Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Parma Sicurezza e Privacy Progetto finanziato da
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma SICUREZZA E PRIVACY
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Sommario Cosè la sicurezza nellICT Aree della security ICT –Rischi e minacce –Attacchi principali Crittografia Sviluppo del security plan Esempi –Gestione della password –Principali frodi e precauzioni –Sicurezza Wi-Fi Legge sulla Privacy
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Cosè la ICT Security È il risultato di due componenti fondamentali –Prodotti e servizi Antivirus, firewall, Intrusion detection, … Back up, disaster recovery, business continuity, … Managed security, … –Comportamenti e processi Policy security aziendale Formazione, …
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Un approccio minimalista è pericoloso La sicurezza ICT è continuamente in movimento: –Si modificano i rischi –Cambia lorganizzazione aziendale –Sempre più applicazioni vanno in rete Lapproccio delle aziende non è altrettanto dinamico: –Si utilizzano poco i servizi gestiti da professioniSti specialisti della sicurezza (managed services) –Si aggiorna lindispensabile –Non si fa back up strutturato –Non si fa formazione Si tende a rimandare un investimento maggiore in sicurezza quando sarà il momento. PROBLEMA: i tempi di reazione agli attacchi sono ormai nellordine dei minuti, e nulla può essere fatto in pochi minuti.
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma La sicurezza non può essere reattiva La diffusione del worm Code-Red Tempo trascorso: 24H Vittime: 359+k server nel mondo
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma La sicurezza non può essere reattiva La diffusione del worm Sapphire 1 anno dopo i tempi si accorciano drammaticamente: Tempo trascorso: 30 minuti Vittime: 75+k server nel mondo
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Aree della security ICT Confidenzialità Integrità Autenticazione Non-rifiuto
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Introduzione alla security ICT (2) Confidenzialità –Riservatezza e privacy –Information hiding –Traffic confidentiality
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Introduzione alla security ICT (3) Integrità –Data integrity –Originality –Timeliness
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Introduzione alla security ICT (4) Autenticazione –Controllo degli accessi –Disponibilità del servizio
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Introduzione alla security ICT (5) Non rifiuto –Non poter smentire una transazione vera (non- repudiation) –Non poter reclamare una transazione fasulla (non- forgeability)
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Rischi e minacce: classificazione teorica e astratta Classificazione teorica ordinata in senso di pericolosità crescente: –Disclosure (o rivelazione) –Deception (o inganno) –Disruption –Usurpation
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Rischi e minacce Intercettazione (o snooping) Contromisure: cifratura dei dati per la loro confidenzialità Intercettazione Analisi del traffico
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Rischi e minacce Alterazione: Contromisure: garantire lintegrità dei dati Esempio: attacco man-in-the-middle
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Rischi e minacce Mascheramento (o spoofing): presentarsi con una diversa identità Generazione di un hijacking (o dirottamento): es. Phishing Contromisure: protezione di tecniche di autenticazione per confermare lidentità degli attori in gioco
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Rischi e minacce Blocco o ritardo Sfrutta le debolezze intrinseche del sistema o di sue procedure Contromisure: tecniche di autenticazione per garantire la disponibilità del sistema Denial of Service Replay
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Attacchi principali Exploit –Denial of service –Dati forgiati opportunamente, codici malevoli (shellcode) file sovrascritti –Virus e worm Backdoor. Due interpretazioni: –Decifrare un testo senza possederne la chiave –Far girare del codice allinterno di un sistema informatico e prelevare dati (e.g. trojan)
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Attacchi principali (2) Intercettazione: –Keylogger, sniffer, microfoni, telecamere –Contromisura principale: crittografia. Attacchi man-in-the-middle ridotti ma non eliminati Ingegneria sociale: ingannare direttamente gli esseri umani –I più difficili da contrastare (e.g. password su un pezzo di carta) –Contromisure: educazione e formazione, ma non coprono tutte le casistiche
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Crittografia Crittografia deriva dal greco e significa scrittura segreta Definizione: la crittografia è la disciplina che studia la trasformazione di dati allo scopo di nascondere il loro contenuto semantico, impedire il loro utilizzo non autorizzato o impedire qualsiasi loro modifica non rilevabile
