Certification Authority Fase I : Setup e Configurazione Componenti del gruppo : Marino Pasquale Marra Maria Cristina Molaro Alfonso Rullo Esterino

Introduzione CA Una Certification Authority è una entità che rilascia certificati digitali verso terze parti e ha il compito di emettere, consegnare e revocare i certificati una delle componenti più importanti della Public Key Infrastructure(PKI)

Scambio di messaggi 1 Due utenti, Alice e Bob, vogliono scambiarsi messaggi firmati e crittografati Alice scrive un messaggio per Bob firma il messaggio con la sua chiave privata cripta il messaggio con la chiave pubblica di Bob il messaggio viene inviato Quando Bob riceve il messaggio decripta il messaggio con la sua chiave privata verifica la firma con la chiave pubblica intestata ad Alice

Scambio di messaggi 2 Bob a questo punto sa due cose : il messaggio era diretto a lui perché è riuscito a decifrarlo con la sua chiave privata il messaggio è stato firmato con la chiave privata relativa alla chiave pubblica che lui ha usato per verificare la firma Bob, però, non ha alcuna garanzia che la chiave sia realmente di proprietà di Alice

Scambio di messaggi 3 supponiamo che una terza persona, Mallory, riesca ad intercettare la comunicazione in cui Bob ottiene la chiave di Alice e riesca a sostituirla con la sua chiave pubblica in cui si spaccia per Alice. Bob non ha alcun modo per scoprire l'inganno

Soluzione : CA Per risolvere situazioni di questo tipo nascono le CA che si fanno carico di verificare e garantire la corrispondenza fra chiave e proprietario Quando un utente richiede un certificato, la CA verifica la sua identità, quindi crea un documento elettronico in cui sono contenuti: i dati personali dell'utente la chiave pubblica dell'utente gli estremi della CA che ha rilasciato il certificato gli indirizzi a cui può essere trovata la CRL Il documento viene firmato con la chiave pubblica della CA e pubblicato

Registration Authority 1 Le RA costituiscono il contatto diretto tra la CA e l'entita' che richiede il certificato La RA si occupa di verificare l'identita' del soggetto richiedente tramite l'identificazione fisica associata ad un documento oppure tramite altri criteri di controllo Dopo aver ricevuto una richiesta dalla RA, la CA genera il certificato e lo firma con la sua chiave privata La CA ora inviera' il certificato alla RA la quale, a sua volta, lo invierà al richiedente

Registration Authority 2

Certificato digitale 1 Un certificato digitale è un documento elettronico che associa l'identità di una persona ad una chiave pubblica I certificati garantiscono la tutela delle informazioni personali su Internet e consentono di proteggere il sistema da programmi software non sicuri Viene emesso da una autorità di certificazione riconosciuta secondo standard internazionali (X.509) e viene firmato con la chiave privata dell'autorità

Certificato digitale 2

Installazione

Installazione 1 I software installati sono : Knoppix: sistema operativo; OpenCA: software principale per la realizzazione della CA; IpTables: firewall usato per impedire accessi indesiderati; Apache: nel toolkit OpenCA, Apache agisce da interfaccia, in locale, ai programmi di supporto sullhost CA ;

Installazione 2 mod_ssl: fornisce uneccellente crittografia per il web server Apache tramite SSL e TLS, servendosi del toolkit OpenSSL; OpenSSL: toolkit crittografico che implementa SSL (acronimo di Secure Socket Layer) e TLS (acronimo di Transport Layer Security) ed i relativi standard crittografici da essi richiesti OpenLDAP: server utilizzato per la pubblicazione dei certificati

Installazione 3 Perl: fornisce uninterfaccia al database MYSQL, si presta bene a sviluppare applicazioni web perché può gestire dati cifrati, incluse le transazioni di commercio elettronico sicuro ; MySQL: usato come Data Base Management System.

