crittografia firma digitale
TRANSCRIPT
Consiglio di strategia
La sicurezza delle transazioni attraverso Internet
a cura di
Mario Varini
EUCIP-IT Administrator
DSGA I.C. Di Castellucchio (MN)
INTRODUZIONE
Lo straordinario sviluppo delle reti di comunicazione e dei servizi offerti mediante la tecnologia dell'Informazione, pu considerarsi, senza ombra di dubbio, come la grande rivoluzione di fine secolo.
La crescente disponibilit di banda passante, ha fatto delle moderne reti di comunicazione il vero e proprio sistema nervoso del pianeta.
Eppure anche questa magnifica costruzione ha il suo tallone d'Achille: la sicurezza. Proprio perch ''reti aperte'', le reti digitali sono intrinsecamente insicure: esse non sono state progettate in modo da garantire auto-protezione e difesa contro eventuali abusi.
La sicurezza delle transazioni attraverso Internet
INTRODUZIONE
Le reti essendo aperte sono particolarmente sensibili
all'intercettazione ed all'alterazione dei dati trasmessi nonch
alla violazione dei supporti informatici ad essa
connessi.
Il desiderio dell'utente di garantire la propria riservatezza e anonimato mal si concilia con la necessit di imputabilit, cio la possibilit effettiva di conoscere l'identit degli utenti e di ci che stanno facendo.
La sicurezza delle transazioni attraverso Internet
INTRODUZIONE
Il tentativo di creare informazione anonima (siti web, spamming
ecc.), si scontra con la necessit di imputabilit, autenticit,
integrit, revocabilit, non ripudiazione
dell'informazione.
Il passaggio dai documenti tradizionali a quelli elettronici deve venire gestito in maniera tale da conservare, ed eventualmente migliorare, le politiche di sicurezza al fine di consentire un sistema di comunicazione sicuro.
La sicurezza delle transazioni attraverso Internet
Esigenze di sicurezza
A livello generale necessario garantire
l'integrit dell'host: Il rischio che qualcuno potrebbe penetrare
nel sistema per arrecando danno alla rete o agli altri
utenti;
una barriera contro lo spoofing (sostituzione di
identit);
una barriera contro i virus;
evitare l'accesso, la distruzione e il furto dei dati.
La sicurezza delle transazioni attraverso Internet
Esigenze di sicurezza
Ci che viene a mancare per la ''certezza del contesto'':
che l'autore sia realmente colui che dice di essere,
che il messaggio sia identico a quello spedito dal mittente,
che il messaggio sia stato inviato realmente dal suo autore,
che il mittente potesse legittimamente inviare quel messaggio,
che il messaggio sia stato inviato in quel giorno e in quelle ora
che il messaggio giunga realmente a destinazione,
certezza dell'identit del destinatario,
La sicurezza delle transazioni attraverso Internet
Esigenze di sicurezza
Pi precisamente si hanno quattro diverse esigenze di certezza che una transazione sicura deve garantire:
certezza dell'identit dei corrispondenti (identificazione), cio garantire che la controparte sia realmente chi dice di essere;
certezza delle legittimit dell'operazione (autorizzazione), sapere cio se la controparte sia autorizzata a compiere determinate operazioni;
certezza dell'integrit del messaggio (autenticazione), garanzia che il messaggio non sia stato modificato lungo il percorso;
certezza della segretezza della comunicazione (riservatezza), in modo che terzi non autorizzati non possano venire a conoscenza di informazioni riservate.
La sicurezza delle transazioni attraverso Internet
Esigenze di sicurezza
L'unico strumento che consente di fare ci la
crittografia (cifratura)
cio l'insieme delle tecniche di codifica, decodifica e autenticazione di dati e messaggi mediante l'uso di chiavi, cio stringhe di bit che permettono di identificare il titolare della chiave e di eseguire le funzioni previste dall'algoritmo.
La sicurezza delle transazioni attraverso Internet
Tecniche di cifratura
Le tecnologie di cifratura, fondamentalmente, si dividono in tre categorie:
SISTEMI CRITTOGRAFICI A CHIAVE PRIVATA
(simmetrica)
SISTEMI CRITTOGRAFICI A CHIAVE PUBBLICA
(asimmetrica)
SISTEMI CRITTOGRAFICI MISTI
(coppie di chiavi: una pubblica e una privata)
La sicurezza delle transazioni attraverso Internet
Tecniche di cifratura SISTEMI CRITTOGRAFICI
A CHIAVE PRIVATA (simmetrica)
La crittografia a chiave privata individua due algoritmi:
uno di codifica
uno di decodifica
ed un'unica chiave.
