Sicurezza : Concetti e Tecniche
Problemi Fondamentali :
Intrusioni
dall' esterno
- Accessi indebiti esterni al
sistema informativo aziendale tramite Web
- Attacco di virus e di altri
programmi ostili
Controllo degli accessi interni :
- Accessi indebiti interni a dati e
servizi di Intranet non autorizzati rispetto alla posizione aziendale
- Accesso a Internet senza
autorizzazione
Riservatezza dei dati :
o
Confidenzialità , integrita' ,ecc
Possiamo operare con 3 soluzioni
- Firewall-Based security : accesso dall'esterno al web
- Access Configuration file
- Crittografia, chiavi
pubbliche e private : si usano altri server oltre al
Web
Funzioni di base
- Identificazione
utente : si identifica l'utente tramite la sua UserID
- Autenticazione : si verifica l'identita' dell'utente , per es. attraverso la
password
- Autorizzazione : si assegnano i diritti per gli accessi alle risorse che un
utente puo' utilizzare
- Controllo degli
accessi : si controlla che un utente utilizzi
soltanto le risorse per cui è stato autorizzato ( si usano le Access
Control Lists , ACL)
- Confidenzialità
(privacy) : protegge le informazioni evitando accessi
non autorizzati ( si usa la crittografia )
- Integrita' dei dati : si verifica che i dati non siano stati modificati dopo il loro
invio da parte del mittente ( si usa l'impronta del messaggio , message
digest)
- Autenticazione del
mittente : si verifica che chi ha spedito il
messaggio corrisponda effettivamente al mittente dichiarato (si usa la
firma digitale , digital signature )
- Non repudiazione : si dimostra che il mittente ha effettivamente spedito il
messaggio e che il destinatario lo ha effettivamente ricevuto.
Autenticazione con Password
- Indovinare la password
- Fare in modo che scadano
automaticamente
- Evitare attacchi limitando il numero
di tentativi con insuccesso
- Furto di Password ( Intercettazione )
- Crittografare le password
- One-Time password : con validità
limitata ad una sola volta e generate da software
Tipi di autenticazione
- Autenticazione
one-way : il client autentica se stesso al server
- Autenticazione
two-way : il client ed il server si autenticano
reciprocamente ( difficile da realizzare in pratica)
- Autenticazione con
un trusted third-party : si utilizza un server
"sicuro" affinche' autentichi sia il client sia il server
La confidenzialità : uso della
crittografia
Metodi :
- Trasposizione : invertendo righe e colonne della matrice del testo in chiaro
- Sostituzione : rimpiazzando delle lettere con altre corrispondenti
- DES : chiavi da 56 bit con input blocchi da 64-bit
- Triple-DES : esecuzione per tre volte del DES sia dal lato mittente sia dal
lato ricevente
- IDEA : chiavi da 128 bit
Algoritmi a chiave privata ( segreta , simmetrici )
- Una sola chiave usata per crittografare
e decrittografare : deve rimanere segreta
Crittografia a chiave pubblica :
- Ogni persona ha due
chiavi corrispondenti : una privata (nota solo a
lui), una pubblica (nota a tutti)
- Algoritmi
asimmetrici : crittografia semplice e decrittografia
molto complicata
- Per usare la crittografia a chiave
pubblica non è necessario scambiarsi alcuna chiave
- Quanto crittografato con la chiave
pubblica può essere decrittografato soltanto con la corrispondente chiave
privata e viceversa
Confidenzialità: protezioni a livello sistema operativo :
- Protezione crittografica a basso
livello SSL (Secure Socket Layer): il
contenuto di ogni pacchetto TCP viene crittografato con un sistema a
chiave privata
- Web suciro (HTTPS) : http su SSL
- Riservatezza della prosta elettronica :
PGP ( Pretty Good Privacy ) , sistema a
chiave pubblica
Integrità dei dati : tecniche per evitare modifiche non
autorizzate ai dati :
- Tenciche vecchie : check sum , bit di parita' , CRC , ecc.
- One-Way hash
function : dal messaggio originale si ottiene un
nuovo messaggio ( impronta digitale ) ,
in modo tale che sia molto complicato ( o impossibile ) dalla sua
analisi riottenere il messaggio originale.
[ Picolo appunti ]
