La sicurezza nelle transazioni Marco Riani Autenticazione = capacità di garantire al destinatario del messaggio la certezza dell'autenticità dell'identità dichiarata dal mittente. Non ripudio = garantire al destinatario la non ripudiabilità della manifestazione di volontà espressa dal mittente con l'invio del messaggio Riservatezza = capacità di garantire il trasferimento delle informazioni impendendo al visione del documento ad estranei non autorizzati (hackers). Integrità dei dati = capacità di trasferire in ambienti insicuri per definizione (Internet, Intranet ed Extranet) messaggi e informazioni in modo integro. La crittografia: aspetti preliminari Testo in chiaro Cifratura (encryption) Testo cifrato o crittogramma o testo criptato Decifratura (decryption) Crittografia = l'insieme delle teorie e delle tecniche che permettono di cifrare un testo in chiaro (cioè di ottenere un crittogramma) e di decifrare un crittogramma. La crittografia: aspetti preliminari Algoritmo di crittografia (cryttographic algorithm o chypher) = è una funzione matematica utilizzata nel processo di cifratura e decifratura dei dati. L'algoritmo di cifratura lavora in combinazione con una "chiave" (ossia una parola, un numero o una frase) per cifrare il testo in chiaro. La cifratura e la decifratura di un testo I software di crittogafia Fra i diversi software di criptosistema (o di cifratura) forse il più conosciuto è il PGP (Pretty Good Privacy) scritto dall’ingegnere Americano Philip Zimmermann. Questo software può essere scaricato gratuitamente dal sito Internet http://www.pgpi.org). Crittografia a chiave simmetrica Utilizza un'unica chiave per cifrare e decifrare le informazioni. Questa tecnica, infatti, funziona bene solo quando mittente e ricevente possono combinare in anticipo lo scambio della chiave. Cifratura e decifratura nella Crittografia a chiave simmetrica: la stessa chiave è utilizzata per cifrare e decifrare i messaggi. Crittografia a chiave asimmetrica Ogni utente utilizzando un determinato software (ad esempio PGP) genera una coppia di chiavi. L'algoritmo matematico che effettua questa operazione è tale per cui un messaggio che è stato cifrato con una chiave della coppia, può essere decifrato solo con l'altra chiave della stessa coppia. Inoltre, anche se le due chiavi sono generate insieme, partendo dalla chiave pubblica è impossibile ricavare la chiave segreta Cifratura e decifratura nella crittografia a chiave asimmetrica La firma digitale di un documento La firma digitale ha lo stesso scopo della firma tradizionale. Tuttavia, mentre la firma tradizionale è facile da contraffare, la firma digitale è molto difficile da falsificare. La firma digitale consente a chi riceve l'informazione di verificare sia l'autenticità del messaggio, sia la veridicità del mittente. Il messaggio è firmato digitalmente quando viene cifrato con la chiave privata del mittente. Il sistema di firma digitale descritto nella precedente Figura, tuttavia, presenta due inconvenienti fondamentali: è estremamente lento produce un notevole ammontare di dati. Un modo efficiente e sicuro per firmare digitalmente un documento La certification Authority Una questione molto importante nei criptosistemi a chiave pubblica riguarda l'identità effettiva della persona di cui si vuole utilizzare la chiave pubblica. In altri termini, come si fa a sapere che una determinata chiave pubblica corrisponde effettivamente alla persona a cui io voglio spedire le informazioni? Il certificato digitale Un certificato digitale (CD) è costituito da un insieme di dati che funzionano come un certificato tradizionale. Più precisamente, un CD contiene informazioni su una chiave pubblica; informazioni sull'utilizzatore (nome, user ID) per aiutare altre persone a verificare l’identità del possessore della chiave pubblica; una o più firme digitali. Il certificati digitali supportati dal software PGP Il certificato PGP Il certificato X.509 Cosa contiene il certificato PGP il numero della versione di PGP; la chiave pubblica del possessore del certificato; informazioni sul possessore del certificato (user ID, fotografia ecc.); la firma digitale del possessore del