SlideShare a Scribd company logo
1 of 30
Download to read offline
L’impiego delle tecnologie di firma digitale
        per la tutela della confidenzialità

                Sikurezza.org - Infosecurity 2006




https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 1/30
$ whois naif
        Fabio Pietrosanti (non pietro-santi!)

        Privacy Architect @ www.khamsa.ch

        Analisi, Progettazione e implementazione
        di soluzioni e architetture di tutela
        della riservatezza delle informazioni.

        Diffusione delle informazioni e cultura
        sulla sikurezza: Sikurezza.org!


https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 2/30
This page intentionally left
                         blank




https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 3/30
$ whois sikurezza.org

        Sikurezza.org è una comunità virtuale
         di persone che per passione e/o lavoro
         si interessano di problematiche di
         (in)sicurezza informatica e della loro
         diffusione.

        Si tratta di un progetto non
         commerciale portato avanti da
         volontari.


https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 4/30
This page is unintentionally
                         left blank




https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 5/30
Finalità



          Comprendere i vantaggi e i limiti
               delle tecnologie di firma
             digitale per la tutela della
           riservatezza delle comunicazioni




https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 6/30
Prerequisiti


        Concetti base di firma digitale
            Bisogno di tutela delle
                  informazioni
      Visione delle informazioni per quel
                che queste sono



https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 7/30
Requisiti di un sistema sicuro
          Confidenzialità
          Integrità
          Disponibilità




https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 8/30
Firma digitale: usi e limiti




https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 9/30
Firma digitale:è importante
          Risolve in modo decisivo il
          problema della gestione delle
          identità nella società
          dell’informazione
          Bisogno di un meccanismo di
          identificazione non ripudiabile




https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 10/30
La firma digitale è ovunque
          Firma digitale per archiviazione
          sostituiva
          Firma digitale per la PEC
          Firma digitale per carte di
          identificazione e carte di
          servizi
          Firma digitale per le SIM GSM
          Firma digitale per i server web

https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 11/30
Firma digitale: limiti d’uso (1)
          Viene usata esclusivamente per la
          gestione delle identità
          È poco usata nei client con
          chiavi software
          Le interfacce smartcard non sono
          di default nei computer
          I supporti software per smartcard
          sono ancora poco interoperabili

https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 12/30
Firma digitale: limiti d’uso (2)
          Non prevede meccanismi efficienti
          di gestione della mobilità
          (Autorilascio di certificati
          temporanei)
          Non con tutti i certificati si
          può fare tutto (Bit di usage)
          Non è mai stato standardizzato un
          meccanismo di interoperabilità
          con altri sistemi PKI (OpenPGP)

https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 13/30
Firma digitale e riservatezza




https://www.sikurezza.org/    Fabio Pietrosanti   naif@sikurezza.org   pag. 14/30
Perché sono usate altre tecnologie
          Relazioni sociali non gerarchiche
          (OpenPGP)
          Percezione di bisogni differenti (la
          firma serve per autenticare!)
          Conflitto di interessi (Bisogni di
          ripudiabilità/deniability o anonimato)
          Percezione della sicurezza one-to-one
          (“la password di winzip è più
          sicura!”)



https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 15/30
DPS/PEC -> Riservatezza?
          Adeguamento alle misure minime:
          implementazione di sistemi di AAA
               Se i dati vengono “rubati”
               sottraendo i media fisici o mediante
               accesso logico questi vengono
               violati poiché non cifrati
          PEC: invio email con una
          scocciatura in più


https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 16/30
La basi dati e la confidenzialità
          Le basi dati sono sempre sprotette
          Basi dati di messaggi
               Helpdesk/sistemisti/outsource/isp possono
               leggere le email?
          Basi dati di valore
               Autorizzazioni inutili se i dati non sono
               cifrati (credit card)
               Sviluppatori, sistemisti, DBA, addetti ai
               backup possono accedervi?
          Dischi cifrati

