La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Tecnologie di Sicurezza in Internet APPLICAZIONI Public Key Infrastructures AA 2009-2010 Ingegneria Informatica e dell’Automazione.

PubblicatoCasimiro Serra Modificato 9 anni fa

Presentazioni simili

Presentazione sul tema: "Tecnologie di Sicurezza in Internet APPLICAZIONI Public Key Infrastructures AA 2009-2010 Ingegneria Informatica e dell’Automazione."— Transcript della presentazione:

1 Tecnologie di Sicurezza in Internet APPLICAZIONI Public Key Infrastructures AA 2009-2010 Ingegneria Informatica e dell’Automazione

2 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/2 PKI Definizione Infrastruttura composta dai sistemi necessari alla fornitura e alla fruizione di servizi di crittografia a chiave pubblica e firma digitale Scopo Le PKI sono utilizzate dalle organizzazioni per effettuare la gestione di chiavi e certificati digitali e il loro utilizzo per le varie applicazioni

3 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/3 PKI Requisiti principali Certificati digitali Certificate Repository Certificate revocation Key backup and recovery Support for non-repudiation Automatic update of key pairs and certs Integrated client-side software Trasparenza

4 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/4 PKI basic components Certificate repository End-Entity Registration Authority Certificate Authority Certificates CRLs Read, search, modify Registration/certification key pair recovery key pair update cert update revocation request Registration Registration CRL publication

5 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/5 PKI EE End-Entity (EE) Sono utenti o sistemi cui i certificati digitali sono intestati

6 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/6 PKI CA Certificate Authority (CA) Firma i certificati, garantendo la corrispondenza tra una chiave pubblica e una EE soggetto Ha la responsabilità dell'identificazione del soggetto User certs CA certs Cert renewal Cert revocation

7 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/7 PKI CR Certificate Repository (CR) Memorizza i certificati emessi e quelli revocati Directory con protocollo di accesso LDAP: bind, unbind, search, modify Componente opzionale

8 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/8 PKI RA Registration Authority (RA) E' una End-Entity opzionale e fidata (certificata dalla CA) cui sono delegate alcune funzioni della CA, come l’identificazione del soggetto e la generazione delle chiavi

9 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/9 X.509 certs Il formato più diffuso per i certificati digitali (TLS, S/MIME, IPSec, …) segue lo standard X.509. Campi principali: Nome dell'autorità emittente Periodo di validità Soggetto Chiave pubblica Firma digitale dell'autorità emittente Estensioni: Key usage Subject Alternative Name Certificate class

10 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/10 X.509 CRLs Certificate Revocation Lists X.509v2 definisce il formato di una CRL, usata per dichiarare certificati inutilizzabili anche se non ancora scaduti End-Entity termination Compromissione di chiave privata Passphrase loss Cambio di informazioni nel certificato Le CRLs sono pubblicate su una directory LDAP

11 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/11 PKI Protocols Certificate Management Protocols Protocolli di amministrazione usati fra EE e CA(RA) e fra RA e CA, scambiandosi messaggi CRMF Registrazione iniziale e certificazione Key pair recovery Key pair update Certificate renewal Revocation request

12 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/12 PKI Protocols Operational Protocols Protocolli usati dalle EE e CA per scambiare informazioni con un CR Repository read Repository search Repository modify Online Certificate Status Protocol Protocollo usato dalle EE e CA per ottenere informazioni sullo stato dei certificati direttamente da un CR

13 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/13 CA Hierarchies Le CA possono essere operate da terze parti o autonomamente. Le applicazioni che operano nella PKI hanno una lista di certificati di root CA considerate affidabili. Le CA formano solitamente gerarchie La root CA è dotata di un certificato self- signed ed è considerata affidabile Questa emette certificati per altre CA subordinate, che possono anche non essere tra quelle considerate affidabili E così via

14 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/14 CA Hierarchies Per validare i Certificati emessi dalle CA terminali, le applicazioni devono risalire la catena delle autorità emittenti Si forma una certificate chain in cui ciascun certificato è seguito dal certificato del suo emittente, fino a quello di una CA affidabile.

