Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico Relatore: Prof. Moro Michele Laureando: Costa Alberto 27 Settembre 2007 TESI DI LAUREA TRIENNALE 1/10
Analisi teorica: Fase realizzativa: Crittografia e algoritmi (a chiave privata, a chiave pubblica e funzioni di hash) Firma Digitale Certificato Digitale per l’autenticazione sicura di un soggetto Certification Authority e Public Key Infrastructure Fase realizzativa: Installazione e configurazione di una Certification Authority per l’emissione e la gestione dei certificati a chiave pubblica in un pc con sistema operativo Linux /10 Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
Crittografia Simmetrica (a chiave privata) Presenza di una sola chiave segreta Esempi : DES, TRIPLE-DES, AES, IDEA Asimmetrica (a chiave pubblica) Presenza di chiave pubblica e privata Esempi: RSA (+ lento degli algoritmi a chiave simmetrica) Rende possibile la firma digitale Funzioni di hash Creano, a partire da un file, un “riassunto” Esempi: MD5, SHA /10 Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
La firma digitale Serve ad identificare la chiave pubblica dell’utente che ha eseguito la cifratura, garantisce l’integrità del messaggio ma non dice nulla sulla corrispondenza tra chiave e soggetto (servono i certificati digitali) Si ottiene cifrando con la propria chiave privata l’hash di un messaggio /10 Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
Certificato digitale a chiave pubblica Attestato firmato digitalmente, con struttura definita dallo standard X.509, ed emesso dalla Certification Authority (terza parte fidata) che contiene: i dati di identificazione dell’utente la chiave pubblica Identificativo e firma della CA firma dell’utente che lo possiede Assicura che la chiave pubblica appartiene all’utente, garantisce l’autenticazione Garantisce Integrità + autenticazione = non ripudio La struttura che rende possibile la distribuzione delle chiavi pubbliche è la PKI (Public Key Infrastructure) /10 Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
Realizzazione: schema Sicurezza: OpenSSL Rete CA Ejbca Client OpenLDAP Application Server JBoss Autenticazione: Cyrus SASL /10 Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
Realizzazione: Software - Certification Authority EJBCA Certification Authority basata su tecnologia JAVA Si appoggia all’Application Server JBoss Consente l’emissione, la revoca ed il rinnovo di certificati a chiave pubblica; svolge le funzioni di CA e RA Supporto ad OCSP per controllo rapido dello stato dei certificati Pubblicazione dei dati su directory LDAP /10 Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
Realizzazione: Software - OpenLDAP LDAP: Protocollo per l’interrogazione e la modifica dei servizi di directory Sistema client-server Software utilizzato: OpenLDAP versione 2.3.38 per LDAP v3 Basato su Database BerkeleyDB Sfrutta funzioni di OpenSSL e Cyrus SASL per garantire sicurezza nelle comunicazioni client-server /10 Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
Realizzazione: ambito biometrico /10 Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
Conclusioni Garantite le 3 caratteristiche fondamentali nelle comunicazioni in rete Privacy Autenticazione Integrità Se la CA è usata in un sistema di autenticazione biometrico, la sicurezza aumenta grazie a: Presenza di Attribute Authority per la gestione dei certificati di attributo, contenenti ad esempio l’informazione sull’impronta digitale di un soggetto Funzioni di crittografia avanzate fornite dal token che memorizza l’impronta Possibilità di aumentatre la sicurezza con OpenVPN (usa SSL) per la comunicazione sicura client - server Mit Kerberos come metodo di autenticazione più robusto /10 Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa