Crittografia Firma Digitale

  • 327 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
327
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
16
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator) Mario Varini
  • 2.
      INTRODUZIONE
    • Lo straordinario sviluppo delle reti di comunicazione e dei servizi offerti mediante la tecnologia dell'Informazione, può considerarsi, senza ombra di dubbio, come la grande rivoluzione di fine secolo.
    • 3. La crescente disponibilità di banda passante , ha fatto delle moderne reti di comunicazione il vero e proprio sistema nervoso del pianeta.
    • 4. Eppure anche questa magnifica costruzione ha il suo tallone d'Achille: la sicurezza . Proprio perché '' reti aperte '', le reti digitali sono intrinsecamente insicure : esse non sono state progettate in modo da garantire auto-protezione e difesa contro eventuali abusi.
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 5.
      INTRODUZIONE
    • Le reti essendo aperte sono particolarmente sensibili all' intercettazione ed all' alterazione dei dati trasmessi nonché alla violazione dei supporti informatici ad essa connessi.
    • 6. Il desiderio dell'utente di garantire la propria riservatezza e anonimato mal si concilia con la necessità di imputabilità , cioè la possibilità effettiva di conoscere l'identità degli utenti e di ciò che stanno facendo.
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 7.
      INTRODUZIONE
    • Il tentativo di creare informazione anonima (siti web, spamming ecc.), si scontra con la necessità di imputabilità , autenticità , integrità , revocabilità , non ripudiazione dell'informazione.
    • 8. Il passaggio dai documenti tradizionali a quelli elettronici deve venire gestito in maniera tale da conservare , ed eventualmente migliorare , le politiche di sicurezza al fine di consentire un sistema di comunicazione sicuro.
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 9.
      Esigenze di sicurezza A livello generale è necessario garantire
    • l' integrità dell'host : Il rischio è che qualcuno potrebbe penetrare nel sistema per arrecando danno alla rete o agli altri utenti;
    • 10. una barriera contro lo spoofing (sostituzione di identità);
    • 11. una barriera contro i virus ;
    • 12. evitare l'accesso , la distruzione e il furto dei dati.
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 13.
      Esigenze di sicurezza Ciò che viene a mancare però è la '' certezza del contesto '':
    • che l'autore sia realmente colui che dice di essere,
    • 14. che il messaggio sia identico a quello spedito dal mittente,
    • 15. che il messaggio sia stato inviato realmente dal suo autore,
    • 16. che il mittente potesse legittimamente inviare quel messaggio,
    • 17. che il messaggio sia stato inviato in quel giorno e in quelle ora…
    • 18. che il messaggio giunga realmente a destinazione,
    • 19. certezza dell'identità del destinatario,
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 20.
      Esigenze di sicurezza Più precisamente si hanno quattro diverse esigenze di certezza che una rete sicura deve garantire:
    • certezza dell'identità dei corrispondenti ( identificazione ), cioè garantire che la controparte sia realmente chi dice di essere;
    • 21. certezza delle legittimità dell'operazione ( autorizzazione ), sapere cioè se la controparte sia autorizzata a compiere determinate operazioni;
    • 22. certezza dell'integrità del messaggio ( autenticazione ), garanzia che il messaggio non sia stato modificato lungo il percorso;
    • 23. certezza della segretezza della comunicazione ( riservatezza ), in modo che terzi non autorizzati non possano venire a conoscenza di informazioni riservate.
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 24.
      Esigenze di sicurezza L'unico strumento che consente di fare ciò è la crittografia cioè l'insieme delle tecniche di codifica, decodifica e autenticazione di dati e messaggi mediante l'uso di chiavi, cioè stringhe di bit che permettono di identificare il titolare della chiave e di eseguire le funzioni previste dall'algoritmo.
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 25.
      Tecniche di cifratura Le tecnologie di cifratura, fondamentalmente, si dividono in tre categorie:
    • SISTEMI CRITTOGRAFICI A CHIAVE PRIVATA (simmetrica)
    • 26. SISTEMI CRITTOGRAFICI A CHIAVE PUBBLICA (asimmetrica)
    • 27. SISTEMI CRITTOGRAFICI MISTI (coppie di chiavi: una pubblica e una privata)
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 28.
