Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
I recenti fatti di cronaca ci ricordano la necessità di proteggere in maniera adeguata gli asset più importanti per la sopravvivenza stessa di un'organizzazione: i dati e le piattaforme applicative che ne consentono la fruizione. La capacità di salvaguardare tali valori, di garantirne la massima utilizzabilità e di implementare adeguate misure di monitoraggio ed audit sono sempre più i fattori che contraddistinguono un'organizzazione di successo, e che ambisce a rimanere tale, dai sui competitor: prepararsi adeguatamente per mettere al sicuro i propri dati da eventi imprevisti e per garantire i livelli di compliance previsti dalle leggi e dalle regolamentazioni di settore è diventata oggi un’attività vitale per qualunque organizzazione.
Nella presentazione vengono introdotte le tematiche inerenti alla conservazione sicura e protetta del materiale crittografico utilizzato da un’applicazione (per il salvataggio cifrato dei dati, autenticazione con il backend, ecc).
Si prosegue poi con la descrizione di alcune delle tecniche e delle metodologie di Key Management disponibili nelle varie versioni di Android.
Il CodeLab al GDG DevFest si è svolto alternando sessioni teoriche a sessioni pratiche di coding.
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica su Blindspotter, l’ultima soluzione di Contextual Security Intelligence del nostro partner BalaBit.
I punti trattati durante la presentazione sono:
- Il ciclo di vita della sicurezza IT
- Il concetto di Contextual Security Intelligence
- Le fonti alla base del contesto: Log Collection e Privileged Activity Monitoring
- Dalle fonti all'intelligence: Contextual Security Intelligence Platform
- Blindspotter in action
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/identificare-gli-attacchi-di-nuova-generazione-mediante-l-analisi-del-comportamento-degli-utenti
Webinar Netwrix: Individuare & Indagare comportamenti anomali degli utenti con visibilità a 360°, introduzione a Netwrix Auditor 8.5, l’unica piattaforma di governance, sicurezza e visibilità completa per ambienti hybrid cloud
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
I recenti fatti di cronaca ci ricordano la necessità di proteggere in maniera adeguata gli asset più importanti per la sopravvivenza stessa di un'organizzazione: i dati e le piattaforme applicative che ne consentono la fruizione. La capacità di salvaguardare tali valori, di garantirne la massima utilizzabilità e di implementare adeguate misure di monitoraggio ed audit sono sempre più i fattori che contraddistinguono un'organizzazione di successo, e che ambisce a rimanere tale, dai sui competitor: prepararsi adeguatamente per mettere al sicuro i propri dati da eventi imprevisti e per garantire i livelli di compliance previsti dalle leggi e dalle regolamentazioni di settore è diventata oggi un’attività vitale per qualunque organizzazione.
Nella presentazione vengono introdotte le tematiche inerenti alla conservazione sicura e protetta del materiale crittografico utilizzato da un’applicazione (per il salvataggio cifrato dei dati, autenticazione con il backend, ecc).
Si prosegue poi con la descrizione di alcune delle tecniche e delle metodologie di Key Management disponibili nelle varie versioni di Android.
Il CodeLab al GDG DevFest si è svolto alternando sessioni teoriche a sessioni pratiche di coding.
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica su Blindspotter, l’ultima soluzione di Contextual Security Intelligence del nostro partner BalaBit.
