Universita` degli studi di Perugia Corso di Laurea in Matematica Attribute Certificate Valentina Hamam Rosa Leccisotti Non e` sufficiente… …sapere chi ha firmato il documento ma e` importante essere certi che egli fosse autorizzato a farlo. Certificato digitale E’ un documento di tipo elettronico che serve ad identificare in maniera univoca oggetti reali come utenti o computer. Come si ottiene un certificato digitale? Chiave pubblica Public Key Certificate (PKC) • Un PKC e` un certificato che associa l’identita` di un utente ad una chiave pubblica. • Emesso dalla Certification Authority • La revoca avviene tramite la Certificate Revocation List (CRL) • Precedentemente la Registration Authority si occupa della registrazione dell’utente Processo identificativo Attribute Certificate (AC) • E` un certificato digitale in cui sono specificati gli attributi di chi lo possiede, come gruppo di appartenenza, ruoli, funzioni. • Il formato tipico e` lo standard X.509 Struttura dell’AC • VERSION: La versione del certificato. • HOLDER: L’identità dell’individuo in possesso del certificato. • ISSUER: L’identità di chi ha emesso il certificato. • SIGNATURE: L’identificatore dell’algoritmo che viene usato per calcolare la firma digitale. Una sequenza di numeri interi separati da punti , unica per ogni soggetto. • SERIAL NUMBER: Un numero intero positivo unico, assegnato dall’emittente. • ATTRIBUTE CERTIFICATE VALIDITY PERIOD: Periodo di validità del certificato , entro il quale gli attributi sono validi. • ATTRIBUTES: Informazioni relative al titolare dell’AC , definite come una sequenza di attributi. • ISSUER UNIQUE ID: Informazioni relative alla localizzazione dell’emittente dell’AC. • EXTENSIONS: Ulteriori informazioni tra cui per esempio Authority key identifier, cioè l’identificatore della chiave usata per verificare la firma digitale, Attribute certificate targeting: per verificare i server e i servizi che accettano l’AC , Authority information access: per controllare lo stato di revoca di un certificato. Esempio AttributeCertificateInfo ::= SEQUENCE { version v2 holder c=IT, O=Policlinico, CN=Rossi Mario Issuer c=IT, O=Policlinico, CN=Ufficio Ruoli Signature 1.2.840.113549.1.1.5 SerialNumber 1234 validity 01/01/2004 – 01/01/2005 attributes title=Radiologo issuerUniqueID 22431 extensions …… } Attribute Authority (AA) • Gli AC sono emessi da una terza parte, detta Attribute Authority • Ha il compito di assegnare gli attributi e rendere disponibili gli AC a utenti o applicazioni • Puo` revocare, sospendere o rimuovere gli AC alla scadenza Per i dipendenti di un’azienda, la AA non può essere che l’azienda stessa Per i clienti di un servizio, la AA non può essere che il servizio stesso Per gli appartenenti ad un ordine professionale, la AA non può essere che l’ordine professionale stesso Durata degli attributi Varia a seconda del periodo di validita` del PKC di riferimento. Gli attributi possono essere: • “a vita”, validi per tutta la vita • “a lunga durata”, validi per un periodo superiore a quello del PKC • “di breve durata”, validi per un periodo inferiore a quello del PKC Revoca degli attributi Un AC può essere revocato prima della sua scadenza naturale: • su richiesta del titolare • autonomamente dall’emittente • implicitamente, con brevi periodi di validità • come i PKC, usando Attribute Certificate Revocation List (ACRL), emesse periodicamente dall’emittente dell’AC; contengono i numeri seriali dei certificati revocati Si possono distinguere due schemi di revoca: • Never revoke • Pointer in AC Modelli di distribuzione di AC • Il modello “pull”, in cui e` il server che recupera da una directory l’AC del client; • Il modello “push”, in cui e` il client che presenta il suo AC direttamente al server Privilege Management Infrastructure (PMI) • Infrastruttura per l’uso e la gestione dei certificati di attributo • Definita nel 2001, nella quarta edizione dello standard X.509 • Fornisce i servizi di autorizzazione dopo che è avvenuta l’autenticazione fornita dalla PKI Legame tra AC e PKC AC PKC Version Holder Issuer Version Serial Number Signature Signature Serial Number AttCertValidityPeriod Attributes IssuerUniqueID Extensions Issuer Subject SubjectPublicKeyInfo IssuerUniqueID SubjectUniqueID Extensions PKC vs AC PKC carta d’identità • identifica il possessore • dura per molto tempo • non dovrebbe essere banale da ottenere AC carta di credito • rilasciata da un’autorità diversa • di durata minore • ottenerla tipicamente richiede di presentare una carta d’identità Cifratura Se un AC contiene informazioni importanti, allora può essere necessario cifrare gli attributi in esso contenuti Al processo di identificazione del mittente, deve sempre seguire un processo di autorizzazione Processo Autorizzativo Tradizionale Si basa sul vecchio concetto di “anagrafica utenti” (database locale contenente informazioni sugli utenti) Le informazioni nel database sono facilmente modificabili e ciò comporta un serio problema…. Processo Autorizzativo basato sugli AC Perche` i normali certificati non bastano? 1. La CA non è l’ente più adatto per attestare gli attributi degli utenti e ne esistono già appositi che lo fanno a livello istituzionale 2. Gli attributi di un utente variano frequentemente nel corso del tempo… Fissare gli attributi in un PKC comporta la necessità di revocare il certificato al variare di quest’ultimi CONCLUSIONI La certificazione di attributi rappresenta una tecnologia innovativa a supporto del processo autorizzativo. Grazie per l’attenzione!