Upload
settimio-orlando
View
215
Download
3
Embed Size (px)
Citation preview
Certification Authority
Fase I : Setup e Configurazione
Componenti del gruppo : Marino Pasquale Marra Maria Cristina Molaro Alfonso Rullo Esterino
Introduzione CA Una Certification Authority è
una entità che rilascia certificati digitali verso terze parti e ha il compito di emettere, consegnare e revocare i certificati
una delle componenti più importanti della Public Key Infrastructure(PKI)
Scambio di messaggi1
Due utenti, Alice e Bob, vogliono scambiarsi messaggi firmati e crittografati
Alice scrive un messaggio per Bob firma il messaggio con la sua chiave privata cripta il messaggio con la chiave pubblica di Bob il messaggio viene inviato
Quando Bob riceve il messaggio decripta il messaggio con la sua chiave privata verifica la firma con la chiave pubblica intestata ad
Alice
Scambio di messaggi2
Bob a questo punto sa due cose : il messaggio era diretto a lui perché è riuscito a
decifrarlo con la sua chiave privata il messaggio è stato firmato con la chiave privata
relativa alla chiave pubblica che lui ha usato per verificare la firma
Bob, però, non ha alcuna garanzia che la chiave sia realmente di proprietà di Alice
Scambio di messaggi3
supponiamo che una terza persona, Mallory, riesca ad intercettare la comunicazione in cui Bob ottiene la chiave di Alice e riesca a sostituirla con la sua chiave pubblica in cui si spaccia per Alice.
Bob non ha alcun modo per scoprire l'inganno
Soluzione : CA Per risolvere situazioni di questo tipo nascono le CA che
si fanno carico di verificare e garantire la corrispondenza fra chiave e proprietario
Quando un utente richiede un certificato, la CA verifica la sua identità, quindi crea un documento elettronico in cui sono contenuti:
i dati personali dell'utente la chiave pubblica dell'utente gli estremi della CA che ha rilasciato il certificato gli indirizzi a cui può essere trovata la CRL
Il documento viene firmato con la chiave pubblica della CA e pubblicato
Registration Authority1
Le RA costituiscono il contatto diretto tra la CA e l'entita' che richiede il certificato
La RA si occupa di verificare l'identita' del soggetto richiedente tramite l'identificazione fisica associata ad un documento oppure tramite altri criteri di controllo
Dopo aver ricevuto una richiesta dalla RA, la CA genera il certificato e lo firma con la sua chiave privata
La CA ora inviera' il certificato alla RA la quale, a sua volta, lo invierà al richiedente
Registration Authority2
Certificato digitale1
Un certificato digitale è un documento elettronico che associa l'identità di una persona ad una chiave pubblica
I certificati garantiscono la tutela delle informazioni personali su Internet e consentono di proteggere il sistema da programmi software non sicuri
Viene emesso da una autorità
di certificazione riconosciuta secondo standard internazionali (X.509) e viene firmato con la chiave privata dell'autorità
Certificato digitale2
Installazione
Installazione1
I software installati sono : Knoppix: sistema operativo; OpenCA: software principale per la
realizzazione della CA; IpTables: firewall usato per impedire
accessi indesiderati; Apache: nel toolkit OpenCA, Apache agisce
da interfaccia, in locale, ai programmi di supporto sull’host CA ;
Installazione2
mod_ssl: fornisce un’eccellente crittografia per il web server Apache tramite SSL e TLS, servendosi del toolkit OpenSSL;
OpenSSL: toolkit crittografico che implementa SSL (acronimo di Secure Socket Layer) e TLS (acronimo di Transport Layer Security) ed i relativi standard crittografici da essi richiesti
OpenLDAP: server utilizzato per la pubblicazione dei certificati
Installazione3
Perl: fornisce un’interfaccia al database MYSQL, si presta bene a sviluppare applicazioni web perché può gestire dati cifrati, incluse le transazioni di commercio elettronico sicuro ;
MySQL: usato come Data Base Management System.
