Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoCasimiro Serra Modificato 9 anni fa
1
Tecnologie di Sicurezza in Internet APPLICAZIONI Public Key Infrastructures AA 2009-2010 Ingegneria Informatica e dell’Automazione
2
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/2 PKI Definizione Infrastruttura composta dai sistemi necessari alla fornitura e alla fruizione di servizi di crittografia a chiave pubblica e firma digitale Scopo Le PKI sono utilizzate dalle organizzazioni per effettuare la gestione di chiavi e certificati digitali e il loro utilizzo per le varie applicazioni
3
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/3 PKI Requisiti principali Certificati digitali Certificate Repository Certificate revocation Key backup and recovery Support for non-repudiation Automatic update of key pairs and certs Integrated client-side software Trasparenza
4
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/4 PKI basic components Certificate repository End-Entity Registration Authority Certificate Authority Certificates CRLs Read, search, modify Registration/certification key pair recovery key pair update cert update revocation request Registration Registration CRL publication
5
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/5 PKI EE End-Entity (EE) Sono utenti o sistemi cui i certificati digitali sono intestati
6
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/6 PKI CA Certificate Authority (CA) Firma i certificati, garantendo la corrispondenza tra una chiave pubblica e una EE soggetto Ha la responsabilità dell'identificazione del soggetto User certs CA certs Cert renewal Cert revocation
7
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/7 PKI CR Certificate Repository (CR) Memorizza i certificati emessi e quelli revocati Directory con protocollo di accesso LDAP: bind, unbind, search, modify Componente opzionale
8
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/8 PKI RA Registration Authority (RA) E' una End-Entity opzionale e fidata (certificata dalla CA) cui sono delegate alcune funzioni della CA, come l’identificazione del soggetto e la generazione delle chiavi
9
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/9 X.509 certs Il formato più diffuso per i certificati digitali (TLS, S/MIME, IPSec, …) segue lo standard X.509. Campi principali: Nome dell'autorità emittente Periodo di validità Soggetto Chiave pubblica Firma digitale dell'autorità emittente Estensioni: Key usage Subject Alternative Name Certificate class
10
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/10 X.509 CRLs Certificate Revocation Lists X.509v2 definisce il formato di una CRL, usata per dichiarare certificati inutilizzabili anche se non ancora scaduti End-Entity termination Compromissione di chiave privata Passphrase loss Cambio di informazioni nel certificato Le CRLs sono pubblicate su una directory LDAP
11
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/11 PKI Protocols Certificate Management Protocols Protocolli di amministrazione usati fra EE e CA(RA) e fra RA e CA, scambiandosi messaggi CRMF Registrazione iniziale e certificazione Key pair recovery Key pair update Certificate renewal Revocation request
12
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/12 PKI Protocols Operational Protocols Protocolli usati dalle EE e CA per scambiare informazioni con un CR Repository read Repository search Repository modify Online Certificate Status Protocol Protocollo usato dalle EE e CA per ottenere informazioni sullo stato dei certificati direttamente da un CR
13
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/13 CA Hierarchies Le CA possono essere operate da terze parti o autonomamente. Le applicazioni che operano nella PKI hanno una lista di certificati di root CA considerate affidabili. Le CA formano solitamente gerarchie La root CA è dotata di un certificato self- signed ed è considerata affidabile Questa emette certificati per altre CA subordinate, che possono anche non essere tra quelle considerate affidabili E così via
14
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/14 CA Hierarchies Per validare i Certificati emessi dalle CA terminali, le applicazioni devono risalire la catena delle autorità emittenti Si forma una certificate chain in cui ciascun certificato è seguito dal certificato del suo emittente, fino a quello di una CA affidabile.
15
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/15 PKI Products Betrusted UniCERT (Baltimore) Verisign MPKI RSA Security Keon Entrust Lotus, Novell, Microsoft, … OpenCA, EJBCA
16
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/16 Esempio: EJBCA architecture Firewall CR, OCSP, LDAP INTERNET Client RA, request queue DB CA, master DB Slave DB (replica), logging Firewall DMZ1 DMZ2 INT 1.Una EE manda una request alla RA 2.RA la verifica e la accoda per CA 3.CA fa polling sulla coda e quando ne trova le processa e ne memorizza la risposta per la RA 4.RA fa polling per vedere se la richiesta è stata processata, e nel caso mette a disposizione la risposta alla EE richiedente 5.Il client fa polling sulla RA per ricevere la risposta
17
Tecnologie di Sicurezza in Internet: applicazioni – AA 2009-2010 – A80/17 Riferimenti Heinz Johner, Seiei Fujiwara, Amelia Sm Yeung, Anthony Stephanou, Jim Whitmore: Deploying a Public Key Infrastructure, IBM RedBook SG24-5512-00, chap. 2-5 Introduction to Public-Key Cryptography, http://developer.netscape.com/docs/manuals/security/pkin/con tents.htm www.entrust.com/pki.htm RFC 2459, 2510, 2511, 2527, 2528, 2559, 2560, 2585, 2587: PKIX
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.