Embed Size (px)
DESCRIPTION
presentazione Tesi laurea triennale
Citation preview
UNIVERSITÀ CA’ FOSARI – VENEZIAFacoltà di Scienze Matematiche, Fisiche e Naturali
Corso di Laurea in Informatica
Tesi di Laurea Triennale
Laureando: Fabio Pustetto
Relatore: Chiar.mo prof. Riccardo Focardi
Anno Accademico 2003/2004
POSTA ELETTRONICA SICURA:X.509 E PGP
POSTA ELETTRONICA SICURA:X.509 E PGP
RISCHI E REQUISITIRISCHI E REQUISITIPer proteggere, cioè rendere sicuro, si intende predisporre contromisure di protezione per i rischi specifici.
• Frode
• Intercettazioni non autorizzata
• Modifica dati
• Diniego
=> Riservatezza/Segretezza• consente ai soli utenti autorizzati di interpretare informazioni riservate
negandole a tutti gli altri.
=> Integrità• protezione delle informazioni dalle eventuali modifiche apportate da
altri utenti non autorizzati.
=> Non ripudio• Se da un lato chi invia non può disconoscere la paternità di un
documento firmato digitalmente, dall’altro, chi riceve non può negarne l’esistenza.
=> Autenticazione• Assicura che il documento non sia un falso e che il mittente è proprio
chi dice di essere
TECNOLOGIETECNOLOGIETecnologia principali su cui si basano tutte le applicazioni inerenti alla sicurezza
• “crittografia”• Trasforma una sequenza di dati in chiaro in un'altra sequenza
apparentemente incomprensibile• Da testo in chiaro a testo cifrato tramite chiavi
• Principio di Kerckhoffs: “La sicurezza di un crittosistema non deve dipendere dalla segretezza dell’algoritmo usato, ma solo dalla segretezza della chiave”.
• “hashing”• Trasforma una sequenza di dati potenzialmente infinita in una
rappresentativa di dimensione prefissata (digest)1. Se documento cambia cambia anche digest (con molta probabilità)2. Da digest non si risale a documento3. Funzione applicata in tempi diversi su stesso messaggio da stesso digest
ALGORITMI CRITTOGRAFICIALGORITMI CRITTOGRAFICI
• Algoritmi a chiave segreta• Conoscenza comune e riservata tra
mittente e destinatario• Stessa chiave cifra e decifra• Trasmissione e uso ripetuto chiave• Con n destinatari, O(n2) chiavi
• Algoritmi a chiave pubblica• Coppia di chiavi: pubblica e privata
• Una cifra, l’altra decifra• Non si riconducono
• n destinatari, O(n) coppie di chiavi• Cifratura lenta, chiavi lunghe
X=E(KU,M) M=D(KR,X)
FIRMA DIGITALEFIRMA DIGITALE
• Serve al destinatario per verificare l’autenticità e integrità• Si usano algoritmi crittografici asimmetrici
• Chiave privata firma, chiave pubblica verifica
CERTIFICATICERTIFICATIDIGITALIDIGITALI
LegaLega•• Chiave pubblicaChiave pubblica•• Informazioni su Informazioni su
soggettosoggetto•• Una o più firmeUna o più firme
ConsenteConsente•• AutenticazioneAutenticazione•• IntegritàIntegrità•• Non ripudioNon ripudio•• SegretezzaSegretezza
GESTIONE DELLE CHIAVIPKI (PUBLIC KEY INFRASTRUCTURE )
GESTIONE DELLE CHIAVIPKI (PUBLIC KEY INFRASTRUCTURE )
Si occupa di• Emissione, distribuzione, revoca, validazione
• Catena di certificazione
Costituita da• Registration Autority (RA)
• Verifica utenti e chiavi
• Certification Autority (CA)• Crea e firma certificato
• Certificate Sever (CS)• Distribuisce certificato
Architettura• CA autonoma
• Gestita da terze parti
• CA globale• Gestita internamente
• Combinazione di CA
CA1
C
BA
CA3 CA4CA2
CA5 D
GESTIONE DELLE CHIAVIWOT (WEB OF TRUST)
GESTIONE DELLE CHIAVIWOT (WEB OF TRUST)
Rete di Fiducia• OBIETTIVO: autenticare chiavi pubbliche
• Nessuna infrastruttura o fiducia implicita
• Cooperazione tra utenti
• Ogni firma su chiave pubblica
• Autentica la chiave corrispondente
• corrisponde ad un collegamento nella rete di fiducia
A
C
B
D
A autentica D
A autentica CC autentica A
B si fida di A passando per C, in
cui ha fiducia
X.509(VERSIONE 3)
X.509(VERSIONE 3)
Ottenere un certificato:• Autocertificazione
• Utente genera chiavi e certificato e li firma da se
• CA esterna• Ci si affida a strutture commerciali
affidabili e legalmente riconosciute (Thawte, Verisign, …)• Firma con valore legale, CNIPA
• CA interna• Es: azienda funge da CA ed emette
certificati ad hoc per i dipendenti
Uhm… Non falsificabile
PGP(PRETTY GOOD PRIVACY)
PGP(PRETTY GOOD PRIVACY)
Toolkit crittografico, utenza privata• Cifratura• Firma• Compressione
DigestSHA-1
Firma con KRaRSA
ComprimiZIP
CifraIDEA
Cifra Kscon KUbRSA
ConvertiRADIX
PGP(FUNZIONAMENTO)
PGP(FUNZIONAMENTO)
Genera Ks
IN PRATICA…(IMPLEMENTARE CA PER X.509 IN LINUX)
IN PRATICA…(IMPLEMENTARE CA PER X.509 IN LINUX)
Installare un Server: Apache + ApacheSSL + OpenSSL• Certificato per CA1. Creare coppia di chiavi
2. Creare certificato auto-firmato
• Certificato personale
1. Creare coppia di chiavi
2. Preparare una CSR
3. Inviare tutto alla CA
openssl genrsa –des3 -out CA.key 2048
openssl req -new -x509 -key CA.key -out CA.cert
openssl genrsa –des3 -out fabio.key 1024
openssl req -new -key fabio.key -out fabio.csr
openssl ca -keyfile CA.key -cert CA.cert -in fabio.csr -out fabio.cert
CONCLUSIONICONCLUSIONI
X.509:• Professionali• Orientati alle aziende• Difficili da mantenere• Affidabilità intrinseca PKI
PGP:• Orientati agli utenti• Facili da produrre• WoT difficile da sfruttare a pieno