15 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/15 PKI Products Betrusted UniCERT (Baltimore) Verisign MPKI RSA Security Keon Entrust Lotus, Novell, Microsoft, … OpenCA, EJBCA

16 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/16 Esempio: EJBCA architecture Firewall CR, OCSP, LDAP INTERNET Client RA, request queue DB CA, master DB Slave DB (replica), logging Firewall DMZ1 DMZ2 INT 1.Una EE manda una request alla RA 2.RA la verifica e la accoda per CA 3.CA fa polling sulla coda e quando ne trova le processa e ne memorizza la risposta per la RA 4.RA fa polling per vedere se la richiesta è stata processata, e nel caso mette a disposizione la risposta alla EE richiedente 5.Il client fa polling sulla RA per ricevere la risposta

17 Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/17 Riferimenti Heinz Johner, Seiei Fujiwara, Amelia Sm Yeung, Anthony Stephanou, Jim Whitmore: Deploying a Public Key Infrastructure, IBM RedBook SG24-5512-00, chap. 2-5 Introduction to Public-Key Cryptography, http://developer.netscape.com/docs/manuals/security/pkin/con tents.htm www.entrust.com/pki.htm RFC 2459, 2510, 2511, 2527, 2528, 2559, 2560, 2585, 2587: PKIX

Scaricare ppt "Tecnologie di Sicurezza in Internet APPLICAZIONI Public Key Infrastructures AA 2009-2010 Ingegneria Informatica e dell’Automazione."

Presentazioni simili

Autenticazione ed uso dei certificati: realizzazione di una semplice certification Authority Luca Bechelli Security Consultant http://web.tiscalinet.it/LucaBechelli.

Autenticazione ed uso dei certificati: realizzazione di una semplice certification Authority Luca Bechelli Security Consultant
EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
Setup di un Sito Web su Https

Setup di un Sito Web su Https
Gli specialisti degli eDocuments

Gli specialisti degli eDocuments
Lavoro temporaneo e firma digitale

"Lavoro temporaneo e firma digitale"
Certification Authority

Certification Authority
Microsoft Visual Basic MVP

Microsoft Visual Basic MVP
Certification Authority

Certification Authority
Configuring Network Access

Configuring Network Access
Public Key Infrastructure

Public Key Infrastructure
Laurea Magistrale in Informatica Reti 2 (2007/08)

Laurea Magistrale in Informatica Reti 2 (2007/08)
La sicurezza nelle Griglie

La sicurezza nelle Griglie
Sicurezza II Prof. Dario Catalano

Sicurezza II Prof. Dario Catalano
Progetto MODA-ML Biella, 30 novembre 2001 Sistema di interscambio messaggi Luca Mainetti HOC - Hypermedia Open Center Dipartimento di Elettronica e Informazione.

Progetto MODA-ML Biella, 30 novembre 2001 Sistema di interscambio messaggi Luca Mainetti HOC - Hypermedia Open Center Dipartimento di Elettronica e Informazione.
Directory services Directory offline –Elenchi telefonici –Guide TV –Cataloghi acquisti Directory online –Application specific (lotus notes, MS Exchange.

Directory services Directory offline –Elenchi telefonici –Guide TV –Cataloghi acquisti Directory online –Application specific (lotus notes, MS Exchange.
DNSSEC COME GARANTIRE LA PROTEZIONE DEL TRASFERIMENTO DEI DATI DEL DNS CON LAUSILIO DELLA CRITTOGRAFIA Seminario per il corso di Reti di calcolatori e.

DNSSEC COME GARANTIRE LA PROTEZIONE DEL TRASFERIMENTO DEI DATI DEL DNS CON LAUSILIO DELLA CRITTOGRAFIA Seminario per il corso di Reti di calcolatori e.
Università Degli Studi Di Perugia Sicurezza Informatica A.A. 2011/2012

Università Degli Studi Di Perugia Sicurezza Informatica A.A. 2011/2012
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi www.infocamere.it.

Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
1 DFP - Progetto Finalizzato A9 Dipartimento della Funzione Pubblica Presidenza del Consiglio dei Ministri Progetto finalizzato A9 Comunicazione elettronica.

1 DFP - Progetto Finalizzato A9 Dipartimento della Funzione Pubblica Presidenza del Consiglio dei Ministri Progetto finalizzato A9 Comunicazione elettronica.
Sicurezza su Reti 2 - 2006/2007 Commessa 1 : Protocollo di pagamento online utilizzato nella commessa.

Sicurezza su Reti /2007 Commessa 1 : Protocollo di pagamento online utilizzato nella commessa.

Presentazioni simili

Annunci Google