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Crittografia (2): cifratura a chiave simmetrica Partecipanti alla comunicazione sicura condividono la stessa chiave di cifratura messaggio in chiaro è cifrato con una chiave ed è richiesta la stessa chiave per decifrare il testo cifrato La chiave simmetrica è spesso indicata come chiave segreta
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Sviluppo del security plan Analisi delle minacce Security plan / meccanismi Applicazione nella rete aziendale Controllo
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Analisi delle minacce Aiuta a capire di quale sicurezza si ha bisogno: –Quali risorse hai bisogno di proteggere? Asset hardware (PC, server, hub, switch), asset software (OS, programmi, applicazioni), dati (in DB remoti/locali, in transito) –Contro quali minacce? DoS, rubare o corrompere dati/servizi/sw/hw, virus/worm, danneggiamento fisico, accessi non autorizzati Matrice minacce/asset
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Meccanismi di security Sicurezza fisica –Stanza con accesso controllato, allarme, backup elettricità, off-site storage Protocolli/applicazioni –IPsec, TLS, PGP, WPA per WiFi Cifratura (Chiave/password) e algoritmi (AES, DSA) Firewall e remote access –Packet filtering Consapevolezza della sicurezza –Condividere le procedure con i dipendenti
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Sistema in sicurezza Componenti per mettere in sicurezza un sistema: –Gli algoritmi crittografici –La distribuzione delle chiavi di cifratura –I protocolli di autenticazione ESEMPI DI PROTOCOLLI DI SICUREZZA AI VARI STRATI
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Meccanismi di security: Firewall Firewall = porte tagliafuoco usate per bloccare la propagazione degli incendi Punto di accesso unificato per il traffico della rete –Controllo generale e non distribuito sui singoli computer –Si interpone tra la nostra rete locale e il mondo esterno In sostanza –Fornisce un controllo agli accessi attraverso regole che restringono i pacchetti ammessi allinterno della rete locale –Riduce il traffico in uscita evitando fughe di materiale privato Stateless firewall (regole statiche), Statefull firewall (content filtering)
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Applicazione nella rete aziendale Applicare il meccanismo selezionato come requisiti del security plan –Architettura della rete: access/distribution/core network vari livelli/zone di security Interazioni tra meccanismi di sicurezza Interazione con altre componenti della rete –Indirizzamento –Gestione della rete –Prestazioni della rete
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Esempi: gestione della password Password: permette laccesso al sistema (autenticazione) secondo i privilegi dellutente Vulnerabilità: password corta o facile da indovinare –Lunghezza –Parola personale (e.g. nome del figlio, data di nascita) –Parola di senso compiuto –Parola nota (e.g. personaggi di sport o film) Strategie di selezione: –Educazione dellutente –Generazione dal computer password altamente casuale difficile da ricordare –Installare dei controllori di password comunicazione se la password è scoperta Consigli per la scelta: –Password lunga almeno 8 caratteri –La password deve contenere una lettera maiuscola, una lettera minuscola, una cifra e un elemento di punteggiatura –Cambiare la password ogni mese
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Esempi (2): gestione della password
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Esempi: principali frodi Phishing: realizzata con l'invio di contraffatte, finalizzata all'acquisizione, per scopi illegali, di dati riservati Pharming: finalizzato all'acquisizione illecita di dati riservati, mediante il dirottamento dell'utente da un sito internet ufficiale ad un sito pirata modifica nel DNS o nei registri del PC della vittima –Modifica degli abbinamenti tra il dominio e l'indirizzo IP corrispondente a quel dominio. –Es. legame corretto ; legame modificato www.poste.it Spam: Ricezione di messaggi non autorizzati (generalmente commerciali) nella propria casella di posta Trojan: Si nascondono all'interno di programmi o di file eseguibili all'apparenza innocui, con lo scopo di raccogliere informazioni o aprire una porta nascosta per accedere al computer dall'esterno Virus: Frammenti di software che una volta eseguiti infettano dei file nel computer in modo da riprodursi, facendo copie di sé stessi Worm: è un malware (malicious software) in grado di auto-replicarsi: è simile ad un virus come finalità, ma non necessita di legarsi ad altri eseguibili per diffondersi Spyware: Software che raccolgono informazioni sull'attività in Internet dell'utente, senza il suo consenso Trasmissione di informazioni: spesso l'utente invia informazioni riservate su Internet: è importante assicurarsi che tali dati non possano essere registrati da malintenzionati Smishing (SMS Phishing): il nuovo sistema per rubare denaro e informazioni riservate con il cellulare Dal sito di Poste Italiane:
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Esempi (4): phising Ricevete un (sembra autentica) Nel messaggio vi viene richiesta una login (inserire i dati personali) Usare un link rapido contenuto nel messaggio (un sito identico a quello dell'azienda ufficiale) Vi si informa poi che la procedura è andata a buon fine Il truffatore ha ora i vostri dati in suo possesso
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Esempi: possibili precauzioni Regole di base prima di navigare in Internet: Disporre di un antivirus Disporre di un antispyware Disporre di un firewall Assicurasi che il sistema operativo, i programmi per la sicurezza e i programmi che si utilizzano per accedere alla rete siano sempre aggiornati Utilizzare con buon senso i servizi offerti –Attenzione alle non aprite messaggi da sconosciuti, non aprite allegati, non comunicate mai informazioni personali via e- mail (username, password, codici) –Nelle transazioni assicuratevi di essere in uno spazio reso sicuro dal protocollo di sicurezza SSL (certificati)
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Esempi: sicurezza Wi-Fi Trasmissione via radio soggetta ad ulteriori rischi Misure per la sicurezza delle reti wireless: –Chiave di Autenticazione Pubblica (Wired Equivalent Privacy, WEP) –Chiave di crittografia WPA (Wi-Fi Protected Access). Chiavi per ogni utente attraverso una Pre-Shared Key (PSK) Modifiche per aumentare la sicurezza: cifratura basata su TKIP (Temporal Key Integrity Protocol) che cambia periodicamente la chiave di cifratura (ora fino a 256 bit) –Controllo Access-List ristretta –Nome della rete Wi-Fi (SSID) nascosto: necessaria la configurazione manuale –Spegnere lAP per lunghi tempi di inattività, abilitare firewall su PC e AP –AP in posizione sicura, assegnazione statica degli indirizzi IP e non attraverso il DHCP
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Legge sulla privacy Motivo: rispettare gli accordi di Schengen legge del 31 dicembre 1996 numero 675 aggiornata nel Testo Unico (D. L. 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali in vigore dal 1 gen 04) Scopo: riconoscimento del diritto del singolo sui propri dati personali disciplina delle diverse operazioni di gestione dei dati (trattamento), riguardanti la raccolta, l'elaborazione, il raffronto, la cancellazione, la modificazione, la comunicazione o la diffusione degli stessi Obblighi e diritti: –Informare preventivamente il soggetto di cui si voglia utilizzare i dati –Ottenere il consenso del soggetto interessato –Ulteriori attenzioni per i dati sensibili –Redigere un Documento programmatico sulla sicurezza (DPS) dove dovranno essere indicati i responsabili del trattamento dei dati e le misure prese per garantirne la sicurezza
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Breve parentesi sulla privacy nel cloud Cosa accade quando i dati sono conservati in un server estero? Quali dati sono sensibili? Quali controlli e procedure devo seguire per essere in regola? …
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma I riferimenti... norme Ue (direttiva 95/46/CE) norme italiane di cui al c.d. Codice della Privacy (d.lgs. n. 196/2003) Lazienda (o libero professionista) può usare il servizio di cloud storage sia per i propri file personali (foto, musica ecc.), sia per quelli lavorativi.
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Chi può usare il remote storage? Soluzioni come Dropbox possono ad esempio essere utilizzate da liberi professionisti: i dottori commercialisti le possono utilizzare con file di contabilità dei clienti (fatture, ecc.) o per le dichiarazioni dei redditi (quindi con file concernenti spese sanitarie ecc., ovvero dati sicuramente sensibili), magari condividendoli con i clienti stessi, vista la semplicità e lefficienza dello strumento… Ma cosa devono fare per essere in regola?
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma È vietato tutto ciò che non è espressamente consentito! il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente allUnione europea, è vietato quando lordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato (cfr. art. 45 Codice della Privacy).
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Cosa non è necessario fare non è necessaria alcuna notifica preventiva al Garante per il trattamento dei dati non sensibili Sono dati sensibili: a)dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b)dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c)dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma …segue lista dei dati sensibili… c)dati trattati con lausilio di strumenti elettronici volti a definire il profilo o la personalità dellinteressato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare lutilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; d)dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; e)dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Alcune considerazioni… non emergono particolari problemi quando il trasferimento, anche temporaneo, fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento e diretto verso un Paese non appartenente allUE concerne dati riguardanti persone giuridiche, enti o associazioni in quanto espressamente consentito dalla deroga di cui allart. 43, comma 1°, lettera h) del Codice della Privacy.