      Tecniche di cifratura SISTEMI CRITTOGRAFICI A CHIAVE PRIVATA (simmetrica) La crittografia a chiave privata individua due algoritmi:
    • uno di codifica
    • 29. uno di decodifica
    • 30. ed un' unica chiave .
    • 31. Per cifrare e decifrare un documento sia il mittente che il destinatario usano la stessa chiave : pertanto essi devono preventivamente accordarsi sulla chiave da utilizzare . Uno dei più diffusi algoritmi di questa categoria è il già citato DES (Data Encryption Standard).
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 32.
      Tecniche di cifratura SISTEMI CRITTOGRAFICI A CHIAVE PUBBLICA (asimmetrica) La crittografia a chiave pubblica comprende anch'essa due algoritmi:
    • uno di codifica
    • 33. uno di decodifica )
    • 34. ma utilizza due chiavi differenti :
    • 35. una pubblica (nota a chiunque)
    • 36. una privata (conosciuta solo dal titolare)
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 37.
      Tecniche di cifratura SISTEMI CRITTOGRAFICI A CHIAVE PUBBLICA (asimmetrica) La chiave pubblica del destinatario viene utilizzata per codificare il messaggio , il quale può essere letto solo mediante la corrispondente chiave privata, conosciuta solo dal destinatario stesso. Per la decodifica non esistono alternative : o si conosce la chiave privata o non si ha possibilità di decodificare il messaggio. In tal modo si ha la certezza che un messaggio crittografato mediante la chiave pubblica del destinatario verrà letto solamente dal destinatario stesso.
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 38.
      Tecniche di cifratura SISTEMI CRITTOGRAFICI A CHIAVE PUBBLICA (asimmetrica) Entrambe le chiavi devono essere registrate presso una Certification Autority che garantisce la corrispondenza fra una determinata chiave e il relativo proprietario. Le chiavi pubbliche di tutti gli utenti sono raccolte in un elenco, consultabile via telematica, ottenendo così un'infrastruttura allo stesso tempo semplice ma efficace, evitando inoltre di doversi scambiare la chiave crittografica prima di poter comunicare.
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 39.
      Tecniche di cifratura SISTEMI CRITTOGRAFICI MISTI (coppie di chiavi: una pubblica e una privata) Attualmente il metodo più usato consiste in una forma mista di queste due tecniche: ogni utente ha una propria coppia di chiavi, una privata e una pubblica Ogni volta che si devono codificare dei dati si crea una chiave simmetrica di sessione variabile di volta in volta. Con essa si esegue la codifica, dopo di che la chiave simmetrica viene criptata con la chiave pubblica del destinatario (in modo che sia leggibile solo da lui) e allegata al messaggio.
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 40.
      Tecniche di cifratura SISTEMI CRITTOGRAFICI MISTI (coppie di chiavi: una pubblica e una privata) Quando il destinatario riceve il messaggio , usa la sua chiave privata per decifrare la "chiave simmetrica di sessione ". Quindi usa quest'ultima per decodificare il messaggio . Questo metodo riesce a riassumere in sé la maggior sicurezza data dall'utilizzo delle coppie di chiavi per ogni utente (propria della crittografia asimmetrica) con la maggior velocità di codifica e decodifica (propria dell'uso della chiave simmetrica). In tal modo viene garantita la segretezza , l'autenticità e l'integrità dei dati.
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 41.
