Internet Sicurezza eGovernment Dino Grendene 2009

Obiettivo della lezione In questa lezione approfondiremo: L’e-government Alcuni concetti di base sulla sicurezza Alcuni cenni alla firma digitale dei documenti

In questa lezione approfondiremo:

L’e-government

Alcuni concetti di base sulla sicurezza

Alcuni cenni alla firma digitale dei documenti

E-government Con il termine E-government si intende l’utilizzo di nuove tecnologie per gestire i rapporti tra la Pubblica Amministrazione e i cittadini al fine di avere dei servizi piu’ rapidi, diretti e trasparenti.

Con il termine E-government si intende l’utilizzo di nuove tecnologie per gestire i rapporti tra la Pubblica Amministrazione e i cittadini al fine di avere dei servizi piu’ rapidi, diretti e trasparenti.

E-government Ai cittadini che richiedono un servizio non saranno più richieste informazioni già a disposizione della Pubblica amministrazione, anche se trasmesse ad altri Enti. Il piano, proposto dal ministro Bassanini nel 1999, prevede, senza alcuna variazione di legge, di Migliorare l’efficienza operativa interna delle P.A. Offrire ai cittadini e alle aziende dei servizi integrati Garantire l’accesso telematico alle informazioni

Ai cittadini che richiedono un servizio non saranno più richieste informazioni già a disposizione della Pubblica amministrazione, anche se trasmesse ad altri Enti.

Il piano, proposto dal ministro Bassanini nel 1999, prevede, senza alcuna variazione di legge, di

Migliorare l’efficienza operativa interna delle P.A.

Offrire ai cittadini e alle aziende dei servizi integrati

Garantire l’accesso telematico alle informazioni

E-government Gli strumenti necessari per l’attuazione del piano sono: La creazione di una rete nazionale Extranet La carta di identità elettronica La firma digitale

Gli strumenti necessari per l’attuazione del piano sono:

La creazione di una rete nazionale Extranet

La carta di identità elettronica

La firma digitale

E-government In questo sito è possibile approfondire il piano per l’eGovernment

In questo sito è possibile approfondire il piano per l’eGovernment

E-government Un primo effetto è stato la creazione di siti internet di carattere istituzionale Camera e Senato, ma anche molte istituzioni periferiche (regioni, provincie e comuni) Inoltre, ma in questo caso è più un’operazione di “marketing”, anche molti personaggi politici e molti partiti hanno aperto un loro sito Web

Un primo effetto è stato la creazione di siti internet di carattere istituzionale

Camera e Senato, ma anche molte istituzioni periferiche (regioni, provincie e comuni)

Inoltre, ma in questo caso è più un’operazione di “marketing”, anche molti personaggi politici e molti partiti hanno aperto un loro sito Web

E-government Il Senato e la Camera mettono a disposizione le leggi approvate a partire dal 1996 (primo governo Prodi)

Il Senato e la Camera mettono a disposizione le leggi approvate a partire dal 1996 (primo governo Prodi)

E-government Naturalmente questa pubblicazione non sostituisce la Gazzetta Ufficiale, ma si propone come un utile strumento di consultazione

Naturalmente questa pubblicazione non sostituisce la Gazzetta Ufficiale, ma si propone come un utile strumento di consultazione

E-government Anche l’agenzia delle entrate ha un sito dal quale è possibile fare la dichiarazione dei redditi on-line, scaricare software fiscale, modulistica e molti altri servizi

Anche l’agenzia delle entrate ha un sito dal quale è possibile fare la dichiarazione dei redditi on-line, scaricare software fiscale, modulistica e molti altri servizi

E-government Pagare le tasse, anche se necessario, non è mai un piacere però sono stati fatti molti sforzi per renderlo almeno più semplice

Pagare le tasse, anche se necessario, non è mai un piacere però sono stati fatti molti sforzi per renderlo almeno più semplice

E-government Più vicino a noi il sito istituzionale della regione Friuli Venezia Giulia Anche in regione esiste il progetto attuativo per l’e-government

Più vicino a noi il sito istituzionale della regione Friuli Venezia Giulia

Anche in regione esiste il progetto attuativo per l’e-government

E-government La Camera di Commercio di Udine ha un sito con attivi numerosi servizi. Ad esempio è possibile scaricare un moduli per effettuare dichiarazioni obbligatorie

La Camera di Commercio di Udine ha un sito con attivi numerosi servizi.

