• Save

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

Falleni Security in mobile JMDF Second Meeting

on

  • 1,747 views

 

Statistics

Views

Total Views
1,747
Slideshare-icon Views on SlideShare
1,747
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Falleni Security in mobile JMDF Second Meeting Falleni Security in mobile JMDF Second Meeting Presentation Transcript

    • Istituto di Informatica e Telematica Consiglio Nazionale delle Ricerche Alessandro Falleni Paolo Viccione Smartphone e applicazioni sicure Java Mobile Developers Forum
    • Sommario Gli smartphone: da curiosità hi tech a strumenti di lavoro Gli smartphone e la sicurezza Applicazioni con supporto di sicurezza su smarthphone Considerazioni e sviluppi futuri Roma, 02 Dicembre 2005 2
    • Cos’è uno smartphone? Un telefono cellulare che ha le funzioni e le potenzialità di un PDA in grado di operare con un sistema operativo completo Roma, 02 Dicembre 2005 3
    • Diffusione smartphone Diffusione Potenzialità di calcolo Oggi: 400 MHz • Domani: Legge di Moore? • Roma, 02 Dicembre 2005 4
    • Perché la sicurezza sugli smartphone Le applicazioni interagiscono con la rete La sicurezza riveste un ruolo primario • Presenza di dati sensibili • Trasferimento di informazioni riservate Autenticazione per usufruire di servizi remoti/distribuiti Roma, 02 Dicembre 2005 5
    • Sviluppare su Smartphone Linguaggio di programmazione: • C++ vs Java Architettura J2ME • Configurazioni • CDC • CLDC • Profili • MIDP 1.0 • MIDP 2.0 • Package opzionali Roma, 02 Dicembre 2005 6
    • Sicurezza J2ME Tre livelli/fasi • CLDC security • Pre deployment – Preverifier • Runtime – Sandbox • MIDP security • Sicurezza end-to-end – Bouncy Castle Cripto APIs Roma, 02 Dicembre 2005 7
    • Applicazioni Comunicazioni sicure • Secure SMS • TLS Messaging Autenticazione locale/remota • Bluetooth Token • EAP SIM Roma, 02 Dicembre 2005 8
    • Secure SMS Obiettivi dell’applicazione: • Autenticazione • Integrità dei messaggi • Segretezza delle informazioni scambiate Roma, 02 Dicembre 2005 9
    • Secure SMS Autenticazione e Integrità • HMAC Segretezza • IDEA Repository messaggi • Memorizzazione di SMS in/out cifrati • Protezione accesso al db con password Roma, 02 Dicembre 2005 10
    • TLS Messaging Interazione smartphone – workstation Roma, 02 Dicembre 2005 11
    • TLS Messaging Scenari: •Servizio di messaggistica a basso costo gestita da un server fidato •Consultazione e aggiornamento di un database aziendale Scambio messaggi con firma digitale Connessione Fisica GPRS/EDGE/UMTS Roma, 02 Dicembre 2005 12
    • Bluetooth Token Accesso handsfree al PC Possibile impiego per applicazioni in contesti di domotica e controllo degli accessi fisici Vantaggi: Unico token multiapplicativo • Dual factor authentication • Logout automatico • Necessita la presenza fisica dell’utente • Roma, 02 Dicembre 2005 13
    • Bluetooth token Autenticazione basata su certificati digitali Comunicazione wireless Bluetooth Interazione tra una MIDlet ed un modulo di autenticazione GINA compliant Roma, 02 Dicembre 2005 14
    • Bluetooth token Problemi noti: • Assenza di controllo login • Bridging attack: Roma, 02 Dicembre 2005 15
    • EAP SIM Cos’è EAP SIM • Meccanismo di autenticazione e distribuzione di chiavi basato su schema GSM, per protocolli 802.1x, IP, etc... • Mutua autenticazione Vantaggi Non occorrono certificati digitali • Utilizzo scheda SIM-GSM (dual factor auth.) • Non necessita canale cifrato • Le chiavi di cifratura non sono mai trasmesse • Svantaggi • Necessario supporto da parte di gestore GSM • Meno sicuro di autenticazione basata su certificati digitali Roma, 02 Dicembre 2005 16
    • EAP SIM Roma, 02 Dicembre 2005 17
    • EapSIM Caso d’uso: autenticazione ad un portale Roma, 02 Dicembre 2005 18
    • Conclusioni & lavori futuri Sicurezza e smarthphone strettamente collegati Context enviroment Applicazione di e-voting (client) Trust management EAP-TLS EAP-H Info: alessandro.falleni@iit.cnr.it Roma, 02 Dicembre 2005 19