi nelle card.L'accesso alle informazioni nella scheda è controllato da: a) un sistema operativo interno alla scheda.b) un insieme di permessi.
Ci sono due tipi di approccio per i sistemi operativi di scheda:- Approccio Classico: tratta ogni scheda come un dispositivo sicuro di calcolo e disalvataggio dati.
- Approccio Disk Drive: c’è una memoria attiva che gestisce la scheda e permette dicaricare specifiche “applicazioni” e file.
Smart card: autenticazione utenti sotto Windows 15
SOMMARIOSOMMARIO•• Smart cardSmart card
-- Veduta d’insiemeVeduta d’insieme-- Struttura e classificazione delle smart cardStruttura e classificazione delle smart card-- Lettore e terminale di base Lettore e terminale di base -- Standard Standard -- Sicurezza Sicurezza
•• AutenticazioneAutenticazione-- Cos’è l’autenticazione Cos’è l’autenticazione -- Rischi delle tecnologie, attacchi più comuni e trasmissione datRischi delle tecnologie, attacchi più comuni e trasmissione dat i su reti i su reti -- Processo di autenticazione tramite smart cardProcesso di autenticazione tramite smart card
•• Smart card: autenticazione utenti sotto windowsSmart card: autenticazione utenti sotto windows-- Introduzione Introduzione -- Chiave pubblica: concettiChiave pubblica: concetti-- Smart card authenticationSmart card authentication-- Programmare una smart cardProgrammare una smart card
•• Analisi dei dispositivi hardware e software utilizzatiAnalisi dei dispositivi hardware e software utilizzati-- Smart cardSmart card-- Lettore smart cardLettore smart card-- Gemplus SmartDiag v2.0Gemplus SmartDiag v2.0-- GemXpressoGemXpresso RAD IIIRAD III
Smart card: autenticazione utenti sotto Windows 16
Cos’è l’autenticazione
L'autenticazione è il processo attraverso il quale viene verificata l'identità di un utente che vuole accedere ad un computer o ad una una rete.
Un buon processo di autenticazione ricorre normalmente ai seguenti tre fattori:- qualcosa che solo l'utente conosce - qualcosa che solo l'utente possiede - un aspetto fisiologico o comportamentale
Smart card: autenticazione utenti sotto Windows 17
Quello che un utente conosce: le password
La password è l'insieme di caratteri alfanumerici, di lunghezza variabile, che immessa in un sistema ne permette l'accesso.Per definizione nessuna password è sicura al 100%.
Per incrementarne la sicurezza si può ricorrere alle password dinamiche. Sono password composte da una porzione alfanumerica fissa e una porzione alfanumerica, o più spesso solo numerica, che cambia ad ogni intervallo di tempo.
Un esempio di questo sistema è fornito dall’ RSA.
Smart card: autenticazione utenti sotto Windows 18
Quello che un utente possiede: i dispositivi hardware
Chiave hardware
Smart card
Proximity tools
Smart card: autenticazione utenti sotto Windows 4
Smart card: autenticazione utenti sotto Windows 19
Quello che un utente è: i dispositivi biometrici
E’ un sistema di riconoscimento che stabilisce l'autenticità di una caratteristica fisiologica o del comportamento di un utente.
Smart card: autenticazione utenti sotto Windows 20
Quali sono i rischi derivanti dall’utilizzo di queste tecnologie?
Il rischio maggiore è che la macchina non sia in grado di distinguere tra soggetti autorizzati ad accedere ad una risorsa e soggetti non autorizzati.
Gli hackers giocano proprio su questo punto debole del sistema, ossia cercano di “farsi riconoscere” come persone autorizzate.
Tipi di attacchi: - tentativi di indovinare le password - impossessarsi dei dispositivi hardware (chiavi USB, smart card,…)- ”man in the middle”
Smart card: autenticazione utenti sotto Windows 21
Quali sono i metodi di attacco più comuni?