I punti trattati durante la presentazione sono:
- Il ciclo di vita della sicurezza IT
- Il concetto di Contextual Security Intelligence
- Le fonti alla base del contesto: Log Collection e Privileged Activity Monitoring
- Dalle fonti all'intelligence: Contextual Security Intelligence Platform
- Blindspotter in action
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/identificare-gli-attacchi-di-nuova-generazione-mediante-l-analisi-del-comportamento-degli-utenti
Webinar Netwrix: Individuare & Indagare comportamenti anomali degli utenti con visibilità a 360°, introduzione a Netwrix Auditor 8.5, l’unica piattaforma di governance, sicurezza e visibilità completa per ambienti hybrid cloud
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
In attesa del Security Summit di Roma, ecco il contributo di Fabio Guasconi e Luciano Quartarone di #Bl4ckSwan sui nuovi trend e normative riguardo Industry 4.0, IoT e Certificazione Privacy UNINFO
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
- La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo
- La Sicurezza Informatica è un processo trasversale ad ogni funzione e processo aziendale
- Security, Governance, Risk Management & Compliance (GRC) sono oggi imprescindibili
- Gestire la Social Media Security è al tempo stesso una necessità e un’opportunità
- La Mobile Security è indispensabile per proteggere il Business, ovunque e in tempo reale
- Industrial Automation Security Today : Where Enterprise Security Was 5-10 Years Ago
- Il miglior investimento è quello che consente di aumentare il proprio Know-how
- La migliore consulenza si ottiene da chi si pone come Partner e non come fornitore
- Contatti
un’applicazione che permette di realizzare una “Rassegna Stampa Intelligente” consentendo all’utente di accedere, attraverso un’unica interfaccia fruibile mediante Tablet PC, ad un insieme aggregato di informazioni e notizie provenienti da diverse fonti giornalistiche e/o documentali. Smart-press accedendo alle informazioni esposte sul web e/o attraverso un repositpry documentale è in grado di effettuare una “aggregazione semantica delle notizie di interesse” dando la possibilità all’utente finale di accedere agevolmente all’insieme delle notizie “contenutisticamente e semanticamente simili ”. Tale funzione consente, ad esempio, ad un giornalista o ad un addetto stampa, una volta scelta una notizia di interesse, di sapere come tale notizia viene trattata dalle varie testate giornalistiche e di avere una rassegna stampa contenente tutte le varie versioni della stessa informazione
The document summarizes an identity conference held by NTT regarding the Liberty Alliance ID-WSF 2.0 "People Service". It discusses how traditional SNS platforms are fragmented because each maintains separate user profiles, authentication, and social networking functions. It then introduces the concept of a People Service that would enable interoperability across platforms by centrally managing user identity information and attributes according to common standards, allowing single sign-on across multiple sites. The People Service is proposed to provide functions for creating, updating, deleting, and accessing user profile data on behalf of relying platforms and users.
My books- Hacking Digital Learning Strategies http://hackingdls.com & Learning to Go https://gum.co/learn2go
Resources at http://shellyterrell.com/classmanagement
The reality for companies that are trying to figure out their blogging or content strategy is that there's a lot of content to write beyond just the "buy now" page.
Dopo una breve introduzione del progetto BackBox, illustreremo le caratteristiche principali di questa nuova versione della Distribuzione con particolare riferimento alla sezione “Mobile Analysis”.
Introdurremo tools e best practices per condurre penetration test su applicazioni Android.
Marco Arena - Perché nel 2015 parliamo ancora di C++? | Codemotion Milan 2015Codemotion
Un sacco di applicazioni che utilizziamo quotidianamente sono sviluppate in C++. Per esempio, se stai leggendo questo abstract in un browser, allora probabilmente stai usando un software scritto in C++. Nonostante la diffusione di tanti altri eccellenti linguaggi, perché il C++ è ancora così utilizzato? Sapevi che nel 2014 è stato il secondo linguaggio più amato della SO Developer Survey? Cosa offre in più rispetto ad altre tecnologie? Presenterò la mia visione, e anche alcuni “segreti” che rendono il C++ speciale ed evoluto.
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
In attesa del Security Summit di Roma, ecco il contributo di Fabio Guasconi e Luciano Quartarone di #Bl4ckSwan sui nuovi trend e normative riguardo Industry 4.0, IoT e Certificazione Privacy UNINFO
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
- La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo
- La Sicurezza Informatica è un processo trasversale ad ogni funzione e processo aziendale
- Security, Governance, Risk Management & Compliance (GRC) sono oggi imprescindibili
- Gestire la Social Media Security è al tempo stesso una necessità e un’opportunità
- La Mobile Security è indispensabile per proteggere il Business, ovunque e in tempo reale
- Industrial Automation Security Today : Where Enterprise Security Was 5-10 Years Ago
- Il miglior investimento è quello che consente di aumentare il proprio Know-how
- La migliore consulenza si ottiene da chi si pone come Partner e non come fornitore
- Contatti
un’applicazione che permette di realizzare una “Rassegna Stampa Intelligente” consentendo all’utente di accedere, attraverso un’unica interfaccia fruibile mediante Tablet PC, ad un insieme aggregato di informazioni e notizie provenienti da diverse fonti giornalistiche e/o documentali. Smart-press accedendo alle informazioni esposte sul web e/o attraverso un repositpry documentale è in grado di effettuare una “aggregazione semantica delle notizie di interesse” dando la possibilità all’utente finale di accedere agevolmente all’insieme delle notizie “contenutisticamente e semanticamente simili ”. Tale funzione consente, ad esempio, ad un giornalista o ad un addetto stampa, una volta scelta una notizia di interesse, di sapere come tale notizia viene trattata dalle varie testate giornalistiche e di avere una rassegna stampa contenente tutte le varie versioni della stessa informazione
The document summarizes an identity conference held by NTT regarding the Liberty Alliance ID-WSF 2.0 "People Service". It discusses how traditional SNS platforms are fragmented because each maintains separate user profiles, authentication, and social networking functions. It then introduces the concept of a People Service that would enable interoperability across platforms by centrally managing user identity information and attributes according to common standards, allowing single sign-on across multiple sites. The People Service is proposed to provide functions for creating, updating, deleting, and accessing user profile data on behalf of relying platforms and users.