certificato (questa firma è stata ottenuta con la chiave privata del possessore del certificato); La data di creazione del certificato il periodo di validità del certificato; l'algoritmo di cifratura preferito (PGP supporta i seguenti algoritmi: CAST, IDEA e Triple-DES). Il certificato PGP può essere pensato come una chiave pubblica a cui sono state allegate alcune etichette Le autorità di certificazione in Italia In Italia l'articolo 8 comma 3 del DPR 513/97 ha stabilito che l'elenco pubblico dei certificatori è tenuto dall'Autorità per l'informatica nella pubblica amministrazione (AIPA). Elenco dei certificatori http://www.interlex.it/docdigit/elenco.htm PGP, la crittografia e la firma digitale in pratica Il software PGP (scaricabile gratuitamente dal sito Internet www.pgpi.com) è un criptosistema ibrido in quanto combina le caratteristiche della crittografia simmetrica con quelle della crittografia a chiave pubblica. Crittografia con PGP Compressione dei dati Dopo aver compresso i dati, PGP crea una chiave di sessione, ossia una chiave segreta (ossia un numero casuale). Questo numero dipende dai movimenti del mouse, dai tasti che si premono e dal contenuto del messaggio Crittografia con PGP Partendo dal numero casuale che rappresenta la chiave di sessione si utilizza un algoritmo di compressione a chiave simmetrica per cifrare l’intero testo in chiaro. Il risultato di questo processo è un testo cifrato con la chiave di sessione in chiaro. Crittografia con PGP Una volta che i dati sono stati cifrati con la chiave di sessione, se io voglio spedire il messaggio al soggetto B, posso limitarmi a cifrare la chiave di sessione con la chiave pubblica di B Il metodo utilizzato dai software di crittografia per la cifratura dei dati Il metodo utilizzato dai software di crittografia per decifrare i dati L'impiego congiunto dei due metodi di crittografia (chiave simmetrica e chiave pubblica) permette di combinare la sicurezza e la convenienza del metodo di cifratura a chiave pubblica, con la velocità del metodo di cifratura convenzionale. La cifratura a chiave simmetrica, infatti, è circa 1000 volte più veloce della cifratura a chiave pubblica. La crittografia in pratica Generazione della coppia di chiavi Come trovare la chiave pubblica di una persona Come cifrare un file con la chiave pubblica di una determinata persona Come decifrare un file che vi è stato spedito utilizzando la vostra chiave pubblica I sistemi di pagamento Marco Riani Carta di credito e di debito La differenza sostanziale tra questi due tipi di carte consiste nel fatto che le operazioni che utilizzano la Cd prevedono l'addebito immediato sul conto corrente del cliente, mentre quelle con la Cc vengono raggruppate in un estratto conto separato e addebitate mensilmente per l'importo totale. Tipologie di carte di credito Le carte di credito sono di due tipi a seconda che siano gestite completamente da organizzazioni non bancarie oppure siano distribuite tramite organizzazioni bancarie. Al primo raggruppamento appartengono Diners Club e American Express. Nel secondo gruppo troviamo invece VISA, MasterCard e Europay. Il pagamento tradizionale tramite carta di credito Il pagamento tramite Internet con CC utilizzando il protocollo SSL SSL (Secure Sockets Layer) è un protocollo sviluppato dalla Rsa Data Security Inc. che ha l'obiettivo di gestire la sicurezza del canale per la trasmissione dei dati garantendo l'integrità e l'autenticazione degli stessi. Caratteristiche di SSL privacy: i dati vengono crittografati in modo da assicurare la segretezza durante la trasmissione; validazione del messaggio: il protocollo controlla che i dati non vengano falsificati durante la trasmissione; possibilità di autenticazione del negozio on line se la firma digitale del sito web, rilasciata da un’autorità di certificazione, accompagna i messaggi assicurando che l'identità del sito di e-commerce è autentica. Dettagli tecnici A livello tecnico, i protocolli di SSL si inseriscono tra l'HTTP (il protocollo di trasmissione degli iperoggetti) e il TCP (il protocollo che cura la trasmissione vera e propria dei dati); l'insieme dell'HTTP e dell'SSL è denominato HTTPS, e