Logo
  Articoli     
         
 
Visitatori
Visitatori Correnti : 3
Membri : 0

Per visualizzare la lista degli utenti collegati alla community, devi essere un utente registrato.
Iscriviti

Iscritti
 Utenti: 110
Ultimo iscritto : djdok
Lista iscritti


Top - Siti web
FILE SIGNATURES TABLE (IT)
Defacement in corso (IT)
E-Evidence (IT)
ENFSI (IT)
IISFA (IT)
Forensic Acquisition Utilities (IT)
LogAnalysis (IT)
Geschonneck (IT)
Forensic Focus (IT)
TSGW (IT)
IJDE (IT)
IOCE (IT)

Versioni

Log in
Login
Password
Memorizza i tuoi dati:

Eventi
<
Settembre
 >
L M M G V S D
-- -- 01 02 03 04 05
06 07 08 09 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 -- -- --


 
PKI
Inserito il 13 novembre 2004 alle 10:02:51 da djfra.

I certificati digitali.

Il ruolo di una PKI (Public Key Infrastructure), fondamentalmente è quello di emettere e gestire "Certificati digitali", utilizzati per identificare in maniera univoca oggetti reali, come utenti, computer, servizi.

Ma cosa è una PKI ed un certificato digitale ?

Possiamo definire una PKI come un insieme di componenti distinti (organizzativi, tecnologici e normativi) che interagiscono per fornire servizi di sicurezza, basati sui protocolli di cifratura a chiave pubblica o crittografia asimmetrica. E' un infrastruttura che coinvolge tutta l'organizzazione, infatti i certificati possono essere legati non solo a persone, ma anche ad entità legali, aziende, sistemi ed applicazioni software che necessitano di chiavi pubbliche certificate.

Un certificato digitale è l'insieme della una chiave pubblica, associata ad un proprietario, controfirmata dalla chiave privata di una CA o Ente Certificatore.

Firma digitale è un particolare tipo di firma elettronica qualificata, basata su un sistema di chiavi asimmetriche a coppia, una privata ed una pubblica, utilizza un certificato emesso da un soggetto con specifiche caratteristiche tecniche, garantite dallo Stato. Il certificato, memorizzato su un supporto che garantisce elevate proprietà di sicurezza, ed es. smartcard o token USB, consente al titolare tramite la chiave privata ed al destinatario tramite la chiave pubblica, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico. Questo tipo di firma ha valore legale fino a querela di falso.

Firma elettronica l'insieme di dati in forma elettronica, allegati o connessi ad altri dati digitali tramite un associazione logica, utilizzati quale mezzo di autenticazione.

Quali necessità di sicurezza garantisce ?

Grazie alla PKI è possibile realizzare :

Confidenzialità (garanzia che il messaggio può essere compreso solo dal suo destinatario)

Integrità (prevenzione dell' alterazione o manipolazione indebita delle informazioni)

Autenticazione (verifica dell'identità di una persona o di un’altra entità)

Non Ripudio (fornire la prova incontestabile di una avvenuta spedizione o di una avvenuta ricezione di dati in rete)

Una Certification Authority o Ente Certificatore, è un ente pubblico o privato che crea, gestisce, revoca, sospende certificati digitali.

Una tipica PKI è strutturata su questi elementi:

Autorità di Certificazione
Autorità di Registrazione
Repository di Certificati (directory X.500)
Lista dei certificati revocati
Aggiornamento (automatico) delle chiavi
Backup e Recovery delle chiavi
Gestione storica delle chiavi
Supporto per la cross certification, relazione di mutua fiducia tra CA differenti
Supporto per la non ricusazione
Time Stamping, certezza temporale di un certo documento in un preciso istante
Software Client (browser, e-mail)

Flusso delle operazioni di gestione dei certificati:

1) l'utente richiede il certificato alla CA;
2) la RA verifica l'identità dell'utente ed inoltra la richiesta alla CA;
3) la CA genera e firma il certificato;
4) la CA inoltra il certificato alla RA e lo registra nella directory;
5) L'utente riceve il certificato dalla RA;
6) gli utenti accedono alla directory per prelevare i certificati e le CRL;

Quando un'entità richiede un certificato, una coppia di chiavi pubblica/privata viene generata localmente o presso la CA su supporti sicuri es. (Token USB o SmartCard).

