Sicurezza su Reti 2 - 2006/2007 Commessa 1 : Protocollo di pagamento online utilizzato nella commessa.

Slides:



Advertisements
Presentazioni simili
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Advertisements

Sistema per la gestione del
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
1 Dichiarazione Ambientale 2012 MODALITA INVIO TELEMATICO: DICHIARAZIONE MUD RIFIUTI URBANI RACCOLTI NELL'ANNO 2011 Camera di commercio.
Laurea Magistrale in Informatica Reti 2 (2007/08)
L. De Benedetti: Contributo operativo alla redazione del manuale 1 Dibattito guidato sulle problematiche nella redazione del Manuale Qualità nei laboratori.
Sicurezza II Prof. Dario Catalano Strong Password Protocols.
SISL – GE.CO. 2 Presentazione del servizio (1) Il sistema consente alle aziende e ai loro intermediari, tramite lutilizzo della firma digitale, di ottemperare.
Per crittografia si intende la protezione
Ordine dei Dottori Commercialisti e degli Esperti Contabili di Ivrea, Pinerolo, Torino1 effettuate le operazioni di generazione dell'Ambiente di sicurezza.
1 LA RANA SPLash: the return presentato da: BFC SOLUTIONS composto da: Buonocore Remo Falco Onofrio Chiappetti Ciro
1 Il servizio di prestito e fornitura documenti ILL-SBN una visione di insieme caratteristiche della procedura illustrazione delle funzionalità
Corso di Informatica per Giurisprudenza Lezione 5
La tutela dei dati personali
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.
GLI ELEMENTI PROBATIVI E LE PROCEDURE DI VERIFICA
Corso di Informatica A.A Corso di Informatica Laurea Triennale - Comunicazione&Dams Dott.ssa Adriana Pietramala Dott.ssa.
Gioco di Ruolo Sicurezza su Reti II /07 Commessa – Ufficiale Pagatore Gruppo 1 - NIC Albano Pietro Castiglione Arcangelo Rossomando Enrico Tortora.
SIMULAZIONE RETE INTERNET INTERNET SERVICE PROVIDER GRUPPO 2 COMMESSA – INFORMATICA GRANATA Corso Sicurezza su Reti II Prof. A. De Santis Anno Accademico.
1 La Legge Italiana sulla Firma Digitale Nicola Rebagliati.
1 Novità sul protocollo TLS. Seminario di : Calabrese Luca - estensione per il Wireless. - IC.
Il codice in materia di protezione dei dati personali è un decreto legislativo (atto avente forza di legge) della Repubblica Italiana emanato il 30 giugno.
Arezzo 18 febbraio 2010 Firma Digitale per il lOrdine Ingegneri di Arezzo Firma Digitale per il lOrdine Ingegneri di Arezzo.
Posta Certificata Cosè e come funziona: valore legale, applicazioni e prove pratiche di invio e ricezione. Posta Certificata Cosè e come funziona: valore.
Supporto per servizi di File Hosting Presentazione di progetto per lesame di Reti di Calcolatori LS Valerio Guagliumi
Portale Capacità STOGIT
1 Applicazioni contabili
Recenti sviluppi della sicurezza ICT
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Ottobre 2006 – Pag. 1
I servizi telematici dell’Agenzia
Internet Keyed Payment Protocol Pietro Montanari & Cosimo Basile.
Manuale Utente Assoviaggi ver Contenuti Prontovisto: cosa è ed a chi è rivolto Le procedure per la vendita del servizio Prontovisto 2.
3° pomeriggio Incontro dei Pomeriggi di Formazione in Anes File/ANES convegno crediti IL CREDITO A 360° I prerequisiti per lincasso dei crediti Certezza.
