2012
Sicurezza e Privacy
Progetto finanziato da
Parma
17-04-2012
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
SICUREZZA E PRIVACY
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Sommario
• Cos’è la sicurezza nell’ICT
• Aree della security ICT
– Rischi e minacce
– Attacchi principali
• Crittografia
• Sviluppo del security plan
• Esempi
– Gestione della password
– Principali frodi e precauzioni
– Sicurezza Wi-Fi
• Legge sulla Privacy
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Cos’è la ICT Security
• È il risultato di due componenti fondamentali
– Prodotti e servizi
• Antivirus, firewall, Intrusion detection, …
• Back up, disaster recovery, business continuity, …
• Managed security, …
– Comportamenti e processi
• Policy security aziendale
• Formazione, …
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Un approccio minimalista è pericoloso
• La sicurezza ICT è continuamente in movimento:
– Si modificano i rischi
– Cambia l’organizzazione aziendale
– Sempre più applicazioni vanno in rete
• L’approccio delle aziende non è altrettanto dinamico:
–
–
–
–
Si utilizzano poco i servizi gestiti da professioniSti specialisti della sicurezza (managed services)
Si aggiorna l’indispensabile
Non si fa back up strutturato
Non si fa formazione
• Si tende a rimandare un investimento maggiore in sicurezza “quando sarà il momento”.
PROBLEMA: i tempi di reazione agli attacchi sono ormai nell’ordine dei minuti, e nulla
può essere fatto in pochi minuti.
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
La sicurezza non può essere “reattiva”
La diffusione del worm “Code-Red”
Tempo trascorso: 24H
Vittime: 359+k server nel mondo
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
La sicurezza non può essere “reattiva”
La diffusione del worm “Sapphire”
1 anno dopo i tempi si accorciano drammaticamente:
Tempo trascorso: 30 minuti
Vittime: 75+k server nel mondo
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Aree della security ICT
Confidenzialità
Integrità
Autenticazione
Non-rifiuto
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Rischi e minacce
Intercettazione (o snooping)
• Contromisure: cifratura dei dati per la loro confidenzialità
Intercettazione
17-04-2012
Analisi del traffico
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Rischi e minacce
Alterazione:
• Contromisure: garantire l’integrità dei dati
Esempio: attacco man-in-the-middle
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Rischi e minacce
Mascheramento (o spoofing): presentarsi con una diversa identità
• Generazione di un hijacking (o dirottamento): es. Phishing
• Contromisure: protezione di tecniche di autenticazione per
confermare l’identità degli attori in gioco
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Rischi e minacce
Blocco o ritardo
• Sfrutta le debolezze intrinseche del sistema o di sue procedure
• Contromisure: tecniche di autenticazione per garantire la
disponibilità del sistema
Replay
17-04-2012
Denial of Service
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Crittografia
• Crittografia deriva dal greco e
significa scrittura segreta
• Definizione: la crittografia è
“la disciplina che studia la
trasformazione di dati allo
scopo di nascondere il loro
contenuto semantico,
impedire il loro utilizzo non
autorizzato o impedire
qualsiasi loro modifica non
rilevabile”
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Crittografia (2): cifratura a chiave simmetrica
• Partecipanti alla comunicazione sicura
condividono la stessa chiave di
cifratura  messaggio in chiaro è
cifrato con una chiave ed è richiesta la
stessa chiave per decifrare il testo
cifrato
• La chiave simmetrica è spesso indicata
come chiave segreta
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Sviluppo del security plan
Analisi
delle
minacce
Security
plan /
meccanismi
Controllo
Applicazione
nella rete
aziendale
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Analisi delle minacce
• Aiuta a capire di quale sicurezza si ha bisogno:
– Quali risorse hai bisogno di proteggere?
• Asset hardware (PC, server, hub, switch), asset software (OS,
programmi, applicazioni), dati (in DB remoti/locali, in transito)
– Contro quali minacce?
