Università Degli Studi Di Perugia Sicurezza Informatica A.A. 2011/2012

Slides:



Advertisements
Presentazioni simili
Sicurezza in e-commerce
Advertisements

Elementi di Crittografia MAC e FUNZIONI HASH
ERREsoft1 Applicazioni Pierluigi Ridolfi Università di Roma La Sapienza 15 marzo 2000.
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
Dalla strisciata in poi…
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
1 Dichiarazione Ambientale 2012 MODALITA INVIO TELEMATICO: DICHIARAZIONE MUD RIFIUTI URBANI RACCOLTI NELL'ANNO 2011 Camera di commercio.
Modulo 7 – Firma elettronica
Microsoft Visual Basic MVP
SSL/TLS.
INTERNET: RISCHI E PERICOLI
Laurea Magistrale in Informatica Reti 2 (2007/08)
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Piattaforma Telematica Integrata Firma Digitale
La sicurezza nelle Griglie
E-COMMERCE.
LE RETI INFORMATICHE. LE RETI LOCALI La lan (Local Area Network) è costituita da un insieme di nodi, solitamente usata in un edificio solo o in edifici.
Ordine dei Dottori Commercialisti e degli Esperti Contabili di Ivrea, Pinerolo, Torino1 effettuate le operazioni di generazione dell'Ambiente di sicurezza.
WEB COMMERCE (siti Web aziendali) tipologie Siti di presenza Siti di vetrina Siti di vendita.
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
Sicurezza su Reti /2007 Commessa 1 : Protocollo di pagamento online utilizzato nella commessa.
Gioco di Ruolo Sicurezza su Reti II /07 Commessa – Ufficiale Pagatore Gruppo 1 - NIC Albano Pietro Castiglione Arcangelo Rossomando Enrico Tortora.
Commercio Elettronico e Transazioni Commerciali in Internet Betty BronziniCorso di Sicurezza 2003.
SSL (Secure Socket Layer)
1 Novità sul protocollo TLS. Seminario di : Calabrese Luca - estensione per il Wireless. - IC.
Il codice in materia di protezione dei dati personali è un decreto legislativo (atto avente forza di legge) della Repubblica Italiana emanato il 30 giugno.
Introduzione alla Sicurezza Web
Alberto Giusti e-Commerce Alberto Giusti
1 Applicazioni contabili
Social network Internet. Eun sito web di reti sociali, ad accesso gratuito. È il secondo sito più visitato al mondo, preceduto solo da Google. Il.
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Ottobre 2006 – Pag. 1
I servizi telematici dell’Agenzia
Internet Keyed Payment Protocol Pietro Montanari & Cosimo Basile.
Secure Socket Layer (SSL) Transport Layer Security (TLS)
Il Comune di Pavia è tra i pochi comuni italiani a svolgere direttamente funzioni di Registration Authority.
“La firma elettronica per Pavia Digitale”
MonetaWeb Hosted 3D Secure HTTP.
Valentina Giorgetti Chiara Mogini
Bitcoin: P2P Digital Currency
Millicent INEXPENSIVE YET SECURE. Goal Inexpensive: Ridurre costi computazionali e peso delle comunicazioni Secure: Garantire che il costo dellattacco.
MAPPATURA DEI PROCESSI
Sistema Informativo Pratiche Edilizie e Monitoraggio Municipale
Qwebmark una certificazione nuova per la Net-economy.
06/12/2007 Progetto cedolini online di Lottomatica Automatizzare il processo di consegna dei cedolini delle buste paga.
Sistemi di Pagamento on line
IPSec Fabrizio Grossi.
1 Firma Elettronica E’ un insieme di dati in forma elettronica utilizzati come metodo di identificazione informatica. E’ la Firma informatica più debole.
I titolari di un conto corrente sono anche titolari di un "dossier titoli" attraverso il quale possono effettuare le principali operazioni sui titoli.
Analisi e sperimentazione di una Certification Authority
UNIVERSITA’ DEGLI STUDI DI PAVIA Dipartimenti di Scienze Politiche e Sociali, Studi Umanistici, Giurisprudenza, Ingegneria Industriale e dell’Informazione,
La Crittografia nell’ambito del protocollo HTTP Classe: V istituto professionale (gestione aziendale) Obiettivo 1: Generazione di competenze e preparazione.
MCSA Mobile Code System Architecture Infrastruttura a supporto della code mobility Pierfrancesco Felicioni Reti di Calcolatori L.S. 2005/2006.
SISTEMA MONITORATO DI PREVENZIONE E RIUTILIZZO
Sicurezza informatica
PKI e loro implementazione Corso di Sisitemi Informativi Teledidattico A.A. 2006/07
Lucia Melotti 1/14 Bologna, 7 luglio 2004 Aspetti di sicurezza nello scambio di messaggi XML tra un partner ebXML ed un Web Service di Lucia Melotti Relatore:
1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.
UNITA’ 04 Uso Sicuro del Web.
Agenda – Parte II La creazione del documento informatico e la firma digitale La classificazione del documento e il protocollo informatico La trasmissione.
La firma digitale. Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità.
Altri mezzi di pagamento. Mappe per il ripasso La funzione monetaria Consiste nella creazione di: monta cartacea: ……………… ……………… e ………… ………… (composti.
Postecom B.U. CA e Sicurezza Offerta Sicurezza Scenario di servizi ed integrazioni di “Certificazione”
Le banche online. Che cosa sono le banche online? Si tratta di banche, denominate anche banche virtuali o digitali, che offrono servizi esclusivamente.
2Ai Alex Alvoni 2015/2016. Cos'è il Phishing? E’ un tipo di truffa effettuata su Internet: un malintenzionato cerca di ingannare la vittima convincendola.
PENAL NET Un Progetto del Consiglio Nazionale Forense PenalNet è il primo e-network europeo per lo scambio di comunicazioni (e/o documentazione) certificate.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
Crittografia e crittoanalisi Crittografia: tecnica che consente di rendere visibili o utilizzabili le informazioni solo alle persone a cui sono destinate.
Sicurezza dei Sistemi Informatici L.S. in Ingegneria Informatica Docente: Prof. Giuseppe Mastronardi CRITTOGRAFIA E CRITTOANALISI ATTACCHI AI SISTEMI DI.
Transcript della presentazione:

