Sicurezza di rete

Sicurezza di rete

Roberto CecchiniINFN, Firenze

Ferrara, 28 Maggio 2003

Ferrara, 28 Maggio 2003 2

R. Cecchini Sicurezza di rete

Sicurezza: necessità

• Riservatezza:– la comunicazione è stata intercettata?

• autenticazione:– l’utente è veramente chi dice di essere?

• Integrità:– i dati ricevuti sono proprio quelli spediti?

• Non ripudio:– il mio interlocutore può ritrattare quello che ha detto?

• Disponibilità:– il mezzo di comunicazione è stato reso inutilizzabile?

• Autorizzazione:– ogni utente può accedere solo alle risorse cui ha diritto



Sicurezza: principi e strategie 1/4

• Minimi privilegi:– ogni oggetto (utente, programma, ecc.) deve avere

solamente i privilegi minimi indispensabili per quello che deve fare.

• Difesa in profondità:– non fare affidamento su di un solo meccanismo di

sicurezza, per forte che possa sembrare.• Minimizzare i punti di accesso:

– un numero ridotto di punti di accesso (uno solo?) rende più facile il controllo.

• Cercare l’anello più debole:– essere coscienti dei propri punti deboli e rafforzarli fino a

rendere il rischio “accettabile”.




• A prova di errore (Fail-Safe):– quando si verifica un errore (prima o poi succede...) il

sistema non deve permettere l’accesso agli intrusi, anche a costo di tener fuori gli utenti legittimi.

• Il non espressamente permesso è proibito (Default Deny):– Fail-Safe;– la visione dell’utenza è esattamente l’opposta; – i servizi vengono abilitati uno per uno sulla base delle

effettive necessità, tutti gli altri sono disabilitati.• Partecipazione universale

– non è possibile (o almeno avrebbe costi elevatissimi) la sicurezza senza la partecipazione degli utenti.




• Diversità di difese:– non solo più di un meccanismo di sicurezza, ma

possibilmente di tipi diversi.• Semplicità:

– sistemi semplici sono più facili da capire e mantenere;– programmi complessi sono sicuramente afflitti da bug,

alcuni dei quali possono avere implicazioni di sicurezza.




• Sicurezza via mancanza di informazioni (Security Through Obscurity)?– Sbagliato

• una macchina collegata ad Internet con l’unica protezione che nessuno ne è a conoscenza;

• un server in modo che ascolta su di una porta diversa da quella di default;

– Corretto• non divulgare i dettagli del proprio NID system;• informazioni dettagliate sul proprio firewall (protocolli

ammessi, modello, ecc. ecc.)



Tipologia delle vulnerabilità

• Difetti di progettazione nel software o nei protocolli– NFS

• manca l’autentificazione del cliente

– TCP• IP source routing• Previsione numero di sequenza TCP

• Difetti nella realizzazione del software o dei protocolli– mancanza o errati controlli sul contenuto e la

dimensione dei dati (buffer overflow);– mancanza o errati controlli sul risultato delle operazioni;– mancanza o errata gestione esaurimento risorse.

• Errori nella configurazione del sistema e della rete– FTP anonimo



Attacchi dalla rete

• Ormai chiunque può diventare un hacker.• Spesso i sistemi in rete sono mal gestiti o addirittura abbandonati.• IPv4 non è stata progettata pensando alla sicurezza delle

applicazioni– sniffing;

• intercettazione dei messaggi (password ecc...)• analisi del traffico

– IP spoofing: falsificazione indirizzo mittente;• attacchi con un solo messaggio (es. Smurfing)• impersonificazione di un altro host

– DNS spoofing– session hijacking: inserimento in una sessione attiva;– man-in-the-middle;– denial of Service (DoS);

• SYN flood, mail/UDP/ICMP bombing, ping flood, smurf, ecc. ecc.• Con IPv6 le cose dovrebbero andare meglio...



