• Like
  • Save

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Castrucci SignIT - JMDF Second Meeting

  • 1,492 views
Uploaded on

 

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,492
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Istituto di Informatica e Telematica Consiglio Nazionale delle Ricerche Alessandro Castrucci Davide Fais Applicazioni di sicurezza in ambiente mobile: firma e cifratura con SignIT-mobile Java Mobile Developers Forum
  • 2. Sommario Crittografia e Firma digitale SignIT SignIT-mobile Standard crittografici adottati • Layer di astrazione introdotto • Il porting • Sviluppi attuali • Sviluppi futuri • Roma, 02 Dicembre 2005 2
  • 3. Crittografia e Firma Digitale Algoritmi crittografici Chiave simmetrica: • Chiave unica utilizzata per cifrare e decifrare il messaggio • Alta velocità di cifratura e decifratura • Non risolvono il dilemma dello scambio delle chiavi Chiavi asimmetriche: due chiavi una per cifrare e l’altra per decifrare • una è segreta e l'altra è pubblica. • Detti anche a “chiave pubblica” • Permettono di garantire l’autenticità ed integrità di un • messaggio attraverso la Firma Digitale. • L’algoritmo più utilizzato per le caratteristiche di robustezza e versatilità è RSA (dal nome dei tre autori Rivest, Shamir e Adleman) Roma, 02 Dicembre 2005 3
  • 4. Riservatezza Chiunque può inviare un messaggio cifrandolo con la chiave pubblica, ma solo chi possiede la chiave privata può decifrarlo (riservatezza e integrità) Messaggio Messaggio Destinatario Mittente in in chiaro chiaro 3 1 2 Decifratura Cifratura Messaggio cifrato Chiave pubblica Chiave privata del destinatario del destinatario Roma, 02 Dicembre 2005 4
  • 5. Autenticità e integrità: Firma Digitale cifrato con la chiave privata, il messaggio può essere decifrato esclusivamente con la chiave pubblica (autenticità e integrità) Destinatario Mittente Messaggio Messaggio in in chiaro chiaro (+ riassunto) (+ riassunto) Decifratura Cifratura 1 3 riassunto riassunto 2 Messaggio in chiaro + Riassunto cifrato Chiave pubblica Chiave privata del mittente del mittente L’utilizzo della Firma Digitale necessita che sia garantita la corrispondenza [utente|sistema|applicazione]-[chiave pubblica] Roma, 02 Dicembre 2005 5
  • 6. Crittografia e Firma Digitale Certificati Digitali e Certification Authority ID La CA (Certification Authority) garantisce la corrispondenza tra l’identità del soggetto e la chiave pubblica. La corrispondenza è resa mediante il Certificato Digitale: Utente Contiene ulteriori informazioni (nome, • 1 validità temporale, CA emittente) La CA firma il certificato utente con il • 4 proprio certificato Lo standard X.509v3 definisce il formato e • le informazioni in esso contenute Affinché la verifica di un certificato vada a buon fine la CA deve essere riconosciuta come “fidata” da tutte le entità coinvolte nella 3 comunicazione. Certificato digitale L'insieme di una CA e di almeno una LRA (Local Registration Authority) costituisce una 2 PKI (Public Key Infrastructure) Certification Authority Server Roma, 02 Dicembre 2005 6
  • 7. SignIT Apposizione e verifica di firma digitale Applicazione multipiattaforma (Windows, Linux e MacOSX) Conforme alle vigenti norme italiane. Distribuita dall’IIT-CNR di Pisa agli ISP nell'ambito della sperimentazione con i certificati digitali del progetto PKI-RA. Libreria crittografica: per software desktop oriented • per ambienti Web-based, • in applicazioni client-server • all’interno di Web Services. • Roma, 02 Dicembre 2005 7
  • 8. Da SignIT a SignIT-mobile SignIT-mobile “Abbiamo ripensato le applicazioni e librerie da noi sviluppate in ambiente desktop per quello mobile.” SignIT-mobile: E’ il risultato del porting della libreria SignIT su piattaforma J2ME. Standard Implementati: • Certificati X.509v3 • CMS (PKCS#7) • Signed Data:contiene il documento originale in chiaro, il certificato dei firmatari, le firme digitali. • Evenloped Data: contiene il documento originale cifrato con una chiave segreta, e tale chiave segreta cifrata con la chiave pubblica del destinatario. • PKCS#8: formato per la conservazione sicura delle chiavi private • PKCS#12: formato per la conservazione sicura di credenziali Roma, 02 Dicembre 2005 8