Università Degli Studi Di Perugia Sicurezza Informatica A.A. 2011/2012 Il protocollo S.E.T. (Secure Electronic Transaction) Andrea Valentini Albanelli Fabrizio Cardellini

S.E.T. INTRODUZIONE PROTOCOLLO ATTORI DOPPIA FIRMA SET IN AZIONE VANTAGGI E SVANTAGGI

PERCHÈ S.E.T.?

SVILUPPATORI

INTRODUZIONE RSA DES SHA-1 X.509

Strumenti utilizzati DES RSA SHA-1 X.509

S.E.T. INTRODUZIONE PROTOCOLLO ATTORI DOPPIA FIRMA SET IN AZIONE VANTAGGI E SVANTAGGI

ATTORI COMMERCIANTE EMITTENTE CARDHOLDER ACQUIRENTE PAYMENT GATEWAY CA

Soggetto autorizzato ad utilizzare una carta di credito ATTORI CARDHOLDER COMMERCIANTE EMITTENTE Persona o organizzazione che vuole vendere beni o servizi ai CARDHOLDER Soggetto autorizzato ad utilizzare una carta di credito Istituto finanziario (es. banca) che fornisce una carta di credito per il CARDHOLDER

ATTORI ACQUIRENTE PAYMENT GATEWAY CA Interfaccia tra acquirente e reti di pagamento con carte bancarie Entità atta a rilasciare certificati per titolari, commercianti e payment gateway Istituto finanziario che ha un rapporto con i commercianti

S.E.T. INTRODUZIONE PROTOCOLLO ATTORI DOPPIA FIRMA SET IN AZIONE VANTAGGI E SVANTAGGI

Dual Signature PAYMENT INFORMATION ORDER INFORMATION Collegare 2 messaggi per 2 differenti destinazioni PAYMENT INFORMATION PAYMENT GATEWAY CARDHOLDER ORDER INFORMATION COMMERCIANTE

Creazione della Dual Signature DS CARDHOLDER PIMD SHA-1 PI + POMD SHA-1 OIMD SHA-1 OI

Verifica della Dual Signature DS PIMD OI CLIENTE COMMERCIANTE PIMD + OIMD POMD SHA-1 SHA-1 OI