Password cracker:
• dictionary based (veloce ma non molto efficace)
• brute force attack (lento ma quasi infallibile)
Smart card: autenticazione utenti sotto Windows 22
Quanto è sicura la trasmissione di dati su reti protette da protocolli di codifica
1015 anni 7 anni 7 anni 13 sec. 2 ms. Intelligence Agency
1016 anni 7.000 anni 7000 anni 9 gg. 2 ms. Grande Impresa
1019 anni 70.000 anni 70.000 anni 1 anno 2 sec. PMI
1027 anni 700.000.000 anni
700.000.000 anni
10.000 anni 5 h. Hacker
Chiave a128 bit
Chiave a80 bit
Chiave a56 bit
Chiave a46 bitChiave a 40 bittipo di attaccante
Smart card: autenticazione utenti sotto Windows 23
Processo di autenticazione tramite smart card
Opera il riconoscimento, tra smart card e mondo esterno.
Lo standard ISO definisce tre tipi di autenticazione: - interna- esterna - reciproca
La suddivisione è definita in base e chi effettivamente effettua la verifica dell’identità (il mondo esterno, la card o entrambi).
Smart card: autenticazione utenti sotto Windows 24
Interazione utente con un’Infrastruttura a Chiave Pubblica
Smart card: autenticazione utenti sotto Windows 5
Smart card: autenticazione utenti sotto Windows 25
SOMMARIOSOMMARIO•• Smart cardSmart card
-- Veduta d’insiemeVeduta d’insieme-- Struttura e classificazione delle smart cardStruttura e classificazione delle smart card-- Lettore e terminale di base Lettore e terminale di base -- Standard Standard -- Sicurezza Sicurezza
•• AutenticazioneAutenticazione-- Cos’è l’autenticazione Cos’è l’autenticazione -- Rischi delle tecnologie, attacchi più comuni e trasmissione datRischi delle tecnologie, attacchi più comuni e trasmissione dat i su reti i su reti -- Processo di autenticazione tramite smart cardProcesso di autenticazione tramite smart card
•• Smart card: autenticazione utenti sotto windowsSmart card: autenticazione utenti sotto windows-- Introduzione Introduzione -- Chiave pubblica: concettiChiave pubblica: concetti-- Smart card authenticationSmart card authentication-- Programmare una smart cardProgrammare una smart card
•• Analisi dei dispositivi hardware e software utilizzatiAnalisi dei dispositivi hardware e software utilizzati-- Smart cardSmart card-- Lettore smart cardLettore smart card-- Gemplus SmartDiag v2.0Gemplus SmartDiag v2.0-- GemXpressoGemXpresso RAD IIIRAD III
Smart card: autenticazione utenti sotto Windows 26
Consente ad un processo (client) per conto di un utente (user) di autenticarsi presso un verificatore.
L’autenticazione viene effettuata senza spedire dati significativi attraverso la rete.
Kerberos
Smart card: autenticazione utenti sotto Windows 27
Active Directory
E’ un “namespace” (spazio di nomi): un’area limitata nella quale un dato nome può essere risolto.
La risoluzione del nome è il processo di traduzione di un nome in qualche oggetto o informazione che esso rappresenta.
Una directory telefonica, ad esempio, forma un namespace nel quale i nomi degli abbonati telefonici possono essere risolti in numeri telefonici.
Smart card: autenticazione utenti sotto Windows 28
Domini, Foreste e Fiducia
Un dominio è un singolo confine di sicurezza in Windows 2000, avente le proprie politiche e relazioni di sicurezza con gli altri domini.
Quando domini multipli sono connessi da relazioni di fiducia ci troviamo di fronte ad un “domain tree” (albero di dominio).
Alberi di dominio multipli possono essere connessi assieme in una “foresta”.
Smart card: autenticazione utenti sotto Windows 29
Cos’è un’infrastruttura a chiave publica?
E’ un insieme di componenti che gestiscono certificati e chiavi, utilizzati per la codificae per servizi di firma digitale.