https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 17/30
Quali informazioni proteggere?
          Posta Elettronica
          Documenti
          Basi Dati
          Archivi
          Password
          Dati in movimento
          Registri di attività (log)

https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 18/30
Da chi proteggere le
                informazioni?
          Competitor
          Outsourcer (Managed services)
          Personale esterno (quanti consulenti!)
          Personale interno infedele
               La segretaria
               Il collega
               Il gestore del sistema IT
          Organizzazioni governative straniere
          Organizzazioni governative nazionali

https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 19/30
Rischi di mancata protezione
          Perdità di competitività
          Perdita di immagine
          Fallimento strategie
          Furto proprietà intellettuale
          La vita




https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 20/30
Opportunità di tutela
          Il proliferare di strumenti di
          firma ci offre una base forte per
          la tutela della riservatezza:
               Standard x509v3 con chiavi RSA
               Hardware tamper proof (in teoria)
               Facilità di scambio chiavi (S/MIME)
               Indici centrali di verifica (bene o
               male, è una questione di contesto)


https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 21/30
Disponibilità dei sistemi di firma
          Oltre un milione di smartcard
          emesse dai certificatori
          accreditati
               Carte di credito VISA
               Carta nazionale dei servizi
               Carta identità elettronica
               PEC
               SIM GSM (limitata)
               Free S/MIME email certs

https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 22/30
Modi d’uso
          Autenticazione
          Messaggistica email
          Archiviazione documentale
          Protezione infrastrutturale
          Protezione delle connessioni
          mobile



https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 23/30
Modi d’uso: tecnologie
          Email: S/MIME
          HTTP SSL Client Auth
          Wireless 802.11 EAP-TLS
          Active Directory (SSO)
          VPN IPSec
          VPN SSL
          (OpenVPN/Cisco/Nokia/Checkpoint/Fortin
          et,etc)



https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 24/30
Riservatezza in ambienti
                complessi
          Metodi crittografici articolati
          Infrastrutture software crypto-
          aware
          Condivisione dei dati
          Escrow management (audit)
          Protezione dell’identità
          Trasparenza d’uso (exchange?)

https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 25/30
Riassumendo
          Gli ingredienti della
          riservatezza:
               Standard accettato da tutti
               Costo 0 per i supporti crittografici
               Hardware tamper proof
               Consapevolezza




https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 26/30
Prospettive future
          Sistemi federativi di autenticazione e
          autorizzazione
          Sicurezza del sistema complessiva
          (tcpa)
          Sicurezza delle comunicazioni voce
          Sicurezza della messaggistica
          istantanea (i fw iniziano a farne
          inspection)
          Riservatezza della riservatezza
               Steganografia
               Deniable double Encryption

https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 27/30
Bibliografia




             http://www.privacyinternational.org
             http://e-privacy.firenze.linux.it




https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 28/30
Feedback




https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 29/30
L’impiego delle tecnologie di firma digitale
       per la tutela della confidenzialità
                                  Domande?
                               Fabio Pietrosanti
                              naif@sikurezza.org




https://www.sikurezza.org/   Fabio Pietrosanti   naif@sikurezza.org   pag. 30/30

More Related Content

What's hot

Errori tipici nella gestione del data breach
Errori tipici nella gestione del data breachErrori tipici nella gestione del data breach
Errori tipici nella gestione del data breachCSI Piemonte
 
Gli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachGli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachAdriano Bertolino
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleMario Rossano
 
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza Antonio Lepore
 
Introduzione alla sicurezza informatica
Introduzione alla  sicurezza informaticaIntroduzione alla  sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...Ivanti
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.gmorelli78
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.Carlo Balbo
 

What's hot (17)

Errori tipici nella gestione del data breach
Errori tipici nella gestione del data breachErrori tipici nella gestione del data breach
Errori tipici nella gestione del data breach
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training Course
 
Gli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachGli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data Breach
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI Piemonte
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informatica
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitale
 