Protezioni

• Host– strumenti di intrusion detection e controllo

• COPS, Tiger, tripwire, swatch– “personal” firewall

• ipf, ipchains– port / vulnerability scanner

• nmap, nessus• Reti locali

– firewall– network intrusion detection

• Protocolli di connessione– IPSec– SSH– SSL/TLS– PGP, S/MIME



TCP/IP

Application Layer

(SMTP, Telnet, SSH, FTP, ...)

Transport Layer

(TCP, UDP, ...)

Internet Layer

(IP, ICMP)

Data Link Layer

(Ethernet, FDDI, ATM, ...)



Internet Control Message Protocol

• Protocollo di servizio per IP – diagnostica Internet– usato da host e router per segnalare condizioni di errore

• Usa datagrammi IP– il payload contiene sempre l’header IP e i primi 8 byte del

datagramma che ha provocato il messaggio.– vari tipi di messaggio (es. Echo Request/Reply, Host

Unreachable, Need to Frag, Time Exceeded, etc..)

H. IP H. ICMP Dati ICMP



Protocolli di trasporto

• Concetti per protocolli al livello di trasporto:– Porta

• astrazione usata dai protocolli di trasporto per distinguere fra più processi sullo stesso host

• intero a 16 bit (0-65535) • per servizi standard identificativo assegnato dalla IANA

– Socket• coppia (indirizzo IP, porta)• generalizzazione del meccanismo di accesso a file



User Datagram Protocol

• Protocollo connectionless (come IP)– nessuna garanzia di consegna– assenza controllo di flusso– assenza di correzione di errore

Destination Port

0 4 8 12 16 20 24 28

Source Port

UDP ChecksumLength



UDP: problemi

• Assenza di correzione di errore– Tutti i controlli sul flusso sono a carico del livello

applicativo• Assenza controllo di flusso

– Implicazione di sicurezza: IP spoofing– Semplice per attaccante sostituirsi ad host

• Host A effettua query a host B• Cattivo (C) risponde ad A ed effettua DoS contro B

• Consigliabile filtrare servizi non essenziali



Trasmission Control Protocol

• Protocollo connection-oriented– controllo del flusso– affidabilità della consegna– spoofing più difficile (ma non impossibile!)

• Connessione virtuale tra due socket– connessione in chiaro

Destination Port

Source Number

Acknowledgement Number

Options

0 4 8 12 16 20 24 28

Source Port

Header Length TCP Flags Window Size

Urgent PointerTCP Checksum



TCP: inizio sessione

• Three-Way Handshake

Invio SYN seq=x

Invio SYN seq=y, ACK x+1

Invio ACK y+1



TCP sequence guessing

• Le connessioni TCP utilizzano un numero di sequenza per riordinare i pacchetti.

• Ad ogni nuova connessione viene utilizzato un numero di sequenza (semi-)casuale.

• Se l’attaccante riesce a predire il numero di sequenza, può generare dei pacchetti con mittente falsificato formalmente corretti (anche se, ovviamente, non riesce a vedere le risposte).

• Perché l’attacco vada a buon fine è necessario che il mittente (vero) non riceva i pacchetti di risposta (o non sia in grado di reagire).

• Come protezione, i router non devono far entrare traffico che risulti proveniente dalla rete interna (ingress filtering).



TCP Session Hijacking

• Session Hijacking è l’inserimento in una sessione TCP attiva.• Spiando una connessione attiva è possibile sostituirsi ad uno dei

due interlocutori.– C spia la connessione tra A e B e registra i numeri di sequenza

dei pacchetti– C blocca B (ad es. via SYN Flood): l’utente in B vede

interrompersi la sua sessione interattiva

– C invia pacchetti con il corretto numero di sequenza, con mittente B, in modo che A non si accorga di nulla.

• hunt o dsniff automatizzano il processo• I router non devono far entrare traffico che risulti proveniente dalla

rete interna (ingress filtering).• Per attaccanti sulla rete interna l’unica difesa è la cifratura dei

pacchetti.