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma … e per le persone fisiche? Il discorso si fa, invece, enormemente più delicato quando i dati trasferiti in paesi extra UE riguardano le persone fisiche in quanto le norme applicabili dettano una disciplina piuttosto articolata. Lart. 43 del Codice della Privacy consente il trasferimento di dati di persone fisiche (non solo quelli sensibili, ma tutti i tipi di dati, quindi anche, ad es., la semplice rubrica dei contatti) in paesi extra UE in una serie di ipotesi (comma 1° lettere b) – g)) tutte, però, caratterizzate dal principio della necessità del trattamento: però lutilizzo del servizio di cloud storage è una mera facoltà, una possibilità…
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma norme dispositive a favore… La medesima norma prevede una prima soluzione, seppure parziale in quanto autorizza espressamente il trasferimento di dati verso paesi non UE quando: linteressato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma norme dispositive contro lAutorizzazione del Garante n. 4/2009 al trattamento dei dati sensibili da parte dei liberi professionisti (G.U. n. 13 del – suppl. ord. n. 12) prevede che il trattamento deve essere effettuato unicamente con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto allincarico conferito dal cliente limpiego di servizi cloud non può certamente configurarsi come strettamente indispensabile con lincarico conferito.
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Lautorizzazione del Garante ll trasferimento di dati verso un Paese extra UE è ammesso quando è autorizzato dal Garante sulla base di: adeguate garanzie per i diritti dellinteressato che possano risultare anche da un contratto oppure sulla base di decisioni della Commissione europea che constata un livello di protezione adeguato
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Il Safe Harbour La Commissione europea ha individuato un livello di protezione adeguato a quello vigente nellambito dellUnione Europea in Paesi terzi ai fini della tutela della vita privata o dei diritti e delle libertà fondamentali della persona. Ad oggi la Commissione ha reputato di poter esprimere un giudizio positivo di adeguatezza nei confronti di Australia, Canada, Argentina, Ungheria, Svizzera, Isola di Man, Guernsey e Stati Uniti limitatamente al programma Safe Harbour (Decisione del 26 luglio 2000 n. 2000/520/CE)
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Considerazioni Le soluzioni di cloud pubblico spesso non danno garanzie sul luogo di residenza del dato. Soluzioni più costose consentono di controllare dove e chi La responsabilità è di chi detiene ed usa i dati!
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Grazie per lattenzione Dubbi, domande?
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Riferimenti J. Joshi et al., Network Security: Know It All, ed. Elsevier. A. S. Tanenbaum, Reti di calcolatori, Ed. Pearson Education Italia, 4° ed., S. Piccardi, La gestione della sicurezza con GNU/Linux, available at W. Stallings, Cryptography and Network Security: Principles and Practices, 4th Ed., Pub. Prentice Hall, Nov e wikipedia a supportohttp://
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Crittografia Crittografia deriva dal greco e significa scrittura segreta Attualmente indica la disciplina che permette al mittente di cifrare opportunamente un messaggio da inviare, di renderlo incomprensibile a coloro a cui non è destinato ma di permettere al destinatario di decifrarne il contenuto e di risalire, quindi, al messaggio originario Definizione: la crittografia è la disciplina che studia la trasformazione di dati allo scopo di nascondere il loro contenuto semantico, impedire il loro utilizzo non autorizzato o impedire qualsiasi loro modifica non rilevabile Larte di rompere un algoritmo crittografico è chiamata crittoanalisi mentre larte di concepirli è la crittologia
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Cifratura a chiave simmetrica Partecipanti alla comunicazione sicura condividono la stessa chiave di cifratura messaggio in chiaro è cifrato con una chiave ed è richiesta la stessa chiave per decifrare il testo cifrato La chiave simmetrica è spesso indicata come chiave segreta
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Cifratura a chiave simmetrica (2) Esempi di algoritmi di cifratura a chiave simmetrica Anche chiamato AES (Advanced Encrytion Standard)