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
 
Introduzione alla sicurezza informatica
Introduzione alla  sicurezza informaticaIntroduzione alla  sicurezza informatica
Introduzione alla sicurezza informatica
 
Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei Dati
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT Security
 
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
 

Viewers also liked

2004: Webbit Padova 04: Presentazione Sikurezza.Org
2004: Webbit Padova 04: Presentazione Sikurezza.Org2004: Webbit Padova 04: Presentazione Sikurezza.Org
2004: Webbit Padova 04: Presentazione Sikurezza.OrgFabio Pietrosanti
 
2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E Ombre2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E OmbreFabio Pietrosanti
 
2004: Webbit Padova 04: Wireless (in)security
2004: Webbit Padova 04: Wireless (in)security2004: Webbit Padova 04: Wireless (in)security
2004: Webbit Padova 04: Wireless (in)securityFabio Pietrosanti
 
2007: Infosecurity Italy: Voice Privacy Security (flash talk)
2007: Infosecurity Italy: Voice Privacy Security (flash talk)2007: Infosecurity Italy: Voice Privacy Security (flash talk)
2007: Infosecurity Italy: Voice Privacy Security (flash talk)Fabio Pietrosanti
 
2009: Voice Security And Privacy (Security Summit - Milan)
2009: Voice Security And Privacy (Security Summit - Milan)2009: Voice Security And Privacy (Security Summit - Milan)
2009: Voice Security And Privacy (Security Summit - Milan)Fabio Pietrosanti
 
2002: SMAU ITBH: Wireless (in)security
2002: SMAU ITBH: Wireless (in)security2002: SMAU ITBH: Wireless (in)security
2002: SMAU ITBH: Wireless (in)securityFabio Pietrosanti
 
2006: Hack.lu Luxembourg 2006: Anonymous Communication
2006: Hack.lu Luxembourg 2006: Anonymous Communication2006: Hack.lu Luxembourg 2006: Anonymous Communication
2006: Hack.lu Luxembourg 2006: Anonymous CommunicationFabio Pietrosanti
 
педагог портфолиосы
педагог портфолиосыпедагог портфолиосы
педагог портфолиосыErjan Beisenhojaev
 

Viewers also liked (8)

2004: Webbit Padova 04: Presentazione Sikurezza.Org
2004: Webbit Padova 04: Presentazione Sikurezza.Org2004: Webbit Padova 04: Presentazione Sikurezza.Org
2004: Webbit Padova 04: Presentazione Sikurezza.Org
 
2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E Ombre2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E Ombre
 
2004: Webbit Padova 04: Wireless (in)security
2004: Webbit Padova 04: Wireless (in)security2004: Webbit Padova 04: Wireless (in)security
2004: Webbit Padova 04: Wireless (in)security
 
2007: Infosecurity Italy: Voice Privacy Security (flash talk)
2007: Infosecurity Italy: Voice Privacy Security (flash talk)2007: Infosecurity Italy: Voice Privacy Security (flash talk)
2007: Infosecurity Italy: Voice Privacy Security (flash talk)
 
2009: Voice Security And Privacy (Security Summit - Milan)
2009: Voice Security And Privacy (Security Summit - Milan)2009: Voice Security And Privacy (Security Summit - Milan)
2009: Voice Security And Privacy (Security Summit - Milan)
 
2002: SMAU ITBH: Wireless (in)security
2002: SMAU ITBH: Wireless (in)security2002: SMAU ITBH: Wireless (in)security
2002: SMAU ITBH: Wireless (in)security
 
2006: Hack.lu Luxembourg 2006: Anonymous Communication
2006: Hack.lu Luxembourg 2006: Anonymous Communication2006: Hack.lu Luxembourg 2006: Anonymous Communication
2006: Hack.lu Luxembourg 2006: Anonymous Communication
 
педагог портфолиосы
педагог портфолиосыпедагог портфолиосы
педагог портфолиосы
 

Similar to 2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riservatezza

Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genovauninfoit
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007jekil
 