Ad esempio è possibile scaricare un moduli per effettuare dichiarazioni obbligatorie

E-government Anche la Protezione Civile ha un proprio sito ricco di informazioni e documenti Sono disponibili vari servizi tra i quali anche una newsletter e un motore di ricerca interno

Anche la Protezione Civile ha un proprio sito ricco di informazioni e documenti

Sono disponibili vari servizi tra i quali anche una newsletter e un motore di ricerca interno

E-government I comuni sono molto attivi in rete, sia attraverso la loro associazione Ancitel, sia attraverso siti istituzionali sia per mezzo di siti realizzati da varie associazioni

I comuni sono molto attivi in rete, sia attraverso la loro associazione Ancitel, sia attraverso siti istituzionali sia per mezzo di siti realizzati da varie associazioni

E-government Ad esempio il Comune di Buja (sito istituzionale) è ricco di informazioni per i cittadini

Ad esempio il Comune di Buja (sito istituzionale) è ricco di informazioni per i cittadini

E-government Questa pagina ci mostra i servizi disponibili e una breve guida all’uso della autocertificazione, nello spirito della riforma Bassanini

Questa pagina ci mostra i servizi disponibili e una breve guida all’uso della autocertificazione, nello spirito della riforma Bassanini

E-government Altri comuni hanno un sito che non è propriamente “istituzionale” (l’URL non rispetta i canoni previsti) e presenta anche alcuni banner pubblicitari I servizi offerti sono però simili

Altri comuni hanno un sito che non è propriamente “istituzionale” (l’URL non rispetta i canoni previsti) e presenta anche alcuni banner pubblicitari

I servizi offerti sono però simili

La Sicurezza dei dati La sicurezza è un problema che riguarda sia la grande utenza sia la moltitudine di navigatori che si collegano abitualmente alla rete. Con questo termine si raggruppano tutte le attività necessarie alla salvaguardia dei dati: controllo degli accessi, backup, protezione dai virus, controllo dell’alimentazione, difesa dalla diffusione non autorizzata

La sicurezza è un problema che riguarda sia la grande utenza sia la moltitudine di navigatori che si collegano abitualmente alla rete.

Con questo termine si raggruppano tutte le attività necessarie alla salvaguardia dei dati: controllo degli accessi, backup, protezione dai virus, controllo dell’alimentazione, difesa dalla diffusione non autorizzata

La Sicurezza dei dati Possibili rischi per i dati: Perdita o Corruzione Diffusione non autorizzata

Possibili rischi per i dati:

Perdita o Corruzione

Diffusione non autorizzata

La Sicurezza dei dati Cause della corruzione dei dati: Rottura dei supporti di memorizzazione (HD – FD – USB) Spegnimento improvviso della macchina (blackout) Virus Cancellazioni non volute Accessi e modifiche non autorizzate

Cause della corruzione dei dati:

Rottura dei supporti di memorizzazione (HD – FD – USB)

Spegnimento improvviso della macchina (blackout)

Virus

Cancellazioni non volute

Accessi e modifiche non autorizzate

La Sicurezza dei dati Cause della diffusione non autorizzata: Condivisione di risorse Password non sicure Password registrate sui moduli Accessi non autorizzati Virus – Worms – Trojan Furto o smarrimento del dispositivo hardware

Cause della diffusione non autorizzata:

