Certification Authority Fase I : Setup e Configurazione Componenti del gruppo : Marino Pasquale Marra Maria Cristina Molaro Alfonso Rullo Esterino Introduzione CA Una Certification Authority è una entità che rilascia certificati digitali verso terze parti e ha il compito di emettere, consegnare e revocare i certificati una delle componenti più importanti della Public Key Infrastructure(PKI) Scambio di messaggi1 Due utenti, Alice e Bob, vogliono scambiarsi messaggi firmati e crittografati Alice scrive un messaggio per Bob firma il messaggio con la sua chiave privata cripta il messaggio con la chiave pubblica di Bob il messaggio viene inviato Quando Bob riceve il messaggio decripta il messaggio con la sua chiave privata verifica la firma con la chiave pubblica intestata ad Alice Scambio di messaggi2 Bob a questo punto sa due cose : il messaggio era diretto a lui perché è riuscito a decifrarlo con la sua chiave privata il messaggio è stato firmato con la chiave privata relativa alla chiave pubblica che lui ha usato per verificare la firma Bob, però, non ha alcuna garanzia che la chiave sia realmente di proprietà di Alice Scambio di messaggi3 supponiamo che una terza persona, Mallory, riesca ad intercettare la comunicazione in cui Bob ottiene la chiave di Alice e riesca a sostituirla con la sua chiave pubblica in cui si spaccia per Alice. Bob non ha alcun modo per scoprire l'inganno Soluzione : CA Per risolvere situazioni di questo tipo nascono le CA che si fanno carico di verificare e garantire la corrispondenza fra chiave e proprietario Quando un utente richiede un certificato, la CA verifica la sua identità, quindi crea un documento elettronico in cui sono contenuti: i dati personali dell'utente la chiave pubblica dell'utente gli estremi della CA che ha rilasciato il certificato gli indirizzi a cui può essere trovata la CRL Il documento viene firmato con la chiave pubblica della CA e pubblicato Registration Authority1 Le RA costituiscono il contatto diretto tra la CA e l'entita' che richiede il certificato La RA si occupa di verificare l'identita' del soggetto richiedente tramite l'identificazione fisica associata ad un documento oppure tramite altri criteri di controllo Dopo aver ricevuto una richiesta dalla RA, la CA genera il certificato e lo firma con la sua chiave privata La CA ora inviera' il certificato alla RA la quale, a sua volta, lo invierà al richiedente Registration Authority2 Certificato digitale1 Un certificato digitale è un documento elettronico che associa l'identità di una persona ad una chiave pubblica I certificati garantiscono la tutela delle informazioni personali su Internet e consentono di proteggere il sistema da programmi software non sicuri Viene emesso da una autorità di certificazione riconosciuta secondo standard internazionali (X.509) e viene firmato con la chiave privata dell'autorità Certificato digitale2 Installazione Installazione1 I software installati sono : Knoppix: sistema operativo; OpenCA: software principale per la realizzazione della CA; IpTables: firewall usato per impedire accessi indesiderati; Apache: nel toolkit OpenCA, Apache agisce da interfaccia, in locale, ai programmi di supporto sull’host CA ; Installazione2 mod_ssl: fornisce un’eccellente crittografia per il web server Apache tramite SSL e TLS, servendosi del toolkit OpenSSL; OpenSSL: toolkit crittografico che implementa SSL (acronimo di Secure Socket Layer) e TLS (acronimo di Transport Layer Security) ed i relativi standard crittografici da essi richiesti OpenLDAP: server utilizzato per la pubblicazione dei certificati Installazione3 Perl: fornisce un’interfaccia al database MYSQL, si presta bene a sviluppare applicazioni web perché può gestire dati cifrati, incluse le transazioni di commercio elettronico sicuro ; MySQL: usato come Data Base Management System. Installazione4 Per motivi di licenze sono stati utilizzati esclusivamente prodotti software freeware; ciò ha facilitato non solo il reperimento del software ma anche l’utilizzo La nostra scelta è ricaduta sul software Dartmouth OpenCa-LiveCD, il quale tramite pochi e semplici passaggi permette di installare tutto il software necessario per un Certification Authority, in modo tale da rendere il sistema veloce e leggero all'avvio Installazione5 Dartmouth OpenCa-LiveCD è un CD bootable con uno script di installazione che aiuta le persone ad avere una Certification Authority OpenCA pronta per essere installata in pochi minuti può essere utilizzato sulla