My books- Hacking Digital Learning Strategies http://hackingdls.com & Learning to Go https://gum.co/learn2go
Resources at http://shellyterrell.com/classmanagement
The reality for companies that are trying to figure out their blogging or content strategy is that there's a lot of content to write beyond just the "buy now" page.
Dopo una breve introduzione del progetto BackBox, illustreremo le caratteristiche principali di questa nuova versione della Distribuzione con particolare riferimento alla sezione “Mobile Analysis”.
Introdurremo tools e best practices per condurre penetration test su applicazioni Android.
Marco Arena - Perché nel 2015 parliamo ancora di C++? | Codemotion Milan 2015Codemotion
Un sacco di applicazioni che utilizziamo quotidianamente sono sviluppate in C++. Per esempio, se stai leggendo questo abstract in un browser, allora probabilmente stai usando un software scritto in C++. Nonostante la diffusione di tanti altri eccellenti linguaggi, perché il C++ è ancora così utilizzato? Sapevi che nel 2014 è stato il secondo linguaggio più amato della SO Developer Survey? Cosa offre in più rispetto ad altre tecnologie? Presenterò la mia visione, e anche alcuni “segreti” che rendono il C++ speciale ed evoluto.
https://www.swascan.com/it/
Code Review Scan è il tool automatizzato di analisi statica del codice. L’analisi del codice sorgente è il processo di analisi del codice sorgente di un’applicazione per verificare che i requisiti minimi di sicurezza necessari siano presenti ed efficaci. La verifica del codice è lo strumento per assicurarsi che l’applicazione sia stata sviluppata in modo da “auto-proteggersi” nel suo ambiente.
Presentarsi sul mercato globale con app di successoDiego La Monica
Perché decidere di sviluppare per uno specifico dispositivo mobile?
Perché utilizzare Apache Cordova?
Perché Ottimizzare e come?
Le domande hanno trovato risposta nel seminario tenuto a SMAU Milano 2015
Piattaforma worldwide di identificazione e tracciabilità multicanale SE.iD. (Securty Identification)
con la quale è possibile attivare una relazione/connessione diretta tra produttore e consumatore
Antonio Russo, Federico Oldrini e Jacopo Giola di Makeitapp hanno presentato il workshop di CommitUniversity, dedicato al Backend as a Service, mostrandoci come costruire con esso un applicazione.
Sophos Complete Security: arte e scienza della sicurezzaBabel
Il 27 novembre il Chiostro del Bramante ha ospitato il nostro più recente evento, “Sophos Complete Security: scienza e arte della sicurezza”. Babel ringrazia tutti coloro che sono venuti a conoscere la soluzione integrata di Sophos dedicata alla sicurezza della rete, dei dispositivi fissi e mobili, dei dati e delle e-mail.
Se vi siete persi l’evento o volete rivederlo, visitate la pagina dedicata aggiornata con il video integrale e le slide della presentazione: http://babel.it/it/sophos-complete-security-2014.html
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo modernoPar-Tec S.p.A.
In occasione del webinar organizzato con ImpresaCity e One Identity, il TechAdvisor Michelangelo Uberti ha fornito una panoramica del DevSecOps, una evoluzione della metodologia DevOps in cui i controlli di sicurezza e di quality assurance vengono integrati sin dalle prime fasi dello sviluppo.
I punti trattati in questa presentazione sono:
- Dal Waterfall al DevOps: lo sviluppo Agile
- Dal Waterfall al DevOps: il paradigma DevOps
- DevSecOps: non una semplice buzzword
- Le sfide della Continuous Security
- Chi affronterà queste sfide?
- Il DevSecOps Maturity Model
- I controlli di sicurezza
Per saperne di più guardate la registrazione del webinar su https://www.par-tec.it/devsecops-la-cybersecurity-sposa-lo-sviluppo-moderno
Cos’è la sicurezza informatica
Cenni di crittografia
Sicurezza nel web:
Autenticazione e Autorizzazione
Esempi di autenticazione (form login, token base etc etc)
Esempi di attacchi a siti web: come difendersi?