I componenti del PKI di Windows 2000 includono:
• servizi dell’autorità di certificazione (CA)
• Microsoft CryptoAPI
• politiche di infrastruttura
Smart card: autenticazione utenti sotto Windows 30
Certificati
Smart card: autenticazione utenti sotto Windows 6
Smart card: autenticazione utenti sotto Windows 31
Lo standard dei certificati X.509
Nello standard X.509 v3 un certificato consiste dei seguenti campi :
• versione• numero seriale• ID dell’algoritmo di firma • nome di chi ha emesso il certificato • periodo di validità • nome dell’utente • informazioni sulla chiave pubblica dell’utente • identificatore (unico) dell’emittente (versione 2 e 3) • identificatore (unico) dell’utente (versione 2 e 3) • estensioni (solo versione 3) • firma dei campi precedenti
Smart card: autenticazione utenti sotto Windows 32
Autorità di Certificazione (CA)
I certificati sono emessi da un’autorità di certificazione (CA), che garantisce per l’identità di coloro per cui emette i certificati e a cui associa una data chiave.
Per prevenire la perdita di certificati, la chiave pubblica della CA deve essere attendibile.
Una CA deve pubblicizzare la sua chiave pubblica ed esibire un certificato di un’altra CA a più alto livello che attesti la validità della propria chiave.
Smart card: autenticazione utenti sotto Windows 33
Smart card authentication
Una smart card può essere utilizzata per autenticarsi ad un dominio Windows 2000 in tre modi:
• Logon interattivo: l’utente, inserendo il PIN, si autentica alla macchina utilizzando lasmart card
• Autenticazione client: la smart card è utilizzata durante la generazione di una sessionesicura con SSL o TLS
• Logon remoto: utilizza certificati a chiave pubblica per autenticare un user remotoad un account memorizzato in Active Directory
Smart card: autenticazione utenti sotto Windows 34
Logon interattivo
PIN
Smart card: autenticazione utenti sotto Windows 35
Dopo che l’user inserisce il PIN nella finestra di logon, il sistema operativo inizia una sequenza di azioni per determinare se l’utente può essere identificato e autenticato.
Windows 2000, in questa fase, utilizza:
• Protocollo Kerberos versione 5
• Certificati X.509
• Microsoft CryptoAPI
• Active Directory
Logon interattivo
Smart card: autenticazione utenti sotto Windows 36
Autenticazione client
Il ruolo della smart card nell’autenticazione client è quello di firmare una parte del protocollo durante la sessione iniziale di negoziazione SSL.
La chiave privata corrispondente al certificato a chiave pubblica è memorizzata sulla smart card quindi il metodo di autenticazione è “forte”.
L’operazione che coinvolge la chiave privata è fatta sulla card; in tal modo la chiave privata non è mai esposta al computer host o alla rete.
Smart card: autenticazione utenti sotto Windows 7
Smart card: autenticazione utenti sotto Windows 37
Autenticazione client
Smart card: autenticazione utenti sotto Windows 38
Logon remoto
Per le connessioni di rete e remote è possibile utilizzare i seguenti metodi e protocolli di autenticazione:
• Protocollo PAP (Password Authentication Protocol)• Protocollo CHAP (Challenge Handshake Authentication Protocol)• Protocollo SPAP (Shiva Password Authentication Protocol)• Protocollo MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)• Protocollo MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol
versione 2) • Protocollo EAP (Extensible Authentication Protocol)• Autenticazione basata su smart card e altri certificati
Smart card: autenticazione utenti sotto Windows 39
Programmare una smart card
Non si può pensare di comperare un insieme di smart card, distribuirle agli utentie aspettarsi che esse lavorino.Queste devono prima essere programmate da un amministratore.