E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017
E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017
E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017Simone Aliprandi
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 
Architettura Di Reti Sicure
Architettura Di Reti SicureArchitettura Di Reti Sicure
Architettura Di Reti SicureRoberto Maggiora
 
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017Simone Aliprandi
 
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati   In...La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati   In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...Sandro Fontana
 
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017Simone Aliprandi
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017 Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017 Simone Aliprandi
 
Smau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSmau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSMAU
 
Expo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_ITExpo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_ITCisco Case Studies
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017SMAU
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Massimo Chirivì
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reodenis frati
 
Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017
Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017
Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017Simone Aliprandi
 

Similar to 2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riservatezza (20)

Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genova
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007
 
E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017
E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017
E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
 
Architettura Di Reti Sicure
Architettura Di Reti SicureArchitettura Di Reti Sicure
Architettura Di Reti Sicure
 
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
 
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati   In...La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati   In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
 
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
 
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017 Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017
 
Sicurezza nei servizi IoT
Sicurezza nei servizi IoTSicurezza nei servizi IoT
Sicurezza nei servizi IoT
 
Smau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSmau milano 2013 marco bozzetti
Smau milano 2013 marco bozzetti
 
Expo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_ITExpo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_IT
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legale
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reo
 
Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017
Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017
Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017
 

Recently uploaded

Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Associazione Digital Days
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Associazione Digital Days
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Associazione Digital Days
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Associazione Digital Days
 
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Associazione Digital Days
 
Programma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 TorinoProgramma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 TorinoQuotidiano Piemontese
 
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Associazione Digital Days
 
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Associazione Digital Days
 
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Associazione Digital Days
 

Recently uploaded (9)

Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
 
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
 
Programma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 TorinoProgramma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 Torino
 