Fondamenti delle Reti di Computer Il Browser Carasco 22/04/2010.
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
Test Reti Informatiche A cura di Gaetano Vergara Se clicchi sulla risposta GIUSTA passi alla domanda successiva Se clicchi sulla risposta ERRATA passi.
Codici delle voci di bilancio Per preparare il bilancio, si parte da “Prima nota di cassa e banca”
1 Scadenze fiscali: perché fare la fila? Il tempo è prezioso soprattutto se si gestisce unattività aziendale. Ecco perché abbiamo creato il.
SmartCard per la Firma Digitale Progetto Firma&Clic Schema Attività della Registration Authority COMUNE DI PAVIA.
SERVIZIO EDI – Primo Accesso
U N INFRASTRUTTURA DI SUPPORTO PER SERVIZI DI FILE HOSTING Matteo Corvaro Matricola Corso di Reti di Calcolatori LS – Prof. A. Corradi A.A.
Il Comune di Pavia è tra i pochi comuni italiani a svolgere direttamente funzioni di Registration Authority.
1 Ripassino Reti di Computer Carasco 19/02/ Che cosa è una rete informatica? Una rete informatica è un insieme di computer connessi tra di loro.
Everywhere Takeaway Progetto di SSCSWeb A.A. 2011/2012.
Everywhere Takeaway Progetto di SSCSWeb A.A. 2011/2012 V. Costamagna, F. Dotta, F. Barbano, L. Violanti, Oltikuka.
Everywhere Takeaway Progetto di SSCSWeb A.A. 2011/2012.
06/12/2007 Progetto cedolini online di Lottomatica Automatizzare il processo di consegna dei cedolini delle buste paga.
Pippo.
Ministero delle politiche agricole, alimentari e forestali
12/03//02 1 Dichiarazione OnLine di cambio di abitazione Compilazione guidata dei moduli Ricezione via della ricevuta di invio Ricezione via .
Registrazione alle istanze on-line
La Comunicazione Unica d’Impresa ScopoUsoLivelloVersioneData Illustrare come adempiere agli obblighi nei confronti di Camera di Commercio, Agenzia delle.
La Conservazione Sostitutiva e la Soluzione Una-Doc.
Nemesi Creazione e pubblicazione di una rivista online tramite l’utilizzo di Java Message Service.
Analisi e sperimentazione di una Certification Authority
Greco Rodolfo 2002 Application Trasport Network Phisic HTTP IP UDPTCP DNS SNAP MAC ARP L’utente fa una richiesta di pagina.
UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010 Sicurezza e frodi informatiche in Internet: la Firma Digitale come garanzia di autenticità e.
SISTEMA INFORMATIVO DI SUPPORTO ALLA GESTIONE DEGLI APPALTI PUBBLICI INVIO OFFERTA MULTILOTTO INVIO DI UN’OFFERTA MULTILOTTO TELEMATICA TRAMITE LA PIATTAFORMA.
SnippetSearch Database di snippet bilanciato e replicato di Gianluigi Salvi Reti di calcolatori LS – Prof. A.Corradi.
GUIDA ALL’UTILIZZO DEL
Comunicazioni. 5.1 POSTA ELETTRONICA 5.1 POSTA ELETTRONICA.
Agenda – Parte II La creazione del documento informatico e la firma digitale La classificazione del documento e il protocollo informatico La trasmissione.
Percorso guidato alla donazione per la realizzazione del progetto link:
Padova, 17 novembre
SISTEMA INFORMATIVO DI SUPPORTO ALLA GESTIONE DEGLI APPALTI PUBBLICI INVIO OFFERTA INVIO DI UN’OFFERTA TELEMATICA TRAMITE LA PIATTAFORMA SISGAP SISGAP.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
PEC Posta Elettronica Certificata Dott. Giuseppe Spartà
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
Transcript della presentazione:

