Indice Pag. 1 Presentazione La sicurezza nellazienda Banca La sicurezza informatica La catena tecnologica della sicurezza La firma digitale
Direzione Centrale Tecnologia e Processi Pag MARZO 2008 CEEDO ED EUTRONSEC ANNUNCIANO L ADOZIONE DA PARTE DI CINQUE IMPORTANTI BANCHE EUROPEE DELLA SOLUZIONE E-BANKING SICURA IN AMBIENTE DI LAVORO VIRTUALE La soluzione consente ai clienti delle banche di accedere in modo sicuro ai conti online e di apporre firme digitali a documenti finanziari in qualsiasi luogo si trovino. La soluzione è stata sviluppata da Eutronsec e Ceedo nel corso degli ultimi 18 mesi. La compartecipazione ha portato ad un dispositivo autonomo che memorizza il software del proprio PC al suo interno e che fornisce una piattaforma allavanguardia per la gestione dei servizi bancari. La co-produzione ha portato allaumento dellutilizzo da parte dellutenza di procedure hardware di autenticazione, alla riduzione di richieste di assistenza e alladozione della soluzione da parte di principali gruppi bancari europei, tra i quali il Gruppo Banca delle Marche, il Monte dei Paschi di Siena (MPS) e Il Gruppo Banca Carige. Banca Marche ha fatto un passo avanti: ha reso portabile anche la firma digitale, quella firma che una volta era indispensabile scaricare nel proprio computer e conservare gelosamente al riparo da qualsiasi attacco. Il nuovo sistema con firma digitale, che è il sistema oggi più sicuro per gestire servizi online. La firma digitale
Direzione Centrale Tecnologia e Processi Pag. 3 La firma digitale é un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e lintegrità di un documento informatico o di un insieme di documenti informatici Quando un documento informatico é sottoscritto con firma digitale basata su di un certificato qualificato ed è generata mediante un dispositivo sicuro fa piena prova fino a querela di falso della prove- nienza delle dichia- razioni di chi lha sottoscritto CosèChe valore ha
Direzione Centrale Tecnologia e Processi Pag. 4 Anna vuole inviare un documento o un messaggio a Carlo… La firma digitale Anna e Carlo vogliono che le loro comunicazioni siano sicure : 1 Autenticazione: identificazione univoca dell'autore di una transazione 2 Riservatezza: garanzia che le informazioni non siano accessibili da parte di entità non autorizzate 3 Integrità: garanzia che le informazioni non siano alterabili da parte di entità non autorizzate 4 Non ripudio: prevenzione del rischio che una delle controparti neghi di aver spedito e ricevuto le informazioni scambiate
Crittografia a chiavi asimmetriche Direzione Centrale Tecnologia e Processi Pag. 5 In questo sistema, ogni utente ha una coppia di chiavi crittografiche distinte ma legate fra loro: non è possibile risalire alla chiave privata conoscendo la chiave pubblica (le due chiavi sono indipendenti) è possibile cifrare un dato con la chiave pubblica e decifrarlo con la chiave privata e viceversa la chiave pubblica, divulgabile la chiave privata, conosciuta e custodita dal solo proprietario
Autenticazione Direzione Centrale Tecnologia e Processi Pag. 6 Anna vuole garantire a Carlo la paternità del documento… Anna cifra il documento con la propria chiave privata e lo spedisce a Carlo… RSA 1
Autenticazione Qualè la chiave pubblica di Anna? Carlo riesce a decifrare, quindi è sicuro che il documento sia stato spedito proprio da Anna (solo lei, infatti, è in possesso della chiave privata) CERTIFICATION AUTHORITY RSA 1
Qual è la chiave pubblica di Carlo? Anna cifra il documento con la chiave pubblica di Carlo… Anna vuole essere sicura che il documento sia letto unicamente da Carlo… CERTIFICATION AUTHORITY RSA Riservatezza 2
Anna è sicura che solo Carlo potrà leggere il documento; infatti soltanto Carlo possiede la chiave privata necessaria per decifrarlo Carlo legge il documento decifrandolo con la propria chiave privata RSA Riservatezza 2
Un sistema di hashing produce, a partire dai dati di ingresso, una breve sequenza di caratteri detta hash oppure digest (riassunto) o anche fingerprint (impronta) digest CD E0B412 hashing non invertibile (1-way function): dallhash non è possibile risalire al documento originale restituisce un output di lunghezza fissa, indipendentemente dalla dimensione del file di input statisticamente univoca due documenti diversi danno sempre luogo a fingerprint diversi non è possibile costruire un documento che produca il fingerprint desiderato Integrità 3 HASH = POLPETTA