• DoS, rubare o corrompere dati/servizi/sw/hw , virus/worm,
danneggiamento fisico, accessi non autorizzati
• Matrice minacce/asset
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Meccanismi di security
• Sicurezza fisica
– Stanza con accesso controllato, allarme, backup elettricità, off-site
storage
• Protocolli/applicazioni
– IPsec, TLS, PGP, WPA per WiFi
• Cifratura (Chiave/password) e algoritmi (AES, DSA)
• Firewall e remote access
– Packet filtering
• Consapevolezza della sicurezza
– Condividere le procedure con i dipendenti
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Meccanismi di security: Firewall
• “Firewall” = porte tagliafuoco usate per bloccare la
propagazione degli incendi
• Punto di accesso unificato per il traffico della rete
– Controllo generale e non distribuito sui singoli computer
– Si interpone tra la nostra rete locale e il mondo esterno
• In sostanza
– Fornisce un controllo agli accessi attraverso regole che
restringono i pacchetti ammessi all’interno della rete
locale
– Riduce il traffico in uscita evitando fughe di materiale
privato
• Stateless firewall (regole statiche), Statefull firewall
(content filtering)
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Applicazione nella rete aziendale
• Applicare il meccanismo selezionato come requisiti del
security plan
– Architettura della rete: access/distribution/core network 
vari livelli/zone di security
• Interazioni tra meccanismi di sicurezza
• Interazione con altre componenti della rete
– Indirizzamento
– Gestione della rete
– Prestazioni della rete
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Esempi: gestione della password
•
•
Password: permette l’accesso al sistema (autenticazione) secondo i privilegi dell’utente
Vulnerabilità: password corta o facile da indovinare
–
–
–
–
•
Lunghezza
Parola personale (e.g. nome del figlio, data di nascita)
Parola di senso compiuto
Parola nota (e.g. personaggi di sport o film)
Strategie di selezione:
– Educazione dell’utente
– Generazione dal computer  password altamente casuale  difficile da ricordare
– Installare dei controllori di password  comunicazione se la password è scoperta
•
Consigli per la scelta:
– Password lunga almeno 8 caratteri
– La password deve contenere una lettera maiuscola, una lettera minuscola, una cifra e un elemento di
punteggiatura
– Cambiare la password ogni mese
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Esempi (2): gestione della password
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Esempi: principali frodi
Dal sito di Poste Italiane: www.poste.it
•
•
Phishing: realizzata con l'invio di e-mail contraffatte, finalizzata all'acquisizione, per scopi illegali, di dati
riservati
Pharming: finalizzato all'acquisizione illecita di dati riservati, mediante il dirottamento dell'utente da un sito
internet ufficiale ad un sito pirata  modifica nel DNS o nei registri del PC della vittima
–
–
•
•
•
•
•
•
•
17-04-2012
Modifica degli abbinamenti tra il dominio e l'indirizzo IP corrispondente a quel dominio.
Es. legame corretto www.poste.it  180.80.81.111; legame modificato www.poste.it  251.133.2.128
Spam: Ricezione di messaggi non autorizzati (generalmente commerciali) nella propria casella di posta
Trojan: Si nascondono all'interno di programmi o di file eseguibili all'apparenza innocui, con lo scopo di
raccogliere informazioni o aprire una porta nascosta per accedere al computer dall'esterno
Virus: Frammenti di software che una volta eseguiti infettano dei file nel computer in modo da
riprodursi, facendo copie di sé stessi
Worm: è un malware (malicious software) in grado di auto-replicarsi: è simile ad un virus come finalità, ma
non necessita di legarsi ad altri eseguibili per diffondersi
Spyware: Software che raccolgono informazioni sull'attività in Internet dell'utente, senza il suo consenso
Trasmissione di informazioni: spesso l'utente invia informazioni riservate su Internet: è importante
assicurarsi che tali dati non possano essere registrati da malintenzionati
Smishing (SMS Phishing): il nuovo sistema per rubare denaro e informazioni riservate con il cellulare
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Esempi: possibili precauzioni
Regole di base prima di navigare in Internet:
• Disporre di un antivirus
• Disporre di un antispyware
• Disporre di un firewall
• Assicurasi che il sistema operativo, i
programmi per la sicurezza e i programmi
che si utilizzano per accedere alla rete siano
sempre aggiornati
• Utilizzare con buon senso i servizi offerti
– Attenzione alle e-mail: non aprite messaggi da
sconosciuti, non aprite allegati, non
comunicate mai informazioni personali via email (username, password, codici)
– Nelle transazioni assicuratevi di essere in uno
spazio reso sicuro dal protocollo di sicurezza
SSL (certificati)
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Esempi: sicurezza Wi-Fi
• Trasmissione via radio soggetta ad ulteriori rischi
• Misure per la sicurezza delle reti wireless:
– Chiave di Autenticazione Pubblica (Wired Equivalent Privacy, WEP)
– Chiave di crittografia WPA (Wi-Fi Protected Access). Chiavi per ogni utente
attraverso una Pre-Shared Key (PSK)