Per cifrare e decifrare un documento sia il mittente che il destinatario usano la stessa chiave: pertanto essi devono preventivamente accordarsi sulla chiave da utilizzare. Uno dei pi diffusi algoritmi di questa categoria il gi citato DES (Data Encryption Standard).
La sicurezza delle transazioni attraverso Internet
Tecniche di cifratura
SISTEMI CRITTOGRAFICI A CHIAVE PUBBLICA (asimmetrica)
La crittografia a chiave pubblica comprende anch'essa due
algoritmi:
uno di codifica
uno di decodifica)
ma utilizza due chiavi differenti:
una pubblica (nota a chiunque)
una privata (conosciuta solo dal titolare)
La sicurezza delle transazioni attraverso Internet
Tecniche di cifratura SISTEMI CRITTOGRAFICI A CHIAVE PUBBLICA
(asimmetrica)
La chiave pubblica del destinatario viene utilizzata per codificare il messaggio, il quale pu essere letto solo mediante la corrispondente chiave privata, conosciuta solo dal destinatario stesso.
Per la decodifica non esistono alternative:
o si conosce la chiave privata o non si ha possibilit di decodificare il messaggio.
In tal modo si ha la certezza che un messaggio crittografato
mediante la chiave pubblica del destinatario verr letto
solamente dal destinatario stesso.
La sicurezza delle transazioni attraverso Internet
Tecniche di cifratura SISTEMI CRITTOGRAFICI A CHIAVE PUBBLICA
(asimmetrica)
Entrambe le chiavi
devono essere registrate presso una Certification Autority
che garantisce la corrispondenza fra una determinata chiave e il relativo proprietario.
Le chiavi pubbliche di tutti gli utenti sono raccolte in un elenco, consultabile via telematica, ottenendo cos un'infrastruttura allo stesso tempo semplice ma efficace, evitando inoltre di doversi scambiare la chiave crittografica prima di poter comunicare.
La sicurezza delle transazioni attraverso Internet
Tecniche di cifratura SISTEMI CRITTOGRAFICI MISTI
(coppie di chiavi: una pubblica e una privata)
Attualmente il metodo pi usato consiste in una forma mista di queste due tecniche:
ogni utente ha una propria coppia di chiavi, una privata e una pubblica
Ogni volta che si devono codificare dei dati si crea una chiave
simmetrica di sessione variabile di volta in volta. Con essa si
esegue la codifica, dopo di che la chiave simmetrica viene criptata
con la chiave pubblica del destinatario (in modo
che sia leggibile solo da lui) e allegata al messaggio.
La sicurezza delle transazioni attraverso Internet
Tecniche di cifratura SISTEMI CRITTOGRAFICI MISTI
(coppie di chiavi: una pubblica e una privata)
Quando il destinatario riceve il messaggio, usa la sua chiave privata per decifrare la "chiave simmetrica di sessione".
Quindi usa quest'ultima per decodificare il messaggio.
Questo metodo riesce a riassumere in s la maggior sicurezza data
dall'utilizzo delle coppie di chiavi per ogni utente (propria della
crittografia asimmetrica) con la maggior velocit di codifica e
decodifica (propria dell'uso della chiave simmetrica). In tal modo
viene garantita la segretezza, l'autenticit e
l'integrit dei dati.
La sicurezza delle transazioni attraverso Internet
Tecniche di cifratura SISTEMI CRITTOGRAFICI MISTI
(coppie di chiavi: una pubblica e una privata)
La sicurezza delle transazioni attraverso Internet
Certezza dell'identit dei corrispondenti
(identificazione)
La firma digitale
La sicurezza delle transazioni attraverso Internet
Certezza dell'identit dei corrispondenti
(identificazione)
La firma digitale La definizione di firma digitale data dal DPR 513/1997 secondo la quale essa : "il risultato della procedura informatica (validazione) basta su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrit di un documento informatico o di un insieme di documenti informatici" (art. 1 lett. b).
La sicurezza delle transazioni attraverso Internet
Certezza dell'identit dei corrispondenti
(identificazione)
La firma digitale Le firme digitali presentano funzioni analoghe a quelle delle tradizionali firme su carta.
Una firma digitale consente di identificare la persona che firma un documento, in modo analogo a una normale firma a mano. A differenza tuttavia della firma a mano, quella digitale difficile da falsificare poich contiene informazioni cifrate che sono associate in modo univoco al firmatario e facilmente verificabili.