maggior parte delle architetture Intel indipendente dal sistema operativo installato sul HDD Sequenza di installazione Scaricare il file ISO dal link http://media.dartmouth.edu/~deploypki/opencalivecd.iso Masterizzare l'immagine del CD Modificare il boot di avvio dal bios in modo da priorizzare il CD-ROM Inserire il CD nel driver e riavviare il PC A questo punto partirà uno script di configurazione automaticamente che permette di personalizzare la propria CA Inizializzazione CA Inizializzazione CA Fase I : Inizializzazione CA1 Digitando nel browser l'indirizzo http://www.my_ca.it/ca compare una tabella di informazioni sulle componenti software utilizzate e le relative versioni Il passo successivo da compiere è cliccare sul link Inizialization per passare alla fase di inizializzazione di OpenCA Fase I : Inizializzazione CA2 Fase I : Inizializzazione CA3 sono richiesti i seguenti passi per settare la PKI: DBSetup Bisogna solo cliccare sul link Inizialize Database ed il database precedentemente configurato sarà inizializzato. Tale azione distrugge i dati all'interno del database se esso già esiste. Key pair Setup Bisogna solo cliccare sul link Generate new CA secret key Fase I : Inizializzazione CA4 Request Setup Request Setup Bisogna solo cliccare sul link Generate new CA Certificate Request(use generated secred key) Bisogna solo cliccare sul link Generate new CA Certificate Request(use generated secred key) Final Setup Ci sono due operazioni da effettuare: Rebuild CA Chain costruisce la catena di certificati che è necessaria per verificare le firme digitali e per esportare la configurazione della CA. Export Configuration trasferisce su floppy l'intera configurazione della CA dato che la CA per ragioni di sicurezza gira su un host offline Fase II : Creare L’amministratore iniziale1 Tale fase di inizializzazione crea il primo certificato per l'amministratore della PKI Bisogna usare come ruolo per questo certificato "CAoperator" visto che certifica un'entità che non è un utente comune ma è l'amministratore della CA Fase II : Creare L’amministratore iniziale2 Fase II : Creare L’amministratore iniziale3 Sono richiesti i seguenti passi: Create a new request Cliccando su questo link viene visualizzata una form in cui bisogna inserire i dati riguardanti la richiesta Edit Request Qui viene data l'ultima possibilità di modificare i campi della richiesta (Distinguished Name). Cliccando su OK confermeremo le eventuali modifiche. Fase II : Creare L’amministratore iniziale4 Issue Certificate Nella pagina relativa a tale passo, finalmente, c'è la possibilità di rilasciare il certificato cliccando sul bottone issue certificate o di cancellare la richiesta cliccando sul bottone delete request Handle Certificate La pagina relativa a tale passo permette al richiedente di effettuare 4 operazioni sul certificato Download Change Passphrase Revoke key Download Certificate onto Token Fase III : Creare il certificato iniziale RA1 tale fase permette di creare il certificato per il server https dell'RA (bisognerebbe usare come role del certificato Web Server) I passi con le relative caratteristiche sono gli stessi della fase 2 Configurazione CA Configurazione di CA1 La fase di configurazione è importante perchè permette di customizzare la gestione e aggiungere nuove funzionalità. Si possono modificare caratteristiche importanti quali: Roles Cliccando sul tale link viene visualizzata una pagina che contiene i ruoli presenti nella PKI e permette di aggiungerne di nuovi Rights Cliccando sul tale link viene visualizzata una pagina in cui compare la ACL (Access Control List) dei moduli della PKI. Per ogni operazione visualizza l'operatore incaricato ad effettuare l'operazione ed il proprietario. Inoltre è possibile aggiungere, cancellare e ricercare diritti Configurazione di CA2 Operations Cliccando sul tale link viene visualizzata una pagina con tutte le operazioni della PKI (sono le stesse del punto precedente) e permette di cancellarne o aggiungerne nuove. E' anche possibile firmare (richiede CA-password), esportare e importare l'intera configurazione della PKI Modules Cliccando sul tale link viene visualizzata una pagina che contiene i moduli della PKI e permette di aggiungerne nuovi Scripts Cliccando sul tale link viene visualizzata una pagina che mostra gli scripts che implementano le operations e permette di cancellare lo script relativo ad un'operation. Inoltre mostra una descrizione delle caratteristiche relative ad ogni script.