TESI DI LAUREA TRIENNALE
Analisi e sperimentazione
di una Certification Authority
in un sistema di autenticazione
biometrico
Relatore:
Prof. Moro Michele
Laureando: Costa Alberto
1/10
27 Settembre 2007
•
Analisi teorica:
– Crittografia e algoritmi (a chiave privata, a chiave pubblica e funzioni di hash)
– Firma Digitale
– Certificato Digitale per l’autenticazione sicura di un soggetto
– Certification Authority e Public Key Infrastructure
•
Fase realizzativa:
– Installazione e configurazione di una Certification Authority per l’emissione e
la gestione dei certificati a chiave pubblica in un pc con sistema operativo
Linux
2 /10
Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
Crittografia
•
Simmetrica (a chiave privata)
–
Presenza di una sola chiave segreta
–
Esempi : DES, TRIPLE-DES, AES, IDEA
•
Asimmetrica (a chiave pubblica)
–
Presenza di chiave pubblica e privata
–
Esempi: RSA (+ lento degli algoritmi a
chiave simmetrica)
–
Rende possibile la firma digitale
•
Funzioni di hash
–
Creano, a partire da un file, un “riassunto”
–
Esempi: MD5, SHA
3 /10
Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
La firma digitale
•
Serve ad identificare la chiave pubblica dell’utente che ha eseguito la
cifratura, garantisce l’integrità del messaggio ma non dice nulla sulla
corrispondenza tra chiave e soggetto (servono i certificati digitali)
•
Si ottiene cifrando con la propria chiave privata l’hash di un messaggio
4 /10
Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
Certificato digitale a chiave pubblica
•
Attestato firmato digitalmente, con struttura definita dallo standard X.509,
ed emesso dalla Certification Authority (terza parte fidata) che contiene:
– i dati di identificazione dell’utente
– la chiave pubblica
– Identificativo e firma della CA
– firma dell’utente che lo possiede
•
Assicura che la chiave pubblica appartiene all’utente, garantisce
l’autenticazione
•
Garantisce Integrità + autenticazione = non ripudio
•
La struttura che rende possibile la distribuzione delle chiavi pubbliche è
la PKI (Public Key Infrastructure)
5 /10
Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
Realizzazione: schema
Sicurezza:
OpenSSL
Rete
CA Ejbca
Client
OpenLDAP
Application
Server
JBoss
Autenticazione:
Cyrus SASL
6 /10
Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
Realizzazione: Software - Certification Authority EJBCA
•
•
•
•
•
Certification Authority basata su tecnologia JAVA
Si appoggia all’Application Server JBoss
Consente l’emissione, la revoca ed il rinnovo di certificati a chiave
pubblica; svolge le funzioni di CA e RA
Supporto ad OCSP per controllo rapido dello stato dei certificati
Pubblicazione dei dati su directory LDAP
7 /10
Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
Realizzazione: Software - OpenLDAP
•
LDAP: Protocollo per l’interrogazione
e la modifica dei servizi di directory
•
Sistema client-server
•
Software utilizzato: OpenLDAP
versione 2.3.38 per LDAP v3
•
Basato su Database BerkeleyDB
•
Sfrutta funzioni di OpenSSL e Cyrus
SASL per garantire sicurezza nelle
comunicazioni client-server
8 /10
Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
Realizzazione: ambito biometrico
9 /10
Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa
Conclusioni
•
Garantite le 3 caratteristiche fondamentali nelle comunicazioni in rete
–
Privacy
–
Autenticazione
–
Integrità
Se la CA è usata in un sistema di autenticazione biometrico, la
sicurezza aumenta grazie a:
•
–
Presenza di Attribute Authority per la gestione dei certificati di attributo,
contenenti ad esempio l’informazione sull’impronta digitale di un soggetto
–
Funzioni di crittografia avanzate fornite dal token che memorizza l’impronta
•
Possibilità di aumentatre la sicurezza con
–
OpenVPN (usa SSL) per la comunicazione sicura client - server
–
Mit Kerberos come metodo di autenticazione più robusto
10 /10
Analisi e sperimentazione di una Certification Authority in un sistema di autenticazione biometrico - A. Costa