Installazione4
Per motivi di licenze sono stati utilizzati esclusivamente prodotti software freeware; ciò ha facilitato non solo il reperimento del software ma anche l’utilizzo
La nostra scelta è ricaduta sul software Dartmouth OpenCa-LiveCD, il quale tramite pochi e semplici passaggi permette di installare tutto il software necessario per un Certification Authority, in modo tale da rendere il sistema veloce e leggero all'avvio
Installazione5
Dartmouth OpenCa-LiveCD è un CD bootable con uno script di installazione che aiuta le persone ad avere una Certification Authority OpenCA pronta per essere installata in pochi minuti
può essere utilizzato sulla maggior parte delle architetture Intel indipendente dal sistema operativo installato sul HDD
Sequenza di installazione Scaricare il file ISO dal link http://
media.dartmouth.edu/~deploypki/openca-livecd.iso
Masterizzare l'immagine del CD Modificare il boot di avvio dal bios in modo da
priorizzare il CD-ROM Inserire il CD nel driver e riavviare il PC A questo punto partirà uno script di
configurazione automaticamente che permette di personalizzare la propria CA
Inizializzazione CA
Inizializzazione CA
Fase I : Inizializzazione CA1
Digitando nel browser l'indirizzo http://www.my_ca.it/ca compare una tabella di informazioni sulle componenti software utilizzate e le relative versioni
Il passo successivo da compiere è cliccare sul link Inizialization per passare alla fase di inizializzazione di OpenCA
Fase I : Inizializzazione CA2
Fase I : Inizializzazione CA3
sono richiesti i seguenti passi per settare la PKI:
DBSetup Bisogna solo cliccare sul link Inizialize Database
ed il database precedentemente configurato sarà inizializzato. Tale azione distrugge i dati all'interno del database se esso già esiste.
Key pair Setup Bisogna solo cliccare sul link
Generate new CA secret key
Fase I : Inizializzazione CA4
Request Setup Bisogna solo cliccare sul link Generate new CA Certificate
Request(use generated secred key) Request Setup
Bisogna solo cliccare sul link Generate new CA Certificate Request(use generated secred key)
Final Setup Ci sono due operazioni da effettuare:
Rebuild CA Chain costruisce la catena di certificati che è necessaria per verificare le firme digitali e per esportare la configurazione della CA.
Export Configuration trasferisce su floppy l'intera configurazione della CA dato che la CA per ragioni di sicurezza gira su un host offline
Fase II : Creare L’amministratore iniziale1
Tale fase di inizializzazione crea il primo certificato per l'amministratore della PKI
Bisogna usare come ruolo per questo certificato "CAoperator" visto che certifica un'entità che non è un utente comune ma è l'amministratore della CA
Fase II : Creare L’amministratore iniziale2
Fase II : Creare L’amministratore iniziale3
Sono richiesti i seguenti passi:
Create a new request Cliccando su questo link viene visualizzata una
form in cui bisogna inserire i dati riguardanti la richiesta
Edit Request Qui viene data l'ultima possibilità di modificare i
campi della richiesta (Distinguished Name). Cliccando su OK confermeremo le eventuali modifiche.
Fase II : Creare L’amministratore iniziale4
Issue Certificate Nella pagina relativa a tale passo, finalmente, c'è la
possibilità di rilasciare il certificato cliccando sul bottone issue certificate o di cancellare la richiesta cliccando sul bottone delete request
Handle Certificate La pagina relativa a tale passo permette al richiedente di
effettuare 4 operazioni sul certificato Download Change Passphrase Revoke key Download Certificate onto Token
Fase III : Creare il certificato iniziale RA1
tale fase permette di creare il certificato per il server https dell'RA (bisognerebbe usare come role del certificato Web Server)
I passi con le relative caratteristiche sono gli stessi della fase 2
Configurazione CA
Configurazione di CA1
La fase di configurazione è importante perchè permette di customizzare la gestione e aggiungere nuove funzionalità.
Si possono modificare caratteristiche importanti quali: Roles
Cliccando sul tale link viene visualizzata una pagina che contiene i ruoli presenti nella PKI e permette di aggiungerne di nuovi
Rights Cliccando sul tale link viene visualizzata una pagina in
cui compare la ACL (Access Control List) dei moduli della PKI. Per ogni operazione visualizza l'operatore incaricato ad effettuare l'operazione ed il proprietario. Inoltre è possibile aggiungere, cancellare e ricercare diritti
Configurazione di CA2
Operations Cliccando sul tale link viene visualizzata una pagina con
tutte le operazioni della PKI (sono le stesse del punto precedente) e permette di cancellarne o aggiungerne nuove. E' anche possibile firmare (richiede CA-password), esportare e importare l'intera configurazione della PKI
Modules Cliccando sul tale link viene visualizzata una pagina che
contiene i moduli della PKI e permette di aggiungerne nuovi
Scripts Cliccando sul tale link viene visualizzata una pagina che
mostra gli scripts che implementano le operations e permette di cancellare lo script relativo ad un'operation. Inoltre mostra una descrizione delle caratteristiche relative ad ogni script.