• Modifiche per aumentare la sicurezza: cifratura basata su TKIP (Temporal Key Integrity
Protocol) che cambia periodicamente la chiave di cifratura (ora fino a 256 bit)
–
–
–
–
17-04-2012
Controllo Access-List ristretta
Nome della rete Wi-Fi (SSID) nascosto: necessaria la configurazione manuale
Spegnere l’AP per lunghi tempi di inattività, abilitare firewall su PC e AP
AP in posizione sicura, assegnazione statica degli indirizzi IP e non attraverso il
DHCP
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Legge sulla privacy
• Motivo: rispettare gli accordi di Schengen  legge del 31 dicembre 1996 numero
675 aggiornata nel Testo Unico (D. L. 30 giugno 2003, n. 196 “Codice in materia di
protezione dei dati personali” in vigore dal 1 gen 04)
• Scopo: riconoscimento del diritto del singolo sui propri dati personali 
disciplina delle diverse operazioni di gestione dei dati (trattamento), riguardanti
la raccolta, l'elaborazione, il raffronto, la cancellazione, la modificazione, la
comunicazione o la diffusione degli stessi
• Obblighi e diritti:
–
–
–
–
17-04-2012
Informare preventivamente il soggetto di cui si voglia utilizzare i dati
Ottenere il consenso del soggetto interessato
Ulteriori attenzioni per i dati sensibili
Redigere un Documento programmatico sulla sicurezza (DPS) dove dovranno essere
indicati i responsabili del trattamento dei dati e le misure prese per garantirne la
sicurezza
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Breve parentesi sulla privacy nel cloud
• Cosa accade quando i dati sono conservati in un server
estero?
• Quali dati sono “sensibili”?
• Quali controlli e procedure devo seguire per essere in
regola?
•…
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
I riferimenti ...
• norme Ue (direttiva 95/46/CE)
• norme italiane di cui al c.d. Codice della Privacy
(d.lgs. n. 196/2003)
L’azienda (o libero professionista) può usare il servizio di cloud storage
sia per i propri file personali (foto, musica ecc.), sia per quelli lavorativi.
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Chi può usare il remote storage?
Soluzioni come “Dropbox” possono ad esempio essere utilizzate da liberi
professionisti: i dottori commercialisti le possono utilizzare con file di
contabilità dei clienti (fatture, ecc.) o per le dichiarazioni dei redditi
(quindi con file concernenti spese sanitarie ecc., ovvero dati sicuramente
sensibili), magari condividendoli con i clienti stessi, vista la semplicità e
l’efficienza dello strumento…
Ma cosa devono fare per essere in regola?
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
È vietato tutto ciò che non è espressamente consentito!
il trasferimento anche temporaneo fuori del territorio dello
Stato, con qualsiasi forma o mezzo, di dati personali oggetto di
trattamento, diretto verso un Paese non appartenente
all’Unione europea, è vietato quando l’ordinamento del Paese
di destinazione o di transito dei dati non assicura un livello di
tutela delle persone adeguato”
(cfr. art. 45 Codice della Privacy).
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Cosa non è necessario fare
non è necessaria alcuna notifica preventiva al Garante per il
trattamento dei dati non sensibili
Sono dati sensibili:
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti
mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione
assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla
fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e
diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa
sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od
organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico,
religioso o sindacale;
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
…segue lista dei dati sensibili…
c) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la
personalità dell’interessato, o ad analizzare abitudini o scelte di consumo,
ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con
esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi
medesimi agli utenti;
d) dati sensibili registrati in banche di dati a fini di selezione del personale per
conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di
mercato e altre ricerche campionarie;
e) dati registrati in apposite banche di dati gestite con strumenti elettronici e
relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al
corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti”
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Alcune considerazioni…
non emergono particolari problemi quando il trasferimento,
anche temporaneo, fuori del territorio dello Stato, con qualsiasi
forma o mezzo, di dati personali oggetto di trattamento e
diretto verso un Paese non appartenente all’UE concerne dati
riguardanti persone giuridiche, enti o associazioni in quanto
espressamente consentito dalla deroga di cui all’art. 43,
comma 1°, lettera h) del Codice della Privacy.
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
… e per le persone fisiche?
Il discorso si fa, invece, enormemente più delicato quando i dati
trasferiti in paesi extra UE riguardano le persone fisiche in quanto le
norme applicabili dettano una disciplina piuttosto articolata.