La procedura da seguire può essere suddivisa in quattro passi:
1. configurare la CA per emettere i certificati corretti2. specificare la politica che stabilisce quali user possono iscriversi per questi
certificati 3. configurare l’account dell’agente di iscrizione 4. iscrivere gli user per le smart card
Smart card: autenticazione utenti sotto Windows 40
SOMMARIOSOMMARIO•• Smart cardSmart card
-- Veduta d’insiemeVeduta d’insieme-- Struttura e classificazione delle smart cardStruttura e classificazione delle smart card-- Lettore e terminale di base Lettore e terminale di base -- Standard Standard -- Sicurezza Sicurezza
•• AutenticazioneAutenticazione-- Cos’è l’autenticazione Cos’è l’autenticazione -- Rischi delle tecnologie, attacchi più comuni e trasmissione datRischi delle tecnologie, attacchi più comuni e trasmissione dat i su reti i su reti -- Processo di autenticazione tramite smart cardProcesso di autenticazione tramite smart card
•• Smart card: autenticazione utenti sotto windowsSmart card: autenticazione utenti sotto windows-- Introduzione Introduzione -- Chiave pubblica: concettiChiave pubblica: concetti-- Smart card authenticationSmart card authentication-- Programmare una smart cardProgrammare una smart card
•• Analisi dei dispositivi hardware e software utilizzatiAnalisi dei dispositivi hardware e software utilizzati-- Smart cardSmart card-- Lettore smart cardLettore smart card-- Gemplus SmartDiag v2.0Gemplus SmartDiag v2.0-- GemXpressoGemXpresso RAD IIIRAD III
Smart card: autenticazione utenti sotto Windows 41
Smart card
Caratteristiche:
• Java Card 2.1 API• Java Card 2.1 VM• Visa OP 2.0.1• Security algorithm: 3-DES & RSA (512 bit-key)• 8 bit processor
front back
Smart card: autenticazione utenti sotto Windows 42
Lettore smart card
3F 6D 00 00 80 31 80 65 B0 05 01 02 5E 83 00 90 00 Card ATR
Latest Driver
Driver Signature
2.0.10.0Driver File Version
gemser.sysDriver File Name
http://www.gemplus.comInformation Web Page
Designed for Windows 98, NT4 and 2000Certifications
GemCore-R1.21-GMVersion
GEM0410Plug and Play ID
GemPC410 or CompatibleModel
115200Maximum Data Rate
COM DeviceType
GemplusVendor
MessageDetailsNote
The diagnostic tool recognizes this reader and did not find any problem.Message Details
The reader is available for use.Message
Gemplus GemPC410 0Reader
Smart card: autenticazione utenti sotto Windows 8
Smart card: autenticazione utenti sotto Windows 43
Gemplus SmartDiag v 2.0
Questo programma verifica che il lettore di smart card e la card in esso contenuta, siano disponibili per altri programmi.
Smart card: autenticazione utenti sotto Windows 44
GemXpresso RAD III
Permette di sviluppare, simulare, testare le applicazioni e gli applets della Java card rendendo la programmazione più facile e più efficente.
Comprende due software per poter interoperare con una smart card:
- JCardManager
- GemXpresso Simulator
Smart card: autenticazione utenti sotto Windows 45
JCardManager
Smart card: autenticazione utenti sotto Windows 46
Tools
Smart card: autenticazione utenti sotto Windows 47
Authenticate
Smart card: autenticazione utenti sotto Windows 48
Change PIN
Smart card: autenticazione utenti sotto Windows 9
Smart card: autenticazione utenti sotto Windows 49
Delete
Smart card: autenticazione utenti sotto Windows 50
Get Data
Smart card: autenticazione utenti sotto Windows 51
Get memory space
Smart card: autenticazione utenti sotto Windows 52
Get status
Smart card: autenticazione utenti sotto Windows 53
Install
Smart card: autenticazione utenti sotto Windows 54
Put data
Smart card: autenticazione utenti sotto Windows 10
Smart card: autenticazione utenti sotto Windows 55
Put key
Smart card: autenticazione utenti sotto Windows 56
Quick load
Smart card: autenticazione utenti sotto Windows 57
Reset
Smart card: autenticazione utenti sotto Windows 58
Select
Smart card: autenticazione utenti sotto Windows 59
Send APDU
Smart card: autenticazione utenti sotto Windows 60
Set status
Smart card: autenticazione utenti sotto Windows 11
Smart card: autenticazione utenti sotto Windows 61
Upload File into a Card
Smart card: autenticazione utenti sotto Windows 62
GemXpresso Simulator (GSE GUI)
Visualizza contesti di smart card simulate e tiene traccia dei comandi e delle risposte scambiate tra la card simulata e un’applicazione client (come ad esempio JCardManager).
Smart card: autenticazione utenti sotto Windows 63
GemXpresso Simulator (GSE GUI)
• Option(s) . Si possono specificare le seguenti opzioni:-card simmode dove simmode può essere:
JAVACARD_21JAVACARD_21_ISGXP211V2GXP211V2_ISGXP211_PKGXP211_PS_ISGXPLITEGXXV3
-atr ATRvalue
-motherkey customkey
-serial customserialno
Recommended