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Cifratura a chiave asimmetrica Si usano sempre una coppia di chiavi –una chiave può essere usata per la cifratura (la chiave pubblica) –laltra solo per la decifratura (la chiave privata) Per la comunicazione sicura si cifra il messaggio con la propria chiave pubblica e solo chi possiede la relativa coppia di chiave privata è in grado di decifrare correttamente il messaggio Un capo della trasmissione può solo trasmettere laltro solo ricevere rendendo il processo asimmetrico per comunicazioni bidirezionali si devono usare due coppie di chiavi La chiave pubblica può essere diffusa, mentre quella privata deve essere gelosamente custodita Vantaggio: ridotta gestione delle chiavi
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Cifratura a chiave asimmetrica (2) Principali algoritmi a chiave asimmetrica –RSA: è lalgoritmo di questa categoria più famoso e robusto. LRSA ha bisogno di una lunghezza di chiave di almeno 1024 bit per garantirne un livello di robustezza adeguato, rendendolo molto lento –El-Gamal: altro algoritmo noto, non vi esiste una soluzione efficiente, richiesta una lunghezza di chiave di almeno 1024 bit –DSA (Digital Signature Algorithm): difficile soluzione rendendo robusto lalgoritmo, complessità maggiore chiavi più corte ma un tempo computazionale maggiore. Il DSA è usato come standard per le firme digitali in US Altra caratteristica degli algoritmi a chiave asimmetrica: esecuzione dello schema in maniera inversa consente di apporre la firma digitale del mittente su quel messaggio –Si cifra con la chiave privata e si decifra con la chiave pubblica –Non si rende il messaggio confidenziale, visto che chiunque potrà leggerne il contenuto tramite la chiave pubblica. Tuttavia lunico che sia in grado di produrlo è colui che è in possesso della corrispondente chiave privata
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Funzionalità di hash Funzioni di hash crittografici o funzioni ad una via per integrità, autenticazione e non repudiabilità –In ingresso un qualunque testo in chiaro di dimensione arbitraria e generano in uscita una stringa di bit di dimensione fissa o valore di hash di quel testo (o message digest) –Tale valore identifica in maniera univoca il testo in chiaro e permette di verificarne lintegrità (utilizzando lhash come checksum) –Testi in chiaro poco differenti producono un valore di hash molto differente Autenticazione e Integrità del messaggio: -Valore di hash cifrato con la chiave segreta (simmetrica) Message Authentication Code (MAC) - lhash dà lintegrità, la chiave segreta dà lautenticazione
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Funzionalità di hash (2) Principali algoritmi di hash: –MD5: Esegue prima un inserimento di bit extra per avere un certo numero di blocchi di 512 bit intero. Si eseguono poi manipolazioni dei bit di tali blocchi con un buffer di 128 bit, il quale alla fine della computazione risulta essere il valore di hash o message digest. Attualmente sono noti vari problemi che ne limitano luso. –SHA-1 (Secure Hash Algorithm-1): utilizzato in applicazioni come GPG, SSH, SSL e IPsec. Processa blocchi di 512 bit al fine di modificare il più possibile i bit in ingresso. Produce in uscita un message digest di 160 bit anche se esistono versioni con hash maggiori (e.g. SHA-256 e SHA-512) Una ulteriore applicazione dellhash crittografico: Uso della chiave privata (asimmetrica) anziché quella segreta garantendo quindi lintegrità del documento, lidentità del mittente ma anche la non-ripudiabilità del messaggio (schema uguale al precedente ma uso della chiave privata piuttosto che quella segreta) 1.Dal testo in chiaro si genera il valore di hash 2.Lo si cifra con la chiave privata (generando in sostanza una firma digitale) 3.Si trasmette sul canale non sicuro il testo in chiaro con il valore di hash cifrato con la chiave privata 4.Il destinatario è sicuro che il testo sia integro (se lhash da lui calcolato coincide con quello trasmesso), che lidentità del mittente sia quella (visto che ha decifrato lhash con la chiave pubblica corrispondente in maniera univoca a quella privata in possesso del mittente), e che il mittente può ripudiarne la trasmissione (perché vi ha apposto la sua firma digitale con la sua chiave privata) –Per aggiungere la confidenzialità del testo basta semplicemente cifrare il testo con il suo valore di hash
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga Camera di Commercio di Parma Riassunto degli algoritmi di crittografia