Universita` degli studi di Perugia Corso di Laurea in Matematica Attribute Certificate Valentina Hamam Rosa Leccisotti.

Presentazione sul tema: "Universita` degli studi di Perugia Corso di Laurea in Matematica Attribute Certificate Valentina Hamam Rosa Leccisotti."— Transcript della presentazione:

1 Universita` degli studi di Perugia Corso di Laurea in Matematica Attribute Certificate Valentina Hamam Rosa Leccisotti

2 Non e` sufficiente… …sapere chi ha firmato il documento ma e` importante essere certi che egli fosse autorizzato a farlo.

3 Certificato digitale E’ un documento di tipo elettronico che serve ad identificare in maniera univoca oggetti reali come utenti o computer.

4 Come si ottiene un certificato digitale? Chiave pubblica

5 Public Key Certificate (PKC) Un PKC e` un certificato che associa l’identita` di un utente ad una chiave pubblica. Emesso dalla Certification Authority La revoca avviene tramite la Certificate Revocation List (CRL) Precedentemente la Registration Authority si occupa della registrazione dell’utente

6 Processo identificativo

7 Attribute Certificate (AC) E` un certificato digitale in cui sono specificati gli attributi di chi lo possiede, come gruppo di appartenenza, ruoli, funzioni. Il formato tipico e` lo standard X.509

8 Struttura dell’AC VERSION : La versione del certificato. HOLDER : L’identità dell’individuo in possesso del certificato. ISSUER : L’identità di chi ha emesso il certificato. SIGNATURE : L’identificatore dell’algoritmo che viene usato per calcolare la firma digitale. Una sequenza di numeri interi separati da punti, unica per ogni soggetto. SERIAL NUMBER : Un numero intero positivo unico, assegnato dall’emittente. ATTRIBUTE CERTIFICATE VALIDITY PERIOD : Periodo di validità del certificato, entro il quale gli attributi sono validi. ATTRIBUTES : Informazioni relative al titolare dell’AC, definite come una sequenza di attributi. ISSUER UNIQUE ID : Informazioni relative alla localizzazione dell’emittente dell’AC. EXTENSIONS : Ulteriori informazioni tra cui per esempio Authority key identifier, cioè l’identificatore della chiave usata per verificare la firma digitale, Attribute certificate targeting: per verificare i server e i servizi che accettano l’AC, Authority information access: per controllare lo stato di revoca di un certificato.

9 Esempio AttributeCertificateInfo ::= SEQUENCE { version v2 holder c=IT, O=Policlinico, CN=Rossi Mario Issuer c=IT, O=Policlinico, CN=Ufficio Ruoli Signature 1.2.840.113549.1.1.5 SerialNumber 1234 validity 01/01/2004 – 01/01/2005 attributes title=Radiologo issuerUniqueID 22431 extensions …… }

10 Attribute Authority (AA) Gli AC sono emessi da una terza parte, detta Attribute Authority Ha il compito di assegnare gli attributi e rendere disponibili gli AC a utenti o applicazioni Puo` revocare, sospendere o rimuovere gli AC alla scadenza

11 Per i dipendenti di un’azienda, la AA non può essere che l’azienda stessa Per i clienti di un servizio, la AA non può essere che il servizio stesso Per gli appartenenti ad un ordine professionale, la AA non può essere che l’ordine professionale stesso

12 Durata degli attributi Varia a seconda del periodo di validita` del PKC di riferimento. Gli attributi possono essere: “a vita”, validi per tutta la vita “a lunga durata”, validi per un periodo superiore a quello del PKC “di breve durata”, validi per un periodo inferiore a quello del PKC

13 Revoca degli attributi Un AC può essere revocato prima della sua scadenza naturale: su richiesta del titolare autonomamente dall’emittente implicitamente, con brevi periodi di validità come i PKC, usando Attribute Certificate Revocation List (ACRL), emesse periodicamente dall’emittente dell’AC; contengono i numeri seriali dei certificati revocati Si possono distinguere due schemi di revoca: Never revoke Pointer in AC

14 Modelli di distribuzione di AC Il modello “pull”, in cui e` il server che recupera da una directory l’AC del client; Il modello “push”, in cui e` il client che presenta il suo AC direttamente al server

15 Privilege Management Infrastructure (PMI) Infrastruttura per l’uso e la gestione dei certificati di attributo Definita nel 2001, nella quarta edizione dello standard X.509 Fornisce i servizi di autorizzazione dopo che è avvenuta l’autenticazione fornita dalla PKI

16 Legame tra AC e PKC PKC Version Serial Number Signature Issuer Subject SubjectPublicKeyInfo IssuerUniqueID SubjectUniqueID Extensions AC Version Holder Issuer Signature Serial Number AttCertValidityPeriod Attributes IssuerUniqueID Extensions

17 PKC vs AC PKC carta d’identità identifica il possessore dura per molto tempo non dovrebbe essere banale da ottenere AC carta di credito rilasciata da un’autorità diversa di durata minore ottenerla tipicamente richiede di presentare una carta d’identità

18 Cifratura Se un AC contiene informazioni importanti, allora può essere necessario cifrare gli attributi in esso contenuti

19 Al processo di identificazione del mittente, deve sempre seguire un processo di autorizzazione

20 Processo Autorizzativo Tradizionale Si basa sul vecchio concetto di “anagrafica utenti” (database locale contenente informazioni sugli utenti) Le informazioni nel database sono facilmente modificabili e ciò comporta un serio problema….

21

22 Processo Autorizzativo basato sugli AC

23 Perche` i normali certificati non bastano? 1.La CA non è l’ente più adatto per attestare gli attributi degli utenti e ne esistono già appositi che lo fanno a livello istituzionale 2.Gli attributi di un utente variano frequentemente nel corso del tempo… Fissare gli attributi in un PKC comporta la necessità di revocare il certificato al variare di quest’ultimi

24 CONCLUSIONI La certificazione di attributi rappresenta una tecnologia innovativa a supporto del processo autorizzativo.

25 Grazie per l’attenzione!