Sicurezza su Reti /2007 Commessa 1 : Protocollo di pagamento online utilizzato nella commessa

Sicurezza su Reti / Prof.Alfredo de Santis 2 Outline Processo decisionale Presentazione del protocollo Sicurezza del protocollo Difficoltà riscontrate Future espansioni Conclusioni finali

Sicurezza su Reti / Prof.Alfredo de Santis 3 Processo decisionale Fase 1: Riunione di tutto il gruppo –Diverse idee valutate –Scelta dellidea preferita dalla maggioranza –Raffinamento dellidea scelta Fase 2: Stesura del documento –Correzione di alcune falle nel protocollo Fase 3: Implementazione della commessa

Sicurezza su Reti / Prof.Alfredo de Santis 4 Outline Processo decisionale Presentazione del protocollo Sicurezza del protocollo Difficoltà riscontrate Future espansioni Conclusioni finali

Sicurezza su Reti / Prof.Alfredo de Santis 5 Obiettivi del protocollo Dal punto di vista del negozio bisogna garantire: –Che un attaccante non possa spacciarsi per lufficiale pagatore –Il non ripudio di una ricevuta dellufficiale pagatore –Che il pagamento non avvenga oltre un tempo limite predefinito per non bloccare la merce in magazzino

Sicurezza su Reti / Prof.Alfredo de Santis 6 Obiettivi del protocollo - 2 Dal punto di vista dellUfficiale Pagatore bisogna garantire: –Che il negozio non possa esigere un pagamento non avvenuto –Il cliente non deve poter affermare di aver effettuato un pagamento mai avvenuto Da quello del Cliente bisogna garantire la non ripudiabilità di una ricevuta di pagamento

Sicurezza su Reti / Prof.Alfredo de Santis 7 Presentazione del protocollo Il cliente seleziona degli oggetti da acquistare e conferma lordine Il negozio invia al Ufficiale pagatore il token di richiesta pagamento e il redirect al cliente Il negozio è registrat o su u.p.? Errore NO Procedura di autenticazione cliente su u.p. SI Il pagame nto è accettat o? Token di accept al client ACCEPTED Il timeout è scaduto ? Negozio risponde con HTTP Status Code 200 e result true Token di deny inviato al negozio DENIED Client risponde con HTTP Status Code 204 Fine Client risponde con HTTP Status Code 408 e result false SI NO Fine Token di ricevuta inviato al cliente Client risponde con HTTP Status Code 204 e memorizza ricevuta Fine

Sicurezza su Reti / Prof.Alfredo de Santis 8 Fase 1 Il negozio invia allUfficiale Pagatore un token contenente –Il proprio ID, assegnatogli in fase di registrazione dallUfficiale Pagatore –Il codice ordine univoco che ha generato –Limporto complessivo dellordine –La firma digitale dei precedenti campi con MD5withRSA LUfficiale pagatore, verifica lesattezza dei dati e risponde con HTTP Status code 204 (No Content) o 400 (Bad Request) in caso di errore. Il negozio invia al suo cliente un redirect verso la pagina di pagamento dellufficiale Pagatore

Sicurezza su Reti / Prof.Alfredo de Santis 9 Fase 2 Dopo che il cliente ha accettato il pagamento presso lUfficiale Pagatore (fornendo le dovute credenziali) questo invia al cliente un token contenente: –Codice dellordine ricevuto nella fase precedente –Risultato deloperazione di pagamento (accettata o rifiutata) –Firma digitale dei campi precedenti con MD5withRSA Se loperazione di pagamento è accettata il negozio risponde con un file xml contenente: –Id del negozio –Codice dellordine –Accettazione o meno del pagamento (il timeout potrebbe essere scaduto) –Firma digitale dei campi precedenti con MD5withRSA

Sicurezza su Reti / Prof.Alfredo de Santis 10 Fase 2 (2) Se loperazione di pagamento è stata rifiutata il negozio risponde semplicemente con 204 (No Content) e il protocollo termina qui Se il timeout del negozio è scaduto il protocollo termina sulla risposta del negozio

Sicurezza su Reti / Prof.Alfredo de Santis 11 Fase 2 - esempio di file XML di risposta true WF2cG[...]Q0k3o=

Sicurezza su Reti / Prof.Alfredo de Santis 12 Fase 3 LUfficiale Pagatore invia al negozio il token che gli era stato inviato nella fase 1, firmato con la sua chiave privata, e questo potrà essere utilizzato dal negozio come conferma dellavvenuto pagamento.