Condivisione di risorse

Password non sicure

Password registrate sui moduli

Accessi non autorizzati

Virus – Worms – Trojan

Furto o smarrimento del dispositivo hardware

La Sicurezza dei dati Un amministratore di sistema o di una rete dovrà attuare tutti gli accorgimenti necessari per proteggersi da intrusioni esterne e mantenere la distinzione fra la parte 'pubblica' e la parte 'privata' del proprio network L'utente medio invece avrà l'esigenza di evitare di 'contrarre' in rete virus pericolosi per l'integrità dei propri dati e di garantire la propria privacy

Un amministratore di sistema o di una rete dovrà attuare tutti gli accorgimenti necessari per proteggersi da intrusioni esterne e mantenere la distinzione fra la parte 'pubblica' e la parte 'privata' del proprio network

L'utente medio invece avrà l'esigenza di evitare di 'contrarre' in rete virus pericolosi per l'integrità dei propri dati e di garantire la propria privacy

La Sicurezza dei dati Il controllo della sicurezza in un ambiente di rete aziendale è un problema complesso che va affidato a personale esperto L’utente privato può e deve innanzitutto essere a conoscenza dei problemi derivanti dalla scarsa sicurezza Successivamente deve mettere in atto tutte le attività che possano in qualche modo proteggere i suoi dati

Il controllo della sicurezza in un ambiente di rete aziendale è un problema complesso che va affidato a personale esperto

L’utente privato può e deve innanzitutto essere a conoscenza dei problemi derivanti dalla scarsa sicurezza

Successivamente deve mettere in atto tutte le attività che possano in qualche modo proteggere i suoi dati

La Sicurezza dei dati Si possono riassumere alcune semplici “regole auree” Per l’utenza aziendale: Ridurre l’accesso ai server solamente a chi ne ha strettamente bisogno Far uso di sistemi operativi che permettano un reale controllo degli accessi (Windows 2000/XP/Vista professional – o Linux) Usare password non banali e cambiarle spesso Evitare di condividere le proprie risorse in modo indiscriminato Utilizzare strumenti di criptazione nel caso si trattino dati riservati

Si possono riassumere alcune semplici “regole auree”

Per l’utenza aziendale:

Ridurre l’accesso ai server solamente a chi ne ha strettamente bisogno

Far uso di sistemi operativi che permettano un reale controllo degli accessi (Windows 2000/XP/Vista professional – o Linux)

Usare password non banali e cambiarle spesso

Evitare di condividere le proprie risorse in modo indiscriminato

Utilizzare strumenti di criptazione nel caso si trattino dati riservati

La Sicurezza dei dati Si possono riassumere alcune semplici “regole auree” Per tutti gli utenti: Pianificare ed effettuare il backup dei dati con la necessaria frequenza Dotarsi di un sistema antivirus e mantenerlo aggiornato Usare un Firewall nei collegamenti ad Internet Accedere ad Internet utilizzando un utente che non abbia diritti amministrativi sulla macchina Non far memorizzare le password all’interno del browser Usare un gruppo di continuità

Si possono riassumere alcune semplici “regole auree”

Per tutti gli utenti:

Pianificare ed effettuare il backup dei dati con la necessaria frequenza

Dotarsi di un sistema antivirus e mantenerlo aggiornato

Usare un Firewall nei collegamenti ad Internet

Accedere ad Internet utilizzando un utente che non abbia diritti amministrativi sulla macchina

Non far memorizzare le password all’interno del browser

Usare un gruppo di continuità

E-government – firma digitale L’utilizzo di una tecnologia in grado di sostituire la firma apposta manualmente su un documento cartaceo deve garantire che: Il documento sia effettivamente quello originale, senza variazioni di alcun tipo (autenticità e integrità) Il soggetto che lo ha sottoscritto sia effettivamente quello dichiarato (provenienza) Questo soggetto non possa in futuro negare di averlo sottoscritto (non ripudio ) Questi obiettivi sono ottenuti mediante opportune applicazioni della tecnica crittografica

L’utilizzo di una tecnologia in grado di sostituire la firma apposta manualmente su un documento cartaceo deve garantire che:

