1 Novità sul protocollo TLS. Seminario di : Calabrese Luca - estensione per il Wireless. - IC.

Slides:



Advertisements
Presentazioni simili
IC Castel d'Ario (MN) LE CLASSI : 4 A – 4 B PRESENTANO
Advertisements

II° Circolo Orta Nova (FG)
/ fax
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
Configuring Network Access
SSL/TLS.
Public Key Infrastructure
1 DECRETO LEGISLATIVO 626/94 19 SETTEMBRE 1994 MODIFICHE ED INTEGRAZIONI DECRETO LEGISLATIVO 242/96 19 MARZO 1996 CORSO DI FORMAZIONE ED INFORMAZIONE IN.
Corsi per il personale Bicocca-Insubria
Sicurezza 2003/2004 Simone Vallarino
La sicurezza nelle Griglie
Sicurezza II Prof. Dario Catalano Sistemi di Autentica.
Gestione delle chiavi Distribuzione delle chiavi pubbliche
LA CONCILIAZIONE. 2 DEFINIZIONEDEFINIZIONE La conciliazione è una procedura stragiudiziale (si colloca tra le procedure A.D.R. Alternative Dispute Resolution)
Capitolo 3 Strutture dati elementari Algoritmi e Strutture Dati.
Identificazione delle attività
Secure Shell Giulia Carboni
Università Degli Studi Di Perugia Sicurezza Informatica A.A. 2011/2012
eliana minicozzi linguaggi1a.a lezione2
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: protocolli crittografici Lez. 12.
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.
1 CORSO REGIONALE ARBITRI Cervignano del Friuli Novembre - Dicembre 2006 Comitato Regionale FRIULI VENEZIA GIULIA Corso per Arbitri Regionali del Friuli.
Sicurezza su Reti /2007 Commessa 1 : Protocollo di pagamento online utilizzato nella commessa.
Carotenuto Raffaele Distante Federico Picaro Luigi
Open Archives Initiative e Metadata harvesting ICCU Seminario nazionale sui Metadati Roma 3 aprile 2001 Dr. Valdo Pasqui Università di Firenze.
1 La Legge Italiana sulla Firma Digitale Nicola Rebagliati.
SSL (Secure Socket Layer)
Dipartimento di Ingegneria Idraulica e Ambientale - Universita di Pavia 1 Simulazione di un esperimento di laboratorio: Caduta di un corpo quadrato in.
Labortaorio informatica 2003 Prof. Giovanni Raho 1 INFORMATICA Termini e concetti principali.
Comunicazione sicura sulle reti
2 3 4 RISERVATEZZA INTEGRITA DISPONIBILITA 5 6.
1ROL - Richieste On Line Ente pubblico 5ROL - Richieste On Line.
> Remote Authentication Dial In User Service
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Ottobre 2006 – Pag. 1
Fondamenti delle Reti di Computer Il Browser Carasco 22/04/2010.
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
Scheda Ente Ente Privato Ente Pubblico. 2ROL - Richieste On Line.
1 Guida per linsegnamento nei corsi per il conseguimento del CERTIFICATO DI IDONEITÀ ALLA GUIDA DEL CICLOMOTORE.
INPS - COMUNI SERVIZI AL CITTADINO.
Bando Arti Sceniche. Per poter procedere è indispensabile aprire il testo del Bando 2ROL - Richieste On Line.
1 Questionario di soddisfazione ATA - a. sc. 2008/09 Il questionario è stato somministrato nel mese di aprile Sono stati restituiti 29 questionari.
Secure Socket Layer (SSL) Transport Layer Security (TLS)
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista.
Il Comune di Pavia è tra i pochi comuni italiani a svolgere direttamente funzioni di Registration Authority.
Patrizio ANGELINI Alessio BROZZI Giulia MASSIMI Roberto TURCHETTI
1 Ripassino Reti di Computer Carasco 19/02/ Che cosa è una rete informatica? Una rete informatica è un insieme di computer connessi tra di loro.
Capitolo 3 Strutture dati elementari Algoritmi e Strutture Dati Camil Demetrescu, Irene Finocchi, Giuseppe F. Italiano.
File system distribuito transazionale con replicazione
Ad opera di: Matteo Donatelli e Maurizio Di Paolo Presentazione su : Elettropneumatica 1.
Bando di Residenza Cap Scheda ENTE 3ROL - Richieste On Line.
1 Guida per linsegnamento nei corsi per il conseguimento del CERTIFICATO DI IDONEITÀ ALLA GUIDA DEL CICLOMOTORE.
Pippo.
Bando Pittori e Scultori in Piemonte alla metà del ‘700
Bando Beni in comune. 2ROL - Richieste On Line 3.
lun mar mer gio ven SAB DOM FEBBRAIO.
Analisi e sperimentazione di una Certification Authority
Greco Rodolfo 2002 Application Trasport Network Phisic HTTP IP UDPTCP DNS SNAP MAC ARP L’utente fa una richiesta di pagina.
IL GIOCO DEL PORTIERE CASISTICA. Caso n. 1 Il portiere nella seguente azione NON commette infrazioni.
La Crittografia nell’ambito del protocollo HTTP Classe: V istituto professionale (gestione aziendale) Obiettivo 1: Generazione di competenze e preparazione.
PKI e loro implementazione Corso di Sisitemi Informativi Teledidattico A.A. 2006/07
Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.
Universita` degli studi di Perugia Corso di Laurea in Matematica Attribute Certificate Valentina Hamam Rosa Leccisotti.
1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.
Tecnologie di Sicurezza in Internet APPLICAZIONI Public Key Infrastructures AA Ingegneria Informatica e dell’Automazione.
GESTIONE RETI TCP/IP l troubleshooting è necessario per risolvere molti problemi che si possono verificare all'interno di una rete, una delle aspirazioni.
23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.
Transcript della presentazione:

1 Novità sul protocollo TLS. Seminario di : Calabrese Luca - estensione per il Wireless. - IC.

2 Il Wireless Lambiente wireless spesso ha dei vincoli in più rispetto agli ambienti cablati. I principali problemi, che si hanno in ambiente wireless sono : Limitazione di banda. Limitazione di potenza computazionale. Limitazione di memoria. Limitazione di vita delle batterie.

