Upload
ivo
View
62
Download
0
Embed Size (px)
DESCRIPTION
PKI e loro implementazione. Corso di Sisitemi Informativi Teledidattico A.A. 2006/07 www.caslab.units.it. Servizi per la e-security. Identificazione Autenticazione Autorizzazione Integrità Confidenzialità Non ripudio. PKI e sue applicazioni. - PowerPoint PPT Presentation
Citation preview
PKI e loro implementazione
Corso di Sisitemi Informativi TeledidatticoA.A. 2006/07
www.caslab.units.it
Servizi per la e-security
• Identificazione
• Autenticazione
• Autorizzazione
• Integrità
• Confidenzialità
• Non ripudio
PKI e sue applicazioni
Maggiore standardizzazione (ITU, IETF, RSA, …)
Applicazioni• SSL (e-commerce)• Posta elettronica (firma, cifratura)• Firma documentale• VPN• …
Crittografia - Introduzione
• CSP
• Crittologia & Analisi crittografica
• Le chiavi
• Generatori di numeri casuali
Chiave simmetrica
• Stessa chiave per codifica e decodifica
CLASSIFICAZIONE ALGORITMI• block (es. 64bit): DES, 3DES, RC2, RC5, AES• stream: RC4
LUNGHEZZA CHIAVE• fissa: DES(56bit),RC2, RC6(128bit)• variabile: RC5(fino 2048bit), RC4
Chiave simmetrica
Chiave simmetrica
Chiave simmetrica
PRO• Stessa chiave• Algoritmi veloci• Dimensioni risultante =
originale• Sicuro con chiavi di
almeno 128bit
• CONTRO• Scambio chiave =
operazione critica• Chiavi “one time”• Poco scalabile• Non adatta a firma e
non ripudio
Chiave asimmetrica
• Lunghezza chiave 1024bit (~=96bit simm)
• RSA il più diffuso
• Due chiavi indipendenti in relazione mat.
• Chiave pubblica, chiave privata
Chiave asimmetrica
Chiave asimmetrica
• PRO• Cifra una, legge l’altra• Altamente scalabile• No problema
distribuzione chiavi• Sicuro con chiavi di
almeno 1024bit• Supporta firma e non
ripudio
• CONTRO• Lenti e pesanti• Prodotto codifica > del
documento iniziale
Busta digitale
• Mutua compensazione dei PRO dei due algoritmi (simmetrica ed asimmetrica)
• Soddisfa i requisiti per transazioni sicuri ed ottimali sulla rete
Busta Digitale
• A genera chiave simmetrica con cui cifra il documento• A cifra la chiave simmetrica con la chiave pubblica di B• Documento + chiave cifrati = digital envelope• …. Inviata su internet…• B separa chiave e documento• B recupera la chiave simmetrica con la propria chiave
privata• Con la chiave simmetrica decifra il documento originale
Busta digitale
Firma digitale
Hash = algoritmi che da un documento ottengono un digest di 128-160bit
Proprietà del digest
• Non reversibile
• Non rivela nulla del documento iniziale
• Impossibile produrre documento che produca la stessa hash
Firma digitale
Algoritmi
• MD2 = RSA hash 128bit (cpu 8 bit)
• MD5 = hash 128bit (cpu 32 bit)
• SHA-1 = 160bit (cpu hi-end)
Firma digitale
Certezza del mittente
…manca la certezza che una determinata chiave pubblica appartiene effettivamente ad una determinata persona…
Certificati digitali
• “garanzia” associazione chiave pubblica/persona (o device)
• “garanzia” offerta da una autorità di fiducia• Firma digitale dell’autorità sul certificato
CERTIFICATO Nome e indirizzo dell’organizzazione
Proprietario della chiave pubblica
Periodo di validità del certificato
Firma digitale dell’autorità di fiducia
SSL – Transazioni WEB sicure
Principi base PKI
Identità digitale
• Istituzione di fiducia
• Identità per periodo determinato (1, 2 anni)
• Revoche e rinnovi a carico Authority
• Certification Authorities
Certificati digitali x.509v3
Certificati digitali
Tipi di certificati
• End entity
• CA certificates
Attributi legati all’applicazione
• Email includono l’indirizzo
• VPN includono indirizzo IP
• SSL includono URL web server
Compiti di una PKI
• Creazione di chiavi sicure• Validazione e verifica delle identità• Rilascio, rinnovo e revoca dei certificati• Validazione dei certificati• Distribuzione dei certificati e delle
informazioni ad essi associate• Archiviazione sicura delle chiavi• Stabilire e gestire relazioni di trust
Autenticazione
• Processo di verifica dell’identità
• Username/password single factor
• Token/PIN due fattori
• Biometrics (impronte, retina, timbro vocale)
• PKI = due fattori
• SmartCard
Componenti di una PKI
CA (Certification Authority)
• RA Registration Authority
• CS Certificate Services
• CR Certificate Repository
Certificate Validation
Key Recovery Service
Time Server
Ciclo di vita chiavi
• Creazione
• Rinnovo
• Revoca
Implementazione PKI
• Rilascio e rinnovo, criteri e metodi
• Revoca: CRL e sua pubblicazione
• Validazione di un certificato
• Percorsi di certificazione
• Gerarchie di certificati
Gerarchie di certificati
Validazione gerarchie
Tipi di chiavi
• Attributo key usage
• Encryption keys
• Digital signature keys
• Considerazioni sul loro uso dopo la scadenza del certificato
Protezione delle chiavi
• Protezione dell’unicità• Se non è unica, no firma e “non ripudio”• Archivi di chiavi “key store”• Problema di store differenti per gli
applicativi• Problema trasporto chiavi (PKCS #12)• Diverse API di interfacciamento allo store• SmartCard come keystore (costi infr.)
API
Ciclo di vita delle chiavi
• Generazione, numeri primi, qualità• Centralizzata o decentralizzata• Archiviazione chiavi private• Store lagato all’applicativo• Qualità dello store (pwd, accesso facile)• Trasporto delle chiavi• Ripristino delle chiavi (corrente,
precedente, vecchia)
PKI e sue applicazioni
SERVIZI• firma digitale• Autenticazione• Timestamp• non ripudioPROTOCOLLI• SSL• IPSec• S/MIME