Il documento sia effettivamente quello originale, senza variazioni di alcun tipo (autenticità e integrità)

Il soggetto che lo ha sottoscritto sia effettivamente quello dichiarato (provenienza)

Questo soggetto non possa in futuro negare di averlo sottoscritto (non ripudio )

Questi obiettivi sono ottenuti mediante opportune applicazioni della tecnica crittografica

E-government – firma digitale Elementi di crittografia Cifratura: operazione per mezzo della quale un messaggio viene trasformato in qualche cosa di illeggibile a chi non possiede la “chiave” per la sua decifratura. Decifratura: operazione contraria alla precedente effettuata per mezzo dell’apposita chiave oppure per mezzo della “crittoanalisi”: studio della crittografia e dei metodi per “rompere” l’algoritmo

Cifratura: operazione per mezzo della quale un messaggio viene trasformato in qualche cosa di illeggibile a chi non possiede la “chiave” per la sua decifratura.

Decifratura: operazione contraria alla precedente effettuata per mezzo dell’apposita chiave oppure per mezzo della “crittoanalisi”: studio della crittografia e dei metodi per “rompere” l’algoritmo

E-government – firma digitale Elementi di crittografia Cifrario di Cesare: Algoritmo crittografico: sostituisci una lettera con la “N-esima” lettera successiva nell'alfabeto Esempio: se N=3 A B C D E F G H I L M N O… alfabeto originale es. CIAO U V Z A B C D E F G H I L … alfabeto sostitutivo: ZFUL Crittoanalisi: dato un messaggio cifrato non breve, conta la frequenza di apparizione di ogni lettera e paragona con la frequenza nota in Italiano

Cifrario di Cesare:

Algoritmo crittografico: sostituisci una lettera con la “N-esima”

lettera successiva nell'alfabeto

Esempio: se N=3

A B C D E F G H I L M N O… alfabeto originale es. CIAO

U V Z A B C D E F G H I L … alfabeto sostitutivo: ZFUL

Crittoanalisi:

dato un messaggio cifrato non breve, conta la

frequenza di apparizione di ogni lettera e paragona con la

frequenza nota in Italiano

E-government – firma digitale Elementi di crittografia Algoritmo a chiave unica Si utilizza un’unica sequenza di bit, casuale, lunga quanto il testo da cifrare e si effettua un’operazione di XOR (si ottiene 1 solo se i due bit sono diversi) tra i singoli bit del messaggio e quelli della chiave la chiave si può utilizzare solo una volta e deve essere veramente casuale, inoltre deve essere sempre lunga come il documento esiste un problema per la distribuzione sicura della chiave a chi deve decifrare

Algoritmo a chiave unica

Si utilizza un’unica sequenza di bit, casuale, lunga quanto il testo da cifrare e si effettua un’operazione di XOR (si ottiene 1 solo se i due bit sono diversi) tra i singoli bit del messaggio e quelli della chiave

la chiave si può utilizzare solo una volta e deve essere veramente casuale, inoltre deve essere sempre lunga come il documento

esiste un problema per la distribuzione sicura della chiave a chi deve decifrare

E-government – firma digitale Elementi di crittografia Algoritmo a chiave simmetrica: La cifratura avviene per mezzo di una chiave numerica segreta La decifratura viene effettuata per mezzo della stessa chiave oppure per mezzo di una chiave facilmente ricavabile dalla prima L’algoritmo applicato è molto complesso È un sistema molto veloce Pone problemi per lo scambio delle chiavi che devono essere cambiate frequentemente Si utilizza in genere per cifrare documenti molto lunghi (per la sua velocità)

Algoritmo a chiave simmetrica:

La cifratura avviene per mezzo di una chiave numerica segreta

La decifratura viene effettuata per mezzo della stessa chiave oppure per mezzo di una chiave facilmente ricavabile dalla prima