Verifica della Dual Signature DS PIMD OI CLIENTE COMMERCIANTE PIMD + OIMD POMD SHA-1 = DS POMD CLIENTE

Verifica della Dual Signature DS OIMD PI CLIENTE PAYMENT GATEWAY OIMD + PIMD POMD SHA-1 SHA-1 PI

Verifica della Dual Signature DS OIMD PI CLIENTE PAYMENT GATEWAY OIMD + PIMD POMD SHA-1 = DS POMD CLIENTE

S.E.T. INTRODUZIONE PROTOCOLLO ATTORI DOPPIA FIRMA SET IN AZIONE VANTAGGI E SVANTAGGI

SET IN AZIONE Le fasi previste dallo standard sono: Registrazione del cardholder Registrazione del commerciante Sottomissione di un ordine Autorizzazione del pagamento Adempimento delle due parti

Registrazione del cardholder EMITTENTE Il cardholder acquista una carta di credito dall'emittente che gliela rilascia insieme ad un certificato e ad un e-wallet

Registrazione del commerciante ACQUIRENTE Il commerciante ottiene 2 certificati: Il suo e quello dell'acquirente, e un thin-wallet

Sottomissione di un ordine GIVE ME YOUR CERTIFICATE AND PAYMENT GATEWAY'S CERTIFICATE! CARDHOLDER COMMERCIANTE Il cardholder, navigando nel sito web del commerciante, decide di effettuare un ordine Invia un messaggio di Initiate Request

Sottomissione di un ordine Initiate Response TID CARDHOLDER COMMERCIANTE Il commerciante risponde con un messaggio di Initiate Response Fornisce i certificati richiesti ed un TID criptato con la sua chiave privata

Sottomissione di un ordine + DS + TID P.G. PI 3-DES + DS + TID CARDHOLDER OI Il cardholder prepara le informazioni di pagamento (PI), le informazioni sull'ordine (OI), il certificato e crea una doppia firma (DS)

Sottomissione di un ordine Purchase Request CARDHOLDER COMMERCIANTE Il cardholder invia tutto il messaggio preparato precedentemente al commerciante. E' un messaggio di Purchase Request

Autorizzazione del pagamento PI TID COMMERCIANTE PAYMENT GATEWAY Il commerciante invia le PI criptate, il suo certificato e il certificato del cardholder al payment gateway. Il payment gateway può: leggere le PI verificare l'integrità del pagamento autenticare entrambe le parti

Autorizzazione del pagamento APPROVED APPROVED PAYMENT GATEWAY EMITTENTE Deve esistere un canale di comunicazione sicuro tra payment gateway ed emittente Il payment gateway comunica i PI all'emittente che, dopo averli verificati, fornisce l'autorizzazione

Autorizzazione del pagamento APPROVED APPROVED PAYMENT GATEWAY EMITTENTE COMMERCIANTE

Autorizzazione del pagamento Purchase Response ACK + TID CARDHOLDER COMMERCIANTE Il commerciante invia una notifica (ACK) ed il TID criptate con la sua chiave privata E' un messaggio di Purchase Response

Adempimento delle 2 parti CARDHOLDER COMMERCIANTE Viene effettuato l’addebito sulla carta di credito del cardholder Il commerciante viene rimborsato dall’acquirente Il commerciante fornisce il bene o il servizio acquistato

S.E.T. INTRODUZIONE PROTOCOLLO ATTORI DOPPIA FIRMA SET IN AZIONE VANTAGGI E SVANTAGGI

VANTAGGI INTEGRITÀ AUTENTICAZIONE PRIVACY CONFIDENZIALITA’

VANTAGGI IMMUNE A MOLTI ATTACHI Uno sniffer non ricaverebbe informazioni interessanti Attacchi di replica inefficaci

CONFIDENZIALITA’ E PRIVACY NON SVANTAGGI ATTACCO ALL’E-WALLET COMPLESSITA’ CONFIDENZIALITA’ E PRIVACY NON GARANTITE PER OI

SET HA BUONE CARATTERISTICHE COMPLESSITA’ ELIMINABILE? CONCLUSIONE SET HA BUONE CARATTERISTICHE DI SICUREZZA COMPLESSITA’ ELIMINABILE? TORNERA’ AD ESSERE USATO?