L’art. 43 del Codice della Privacy consente il trasferimento di dati di
persone fisiche (non solo quelli sensibili, ma tutti i tipi di dati, quindi
anche, ad es., la semplice rubrica dei contatti) in paesi extra UE in una
serie di ipotesi (comma 1° lettere b) – g)) tutte, però, caratterizzate dal principio
della necessità del trattamento:
però l’utilizzo del servizio di cloud storage è una mera facoltà, una
possibilità…
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
norme dispositive a favore…
La medesima norma prevede una prima soluzione, seppure
parziale in quanto autorizza espressamente il trasferimento
di dati verso paesi non UE quando:
“l’interessato ha manifestato il proprio consenso espresso
o, se si tratta di dati sensibili, in forma scritta”
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
norme dispositive “contro”
l’Autorizzazione del Garante n. 4/2009 al trattamento dei dati
sensibili da parte dei liberi professionisti (G.U. n. 13 del
18.01.2010 – suppl. ord. n. 12) prevede che “il trattamento deve
essere effettuato unicamente con logiche e mediante forme di
organizzazione dei dati strettamente indispensabili in rapporto
all’incarico conferito dal cliente”
l’impiego di servizi cloud non può certamente configurarsi come
strettamente indispensabile con l’incarico conferito.
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
L’autorizzazione del Garante
ll trasferimento di dati verso un Paese extra UE è ammesso quando è
autorizzato dal Garante sulla base di:
• adeguate garanzie per i diritti dell’interessato che possano risultare
anche da un contratto
oppure
• sulla base di decisioni della Commissione europea che constata un livello
di protezione adeguato
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Il Safe Harbour
La Commissione europea ha individuato un livello di protezione
adeguato a quello vigente nell’ambito dell’Unione Europea in
Paesi terzi ai fini della tutela della vita privata o dei diritti e delle
libertà fondamentali della persona.
Ad oggi la Commissione ha reputato di poter
esprimere un giudizio positivo di adeguatezza
nei confronti di Australia, Canada, Argentina,
Ungheria, Svizzera, Isola di Man, Guernsey e
Stati Uniti limitatamente al programma Safe
Harbour
(Decisione del 26 luglio 2000 n. 2000/520/CE)
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
17-04-2012
Camera di Commercio di Parma
‹#›
Considerazioni
• Le soluzioni di cloud pubblico spesso non danno
garanzie sul luogo di residenza del dato.
• Soluzioni più costose consentono di controllare
“dove e chi”
La responsabilità è di chi detiene ed usa i dati!
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Grazie per l’attenzione
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Riferimenti
• J. Joshi et al., “Network Security: Know It All”, ed. Elsevier.
• A. S. Tanenbaum, “Reti di calcolatori”, Ed. Pearson Education Italia, 4° ed., 2003.
• S. Piccardi, “La gestione della sicurezza con GNU/Linux”, available at
http://svn.trulite.t/truedoc
• W. Stallings, “Cryptography and Network Security: Principles and Practices”, 4th
Ed., Pub. Prentice Hall, Nov. 2005
• http://www.camera.it/parlam/leggi/deleghe/testi/03196dl.htm e wikipedia a
supporto
• www.poste.it
• www.polizia.it
• www.telecomitalia.it
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Crittografia
• Crittografia deriva dal greco e significa scrittura segreta
• Attualmente indica la disciplina che permette al mittente di cifrare
opportunamente un messaggio da inviare, di renderlo incomprensibile a
coloro a cui non è destinato ma di permettere al destinatario di
decifrarne il contenuto e di risalire, quindi, al messaggio originario
• Definizione: la crittografia è “la disciplina che studia la trasformazione di
dati allo scopo di nascondere il loro contenuto semantico, impedire il
loro utilizzo non autorizzato o impedire qualsiasi loro modifica non
rilevabile”
• L’arte di rompere un algoritmo crittografico è chiamata crittoanalisi
mentre l’arte di concepirli è la crittologia
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Cifratura a chiave simmetrica
• Partecipanti alla comunicazione sicura
condividono la stessa chiave di
cifratura  messaggio in chiaro è
cifrato con una chiave ed è richiesta la
stessa chiave per decifrare il testo
cifrato
• La chiave simmetrica è spesso indicata
come chiave segreta
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Cifratura a chiave simmetrica (2)
• Esempi di algoritmi di cifratura a chiave simmetrica
Anche chiamato AES
(Advanced Encrytion Standard)
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Cifratura a chiave asimmetrica