Presentazione al Distretto delle Tecnologie Digitali (www.ditedi.it)
Aspetti di sicurezza in azienda: gestione dei log aziendali
Francesco Cossettini - 05 Ottobre 2013
Introduzione al Log Management, obiettivi, standard, possibilità e prodotti (commerciale e OSS).
Introduzione a SIEM, possibilità e prodotti (commerciali e OSS).
Aspetti tecnici delle normative tecniche e cogenti.
I Log per gli sviluppatori.
Trend attuali/futuri.
http://www.ditedi.it/media/notizie/aspetti-di-sicurezza-in-azienda-gestione-dei-log-aziendali-monitoraggio-dei-sistemi-aziendali-il-fotoracconto
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediGiuseppe Paterno'
E' noto che il Cloud consente di dare una maggiore flessibilità all'IT, garantendo una continuità del business e ottimizzando i costi. Ma quali sono le implicazioni sulla sicurezza aziendale? La cronaca recente ha evidenziato che anche nomi importanti quali IEEE, Apple e Samsung sono tra le vittime piu' famose dei furti di identita' nel Cloud. Se si adottano datacenter virtuali (IaaS) o applicazioni on-line (SaaS), si sposta il paradigma della sicurezza così' come concepita finora.
La presentazione analizzerà le implicazioni di sicurezza di una infrastruttura Cloud e i possibili rimedi, con esempi pratici.
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
Similar to Consulthink at GDG Dev Fest Rome 2013 Android Key Management (20)
2. Android Security
Key Management
Roberto Piccirillo
● Senior Security Analyst - Mobile Security Lab
○ Vulnerability Assessment (IT, Mobile Application)
○ Hijacking Mobile Data Connection
■ BlackHat Europe 2009
■ DeepSec Vienna 2009
■ HITB Amsterdam 2010
○ Android Secure Development
@robpicone
3. Android Security
Key Management
Roberto Gassirà
● Senior Security Analyst - Mobile Security Lab
○ Vulnerability Assessment (IT, Mobile Application)
○ Hijacking Mobile Data Connection
■ BlackHat Europe 2009
■ DeepSec Vienna 2009
■ HITB Amsterdam 2010
○ Android Secure Development
● IpTrack Developer
@robgas
4. Android Security
Key Management
Agenda
● Key Management e CryptoSystem
● Mobile Application: protezione dei dati
● Key Management in Android e sue evoluzioni
● Keychain e AndroidKeyStore
● Tipologie di AndroidKeyStore
● Codelab
○ Generazione chiave pubblica/privata
○ Accesso AndroidKeyStore
○ Digital signature e Encryption
6. Android Security
Key Management
CryptoSystem
● "refers to a suite of algorithms needed to implement
a particular form of encryption and decryption"
● Tipologie di encryption:
○ Symmetric Key Algorithms
■ Identical encryption key for
encryption/decryption
○ Asymmetric Key Algorithms
■ Different key for encryption/decryption
7. Android Security
Key Management
In app?
● Protezione dati riservati
○ Dati dell'applicazione
○ Dati su /sdcard
○ Chiavi di cifratura
● Scambio sicuro di dati
○ Documento
○ Mail
○ SMS
○ Chiave di sessione
● Firma digitale
○ Documento
○ Mail
9. Android Security
Key Management
Key Management in Android
● "User" level
○ PBKDF2 (Password Based Key Derivation Function)
■ Algoritmo di generazione ( PBEWithSHA256And256BitAES-CBC-BC )
■ Salt
■ Numero di Iterazioni
● System Level
○ KeyChain (da >= 4.0 )
○ AndroidKeyStore (ufficiale da >= 4.3)
10. Android Security
Key Management
KeyChain e AndroidKeyStore
● KeyChain
○ Accessibile da qualunque applicazione
● AndroidKeyStore
○ Accessibile alla singola applicazione ed al singolo utente
○ Memorizza solo coppia chiave pubblica/privata RSA 2048
11. Android Security
Key Management
Key Management Evolution
API LEVEL 14 API LEVEL 18
Global Level:
KeyChain
( Public API )
App Level:
KeyStore
( Closed API )
Global Level Only:
Default TrustStore
cacerts.bks
(ROOTED device)
Global Level:
KeyChain
( Public API )
App Level and
per User Level:
AndroidKeyStore
( Public API )
12. Android Security
Key Management
AndroidKeyStore Storage
● Due tipologie di Storage
