Fondamenti di sicurezza - gestione delle chiavi pubbliche

Esame Fondamenti di sicurezza

Facoltà Scienze matematiche fisiche e naturali

Università Università degli Studi dell' Insubria

Appunto

Appunti di Fondamenti di sicurezza per l’esame della professoressa Carminati. Gli argomenti trattati sono i seguenti: gestione delle chiavi pubbliche, Autorità di distribuzione, Certificati a chiave pubblica, revoca dei certificati, esempio di certificato.

…continua

Anteprima

Vedrai una selezione di 1 pagina su 4

Fondamenti di sicurezza - gestione delle chiavi pubbliche Pag. 1

Disdici quando
vuoi

Acquista con carta
o PayPal

Scarica i documenti
tutte le volte che vuoi

Estratto del documento

Gestione delle Chiavi Pubbliche

Le chiavi possono essere distribuite nei seguenti modi:

- Annuncio pubblico dove gli utenti distribuiscono le loro chiavi pubbliche a coloro i quali devono

comunicare oppure trasmettono in broadcast la chiave a un’intera comunità.

Il maggior punto debole è la contraffazione, chiunque può creare una chiave

pubblica fingendosi qualcun altro, e finché non viene scoperto l’utente spia sarà in

grado di leggere i messaggi diretti all’utente che impersona.

- Elenco pubblico le chiavi vengono registrate presso una directory pubblica, gestita da un’autorità fidata,

la directory dovrà contenere una coppia (nome, chiave pubblica) per ogni utente

registrato. La registrazione dev’essere fatta di persona o in una modalità di sicura

autenticazione e l’utente deve poter modificare la chiave in ogni momento.

Inoltre ogni utente deve poter verificare la correttezza di una chiave in ogni momento e

deve dunque esserci una comunicazione autentica e sicura tra directory e partecipanti.

- Autorità di distribuzione (anche in questo caso si suppone l’esistenza di una directory gestita da una terza

parte) migliore sicurezza in quanto si ha accesso esclusivo, ogni utente che vuole

accedere al servizio invia una query all’autorità la quale rilascia la chiave cifrata

con la propria chiave privata (è necessario conoscere la chiave pubblica

dell’autorità).

es. A richiede la chiave pubblica di B inviando la richiesta (con timestamp)

all’autorità, la quale risponde con un messaggio cifrato (con la propria chiave

privata) contenente la chiave di B, la richiesta fatta da A e il timestamp originario.

- Certificati a chiave pubblica dato che le troppe richieste all’autorità la renderebbero un collo di bottiglia,

si introducono i certificati. Un certificato lega l’identità di un utente con la sua

chiave pubblica (di solito contiene ulteriori info come il periodo di validità)

Il certificato contiene info sulla chiave pubblica e l’identità del proprietario

della chiave ed è firmato dall’autorità di certificazione (CA), può essere

distribuito senza ulteriori accorgimenti e verificato da chiunque possiede la

chiave dell’autorità CA.

A e B hanno certificati emessi dalla stessa CA, scambiandoseli con la chiave pubblica della CA possono

validare la corrispettiva chiave pubblica.

Nel caso in cui A e B hanno entrambi un certificato ma non della stessa CA occorre che esista una relazione

di fiducia.

Questa relazione può essere verificata in 2 modi:

- il certificato di A è stato rilasciato da X1, che ha rilasciato anche il certificato all’autorità X2 la quale ha

certificato B

- il certificato di B è stato rilasciato da X2, che ha rilasciato anche il certificato all’autorità X1 la quale ha

certificato A

In presenza di molte CA non è possibile avere una relazione di fiducia per ogni coppia, è quindi necessario

organizzare le CA in una gerarchia dove la relazione è solo tra nodo padre e figlio. In questo modo l’utente

foglia per verificare un certificato deve possedere tutti i certificati nel percorso tra la sua CA e quella del

mittente.

Certificati X.509

X.509 è lo standard per gestire i certificati a chiavi pubbliche, fa parte della serie di raccomandazioni ITU-T

X.500 che definisce un servizio di directory [un server che gestisce info sugli utenti (nome, utente, id,

certificato a chiave pubblica…

X.509 definisce:

- Struttura dei certificati, ogni certificato ha al suo interno:

- numero di versione (1, 2 o 3)

- numero di serie (unico per una CA)

- identificatore dell’algoritmo di firma

- nome X.500 della CA

- periodo di validità (da – a)

- nome X.500 del proprietario del certificato

- chiave pubblica (algoritmo, parametri)

- campi extension (v3)

- firma (la notazione CA<<A>> indica che il certificato di A è stato emesso (firmato) da CA)

- Protocolli di autenticazione

Revoca dei certificati

Tutti i certificati hanno un periodo di validità, possono però essere revocati prima di tale periodo nei

seguenti casi:

- la chiave privata del possessore del certificato è compromessa

- l’utente non è più certificato dalla CA

- la chiave privata della CA è compromessa

Ogni CA mantiene una lista dei certificati revocati (CRL --- Certificate Revocation List), esistono inoltre dei

protocolli per la verifica dello stato di un certificato online (senza dover scaricare CRL).

(X.509 fornisce OCSP --- Oniline Certificate Status Protocol)

Dettagli

Publisher

koganzjo

A.A. 2013-2014

4 pagine

SSD Scienze matematiche e informatiche INF/01 Informatica

I contenuti di questa pagina costituiscono rielaborazioni personali del Publisher koganzjo di informazioni apprese con la frequenza delle lezioni di Fondamenti di sicurezza e studio autonomo di eventuali libri di riferimento in preparazione dell'esame finale o della tesi. Non devono intendersi come materiale ufficiale dell'università Università degli Studi dell' Insubria o del prof Carminati Barbara.