•
Si usano sempre una coppia di chiavi
– una chiave può essere usata per la cifratura (la chiave
pubblica)
– l’altra solo per la decifratura (la chiave privata)
•
•
•
•
17-04-2012
Per la comunicazione sicura si cifra il messaggio con la
propria chiave pubblica e solo chi possiede la relativa
coppia di chiave privata è in grado di decifrare
correttamente il messaggio
Un capo della trasmissione può solo trasmettere l’altro
solo ricevere rendendo il processo asimmetrico  per
comunicazioni bidirezionali si devono usare due
coppie di chiavi
La chiave pubblica può essere diffusa, mentre quella
privata deve essere gelosamente custodita
Vantaggio: ridotta gestione delle chiavi
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Cifratura a chiave asimmetrica (2)
•
Principali algoritmi a chiave asimmetrica
– RSA: è l’algoritmo di questa categoria più famoso e robusto. L’RSA ha bisogno di una lunghezza di
chiave di almeno 1024 bit per garantirne un livello di robustezza adeguato, rendendolo molto lento
– El-Gamal: altro algoritmo noto, non vi esiste una soluzione efficiente, richiesta una lunghezza di chiave
di almeno 1024 bit
– DSA (Digital Signature Algorithm): difficile soluzione rendendo robusto l’algoritmo, complessità
maggiore  chiavi più corte ma un tempo computazionale maggiore. Il DSA è usato come standard per
le firme digitali in US
•
Altra caratteristica degli algoritmi a chiave asimmetrica: esecuzione dello schema in maniera
inversa consente di apporre la firma digitale del mittente su quel messaggio
– Si cifra con la chiave privata e si decifra con la chiave pubblica
– Non si rende il messaggio confidenziale, visto che chiunque potrà leggerne il contenuto tramite la
chiave pubblica. Tuttavia l’unico che sia in grado di produrlo è colui che è in possesso della
corrispondente chiave privata
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Funzionalità di hash
• Funzioni di hash crittografici o funzioni
ad una via per integrità, autenticazione e
non repudiabilità
– In ingresso un qualunque testo in chiaro di
dimensione arbitraria e generano in uscita
una stringa di bit di dimensione fissa o
valore di hash di quel testo (o message
digest)
– Tale valore identifica in maniera univoca il
testo in chiaro e permette di verificarne
l’integrità (utilizzando l’hash come
checksum)
– Testi in chiaro poco differenti producono un
valore di hash molto differente
17-04-2012
Autenticazione e Integrità del messaggio:
-Valore di hash cifrato con la chiave segreta
(simmetrica)  Message Authentication Code
(MAC)
- l’hash dà l’integrità, la chiave segreta dà
l’autenticazione
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Funzionalità di hash (2)
•
Principali algoritmi di hash:
–
–
•
Una ulteriore applicazione dell’hash crittografico: Uso della chiave privata (asimmetrica) anziché quella
segreta garantendo quindi l’integrità del documento, l’identità del mittente ma anche la non-ripudiabilità
del messaggio (schema uguale al precedente ma uso della chiave privata piuttosto che quella segreta)
1.
2.
3.
4.
–
17-04-2012
MD5: Esegue prima un inserimento di bit extra per avere un certo numero di blocchi di 512 bit intero. Si eseguono
poi manipolazioni dei bit di tali blocchi con un buffer di 128 bit, il quale alla fine della computazione risulta essere il
valore di hash o message digest. Attualmente sono noti vari problemi che ne limitano l’uso.
SHA-1 (Secure Hash Algorithm-1): utilizzato in applicazioni come GPG, SSH, SSL e IPsec. Processa blocchi di 512 bit al
fine di modificare il più possibile i bit in ingresso. Produce in uscita un message digest di 160 bit anche se esistono
versioni con hash maggiori (e.g. SHA-256 e SHA-512)
Dal testo in chiaro si genera il valore di hash
Lo si cifra con la chiave privata (generando in sostanza una firma digitale)
Si trasmette sul canale non sicuro il testo in chiaro con il valore di hash cifrato con la chiave privata
Il destinatario è sicuro che il testo sia integro (se l’hash da lui calcolato coincide con quello trasmesso), che
l’identità del mittente sia quella (visto che ha decifrato l’hash con la chiave pubblica corrispondente in maniera
univoca a quella privata in possesso del mittente), e che il mittente può ripudiarne la trasmissione (perché vi ha
apposto la sua firma digitale con la sua chiave privata)
Per aggiungere la confidenzialità del testo basta semplicemente cifrare il testo con il suo valore di hash
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›
Riassunto degli algoritmi di crittografia
17-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Parma
‹#›