Portscan

• L’attaccante effettua da remoto un test dello stato delle porte TCP e/o UDP sulla macchina per determinare le porte attive (aperte), che ammettono connessioni in ingresso, e le porte non utilizzate (chiuse).

• Una porta aperta individua la presenza di un servizio di rete attivo offerto dall’host

• A partire dall’elenco dei servizi offerti l’attaccante può tentare di individuare eventuali vulnerabilità conosciute ed effettuare exploits sulle stesse.

• Vengono impiegate diverse tecniche per cercare di sfuggire all’individuazione– Decoy scan– SYN scan– FIN scan– ...



Nmap

# nmap -sS -O tStarting nmap V. 2.53Interesting ports on t (192.168.1.1):Port State Service21/tcp open ftp22/tcp open ssh23/tcp open telnet25/tcp open smtp37/tcp open time53/tcp open domain111/tcp open sunrpc113/tcp open auth135/tcp open loc-srv139/tcp open netbios-ssn515/tcp open printer849/tcp open unknown853/tcp open unknown7000/tcp open afs3-fileserverTCP Sequence Prediction: Class=64K rule Difficulty=1 (Trivial joke)Remote operating system guess: HP-UX B.10.20 A with tcp_random_seq = 0



ISP # 2

ISP # 1

Lo scopo è determinare tramite traceroute simultanei da più origini le macchine che isolano dall’esterno la rete interna protetta.

= Router IP

Network mapping con traceroute



Denial of Service

• Attacchi di tipo Denial of Service (DoS):– scopo: rendere inutilizzabile un servizio o una risorsa

(eventualmente per sostituirsi ad essa).– metodo: inibire la connessione al router o al server,

provocarne il crash o comunque il blocco• Distributed DoS (DDoS)

– attacco di tipo DoS proveniente da più sorgenti contemporaneamente

– sfruttano molti host compromessi su reti diverse per lanciare attacchi DoS su vittima

• Sempre usato IP spoofing– molto difficile rintracciare l’origine dell’attacco



vittima

DoS: ping of death

• Invio pacchetti ICMP ping di dimensione maggiore della dimensione massima consentita (65535 bytes)– Attaccante frammenta pacchetti– Frammenti riassemblati da vittima– Ultimo frammento causa overflow

attaccante

frammenti

InternetInternet



DoS: smurf / fraggle

• Broadcast storm– Invio di pacchetti ICMP echo all'indirizzo di broadcast di

una rete (fraggle usa pacchetti UDP)• Coinvolti solitamente almeno tre siti:

– sito origine dell'attacco (“attaccante”)– 2 siti vittime, uno intermedio (“amplificatore”) ed uno

“bersaglio”

attaccante(10.0.1.0)

bersaglio(10.12.5.25)

amplificatore(10.2.1.0)ECHO request

IP s.: 10.12.5.25IP d.: 10.2.1.255



DoS: SYN Flood

• Richiesta grande numero di connessioni da host diversi (spoofing), tramite invio pacchetti TCP SYN, senza mai inviare pacchetto di chiusura del “three-way handshake”

– causa riempimento coda di connessione (può bloccare un router)

– non è possibile rintracciare origine attacco (mittente falsificato)

– non è possibile usare access-list (ip sorgente varia in modo casuale)

– Contromisure: aumentare la dimensione della coda di connessione (SYN ACK queue) e diminuire il tempo di time-out per il "three-way handshake".

– Filtri contro l’IP spoofing diminuiscono probabilità che propria LAN sia utilizzata come base per questo tipo di attacchi



Distributed DoS (DDoS)

• Attacchi DoS provenienti contemporaneamente da più sorgenti (anche ~ 1000)

• Struttura multi-livello attaccante master demoni vittima

attaccante

master mastermaster

daemon daemon daemon daemondaemon

vittima



Protocolli

IP + IPsec

TCP

teln

et

FTP

htt

p

IP

TCP

SSL/TLS

IP

TCP

SSH

SSLt

eln

et

SSLF

TP

htt

ps

ssh

sftp

scp

IP

TCP

FTP

htt

p

teln

et

PGP, S/MIME



Protocolli

• Network level– trasparenti per le applicazioni, che non devono essere

modificate – il network layer deve essere modificato

• Transport level– viene fornita una libreria di funzioni che può essere

utilizzata dai progammi applicativi– necessaria la modifica dei programmi applicativi