      Tecniche di cifratura SISTEMI CRITTOGRAFICI MISTI (coppie di chiavi: una pubblica e una privata)
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 42. Certezza dell'identità dei corrispondenti (identificazione) La firma digitale La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 43. Certezza dell'identità dei corrispondenti (identificazione) La firma digitale La definizione di firma digitale data dal DPR 513/1997 secondo la quale essa è: " il risultato della procedura informatica (validazione) basta su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici " (art. 1 lett. b). La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 44. Certezza dell'identità dei corrispondenti (identificazione) La firma digitale basata sulla crittografia a chiave pubblica si è ormai affermata come principale strumento in grado, allo stato attuale della tecnologia, di assicurare l' integrità e la provenienza dei documenti informatici e quindi di svolgere per questi la funzione che nei documenti tradizionali è assolta dalla firma autografa . La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 45. Certezza dell'identità dei corrispondenti (identificazione) La firma digitale basata sulla crittografia a chiave pubblica consente ai suoi utilizzatori di: Firmare i documenti in modo da attribuirsene la paternità crittografando il messaggio utilizzando la propria chiave privata . Per leggerlo sarà necessario decodificarlo utilizzando la relativa chiave pubblica , accessibile a tutti. La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 46. Certezza dell'identità dei corrispondenti (identificazione) Testo in chiaro con firma digitale La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 47. Certezza dell'identità dei corrispondenti (identificazione) Firma digitale a chiavi miste Nella realtà però si utilizza un sistema di chiavi miste, utilizzando uno strumento che prende il nome di funzione di hash . Si tratta di una particolare funzione che elabora un documento estraendone un valore che ne rappresenta l' impronta , una sorta di impronta digitale (molto più piccola e maneggevole del documento stesso) . La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 48. Certezza dell'identità dei corrispondenti (identificazione) Firma digitale a chiavi miste Chi vuole verificare l'autenticità di un documento relativamente ad una data firma:
    • Applica al documento la funzione convenzionale di hash per ricavare la prima impronta .
    • 49. Decifra la presunta firma utilizzando la chiave pubblica dell'autore, ottenendo così una seconda impronta .
    • 50. Confronta le due impronte , se esse coincidono si può essere certi che il documento è stato realmente generato dalla stessa persona che ne ha generato la ''firma''.
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 51. Autorità di certificazione (identificazione) Testo in chiaro con firma digitale La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 52. Autorità di certificazione (garante dell'identificazione) In mancanza di un reale controllo chiunque potrebbe depositare una chiave a nome di un altro e quindi spacciarsi per lui. Affinché tutto il sistema funzioni e dia garanzie di fiducia, occorre una infrastruttura di certificazione che garantisca l'effettiva identità di ciascuno, un terzo che, dotato di imparzialità nei confronti degli utenti, certifichi l'autenticità delle chiavi e la corrispondenza della chiave pubblica con il suo titolare. Questo ruolo è ricoperto dal "Certificatore" comunemente chiamato Autorità di Certificazione. L'Autorità di Certificazione non è un'Autorità centrale , è un soggetto giuridico , pubblico o privato incluso negli elenchi tenuti dall' AIPA (Autorità per l'informatica nella Pubblica Amministrazione) La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 53. Come verificare la firma digitale di un documento informatico? (identità digitale)
    • Se si è già in possesso di firma digitale è sufficiente utilizzare il software consegnato insieme al supporto informatico (pennetta, smartcard, ecc.) dall'Autorità di Registrazione.
    • 54. Se non si è in possesso di firma digitale è possibile ad esempio accedere al sito dell'Ente Certificatore InfoCert e utilizzare l'apposita funzione di verifica a disposizione anche di chi non è in possesso di firma digitale: https://www.firma.infocert.it/utenti/verifica.php
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 55. Come fare per avere la propria firma digitale ? (identità digitale)
    • Rivolgersi ad una Autorità di Registrazione
    • 56. L'Autorità di Registrazione invia i dati acquisiti all'Autorità di Certificazione e consegna al richiedente un supporto informatico (una pennetta, una smartcard oppure una specie di tessera bancomat dotata però di microchip) e un software che consentiranno di generare:
          • la chiave pubblica da inviare al Certificatore per la sua pubblicazione.
          • 57. la chiave privata che resta memorizzata indelebilmente all'interno della stessa pennetta, smartcard ecc.
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 58. Come apporre la propria firma digitale ad un documento informatico? (identità digitale)
      E' sufficiente installare il software consegnato insieme al supporto informatico (pennetta, smartcard, ecc.) dall'Autorità di Registrazione che integrandosi con il sistema e con i software in uso consentirà, selezionando apposite opzioni, di firmare digitalmente i propri documenti informatici.
    La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)
  • 59. FINE Grazie per l'attenzione La sicurezza delle transazioni attraverso Internet a cura di Mario Varini (EUCIP-IT Administrator)