○ Hardware-backed (Nexus 7, Nexus
4, Nexus 5 :-) con OS >= 4.3)
○ Secure Element
○ TPM
○ TrustZone
○ Software only (Rimanenti dispositivi
con OS >= 4.3)
15. Android Security
Key Management
Cosa faremo
CodeLab diviso in 4 step:
1. Generazioni Chiavi
2. Accesso AndroidKeyStore
3. Firma e Verifica
4. Cifratura/Decifratura
16. Android Security
Key Management
Definizione Specifiche Certificato
Context cx = getActivity();
String pkg = cx.getPackageName();
Calendar notBefore = Calendar.getInstance();
Calendar notAfter = Calendar.getInstance();
notAfter.add(1, Calendar.YEAR);
import android.security.KeyPairGeneratorSpec.Builder;
Builder builder = new KeyPairGeneratorSpec.Builder(cx);
builder.setAlias(“DEVKEY1”);
String infocert = String.format("CN=%s, OU=%s", “DEVKEY1”, pkg);
builder.setSubject(new X500Principal(infocert));
builder.setSerialNumber(BigInteger.ONE);
builder.setStartDate(notBefore.getTime());
builder.setEndDate(notAfter.getTime());
KeyPairGeneratorSpec spec = builder.build();
Definizione Paramentri
Temporali
Self-Signed X.509
● Common Name (CN)
● Subject (OU)
● Serial Number
Generazione delle specifiche del
Certificato
ALIAS per indicizzare
il certificato
17. Android Security
Key Management
Generazione chiave pubblica/privata
KeyPairGenerator kpGenerator;
kpGenerator = KeyPairGenerator
.getInstance("RSA", "AndroidKeyStore");
kpGenerator.initialize(spec);
KeyPair kp;
kp = kpGenerator.generateKeyPair();
Engine per generazione
chiave Privata/Pubblica
Istanza Engine con:
● Algoritmo RSA
● Provider: AndroidKeyStore
Init Engine con le specifiche del certificato
Dopo la generazione, le chiavi saranno memorizzate in
Android Key Store e potranno essere recuperate mediante l’ALIAS
● Generazione chiave Privata/Pubblica
18. Android Security
Key Management
Abbiamo il riferimento keyStore che utilizzeremo per
accedere alla coppia chiave Pubblica/Privata mediante
l’identificativo ALIAS
Dovrebbe essere utilizzato nel caso si ha un
InputStream da caricare (per esempio il nome di un
KeyStore importato). Se non invocato l’applicazione
andrà in CRASH
Inizializzazione Android Key Store
keyStore = KeyStore.getInstance("AndroidKeyStore");
keyStore.load(null);
Richiesta di Android Key Store
19. Android Security
Key Management
RSA Digital Signature
● Digital Signature
○ Authentication, Non-Repudiation and Integrity
○ RSA Private key to Sign
○ RSA Public Key to Verify
KeyStore.Entry entry = ks.getEntry(“DEVKEY1”, null);
byte[] data = “DevFest Rome 2013!”.getBytes();
Signature s = Signature.getInstance(“SHA256withRSA”);
s.initSign(((KeyStore.PrivateKeyEntry) entry).getPrivateKey());
s.update(data);
byte[] signature = s.sign();
String result = null;
result = Base64.encodeToString(signature, Base64.DEFAULT);
Accesso chiave Pubblica e Privata
identificata dall’ALIAS==DEVKEY1
Scelta dell’algoritmo
Chiave Privata per firmare
Firma e codifica in
Base64
20. Android Security
Key Management
Verify RSA Digital Signature
byte[] data = input.getBytes();
byte[] signature;
signature = Base64.decode(signatureStr, Base64.DEFAULT);
KeyStore.Entry entry = ks.getEntry(“DEVKEY1”, null);
Signature s = Signature.getInstance("SHA256withRSA");
s.initVerify(((KeyStore.PrivateKeyEntry) entry).getCertificate());
s.update(data);
boolean valid = s.verify(signature);
Decodifica Base64
Accesso chiave Pubblica e Privata
identificata dall’ALIAS==DEVKEY1
Scelta dell’algoritmo
Chiave Pubblica nel
certificato utilizzata per
verificare
TRUE == Verified
FALSE== Not Verified
23. Android Security
Key Management
Si osserva che...
● Vari tipi di screen lock
● La scelta di screen lock
impatta sulla persistenza
delle chiavi generate
● Cambiando il tipo di screen
lock le chiavi vengono
cancellate
24. Android Security
Key Management
Comportamento atteso?
● La documentazione riporta
● Le chiavi non dovrebbero essere cancellate quando il
tipo di screen lock viene cambiato dall’utente