• Application level– trasparenti per la rete– i servizi di sicurezza devono essere individualmente

inclusi in ogni applicazione– necessaria la modifica dei programmi applicativi



IPsec

• Autenticazione e cifratura al livello Network– Authentication Header (AH)

• autentifica ogni pacchetto;

– Encapsulating Security Payload (ESP)• cifra i dati in ogni pacchetto;

– Internet Key Exchange (IKE)• protocollo di negoziazione

– metodi di autentificazione– metodi di cifratura

• consente scambio sicuro di chiavi



IPsec: end-to-end

IP Header

AH Header

TCP Header

Dati

Authentication Header

(tranne per i campi variabili)

IP Header

ESP Header

TCP Header

DatiESP

TrailerESP Auth

autenticato

cifrato

autenticato

Encapsulated Security Payload

• AH• campi variabili: TOS,

Frg offset, TTL, …• ESP

• autentificazione facoltativa

• l’IP header non è protetto



IPsec: tunnel

Encapsulated Security Payload

autenticato

cifrato

A B

1 2

CA Gli indirizzi A e B non sono visibili all’esterno dei gateway 1 e 2

IP Header esterno

ESP Header

IP Header

originale

TCP Header

DatiESP

TrailerESP Auth



SSH

• Rimpiazza telnet e i comandi “r” (rlogin, rshell)– Versione 1 e Versione 2 (IETF SECSH Working Group);

• nella versione 1 richiede una distribuzione “manuale” delle chiavi di host e utenti;

– connessione crittografata: protegge da:• IP spoofing;• IP source routing;• DNS spoofing;• sniffing; • man-in-the-middle;

– tunneling traffico tcp e X11;– compressione dei dati (facoltativa, utile per connessioni lente).

• Molto apprezzato anche dagli hacker, che spesso lo installano sulle macchine compromesse, perché impedisce agli amministratori di capire quali dati vengano trasferiti e per il meccanismo di port forwarding.



SSL/TLS

• Secure Sockets Layer (SSL) sviluppato da Netscape Communications

– L’ultima versione (V3.0) è del Marzo 1996;

– Netscape Communicator, Internet Explorer.

• Transport Layer Security (TSL) Working Group (IETF)

– versione 1.0 del Gennaio 1999 (RFC 2246).

• Utilizza certificati X.509

• Può essere usato per ogni applicazione TCP (ad es. HHTP, Telnet, FTP, POP3, IMAP)

– usato da praticamente tutti i server web “sicuri”: https://…..

– le vecchie applicazioni “insicure” possono essere usate in modalità tunnel (ad es. stunnel: http://www.stunnel.org)\

• Non interagisce bene con firewall/proxy (man-in-the-middle)



S/MIME 1/2

• Permette di inviare e-mail MIME firmati e crittografati• Supportato (tra gli altri) da Communicator e Outlook• Utilizza certificati X.509



S/MIME 2/2



NIDS

firewall

router dialup

LAN esterna

server

server

DMZ

client client

Intranet

Internet

Internet e Intranet



Router di frontiera

• Responsabile dell’inoltro del traffico tra LAN ed Internet.• E’ il primo sbarramento della propria rete

– difficile l’aggiramento da parte dell’end-user.• Permette di centralizzare un buon numero di controlli di

sicurezza.• Fondamentale la sua protezione

– una compromissione può aprire l’accesso alla LAN;– una inadeguata politica di filtraggio può esporre la LAN

ad attacchi;– la corruzione delle tabelle di routing può provocare

disservizi e accesso non autorizzato a dati.• Un router correttamente configurato può minimizzare effetti

derivanti da sito compromesso in attacchi DDoS.