Installazione 4 Per motivi di licenze sono stati utilizzati esclusivamente prodotti software freeware; ciò ha facilitato non solo il reperimento del software ma anche lutilizzo La nostra scelta è ricaduta sul software Dartmouth OpenCa-LiveCD, il quale tramite pochi e semplici passaggi permette di installare tutto il software necessario per un Certification Authority, in modo tale da rendere il sistema veloce e leggero all'avvio

Installazione 5 Dartmouth OpenCa-LiveCD è un CD bootable con uno script di installazione che aiuta le persone ad avere una Certification Authority OpenCA pronta per essere installata in pochi minuti può essere utilizzato sulla maggior parte delle architetture Intel indipendente dal sistema operativo installato sul HDD

Sequenza di installazione Scaricare il file ISO dal link livecd.iso livecd.iso Masterizzare l'immagine del CD Modificare il boot di avvio dal bios in modo da priorizzare il CD-ROM Inserire il CD nel driver e riavviare il PC A questo punto partirà uno script di configurazione automaticamente che permette di personalizzare la propria CA

Inizializzazione CA

Fase I : Inizializzazione CA 1 Digitando nel browser l'indirizzo compare una tabella di informazioni sulle componenti software utilizzate e le relative versioni Il passo successivo da compiere è cliccare sul link Inizialization per passare alla fase di inizializzazione di OpenCA

Fase I : Inizializzazione CA 2

Fase I : Inizializzazione CA 3 sono richiesti i seguenti passi per settare la PKI: DBSetup Bisogna solo cliccare sul link Inizialize Database ed il database precedentemente configurato sarà inizializzato. Tale azione distrugge i dati all'interno del database se esso già esiste. Inizialize Database Key pair Setup Bisogna solo cliccare sul link Generate new CA secret keyGenerate new CA secret key

Fase I : Inizializzazione CA 4 Request Setup Bisogna solo cliccare sul link Generate new CA Certificate Request(use generated secred key)Generate new CA Certificate Request(use generated secred key) Request Setup Bisogna solo cliccare sul link Generate new CA Certificate Request(use generated secred key)Generate new CA Certificate Request(use generated secred key) Final Setup Ci sono due operazioni da effettuare: Rebuild CA Chain costruisce la catena di certificati che è necessaria per verificare le firme digitali e per esportare la configurazione della CA. Rebuild CA Chain Export Configuration trasferisce su floppy l'intera configurazione della CA dato che la CA per ragioni di sicurezza gira su un host offline Export Configuration

Fase II : Creare Lamministratore iniziale 1 Tale fase di inizializzazione crea il primo certificato per l'amministratore della PKI Bisogna usare come ruolo per questo certificato "CAoperator" visto che certifica un'entità che non è un utente comune ma è l'amministratore della CA

Fase II : Creare Lamministratore iniziale 2

Fase II : Creare Lamministratore iniziale 3 Sono richiesti i seguenti passi: Create a new request Cliccando su questo link viene visualizzata una form in cui bisogna inserire i dati riguardanti la richiesta Edit Request Qui viene data l'ultima possibilità di modificare i campi della richiesta (Distinguished Name). Cliccando su OK confermeremo le eventuali modifiche.

Fase II : Creare Lamministratore iniziale 4 Issue Certificate Nella pagina relativa a tale passo, finalmente, c'è la possibilità di rilasciare il certificato cliccando sul bottone issue certificate o di cancellare la richiesta cliccando sul bottone delete request Handle Certificate La pagina relativa a tale passo permette al richiedente di effettuare 4 operazioni sul certificato Download Change Passphrase Revoke key Download Certificate onto Token

Fase III : Creare il certificato iniziale RA 1 tale fase permette di creare il certificato per il server https dell'RA (bisognerebbe usare come role del certificato Web Server) https I passi con le relative caratteristiche sono gli stessi della fase 2

Configurazione CA

Configurazione di CA 1 La fase di configurazione è importante perchè permette di customizzare la gestione e aggiungere nuove funzionalità. Si possono modificare caratteristiche importanti quali: Roles Cliccando sul tale link viene visualizzata una pagina che contiene i ruoli presenti nella PKI e permette di aggiungerne di nuovi Rights Cliccando sul tale link viene visualizzata una pagina in cui compare la ACL (Access Control List) dei moduli della PKI. Per ogni operazione visualizza l'operatore incaricato ad effettuare l'operazione ed il proprietario. Inoltre è possibile aggiungere, cancellare e ricercare diritti

Configurazione di CA 2 Operations Cliccando sul tale link viene visualizzata una pagina con tutte le operazioni della PKI (sono le stesse del punto precedente) e permette di cancellarne o aggiungerne nuove. E' anche possibile firmare (richiede CA-password), esportare e importare l'intera configurazione della PKI Modules Cliccando sul tale link viene visualizzata una pagina che contiene i moduli della PKI e permette di aggiungerne nuovi Scripts Cliccando sul tale link viene visualizzata una pagina che mostra gli scripts che implementano le operations e permette di cancellare lo script relativo ad un'operation. Inoltre mostra una descrizione delle caratteristiche relative ad ogni script.