La sicurezza delle transazioni attraverso Internet
Certezza dell'identit dei corrispondenti
(identificazione)
La firma digitale Una firma digitale pu essere utilizzata per:
Approvare un documento
Indicare che stata eseguita la revisione del documento
Accettare i termini di un documento
Rilevare e registrare eventuali modifiche (se consentite) al documento.
Certificare di essere l'autore di un documento e che il documento non stato modificato dopo la certificazione.
La sicurezza delle transazioni attraverso Internet
Certezza dell'identit dei corrispondenti
(identificazione)
La firma digitale basata sulla crittografia a chiave pubblica si ormai affermata come principale strumento in grado, allo stato attuale della tecnologia, di assicurare l'integrit e la provenienza dei documenti informatici e quindi di svolgere per questi la funzione che nei documenti tradizionali assolta dalla firma autografa.
La sicurezza delle transazioni attraverso Internet
Certezza dell'identit dei corrispondenti
(identificazione)
La firma digitale basata sulla crittografia a chiave pubblica consente ai suoi utilizzatori di:
Firmare i documenti in modo da attribuirsene la paternit crittografando il messaggio utilizzando la propria chiave privata.
Per leggerlo sar necessario decodificarlo utilizzando la relativa chiave pubblica, accessibile a tutti.
La sicurezza delle transazioni attraverso Internet
Certezza dell'identit dei corrispondenti
(identificazione)
Testo in chiaro con firma digitale
La sicurezza delle transazioni attraverso Internet
Certezza dell'identit dei corrispondenti (identificazione)
Firma digitale a chiavi miste
Nella realt per si utilizza un sistema di chiavi miste, utilizzando uno strumento che prende il nome di funzione di hash.
Si tratta di una particolare funzione che elabora un documento estraendone un valore che ne rappresenta l'impronta, una sorta di impronta digitale (molto pi piccola e maneggevole del documento stesso).
La sicurezza delle transazioni attraverso Internet
Certezza dell'identit dei corrispondenti (identificazione)
Firma digitale a chiavi miste
Chi vuole verificare l'autenticit di un documento relativamente ad una data firma:
Applica al documento la funzione convenzionale di hash per ricavare la prima impronta.
Decifra la presunta firma utilizzando la chiave pubblica dell'autore, ottenendo cos una seconda impronta.
Confronta le due impronte, se esse coincidono si pu essere certi
che il documento stato realmente
generato dalla stessa persona che ne ha generato la ''firma''.
La sicurezza delle transazioni attraverso Internet
Certezza dell'identit dei corrispondenti (identificazione)
Testo in chiarocon firma digitale
La sicurezza delle transazioni attraverso Internet
Autorit di certificazione (garante dell'identificazione)
In mancanza di un reale controllo chiunque potrebbe depositare una chiave a nome di un altro e quindi spacciarsi per lui. Affinch tutto il sistema funzioni e dia garanzie di fiducia, occorre una infrastruttura di certificazione che garantisca l'effettiva identit di ciascuno, un terzo che, dotato di imparzialit nei confronti degli utenti, certifichi l'autenticit delle chiavi e la corrispondenza della chiave pubblica con il suo titolare. Questo ruolo ricoperto dal "Certificatore" comunemente chiamato Autorit di Certificazione.
L'Autorit di Certificazione non un'Autorit centrale, un soggetto
giuridico, pubblico o privato incluso negli elenchi tenuti dall'
AIPA (Autorit per l'informatica nella Pubblica
Amministrazione)
La sicurezza delle transazioni attraverso Internet
Come verificare la firma digitale di un documento
informatico?
(identit digitale)
Se si gi in possesso di firma digitale sufficiente utilizzare il
software consegnato insieme al supporto informatico (pennetta,
smartcard, ecc.) dall'Autorit di Registrazione.
Se non si in possesso di firma digitale possibile ad esempio
accedere al sito dell'Ente Certificatore InfoCert e utilizzare
l'apposita funzione di verifica a disposizione anche di chi non in
possesso di firma digitale:
https://www.firma.infocert.it/utenti/verifica.php
La sicurezza delle transazioni attraverso Internet
Come fare per avere la propria firma digitale?
(identit digitale)
Rivolgersi ad una Autorit di Registrazione
L'Autorit di Registrazione invia i dati acquisiti all'Autorit di
Certificazione e consegna al richiedente un supporto informatico
(una pennetta, una smartcard oppure una specie di tessera bancomat
dotata per di microchip) e un software che consentiranno di
generare:
la chiave pubblica
da inviare al Certificatore per la sua pubblicazione.
la chiave privata
che resta memorizzata indelebilmente all'interno della stessa
pennetta, smartcard ecc.