L’algoritmo applicato è molto complesso

È un sistema molto veloce

Pone problemi per lo scambio delle chiavi che devono essere cambiate frequentemente

Si utilizza in genere per cifrare documenti molto lunghi (per la sua velocità)

E-government – firma digitale Elementi di crittografia Algoritmo a chiave asimmetrica: La cifratura avviene per mezzo di una chiave numerica segreta (chiave privata) La decifratura non può essere effettuata con la stessa chiave ma deve essere effettuata con una seconda chiave, generata contemporaneamente alla prima e resa pubblica il processo funziona anche in senso inverso: la cifratura può essere effettuata mediante la chiave pubblica e può essere decifrato solamente per mezzo di quella privata In genere si utilizza per cifrare le chiavi utilizzate per la cifratura per mezzo di algoritmi simmetrici È più lento di quello a chiave simmetrica

Algoritmo a chiave asimmetrica:

La cifratura avviene per mezzo di una chiave numerica segreta (chiave privata)

La decifratura non può essere effettuata con la stessa chiave ma deve essere effettuata con una seconda chiave, generata contemporaneamente alla prima e resa pubblica

il processo funziona anche in senso inverso: la cifratura può essere effettuata mediante la chiave pubblica e può essere decifrato solamente per mezzo di quella privata

In genere si utilizza per cifrare le chiavi utilizzate per la cifratura per mezzo di algoritmi simmetrici

È più lento di quello a chiave simmetrica

E-government – firma digitale Elementi di crittografia Impronta di un documento (HASH) Mediante un opportuno software che si basa sempre su una chiave numerica e algoritmi di cifratura, viene prodotta una sequenza di numeri (impronta) che identifica in modo univoco quel documento L’impronta ha sempre lunghezza fissa, qualsiasi sia la lunghezza del documento originale Dall’impronta non è possibile risalire al documento originale Modificando in modo anche minimo il documento, la sua impronta cambia in modo sostanziale

Impronta di un documento (HASH)

Mediante un opportuno software che si basa sempre su una chiave numerica e algoritmi di cifratura, viene prodotta una sequenza di numeri (impronta) che identifica in modo univoco quel documento

L’impronta ha sempre lunghezza fissa, qualsiasi sia la lunghezza del documento originale

Dall’impronta non è possibile risalire al documento originale

Modificando in modo anche minimo il documento, la sua impronta cambia in modo sostanziale

E-government – firma digitale Come si realizza Il soggetto realizza l’impronta del documento (HASH) integrità Per mezzo della sua chiave privata viene cifrata l’impronta del documento Autenticità Provenienza Non ripudio Viene spedito il documento con allegata la firma digitale Eventualmente si procede ad un ulteriore cifratura se è necessaria anche la riservatezza

Il soggetto realizza l’impronta del documento (HASH)

integrità

Per mezzo della sua chiave privata viene cifrata l’impronta del documento

Autenticità

Provenienza

Non ripudio

Viene spedito il documento con allegata la firma digitale

Eventualmente si procede ad un ulteriore cifratura se è necessaria anche la riservatezza

E-government – firma digitale Il controllo avviene così Se è stato ulteriormente cifrato si procede alla prima decifratura del documento Per mezzo della chiave pubblica si decifra la firma digitale ottenendo l’impronta del documento Si genera nuovamente l’impronta del documento allegato alla firma Si confronta l’impronta ricevuta con quella ottenuta dal calcolo: se sono uguali il documento è autentico ed integro e la persona che lo ha firmato è riconosciuta in modo univoco.

Il controllo avviene così

Se è stato ulteriormente cifrato si procede alla prima decifratura del documento

Per mezzo della chiave pubblica si decifra la firma digitale ottenendo l’impronta del documento

Si genera nuovamente l’impronta del documento allegato alla firma

Si confronta l’impronta ricevuta con quella ottenuta dal calcolo: se sono uguali il documento è autentico ed integro e la persona che lo ha firmato è riconosciuta in modo univoco.

Fine http://www.ialweb.it