Appunti Introduzione alla cyber security

Condivisione della chiave effimera

Alice e Bob inventano casualmente due quantità (Alice) e (Bob) e calcolano e .

Applicando la proprietà , entrambi riescono poi a derivare la stessa chiave effimera K.

Infatti:

S bS= = = = =aS aSa aK T modp K T modp T T K K K

per Alice e per Bob, ma quindi .

Questo rende la condivisione della chiave effimera sicura, in quanto Trudy, pur riuscendo ad intercettare o o p o g, non è a conoscenza dei rispettivi e .

S NB: e una volta generati, vengono immediatamente eliminati, e saranno a brigenerati casualmente alla successiva comunicazione tra Bob e Alice.

5.4.2 Sicurezza

Lo schema visto prima utilizzato così è tuttavia inutile, perché attaccabile con un man-in-the-middle (Attacco attivo). ′ =T S T

Infatti Trudy, dopo aver intercettato genera un nuovo e trasmette a Bob a ta′ ′′ =S Sg modp T S T g modp e fa lo stesso con per cui genera un

nuovo e invia .a bb tbK KQuesto fa sì che tra Trudy e Bob si crei la chiave e tra Alice e Trudy la chiave2 1e quindi Alice pensa di parlare con Bob, ma in realtà Trudy sta ascoltando.Deve essere autenticato, non può essere usato così. Se autenticato, non ci sono attacchi possibili.

6.5 Altri algoritmi asimmetrici

6.5.1 Digital Signature Standard (DSS)

È molto simile ad RSA, ma solo poco più veloce.

6.5.2 Elliptic Curve Cryptography (ECC)

Sta rimpiazzando RSA. Infatti, mentre con RSA si devono usare chiavi molto lunghe, ECC permette di avere la stessa sicurezza usando chiavi di poche centinaia di bit.

6.6 Autorità di certificazione

Consentono di risolvere il problema dell'autenticità delle chiavi pubbliche.

6.6.1 Schema generico ad alto livello

Un canale insicuro consente di scambiare chiavi pubbliche e utilizzando la chiave privata si riesce a criptare e decriptare.

6.6.2 Problema fondamentale: le chiavi

Per assicurare

legamestesso. Avendo a disposizione una copia autentica della chiave pubblica della CA che ha generato (firmato) un dato certificato, è possibile verificare l'autenticità della chiave pubblica in esso contenuta. Quindi se Bob si fida dell'Autorità di certificazione ed ha a disposizione K K CERT, può verificare che contenuta nel certificato sia pub, CA pub, Alice Alice proprio la chiave pubblica di Alice, controllando l'autenticità della firma di CA su CERT. Alice

6.6.4 Definizione di Public Key Infrastructure (PKI)

È il framework che definisce i protocolli, le politiche e i meccanismi tecnologici necessari per supportare lo scambio autenticato di chiavi pubbliche. Un'architettura PKI definisce i seguenti elementi: formato dei certificati, relazione tra CA diverse e tra CA e utenti.

6.6.5 I certificati X.509 ad alto livello

I certificati includono diversi campi: Versione dello standard, altri dati Identità delle CA Identità

dell'utente

In modo tale che quando il certificato viene ricevuto si possa verificare la conoscenza della CA e confrontare l'identità dell'utente con l'url del browser.

Chiave pubblica dell'utente

Il certificato contiene la chiave pubblica dell'entità la cui identità viene certificata. Per RSA è il modulo n e l'esponente e (65536).

Firma della CA

L'autenticità e l'integrità dei dati contenuti nel certificato vengono protette con la firma digitale della CA. Per cui si genera l'hash dei campi e la CA firma questo hash. A questo punto si usa la chiave pubblica della CA per invertire la firma e ottenere l'hash che andrà confrontato con l'hash del certificato ricalcolato senza la firma: se il confronto tra hash calcolato e firma invertita ha successo, allora il certificato è autentico, viceversa l'errore è segnalato all'utente.

6.6.6

Certification Authority

I dispositivi utente contengono già una serie di autorità di certificazione attendibili.