Sicurezza su Reti / Prof.Alfredo de Santis 13 Outline Processo decisionale Presentazione del protocollo Sicurezza del protocollo Difficoltà riscontrate Future espansioni Conclusioni finali

Sicurezza su Reti / Prof.Alfredo de Santis 14 Sicurezza del protocollo Il protocollo garantisce lUfficiale Pagatore in quanto: –Il negozio non può pretendere il pagamento di qualcosa per cui non abbia ricevuto un token di conferma dallU.P. –Il negozio non può falsificare il token (firma digitale eseguita con algoritmo MD5withRSA) –LU.P. non invia il token di ricevuta fin quando il negozio non ha confermato la validità dellordine

Sicurezza su Reti / Prof.Alfredo de Santis 15 Sicurezza del protocollo - 2 Il protocollo garantisce il negozio in quanto: –LU.P. non può cambiare arbitrariamente il pagamento Il token di richiesta di pagamento è firmato digitalmente con MD5withRSA –LU.P. non può ripudiare una ricevuta di pagamento

Sicurezza su Reti / Prof.Alfredo de Santis 16 Outline Processo decisionale Presentazione del protocollo Sicurezza del protocollo Difficoltà riscontrate Future espansioni Conclusioni finali

Sicurezza su Reti / Prof.Alfredo de Santis 17 Difficoltà nel processo decisionale Tante persone che si debbono mettere daccordo –Diverse idee di cosa dovesse riguardare il protocollo –Diverse idee su come risolvere i problemi Soluzione: –Ridurre al minimo lambito del protocollo Solo interazione tra U.P. e negozio –Lasciare le altre considerazioni alla implementazione del negozio e dellU.P. Ovviamente senza ridurre la sicurezza dellinterazione

Sicurezza su Reti / Prof.Alfredo de Santis 18 Problemi riscontrati nel protocollo Il protocollo in origine era in due fasi –Invio del token di richiesta di pagamento da parte del negozio –Invio della ricevuta da parte dellU.P. –Conferma del negozio del fatto che il timeout non fosse ancora scaduto Possibile attacco: –Il negozio invia una serie di pagamenti –Li paga con un suo utente fasullo –Li manda tutti in timeout, ma conserva le ricevute di pagamento che sono valide!!!

Sicurezza su Reti / Prof.Alfredo de Santis 19 Problemi riscontrati nel protocollo - 2 Il protocollo è poco espandibile: –Non prevede una fase di handshake tra il negozio e lU.P., e questo rende obbligatorio fissare a priori gli algoritmi di cifratura e firma digitale da utilizzare. In caso di una vulnerabilità scoperta negli algoritmi è impossibile cambiare gli algoritmi utilizzatisenza perdere la retro compatibilità Non vengono definite le procedure di registazione del negozio –Al momento abbiamo solo informalmente deciso di obbligare il negozio ad inserire la propria mail nel suo certificato che garantisce lidentità del negozio in quanto rilasciato dal una autorità di certificazione valida

Sicurezza su Reti / Prof.Alfredo de Santis 20 Outline Processo decisionale Presentazione del protocollo Sicurezza del protocollo Difficoltà riscontrate Future espansioni Conclusioni finali

Sicurezza su Reti / Prof.Alfredo de Santis 21 Future espansioni Definire le procedure di registrazione del negozio su U.P. Rendere il protocollo più espandibile –Ad esempio aggiungendo una fase di handshake iniziale

Sicurezza su Reti / Prof.Alfredo de Santis 22 Outline Processo decisionale Presentazione del protocollo Sicurezza del protocollo Difficoltà riscontrate Future espansioni Conclusioni finali

Sicurezza su Reti / Prof.Alfredo de Santis 23 Conclusioni finali La stesura del protocollo è stato un ottimo banco di prova per: –Progettare da zero un protocollo –Simulare il funzionamento di una standard authority