Network Intrusion Detection System

• Forniscono informazioni utili su traffico ostile.• Facilitano l’identificazione dell’origine de scansioni e/o

attacchi.• Permettono di lanciare allarmi “in tempo reale”.• Non sono una panacea per tutti i problemi di sicurezza. In

particolare non sostituiscono:– firewall ben configurati;– security audit regolari;– una politica di sicurezza “seria”.

• Producono falsi positivi.• Possono essere “accecati” da attacchi DoS.• Sono in difficoltà con reti veloci

– rete di sensori (uno per macchina?).



Firewall

• Network device con almeno 2 interfacce di rete– Router o hardware dedicato

• Separa zone amministrativamente diverse– LAN esterna (insicura)– DMZ – Intranet

• Effettua routing fra le diverse zone• Può effettuare mascheramento indirizzi (NAT)• Filtra traffico fra le diverse zone tramite regole predefinite

– Router con filtri è un firewall!• Può mediare accessi a specifiche applicazioni

– Proxy server



Architetture: Screening Router

Rete interna

Screening Router

Firewall



Architetture: Screened Host

Bastion Host

Rete Interna

Screening Router

Firewall



Architetture: Screened Subnet

Perimeter Network

Rete Interna

Router esterno

Router interno

Bastion Host

Firewall



Firewall: pro e contro

1. Sono troppo complessi2. I nuovi servizi sono

incompatibili con i FW3. Sono di difficile gestione,

troppo costosi e rapidamente obsoleti

4. Bloccano servizi utili e riducono l’utilità di Internet

5. Ad ogni nuovo servizio il FW deve essere riconfigurato

6. Il nuovo sw ha incluso il supporto per la sicurezza (ad es. SSL)

7. Riducono le prestazioni in modo eccessivo

8. I servizi che vengono fatti passare possono avere problemi di sicurezza

9. Non è in grado di bloccare i virus o applet ostili

10.IPV6 renderà i FW obsoleti

1. Sono troppo complessi2. I nuovi servizi sono

incompatibili con i FW3. Sono di difficile gestione,

troppo costosi e rapidamente obsoleti

4. Bloccano servizi utili e riducono l’utilità di Internet

5. Ad ogni nuovo servizio il FW deve essere riconfigurato

6. Il nuovo sw ha incluso il supporto per la sicurezza (ad es. SSL)

7. Riducono le prestazioni in modo eccessivo

8. I servizi che vengono fatti passare possono avere problemi di sicurezza

9. Non è in grado di bloccare i virus o applet ostili

10.IPV6 renderà i FW obsoleti

1. Il sw disponibile non è ancora di qualità adeguata

2. In molti casi è l’unica protezione possibile

3. Il costo di un incidente di sicurezza è ben maggiore

4. Se le applicazioni sono scritte bene i FW non sono di intralcio

5. In questo modo ogni novità rimane sotto controllo

6. Il nuovo sw spesso è meno sicuro di quello vecchio

7. È solo questione di comprare hw più veloce

8. Anche le macchine interne devono essere ben configurate

9. I FW non sono lo strumento adatto per bloccare virus e applet

10.IPV6 è ancora lontano.

1. Il sw disponibile non è ancora di qualità adeguata

2. In molti casi è l’unica protezione possibile

3. Il costo di un incidente di sicurezza è ben maggiore

4. Se le applicazioni sono scritte bene i FW non sono di intralcio

5. In questo modo ogni novità rimane sotto controllo

6. Il nuovo sw spesso è meno sicuro di quello vecchio

7. È solo questione di comprare hw più veloce

8. Anche le macchine interne devono essere ben configurate

9. I FW non sono lo strumento adatto per bloccare virus e applet

10.IPV6 è ancora lontano.



Firewall: limitazioni

• Scarsa protezione dagli attacchi dall’interno (e dagli utenti...)

• È sempre possibile un accesso non autorizzato alla rete esterna (ad es. via modem)

• Scarsa o nessuna protezione da virus, applet Java, e controlli ActiveX

• Si possono utilizzare tunnel per evitare il blocco di alcuni protocolli



Packet filter

• Un device (ad es. un router) che controlla ogni pacchetto IP in arrivo per decidere se inoltrarlo o no.

