Universita` degli studi di Perugia
Corso di Laurea in Matematica
Attribute Certificate
Valentina Hamam
Rosa Leccisotti
Non e` sufficiente…
…sapere chi ha firmato il
documento ma e` importante
essere certi
che egli fosse
autorizzato a farlo.
Certificato digitale
E’ un documento di tipo
elettronico che serve ad
identificare in maniera
univoca oggetti reali come
utenti o computer.
Come si ottiene un certificato
digitale?
Chiave
pubblica
Public Key Certificate (PKC)
• Un PKC e` un certificato che associa
l’identita` di un utente ad una chiave
pubblica.
• Emesso dalla Certification Authority
• La revoca avviene tramite la Certificate
Revocation List (CRL)
• Precedentemente la Registration Authority
si occupa della registrazione dell’utente
Processo identificativo
Attribute Certificate (AC)
• E` un certificato digitale in cui sono
specificati gli attributi di chi lo possiede,
come gruppo di appartenenza, ruoli,
funzioni.
• Il formato tipico e` lo standard X.509
Struttura dell’AC
•
VERSION: La versione del certificato.
•
HOLDER: L’identità dell’individuo in possesso del certificato.
•
ISSUER: L’identità di chi ha emesso il certificato.
•
SIGNATURE: L’identificatore dell’algoritmo che viene usato per calcolare la firma digitale. Una
sequenza di numeri interi separati da punti , unica per ogni soggetto.
•
SERIAL NUMBER: Un numero intero positivo unico, assegnato dall’emittente.
•
ATTRIBUTE CERTIFICATE VALIDITY PERIOD: Periodo di validità del certificato ,
entro il quale gli attributi sono validi.
•
ATTRIBUTES: Informazioni relative al titolare dell’AC , definite come una sequenza di
attributi.
•
ISSUER UNIQUE ID: Informazioni relative alla localizzazione dell’emittente dell’AC.
•
EXTENSIONS: Ulteriori informazioni tra cui per esempio Authority key identifier, cioè
l’identificatore della chiave usata per verificare la firma digitale, Attribute certificate targeting: per
verificare i server e i servizi che accettano l’AC , Authority information access: per controllare lo
stato di revoca di un certificato.
Esempio
AttributeCertificateInfo ::= SEQUENCE
{
version
v2
holder
c=IT, O=Policlinico, CN=Rossi Mario
Issuer
c=IT, O=Policlinico, CN=Ufficio Ruoli
Signature
1.2.840.113549.1.1.5
SerialNumber
1234
validity
01/01/2004 – 01/01/2005
attributes
title=Radiologo
issuerUniqueID
22431
extensions
……
}
Attribute Authority (AA)
• Gli AC sono emessi da una terza parte,
detta Attribute Authority
• Ha il compito di assegnare gli attributi e
rendere disponibili gli AC a utenti o
applicazioni
• Puo` revocare, sospendere o rimuovere gli
AC alla scadenza
Per i dipendenti di un’azienda,
la AA non può essere che l’azienda
stessa
Per i clienti di un servizio, la
AA non
può essere che il servizio
stesso
Per gli appartenenti ad un ordine
professionale, la AA non può
essere
che l’ordine professionale stesso
Durata degli attributi
Varia a seconda del periodo di validita`
del PKC di riferimento.
Gli attributi possono essere:
• “a vita”, validi per tutta la vita
• “a lunga durata”, validi per un periodo
superiore a quello del PKC
• “di breve durata”, validi per un periodo
inferiore a quello del PKC
Revoca degli attributi
Un AC può essere revocato prima della sua
scadenza naturale:
• su richiesta del titolare
• autonomamente dall’emittente
• implicitamente, con brevi periodi di validità
• come i PKC, usando Attribute Certificate Revocation List
(ACRL), emesse periodicamente dall’emittente dell’AC;
contengono i numeri seriali dei certificati revocati
Si possono distinguere due schemi di revoca:
• Never revoke
• Pointer in AC
Modelli di distribuzione di AC
• Il modello “pull”, in cui e` il server che
recupera da una directory l’AC del client;
• Il modello “push”, in cui e` il client che
presenta il suo AC direttamente al server
Privilege Management
Infrastructure (PMI)
• Infrastruttura per l’uso e la gestione dei
certificati di attributo
• Definita nel 2001, nella quarta edizione
dello standard X.509
• Fornisce i servizi di autorizzazione dopo
che è avvenuta l’autenticazione fornita
dalla PKI
Legame tra AC e PKC
AC
PKC
Version
Holder
Issuer
Version
Serial Number
Signature
Signature
Serial Number
AttCertValidityPeriod
Attributes
IssuerUniqueID
Extensions
Issuer
Subject
SubjectPublicKeyInfo
IssuerUniqueID
SubjectUniqueID
Extensions
PKC vs AC
PKC
carta d’identità
• identifica il possessore
• dura per molto tempo
• non dovrebbe essere banale da ottenere
AC
carta di credito
• rilasciata da un’autorità diversa
• di durata minore
• ottenerla tipicamente richiede di
presentare una carta d’identità
Cifratura
Se un AC contiene informazioni importanti,
allora può essere necessario cifrare gli
attributi in esso contenuti
Al processo di
identificazione del
mittente,
deve sempre seguire
un processo di
autorizzazione
Processo Autorizzativo
Tradizionale
Si basa sul vecchio concetto di
“anagrafica utenti” (database locale
contenente informazioni sugli utenti)
Le informazioni nel database
sono facilmente modificabili
e ciò comporta un serio
problema….
Processo Autorizzativo basato
sugli AC
Perche` i normali certificati
non bastano?
1. La CA non è l’ente più adatto per
attestare gli attributi degli utenti e
ne esistono già appositi che lo
fanno a livello istituzionale
2. Gli attributi di un utente variano
frequentemente nel corso del
tempo…
Fissare gli attributi in un PKC comporta
la necessità di revocare il certificato
al variare di quest’ultimi
CONCLUSIONI
La certificazione di attributi rappresenta una
tecnologia innovativa a supporto del
processo autorizzativo.
Grazie per
l’attenzione!