Tecnica di autenticazione del mittente e di controllo dellintegrità ottenuta combinando il sistema a chiavi asimmetriche con un sistema di hashing. CD E0B412 hashing RSA 736CB3440AE23F 59 Anna calcola il digest del documento e lo cifra con la propria chiave privata, ottenendo la firma digitale… …quindi invia a Carlo il documento con allegata la firma digitale… 3 Integrità
Chiave pubblica di Anna Carlo decifra la firma digitale con la chiave pubblica di Anna, ottenendo il presunto digest; nel frattempo, calcola nuovamente il digest partendo dal documento originale; se i due digest coincidono, la firma è autentica e il documento non è stato alterato RSA 736CB3440A E23F59 CD E0B412 hashing CD E0B412 Sono uguali? 736CB3440AE 23F59 3 Integrità
4 Non ripudio
Elementi costitutivi della firma digitale PKI – Certificati: è la forma con cui una PKI costruisce unassociazione certa tra utente e rispettiva chiave pubblica. Il certificato è un file binario contenente, oltre alle chiavi pubbliche, gli estremi dellutente, e la cui integrità è garantita dalla CA (attraverso la firma digitale); – Registro dei certificati: è lo strumento che consente di pubblicare i certificati (generalmente un Directory Server o un Database accessibile agli Utenti); – Security Kit: è il mezzo con cui apporre la firma digitale su documenti; è generalmente costituito da librerie software e un supporto per contenere la chiave privata. Le funzioni principali svolte allinterno di una PKI sono: – Certificazione: è il processo attraverso il quale il valore di una chiave pubblica viene associato ad un utente; – Gestione del ciclo di vita del certificato: rinnovo, sospensione, revoca dei certificati (attraverso opportune liste di revoca); – Validazione: è il processo attraverso il quale si verifica che una certificazione è ancora valida. La firma richiede una struttura organizzativa (la Public Key Infrastructure -PKI) e l'utilizzo di un dispositivo di firma sicuro, in genere una smart card
Public Key Infrastructure AutenticazioneIntegritàPrivacyNon Ripudio Public Key Infrastructure (PKI) : una tecnologia a sostegno delle nuove opportunità offerte dall e-business Userid/password Crittografia chiavi simmetriche Certificati Digitali chiavi asimmetriche (RSA
Cosè un certificato? Certificato tradizionale s identità dellente emittente s identità dellutente s validità s verifica lidentità tramite fotografia e firma Certificato digitale s identità dellente emittente s identità dellutente s validità s verifica lidentità tramite chiave di cifratura appropriata
Dove sono contenuti i certificati? – Identità del titolare – Codice Fiscale del titolare – Chiave pubblica del titolare – Identità della CA emittente – Firma digitale della CA emittente – Data scadenza del certificato – ID del certificato (n° seriale)
Certification Authority (CA): la terza parte fidata Esempi di CA Tradizionali – Prefettura (passaporti) – Ministero dei trasporti/ufficio motorizzazione civile (patente di guida) – Uffici Anagrafici (carta didentità) La Certification Authority è lentità che garantisce lintero ciclo di vita dei certificati digitali Emissione Identificazione e registrazione titolare Emissione certificato Rilascio al titolare Utilizzo verifica della validità del certificato Gestione Rinnovo Revoca/sospensione Mantenimento del pubblico registro
La Smart Card o token di firma (carta a microchip) GIUSEPPE VERDI 85.6 mm 54 mm contatti elettrici del microchip Una smart card è simile ad una carta di credito, ma con un microchip al posto della banda magnetica. Il microchip è un piccolo computer in grado di: memorizzare informazioni proteggere i dati che contiene da accessi non autorizzati eseguire elaborazioni di vario tipo (per esempio: RSA) comunicare con un elaboratore esterno di tipo tradizionale (PC) FUNZIONI: genera e conserva al suo interno la chiave privata dellutente non può essere attivata senza conoscere il relativo PIN dialoga con le applicazioni sul PC attraverso un card reader (o porta USB)