La chiave pubblica, con le informazioni sull’entità richiedente e gli scopi del certificato, viene spedita alla RA, la quale . Quando la CA emette il certificato, nello stesso vengono memorizzate il periodo di validità e informazioni sulla stessa CA emettitrice del certificato.

La chiave privata, come dice lo stesso nome, deve rimanere segreta, qualora fosse compromessa, il certificato andrebbe revocato ed un nuovo certificato dovrebbe essere richiesto. Una CA può emettere più certificati per una singola entità, ogni certificato può utilizzato per scopi diversi.

Se il certificato è conforme allo standard X509v3, il certificato memorizza informazioni sul suo potenziale utilizzo. I dati contenuti nel certificato sono:

Versione
Numero di Serie
Algoritmo della firma
Nome CA
Validità
Soggetto
Chiave Pubblica
Identificatore della autorità che rilascia
Id soggetto
Estensioni
FIRMA hash dei dati di cui sopra, crittografato con la chiave privata della CA.



I certificati aumentano la sicurezza delle applicazioni in due modi:

  • ogni entità, usando un certificato è ciò che dichiara di essere.

  • fornendo una chiave pubblica, con la quale è possibile crittografare le informazioni, che solo la corrispondente chiave privata potrà leggere.



La fiducia nella legittimità del certificato, è data dalla fiducia che le applicazioni ed i sistemi pongono nelle CA. Un certificato emesso, viene firmato con la chiave privata della CA, che complementa la chiave pubblica contenuta nel certificato della CA emettitrice. Quando un'entità presenta un certificato ad un applicazione, la firma è validata con la chiave pubblica della CA. Se una CA sconosciuta ha emesso il certificato o questo è stato alterato, non viene autenticata la firma ed il certificato viene rigettato. Per questo modo di lavorare tipico delle PKI, le CA devono essere fiduciate e copie dei certificati debbono essere disponibili pubblicamente.

Quando un'entita presenta un certificato ad un applicazione, ad esempio un web server, l’applicazione controlla la scadenza dello stesso e la CRL pubblicata dalla CA, per vedere se è stato revocato. La revoca può intervenire per vari motivi, ad esempio se la chiave privata o il certificato stesso è stato compromesso.

Una volta stabilita la validità del certificato, vi è la necessità di garantire che il certificato venga usato dal vero proprietario. Uno dei metodi sviluppati, controlla se un attributo del certificato è uguale ad un valore verificabile. Un’altro metodo è quello di fiduciare l’entità che presenta il certificato, ma di crittografare tutte le informazioni con la chiave pubblica della stessa. L’intruso può utilizzare il certificato ma non può leggere i dati crittografati.

Fonti normative:

513/97 Regolamento di attuazione legge cd "Bassanini".
318/99 Misure minime di sicurezza per il trattamento dei dati personali
93/99CE Direttiva Europea
445/00 Testo Unico sulla Documentazione Amministrativa
DL 10/02 Regolamento recante disposizioni di coordinamento in materia di firme elettroniche
196/03 Codice in materia di protezione dei dati personali

Aggiungi - Commenti
Login Anonimo
Messaggio
[b] [i] [u] [s] [url] [img] [cit]
Vota! / 5

 
 © Insicurezza 
Contattami
Realizzato con ASP-Nuke 2.0.4 derivato da ASP-Nuke v1.2
Questa pagina è stata eseguita in 7,910156E-02secondi.
Versione stampabile Versione stampabile