pki e loro implementazione
DESCRIPTION
PKI e loro implementazione. Corso di Sisitemi Informativi Teledidattico A.A. 2006/07 www.caslab.units.it. Servizi per la e-security. Identificazione Autenticazione Autorizzazione Integrità Confidenzialità Non ripudio. PKI e sue applicazioni. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/1.jpg)
PKI e loro implementazione
Corso di Sisitemi Informativi TeledidatticoA.A. 2006/07
www.caslab.units.it
![Page 2: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/2.jpg)
Servizi per la e-security
• Identificazione
• Autenticazione
• Autorizzazione
• Integrità
• Confidenzialità
• Non ripudio
![Page 3: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/3.jpg)
PKI e sue applicazioni
Maggiore standardizzazione (ITU, IETF, RSA, …)
Applicazioni• SSL (e-commerce)• Posta elettronica (firma, cifratura)• Firma documentale• VPN• …
![Page 4: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/4.jpg)
Crittografia - Introduzione
• CSP
• Crittologia & Analisi crittografica
• Le chiavi
• Generatori di numeri casuali
![Page 5: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/5.jpg)
Chiave simmetrica
• Stessa chiave per codifica e decodifica
CLASSIFICAZIONE ALGORITMI• block (es. 64bit): DES, 3DES, RC2, RC5, AES• stream: RC4
LUNGHEZZA CHIAVE• fissa: DES(56bit),RC2, RC6(128bit)• variabile: RC5(fino 2048bit), RC4
![Page 6: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/6.jpg)
Chiave simmetrica
![Page 7: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/7.jpg)
Chiave simmetrica
![Page 8: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/8.jpg)
Chiave simmetrica
PRO• Stessa chiave• Algoritmi veloci• Dimensioni risultante =
originale• Sicuro con chiavi di
almeno 128bit
• CONTRO• Scambio chiave =
operazione critica• Chiavi “one time”• Poco scalabile• Non adatta a firma e
non ripudio
![Page 9: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/9.jpg)
Chiave asimmetrica
• Lunghezza chiave 1024bit (~=96bit simm)
• RSA il più diffuso
• Due chiavi indipendenti in relazione mat.
• Chiave pubblica, chiave privata
![Page 10: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/10.jpg)
Chiave asimmetrica
![Page 11: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/11.jpg)
Chiave asimmetrica
• PRO• Cifra una, legge l’altra• Altamente scalabile• No problema
distribuzione chiavi• Sicuro con chiavi di
almeno 1024bit• Supporta firma e non
ripudio
• CONTRO• Lenti e pesanti• Prodotto codifica > del
documento iniziale
![Page 12: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/12.jpg)
Busta digitale
• Mutua compensazione dei PRO dei due algoritmi (simmetrica ed asimmetrica)
• Soddisfa i requisiti per transazioni sicuri ed ottimali sulla rete
![Page 13: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/13.jpg)
Busta Digitale
• A genera chiave simmetrica con cui cifra il documento• A cifra la chiave simmetrica con la chiave pubblica di B• Documento + chiave cifrati = digital envelope• …. Inviata su internet…• B separa chiave e documento• B recupera la chiave simmetrica con la propria chiave
privata• Con la chiave simmetrica decifra il documento originale
![Page 14: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/14.jpg)
Busta digitale
![Page 15: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/15.jpg)
Firma digitale
Hash = algoritmi che da un documento ottengono un digest di 128-160bit
Proprietà del digest
• Non reversibile
• Non rivela nulla del documento iniziale
• Impossibile produrre documento che produca la stessa hash
![Page 16: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/16.jpg)
Firma digitale
Algoritmi
• MD2 = RSA hash 128bit (cpu 8 bit)
• MD5 = hash 128bit (cpu 32 bit)
• SHA-1 = 160bit (cpu hi-end)
![Page 17: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/17.jpg)
Firma digitale
Certezza del mittente
![Page 18: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/18.jpg)
…manca la certezza che una determinata chiave pubblica appartiene effettivamente ad una determinata persona…
![Page 19: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/19.jpg)
Certificati digitali
• “garanzia” associazione chiave pubblica/persona (o device)
• “garanzia” offerta da una autorità di fiducia• Firma digitale dell’autorità sul certificato
CERTIFICATO Nome e indirizzo dell’organizzazione
Proprietario della chiave pubblica
Periodo di validità del certificato
Firma digitale dell’autorità di fiducia
![Page 20: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/20.jpg)
SSL – Transazioni WEB sicure
![Page 21: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/21.jpg)
Principi base PKI
Identità digitale
• Istituzione di fiducia
• Identità per periodo determinato (1, 2 anni)
• Revoche e rinnovi a carico Authority
• Certification Authorities
![Page 22: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/22.jpg)
Certificati digitali x.509v3
![Page 23: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/23.jpg)
Certificati digitali
![Page 24: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/24.jpg)
Tipi di certificati
• End entity
• CA certificates
Attributi legati all’applicazione
• Email includono l’indirizzo
• VPN includono indirizzo IP
• SSL includono URL web server
![Page 25: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/25.jpg)
Compiti di una PKI
• Creazione di chiavi sicure• Validazione e verifica delle identità• Rilascio, rinnovo e revoca dei certificati• Validazione dei certificati• Distribuzione dei certificati e delle
informazioni ad essi associate• Archiviazione sicura delle chiavi• Stabilire e gestire relazioni di trust
![Page 26: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/26.jpg)
Autenticazione
• Processo di verifica dell’identità
• Username/password single factor
• Token/PIN due fattori
• Biometrics (impronte, retina, timbro vocale)
• PKI = due fattori
• SmartCard
![Page 27: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/27.jpg)
Componenti di una PKI
CA (Certification Authority)
• RA Registration Authority
• CS Certificate Services
• CR Certificate Repository
Certificate Validation
Key Recovery Service
Time Server
![Page 28: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/28.jpg)
Ciclo di vita chiavi
• Creazione
• Rinnovo
• Revoca
![Page 29: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/29.jpg)
Implementazione PKI
• Rilascio e rinnovo, criteri e metodi
• Revoca: CRL e sua pubblicazione
• Validazione di un certificato
• Percorsi di certificazione
• Gerarchie di certificati
![Page 30: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/30.jpg)
Gerarchie di certificati
![Page 31: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/31.jpg)
Validazione gerarchie
![Page 32: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/32.jpg)
Tipi di chiavi
• Attributo key usage
• Encryption keys
• Digital signature keys
• Considerazioni sul loro uso dopo la scadenza del certificato
![Page 33: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/33.jpg)
Protezione delle chiavi
• Protezione dell’unicità• Se non è unica, no firma e “non ripudio”• Archivi di chiavi “key store”• Problema di store differenti per gli
applicativi• Problema trasporto chiavi (PKCS #12)• Diverse API di interfacciamento allo store• SmartCard come keystore (costi infr.)
![Page 34: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/34.jpg)
API
![Page 35: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/35.jpg)
Ciclo di vita delle chiavi
• Generazione, numeri primi, qualità• Centralizzata o decentralizzata• Archiviazione chiavi private• Store lagato all’applicativo• Qualità dello store (pwd, accesso facile)• Trasporto delle chiavi• Ripristino delle chiavi (corrente,
precedente, vecchia)
![Page 36: PKI e loro implementazione](https://reader036.vdocuments.site/reader036/viewer/2022081513/56815009550346895dbde2bb/html5/thumbnails/36.jpg)
PKI e sue applicazioni
SERVIZI• firma digitale• Autenticazione• Timestamp• non ripudioPROTOCOLLI• SSL• IPSec• S/MIME