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
 
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
 
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
 

2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riservatezza

  • 1. L’impiego delle tecnologie di firma digitale per la tutela della confidenzialità Sikurezza.org - Infosecurity 2006 https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 1/30
  • 2. $ whois naif Fabio Pietrosanti (non pietro-santi!) Privacy Architect @ www.khamsa.ch Analisi, Progettazione e implementazione di soluzioni e architetture di tutela della riservatezza delle informazioni. Diffusione delle informazioni e cultura sulla sikurezza: Sikurezza.org! https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 2/30
  • 3. This page intentionally left blank https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 3/30
  • 4. $ whois sikurezza.org Sikurezza.org è una comunità virtuale di persone che per passione e/o lavoro si interessano di problematiche di (in)sicurezza informatica e della loro diffusione. Si tratta di un progetto non commerciale portato avanti da volontari. https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 4/30
  • 5. This page is unintentionally left blank https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 5/30
  • 6. Finalità Comprendere i vantaggi e i limiti delle tecnologie di firma digitale per la tutela della riservatezza delle comunicazioni https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 6/30
  • 7. Prerequisiti Concetti base di firma digitale Bisogno di tutela delle informazioni Visione delle informazioni per quel che queste sono https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 7/30
  • 8. Requisiti di un sistema sicuro Confidenzialità Integrità Disponibilità https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 8/30
  • 9. Firma digitale: usi e limiti https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 9/30
  • 10. Firma digitale:è importante Risolve in modo decisivo il problema della gestione delle identità nella società dell’informazione Bisogno di un meccanismo di identificazione non ripudiabile https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 10/30
  • 11. La firma digitale è ovunque Firma digitale per archiviazione sostituiva Firma digitale per la PEC Firma digitale per carte di identificazione e carte di servizi Firma digitale per le SIM GSM Firma digitale per i server web https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 11/30
  • 12. Firma digitale: limiti d’uso (1) Viene usata esclusivamente per la gestione delle identità È poco usata nei client con chiavi software Le interfacce smartcard non sono di default nei computer I supporti software per smartcard sono ancora poco interoperabili https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 12/30
  • 13. Firma digitale: limiti d’uso (2) Non prevede meccanismi efficienti di gestione della mobilità (Autorilascio di certificati temporanei) Non con tutti i certificati si può fare tutto (Bit di usage) Non è mai stato standardizzato un meccanismo di interoperabilità con altri sistemi PKI (OpenPGP) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 13/30
  • 14. Firma digitale e riservatezza https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 14/30
  • 15. Perché sono usate altre tecnologie Relazioni sociali non gerarchiche (OpenPGP) Percezione di bisogni differenti (la firma serve per autenticare!) Conflitto di interessi (Bisogni di ripudiabilità/deniability o anonimato) Percezione della sicurezza one-to-one (“la password di winzip è più sicura!”) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 15/30
  • 16. DPS/PEC -> Riservatezza? Adeguamento alle misure minime: implementazione di sistemi di AAA Se i dati vengono “rubati” sottraendo i media fisici o mediante accesso logico questi vengono violati poiché non cifrati PEC: invio email con una scocciatura in più https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 16/30
  • 17. La basi dati e la confidenzialità Le basi dati sono sempre sprotette Basi dati di messaggi Helpdesk/sistemisti/outsource/isp possono leggere le email? Basi dati di valore Autorizzazioni inutili se i dati non sono cifrati (credit card) Sviluppatori, sistemisti, DBA, addetti ai backup possono accedervi? Dischi cifrati https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 17/30
  • 18. Quali informazioni proteggere? Posta Elettronica Documenti Basi Dati Archivi Password Dati in movimento Registri di attività (log) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 18/30
  • 19. Da chi proteggere le informazioni? Competitor Outsourcer (Managed services) Personale esterno (quanti consulenti!) Personale interno infedele La segretaria Il collega Il gestore del sistema IT Organizzazioni governative straniere Organizzazioni governative nazionali https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 19/30
  • 20. Rischi di mancata protezione Perdità di competitività Perdita di immagine Fallimento strategie Furto proprietà intellettuale La vita https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 20/30
  • 21. Opportunità di tutela Il proliferare di strumenti di firma ci offre una base forte per la tutela della riservatezza: Standard x509v3 con chiavi RSA Hardware tamper proof (in teoria) Facilità di scambio chiavi (S/MIME) Indici centrali di verifica (bene o male, è una questione di contesto) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 21/30
  • 22. Disponibilità dei sistemi di firma Oltre un milione di smartcard emesse dai certificatori accreditati Carte di credito VISA Carta nazionale dei servizi Carta identità elettronica PEC SIM GSM (limitata) Free S/MIME email certs https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 22/30
  • 23. Modi d’uso Autenticazione Messaggistica email Archiviazione documentale Protezione infrastrutturale Protezione delle connessioni mobile https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 23/30
  • 24. Modi d’uso: tecnologie Email: S/MIME HTTP SSL Client Auth Wireless 802.11 EAP-TLS Active Directory (SSO) VPN IPSec VPN SSL (OpenVPN/Cisco/Nokia/Checkpoint/Fortin et,etc) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 24/30
  • 25. Riservatezza in ambienti complessi Metodi crittografici articolati Infrastrutture software crypto- aware Condivisione dei dati Escrow management (audit) Protezione dell’identità Trasparenza d’uso (exchange?) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 25/30
  • 26. Riassumendo Gli ingredienti della riservatezza: Standard accettato da tutti Costo 0 per i supporti crittografici Hardware tamper proof Consapevolezza https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 26/30
  • 27. Prospettive future Sistemi federativi di autenticazione e autorizzazione Sicurezza del sistema complessiva (tcpa) Sicurezza delle comunicazioni voce Sicurezza della messaggistica istantanea (i fw iniziano a farne inspection) Riservatezza della riservatezza Steganografia Deniable double Encryption https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 27/30
  • 28. Bibliografia http://www.privacyinternational.org http://e-privacy.firenze.linux.it https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 28/30
  • 29. Feedback https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 29/30
  • 30. L’impiego delle tecnologie di firma digitale per la tutela della confidenzialità Domande? Fabio Pietrosanti naif@sikurezza.org https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 30/30