6.6.7 Verifica di un certificato "utente"

Alice invia il proprio certificato CERTA che contiene i seguenti parametri:

• subject: identità di Alice (A)
• issuer: l'identità della Certification Authority che ha firmato il certificato (es. xz12a)
• KpubA: la chiave pubblica di Alice
• SCAxz12a: la firma digitale fatta dalla CA sul certificato di Alice

Altro...

Bob riceve il certificato CERTA ed esegue le seguenti operazioni:

1. Estrae l'identificativo dell'issuer
2. Cerca l'issuer all'interno della lista delle CA attendibili (lista presente su tutti i dispositivi utente)
3. Estrae la chiave pubblica della rispettiva CA (In questo caso di CAxz12a)
4. Verifica la firma digitale SCAxz12a

Se la verifica ha successo, Bob si fida di Alice (A), in quanto si fida della CA

6.6.8 Verifica dei certificati delle CA

In generale i certificati delle CA che si...

trovano preinstallati nei sistemi sono self-signed, ossia nel certificato della CA è presente una firma generata dalla chiave privata della stessa CA (subject = issuer). Queste CA già inserite nel sistema, e di cui ci si fida, sono chiamate root Certification Authority. Esistono poi le Intermediate Certification Authority, che devono essere firmate da CA root e che vanno verificate. In questi casi si possono avere delle catene di verifiche: ad esempio, Alice ha un certificato firmato da CA1, che a sua volta è CA firmato da; Dunque Alice invia a Bob il suo certificato e quello di CA1 e Bob root verifica prima quello di CA1, e se quello è ok, anche quello di Alice.

6.6.9 Come si ottiene un certificato utente? In primo luogo l'utente genera una chiave privata e una richiesta di firma del certificato, in inglese "Certificate Signing Request (CSR)", che è come un certificato self-signed. La firma del CSR è eseguita dall'utente con la

chiave privata presente in locale sul dispositivo utilizzato ed il campo subject. Ad esempio, nel caso di una comunicazione via web, verrà associato ad un nome DNS (es. bdcs.unibs.it). A questo punto l'utente invia il CSR ad una Certification Authority che verifica che l'utente abbia la chiave privata associata e qualora l'esito sia positivo, rimuove la self-signature per mettere la propria firma.

Ora il campo issuer presenterà il nome della CA che ha firmato il certificato. La CA restituisce il certificato firmato all'utente, che controlla l'issuer e verifica la firma.

L'utente installa il certificato all'interno del server web. I web browser si connettono al server web via https, che invia il certificato utente firmato dalla CA. Il web browser ha già preinstallato un certificato CA e dunque può verificare la genuinità del certificato.

7. Protocolli di autenticazione e

instaurazione di chiavieffimere7.1 Autenticazione di sistema vs Autenticazione dimessaggi

Le autenticazioni possibili sono due:

Autenticazione di un sistema

Si tratta dell’identificazione provata di un’entità coinvolta in un protocollo direte.

Ad esempio, un utente si connette ad un browser e l’autenticazione del suo pc avvienein tempo reale.

Caratteristica fondamentale è il fatto di essere un’operazione esclusivamente real-time.

Autenticazione di messaggi

L’autenticazione può essere real time oppure no: nel prima caso, rientra adesempio il tentativo di connessione ad un wifi, mentre nel secondo la firmadigitale di un documento (che potrebbe essere verificata anche molto tempo dopo lacreazione).

7.1.1 Requisiti fondamentali per i protocolli di autenticazione

I requisiti sono:

Autenticazione

Un protocollo di autenticazione può essere di tipo one-way e in questocaso deve permettere ad A di autenticare B, e quindi di accertare mediante

dell'uomo rispetto alle prime due, dunque verranno salvate dal sistema computer.

Un oggetto che B possiede. Ad esempio una smart card o altro.

Una caratteristica fisica di B è possibile inoltre autenticarsi tramite dati biometrici, come l'impronta digitale.

7.1.3 Due classi di protocolli di autenticazione

Autenticazione con password

Possono essere sia deboli che forti. Un protocollo è debole quando prevede il coinvolgimento dell'uomo. Infatti, in questi casi può avvenire che: le password non cambino (frequentemente)