1 / 36

PKI e loro implementazione

PKI e loro implementazione. Corso di Sisitemi Informativi Teledidattico A.A. 2006/07 www.caslab.units.it. Servizi per la e-security. Identificazione Autenticazione Autorizzazione Integrità Confidenzialità Non ripudio. PKI e sue applicazioni.

ivo
Download Presentation

PKI e loro implementazione

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. PKI e loro implementazione Corso di Sisitemi Informativi Teledidattico A.A. 2006/07 www.caslab.units.it

  2. Servizi per la e-security • Identificazione • Autenticazione • Autorizzazione • Integrità • Confidenzialità • Non ripudio

  3. PKI e sue applicazioni Maggiore standardizzazione (ITU, IETF, RSA, …) Applicazioni • SSL (e-commerce) • Posta elettronica (firma, cifratura) • Firma documentale • VPN • …

  4. Crittografia - Introduzione • CSP • Crittologia & Analisi crittografica • Le chiavi • Generatori di numeri casuali

  5. Chiave simmetrica • Stessa chiave per codifica e decodifica CLASSIFICAZIONE ALGORITMI • block (es. 64bit): DES, 3DES, RC2, RC5, AES • stream: RC4 LUNGHEZZA CHIAVE • fissa: DES(56bit),RC2, RC6(128bit) • variabile: RC5(fino 2048bit), RC4

  6. Chiave simmetrica

  7. Chiave simmetrica

  8. PRO Stessa chiave Algoritmi veloci Dimensioni risultante = originale Sicuro con chiavi di almeno 128bit CONTRO Scambio chiave = operazione critica Chiavi “one time” Poco scalabile Non adatta a firma e non ripudio Chiave simmetrica

  9. Chiave asimmetrica • Lunghezza chiave 1024bit (~=96bit simm) • RSA il più diffuso • Due chiavi indipendenti in relazione mat. • Chiave pubblica, chiave privata

  10. Chiave asimmetrica

  11. PRO Cifra una, legge l’altra Altamente scalabile No problema distribuzione chiavi Sicuro con chiavi di almeno 1024bit Supporta firma e non ripudio Chiave asimmetrica • CONTRO • Lenti e pesanti • Prodotto codifica > del documento iniziale

  12. Busta digitale • Mutua compensazione dei PRO dei due algoritmi (simmetrica ed asimmetrica) • Soddisfa i requisiti per transazioni sicuri ed ottimali sulla rete

  13. Busta Digitale • A genera chiave simmetrica con cui cifra il documento • A cifra la chiave simmetrica con la chiave pubblica di B • Documento + chiave cifrati = digital envelope • …. Inviata su internet… • B separa chiave e documento • B recupera la chiave simmetrica con la propria chiave privata • Con la chiave simmetrica decifra il documento originale

  14. Busta digitale

  15. Firma digitale Hash = algoritmi che da un documento ottengono un digest di 128-160bit Proprietà del digest • Non reversibile • Non rivela nulla del documento iniziale • Impossibile produrre documento che produca la stessa hash

  16. Firma digitale Algoritmi • MD2 = RSA hash 128bit (cpu 8 bit) • MD5 = hash 128bit (cpu 32 bit) • SHA-1 = 160bit (cpu hi-end)

  17. Firma digitale Certezza del mittente

  18. …manca la certezza che una determinata chiave pubblica appartiene effettivamente ad una determinata persona…

  19. Certificati digitali • “garanzia” associazione chiave pubblica/persona (o device) • “garanzia” offerta da una autorità di fiducia • Firma digitale dell’autorità sul certificato

  20. SSL – Transazioni WEB sicure

  21. Principi base PKI Identità digitale • Istituzione di fiducia • Identità per periodo determinato (1, 2 anni) • Revoche e rinnovi a carico Authority • Certification Authorities

  22. Certificati digitali x.509v3

  23. Certificati digitali

  24. Tipi di certificati • End entity • CA certificates Attributi legati all’applicazione • Email includono l’indirizzo • VPN includono indirizzo IP • SSL includono URL web server

  25. Compiti di una PKI • Creazione di chiavi sicure • Validazione e verifica delle identità • Rilascio, rinnovo e revoca dei certificati • Validazione dei certificati • Distribuzione dei certificati e delle informazioni ad essi associate • Archiviazione sicura delle chiavi • Stabilire e gestire relazioni di trust

  26. Autenticazione • Processo di verifica dell’identità • Username/password single factor • Token/PIN due fattori • Biometrics (impronte, retina, timbro vocale) • PKI = due fattori • SmartCard

  27. Componenti di una PKI CA (Certification Authority) • RA Registration Authority • CS Certificate Services • CR Certificate Repository Certificate Validation Key Recovery Service Time Server

  28. Ciclo di vita chiavi • Creazione • Rinnovo • Revoca

  29. Implementazione PKI • Rilascio e rinnovo, criteri e metodi • Revoca: CRL e sua pubblicazione • Validazione di un certificato • Percorsi di certificazione • Gerarchie di certificati

  30. Gerarchie di certificati

  31. Validazione gerarchie

  32. Tipi di chiavi • Attributo key usage • Encryption keys • Digital signature keys • Considerazioni sul loro uso dopo la scadenza del certificato

  33. Protezione delle chiavi • Protezione dell’unicità • Se non è unica, no firma e “non ripudio” • Archivi di chiavi “key store” • Problema di store differenti per gli applicativi • Problema trasporto chiavi (PKCS #12) • Diverse API di interfacciamento allo store • SmartCard come keystore (costi infr.)

  34. API

  35. Ciclo di vita delle chiavi • Generazione, numeri primi, qualità • Centralizzata o decentralizzata • Archiviazione chiavi private • Store lagato all’applicativo • Qualità dello store (pwd, accesso facile) • Trasporto delle chiavi • Ripristino delle chiavi (corrente, precedente, vecchia)

  36. PKI e sue applicazioni SERVIZI • firma digitale • Autenticazione • Timestamp • non ripudio PROTOCOLLI • SSL • IPSec • S/MIME

More Related