La sicurezza delle transazioni attraverso Internet
Firma digitale e ID digitale
(identit digitale)
Per firmare un documento, necessario ottenere un ID digitale da un Ente/Authority di certificazione (Poste, Camera di commercio, Aruba, ecc.).
L'ID digitale contiene una chiave privata che consente di aggiungere la firma digitale e un certificato che viene condiviso con gli utenti che devono convalidare la firma.
Alcuni software consentono creare documenti autofirmati come ad esempio Acrobat ma, molto importante, in questo caso non essendo stato rilasciato da una terza entit non viene garantita da nessuno l'autenticit della firma.
La sicurezza delle transazioni attraverso Internet
Come apporre la propria firma digitale
ad un documento informatico?
(identit digitale)
E' sufficiente installare il software consegnato insieme al supporto informatico (pennetta, smartcard, ecc.) dall'Autorit di Registrazione che integrandosi con il sistema e con i software in uso consentir, selezionando apposite opzioni, di firmare digitalmente i propri documenti informatici.
La sicurezza delle transazioni attraverso Internet
Firma digitale e Software
Files p7m : Software ARUBA
In ottemperanza alle attuali disposizioni la firma digitale pu essere generata esclusivamente in formato p7m
La Suite Client di Firma Digitale ArubaSign costituita dai seguenti componenti principali:
- Programma per la Firma Digitale, Verifica, Richiesta Marca Temporale- Librerie Dinamiche per la gestione dei certificati
La Suite Client dotata di un pannello grafico che permette agli utenti di:
- selezionare e visionare i documenti da firmare;- selezionare e verificare il certificato X.509 di firma;- effettuare la firma digitale dei documenti con il certificato selezionato;- effettuare la marcatura temporale dei documenti con la TSA configurata;- verificare i documenti firmati, estraendo i documenti originali dopo la verifica;- verificare le marcature temporali;- visualizzare i documenti verificati;
La sicurezza delle transazioni attraverso Internet
Firma digitale e Software
Firmare, certificare e cifrare Documenti pdf
Software Adobe Acrobat Writer
ACROBAT interagisce con la smart card contenente l'ID digitale (firma digitale) e consente:
La firma e quindi l'identificazione digitale dell'autore del documento;
la certificazione di un documento PDF garantendone l'integrit
del
contenuto e la verifica della provenienza;
la creazione di buste di protezione (contenitori di files) che
possono contenere qualsiasi tipo e numero di documenti. Le buste
possono essere:
crittate (cifratura) con la chiave pubblica del destinatario
firmate digitalmente con la chiave privata dell'autore
certificate digitalmente con la chiave privata dell'autore
La sicurezza delle transazioni attraverso Internet
Firma digitale e Software
certificare Documenti pdf
Software Adobe Acrobat Writer
Quando si certifica un PDF, si indica che se ne approva il contenuto.
anche possibile specificare i tipi di modifiche autorizzate affinch il documento rimanga certificato.
Le firme utilizzate per certificare un PDF vengono definite firme di certificazione.
Solo la prima persona che firma un PDF, in genere l'autore, pu aggiungere una firma di certificazione. possibile apporre una firma di certificazione solo se il PDF non contiene altre firme. Le firme di certificazione possono essere visibili o invisibili e vengono identificate dall'icona con un nastro blu nel pannello Firme e, se la firma visibile, anche nel campo firma. Per aggiungere firme digitali, necessario disporre di un ID digitale
La sicurezza delle transazioni attraverso Internet
Esigenze di sicurezza
E per finire ripropongo una precedente diapositiva che riassume le
4 certezze che insieme ad un corretto utilizzo della firma digitale
e della cifratura garantiscono la sicurezza nelle transazioni di
documenti attraverso Internet:
Identit dei corrispondenti (identificazione), cio garantire che
la controparte sia realmente chi dice di essere;
Legittimit dell'operazione (autorizzazione), sapere cio se la
controparte sia autorizzata a compiere determinate
operazioni;
Integrit del messaggio (autenticazione), garanzia che il
messaggio non sia stato modificato lungo il percorso;
Segretezza della comunicazione (riservatezza), in modo che terzi non autorizzati non possano venire a conoscenza di informazioni riservate.
La sicurezza delle transazioni attraverso Internet
FINE
Grazie per l'attenzione
La sicurezza delle transazioni attraverso Internet
Mario Varini DSGA I.C. di Castellucchio (MN)
EUCIP-IT Administrator certified
/