il suo uso è individuato da URL https. Come certificare il proprio sito web con Verisign Passo 1: Conferma del Nome di Dominio Passo 2: Ottenimento della documentazione legale (numero DUN) Passo 3: generazione e invio del CSR (ossia la richiesta di firma del certificato) e la coppia di chiavi (pubblica e privata). Come certificare il proprio sito web con Verisign Per generare la CSR si può utilizzare il sito http://www.verisign.it/server/prd/index_s.htm Dopo aver creato la vostra CSR, aprite il relativo file con un editor di testo (ad esempio notepad), copiate la CSR e incollatela nel modulo di registrazione on-line di VeriSign. La CSR si presenterà in questo formato: -----BEGIN NEW CERTIFICATE REQUEST----MIIBJTCB0AIBADBtMQswCQYDVQQGEwJVUzEQMA4GA1UEChs4lBMHQXJpem9uYTENA1UE BxMETWVzYTEfMB0GA1UEChMWTWVs3XbnzYSBDb21tdW5pdHkgQ29sbGVnZTEA1UEAxMTd 3d3Lm1jLm1hcmljb3BhLmVkdTBaMA0GCSqGSIb3DQEBAQUAA0kAMEYCQQDRNU6xslWjG411 63gArsj/P108sFmjkjzMuUUFYbmtZX4RFxf/U7cZZdMagz4IMmY0F9cdpDLTAutULTsZKDcLAgEDo AAwDQYJKoZIhvcNAQEEBQADQQAjIFpTLgfmBVhc9SQaip5SFNXtzAmhYzvJkt5JJ4X2r7VJYG3J 0vauJ5VkjXz9aevJ8dzx37ir3P4XpZ+NFxK1R=-----END NEW CERTIFICATE REQUEST----- Come certificare il proprio sito web con Verisign Passo 4: dell’iscrizione completamento Contatto Tecnico (ISP) Contatto Organizzativo (chi è autorizzato a stipulare il contratto) Contatto Amministrativo (Chi riceverà le richieste di pagamento Come certificare il proprio sito web con Verisign Passo 5: autenticazione del vostro sito Web Gli impiegati di VeriSign esaminano le informazioni inviate e se tutto è corretto, dovreste ricevere il vostro ID via e-mail in circa 7 giorni lavorativi. Il protocollo SET provvedere alla segretezza delle informazioni circa i pagamenti assicurare l'integrità dei dati durante la trasmissione provvedere all'autenticazione della carta di credito del compratore provvedere all'autenticazione del venditore (occorre verificare che colui che dice di essere un venditore sia veramente quel venditore) assicurare la titolarietà degli strumenti di pagamento Le altre modalità di pagamento on line possibili Carte intelligenti o carte prepagate (www.cartafacile.it) La moneta elettronica borsellino elettronico Le società di payment gateway in Italia Le società di payment gateway si occupano di convogliare i dati nei circuiti autorizzativi internazionali delle società emittenti la carta di credito, di eseguire le transazioni nei circuiti bancari degli attori e di restituire al negozio e al cliente l'esito della transazione. Le società di payment gateway in Italia Banca SSB Sella Come gli hacker attaccano un sito web Analisi delle porte di ingresso (Portscan Portfuck) Nukenubber Attacco attraverso l'esecuzione automatica di script. Cracking (scoperta) delle password Spoofing della posta elettronica Intasamento del server (ping of death) I Virus I virus I virus sono semplicemente programmi o parte di programmi che riescono in vario modo a replicare se stessi, a scrivere sull'hard disk, e più in generale, a compiere un certo numero di operazioni più o meno dannose. Effetti dei virus Alcuni modificano i programmi, fino ad impedirne il funzionamento, altri ancora si preoccupano, ad una data prestabilita, o dopo un certo numero di duplicazioni o di accensioni del PC, di cancellare parti dei nostri dati o dei nostri programmi, o di rinominarli, o di formattare l'Hard Disk. I peggiori in assoluto, vanno a riscrivere il settore di boot del disco Come possono entrare in contatto con il vostro sistema aprendo (ossia facendo doppio click con il mouse) se un file eseguibile aprendo un file di dati che è stato in precedenza infettato; eseguendo macro Come evitarli Procuratevi ad intervalli regolari un programma antivirus aggiornato Controllate con l’antivirus ogni dischetto che proviene da altre persone Controllate con antivirus ogni programma eseguibile che proviene dalla rete o da messaggi di posta elettronica I siti degli hacker All’indirizzo web http://web.tiscalinet.it/psicho/Hacking.htm è possibile trovare tutto il repertorio dettagliato degli hacker italiani: le utilità per attaccare, i software di password cracker, i software port scanner ecc.
Scarica