3 Estensione del TLS Lestensione del TLS deve permettere : Ai clients e ai servers di negoziare una dimensione massima dei records che vogliono spedire tra loro. Ai clients ed ai servers di negoziare luso di client certificate URLs. Ai clients di indicare ai servers quali CA root keys essi posseggono.

4 Estensione del TLS (2) Inoltre lestensione del TLS deve : dare la possibilità ai servers di utilizzare piccoli identificatori di sessione. permettere ai clients e ai servers di negoziare luso di MACs troncati. permettere ai clients e ai servers di negoziare il fatto che i servers mandino ai clients un OCSP response durante il TLS handshake.

5 Client Hello esteso Il formato del msg : struct { ProtocolVersion client_version; Random random; SessionId session_id; CipherSuite cipher_suites ; CompressionMethod compression_methods ; Extension client_hello_extension_list ; } ClientHello;

6 Server Hello esteso Il formato del msg : struct { ProtocolVersion server_version; Random random; SessionId session_id; CipherSuite cipher_suites; CompressionMethod compression_methods; Extension server_hello_extension_list ; } ServerHello;

7 Hello Extensions struct { ExtensionType extensionType; opaque unknow_extension ; } Extension; Dove : extensionType identifica il particolare tipo di estensione. unknow_extension contiene informazioni specifiche per quella particolare estensione.

8 Extension Type Le extension type definite in questo documento sono : enum { reserved(0), max_record_size(1), client_certificate_url(2), trusted_key_ids(3), truncated_MAC(4), status_request(5) } ExtensionType;

9 Wireless Extensions Maximum Record Size Negotiation Per default la dimensione del record è 2 14 bytes. extensionType = max_record_size unknown_extension = può contenere enum { 2 8 (1), 2 9 (2), 2 10 (3), 2 11 (4), 2 12 (5) } Negotiated_max_record_size;

10 Client Certificate URLs La struttura del msg è : struct { Certificate_or_URL certificate_trasport_type; select(Certificate_or_URL) { case certificate : ASN.1Cert certificate_list ; case url : opaque url ; } certificate_trasport_body; }CertificateorURL; Dove : enum{certificate(1), url(2)} Certificate_or_URL;

11 Trusted CA Indication I client in ambiente wireless, per ragioni di memoria, posseggono un limitato numero di CA root keys. Si utilizza una particolare estensione per comunicare al server il set di chiavi che il client conosce. extensionType = trusted_key_ids unknown_extension = TrustedAuthorities Dove : ThustedAuthority TrustedAuthorities ;

12 Small Session Identifiers Il TLS per default la dimensione dei session identifiers è >= 32 bytes. Per ragioni di spazio si può decidere di utilizzare meno bytes. Opaque SessionID ;

13 Truncated MACs Per ridurre lo spazio di banda necessaria per comunicare il client può negoziare con il server di utilizzare un meccanismo di autenticazione basato sullandare a troncare il MAC ad una dimensione fissa.

14 OCSP LOCSP ( Online Certificate Status Protocol ) fornisce ai client un modo per verificare la validità del certificato fornito dal server. Utilizzando questa tecnica è possibile eliminare le CLRs.

15 OCSP Request Una richiesta OCSP deve contenere : protocol version service request target certificate identifier

16 OCSP Response Una risposta OCSP deve contenere : nome del responder. le risposte per ogni certificato presente. nella richiesta. estensioni opzionali.

17 OCSP Response (2) Lo stato di un certificato può essere : good revoked unknown

18 Security Considerations I problemi che introduce un estensione wireless sono legati a : Truncated MAC. CA root Key.

19 IC (Impersonation Certificate) Impersonation è una comune tecnica usata nei sistemi di sicurezza per permettere ad una entità A di concedere ad unaltra entità B la possibilità di autenticare altre entità come se fosse fatto da A.

20 IC Esempio SmartCard di Steve

21 IC Impersonation risolve i seguenti problemi : Single sign-on Delegation

22 IC Descrizione dellapproccio Un IC è un certificato X.509 a chiave pubblica che ha le seguenti proprietà: viene firmato da un EEC oppure da un altro IC. Può solamente firmare un altro IC. Ha una coppia di chiavi (privata e pubblica) distinte da tutti gli altri EEC e IC. Non ha nome proprio ma lo eredita dal EEC.

23 Procedimento per creare un IC Creare una coppia di chiavi ( privata e pubblica). Viene inoltrata una IC request. La IC request viene firmata o da un EEC oppure da IC. Vengono effettuati dei controlli per verificare la validità della richiesta.

24 Ritorniamo allesempio Steve con la sua smartcart effettua lautenticazione sul suo computer. Il programma starter può delegare lidentità di Steve ( viene creato un IC ) allagente che coordina la simulazione. Lagente può autenticarsi come Steve verso gli altri computer della rete.

25 Security Consideration PRO Lutilizzo degli ICs aumenta la sicurezza dell EEC. CONTRO Un IC è generalmente meno sicuro di un EEC.