  • 9. SignIT-mobile J2ME e Layer di Astrazione Java 2 Micro Edition: è una ambiente comune a dispositivi di produttori diversi e per • questo è considerato un valore aggiunto. dispone intrinsecamente di meccanismi di sicurezza tali da • poter considerare il cellulare una Trusted Computing Base Layer di astrazione: permette l’utilizzo trasparente di alcune peculiarità della • piattaforma J2SE rispetto a quelle di J2ME. Vantaggi: • • risulta essere una base comune per implementare applicazioni con funzionalità crittografiche per entrambe le piattaforme Limitazioni: • • Capacità di elaborazione • Capacità di memorizzazione • Utilizzo smartcard Roma, 02 Dicembre 2005 9
  • 10. SignIT-mobile Applicazione Midlet Desktop Layer di Astrazione cms x509 pkcs12 pkcs8 X509 Certificate java. security.* javax.microedition.pki.* X509 Certificate Certificate X509 Certificate .. . it iit mobile security.* JCE Providers BC Light J2SE J2ME Roma, 02 Dicembre 2005 10
  • 11. SignIT-mobile Il porting SignIT-mobile si avvale delle BouncyCastle Lightweight Non utilizza l’architettura a provider in quanto: • Non è prevista in J2ME • Sarebbe comunque sovrabbondante ed eccessiva per i dispositivi mobile di uso comune. Sono state create alcune classi di servizio • Per semplificare e non duplicare il codice • Per mantenere l’intercambiabilità dell’algoritmo crittografico utilizzato E’ stata mantenuta la compatibilità con J2SE non utilizzando le classi esclusive di J2ME • Per la compatibilità in un eventuale contesto a risorse limitate Roma, 02 Dicembre 2005 11
  • 12. SignIT-mobile Un caso d’uso – Firma Digitale •Accesso alla credenziale •Processo di firma con la •Creazione e invio della busta (chiave privata in PKCS8) chiave privata crittografica Roma, 02 Dicembre 2005 12
  • 13. SignIT-mobile Un caso d’uso - Verifica •Visualizzazione informazioni •Documento originale •Certificato convalidato •Validazione della firma del primo •Dettagli del Certificato firmatario •Validazione del certificato in corso Roma, 02 Dicembre 2005 13
  • 14. SignIT-mobile Scenari possibili Sicurezza multicanale: protezione dei dati trasmessi attraverso i differenti sistemi di comunicazione fruibili mediante smartphones: WI-FI, Bluetooth, GPRS/EDGE/UMTS Std: PKCS#7-CMS, X.509 • Creazione e interscambio di buste crittografiche da un pc desktop ad uno smartphone, con la possibilità di poterne usufruire anche su tale piattaforma. Std: PKCS#7-CMS, PKCS#8-PKCS#12 , X.509 • Cellulare come Protected Storage Envoronment: per la protezione di documenti mediante cifratura dei dati Std: PKCS#7-CMS, PKCS#8-PKCS#12 , X.509 • Accesso a servizi evoluti con strong authentication (protocolli challenge- response basati su crittografia e firma di nonce) Std: PKCS#1- PKCS#7, PKCS#8-PKCS#12 , X.509, PKCS#5 • Utilizzo del cellulare come PSE (Personal Security Environment) per la conservazione e l’uso di credenziali di accesso a sistemi e servizi rermoti Std: PKCS#8-PKCS#12 , X.509 • Roma, 02 Dicembre 2005 14
  • 15. SignIT-mobile Sviluppi futuri Integrazione con SATSA (Security And Trust Services API): Librerie per l’accesso al filesystem e alle applicazioni SIM-Card • Prossimi cellulari top-level permetteranno di comunicare APDU alle SIMCard Obiettivi: Utilizzo della SIM come Protected Storage per le credenziali dell’utente • Utilizzo delle funzionalità crittografiche implementate dalla SIM a livello • hardware (non contaminabile) L’interazione con java card applet presenti sulle SIM Card più evolute, • sfruttandone le maggiori potenzialità computazionali ma soprattutto la loro versatilità di programmazione Critical Issue: Diffusione di SIM card evolute • Limitazioni rispetto alle applicazioni installate sulla SIM • Roma, 02 Dicembre 2005 15
  • 16. SignIT-mobile Sviluppi futuri Realizzazione di una implementazione del protocollo OCSP (Online Certificate Status Protocol) in ambiente mobile. Vantaggi: • Evitare il download delle CRL • Dimensioni potenzialmente elevate • Consultazione online • Limitazione dei costi • Spostamento del carico computazionale della verifica lato server • Informazioni di revoca sempre aggiornate Critical Issue: • Assenza di informazioni off-line Roma, 02 Dicembre 2005 16
  • 17. Grazie…. Se desiderate altre informazioni alessandro.castrucci@iit.cnr.it Roma, 02 Dicembre 2005 17