• I filtri si basano sulle seguenti informazioni– semplici

• protocollo; • porte;• indirizzi sorgente e destinazione;• flag e opzioni tcp;• non prendono in considerazione la parte dati;• prendono le decisioni pacchetto per pacchetto;

– stateful (dinamici)• tengono traccia delle connessioni in corso e possono avere

conoscenza dei protocolli più comuni.• la necessità di tenere traccia delle connessioni aperte,

ovviamente, aumenta il lavoro del filtro



Bastion Host

• È il sistema a cui si devono connettere gli utenti esterni per accedere alle macchine e ai servizi locali.

• È particolarmente esposto agli attacchi e quindi deve essere molto curato dal punto di vista della sicurezza– va previsto il caso che il Bastion Host venga

compromesso: in altri termini, le macchine interne non devono fidarsene più del minimo indispensabile.

• la rete su cui si trova non dovrebbe trasportare traffico confidenziale (potrebbero installare uno sniffer): dovrebbe essere isolata dalla rete interna da un packet filter.

• in alternativa potrebbe essere su di uno switch (ma attenzione, anche gli switch permettono snooping! e anche il traffico multicast potrebbe essere di interesse per un intruso)



Bastion Host: servizi

• Deve fornire solamente i servizi necessari per accedere ad Internet e quelli che devono essere offerti all’esterno, e niente altro (inclusi account utenti).– Servizi sicuri

• possono essere forniti via packet filtering senza interessare il BH (ma questo dipende dal grado di sicurezza desiderato).

– Servizi che possono essere resi sicuri • offerti dal BH

– SMTP, FTP, HHTP, NNTP, ... (richiedono accesso al DNS)

– Servizi intrinsecamente insicuri• devono essere disabilitati o forniti da una macchina vittima

– Servizi non utilizzati (almeno non in relazione ad Internet)• devono essere disabilitati



Proxy

• Un proxy è un software (su di un dual-homed host, o un Bastion Host) che fa intermediario tra il client e il server, dando al client l’impressione di parlare direttamente al server, mentre la connessione passa in realtà dal proxy che fa da intermediario.

• Lo scopo è di rendere il più trasparente possibile l’accesso all’esterno, mantenendo nello stesso tempo l’isolamento dei nodi sulla rete interna protetta.

• Le modalità di funzionamento sono diverse da servizio a servizio: in generale è necessario un software specifico dalla parte del server, mentre dalla parte del client una di queste possibilità:– software applicativo proxy-aware– sistema operativo proxy-aware– procedure utente proxy-aware– router proxy-aware

client

proxy

server



Proxy: client proxy-aware

• Ad es.: Netscape, Internet Explorer, Lynx– SOCKS e HTTP

• Le applicazioni possono essere disponibili solo per qualche piattaforma

• Le applicazioni disponibili possono non essere adeguate alle necessità

• Il meccanismo non è trasparente: le applicazioni devono essere configurate in modo opportuno



Network Address Translation (NAT)

• Mapping (dinamico o statico) di un insieme di indirizzi IP nascosti su pool indirizzi pubblici

• Indirizzi privati non direttamente raggiungibili da Internet • Il NAT server mantiene tabella con abbinamenti per inoltro

pacchetti

192.168.1.0/24

NAT

PC

PC

PC

PC

InternetInternet

131.154.6.0/25

192.168.1.3

131.154.6.1<->192.168.1.3



IP masquerading

• Incluso nel kernel di Linux.• Permette la traduzione degli indirizzi di rete (NAT) per TCP e UDP:

proxying trasparente.• Per la comunicazione con le macchine remote viene usato

l’indirizzo IP del firewall. • È in grado di intervenire anche nel caso di protocolli complessi (ad

es. ftp), in cui modificare il solo header IP non è sufficiente.

192.168.1.1

193.45.13.5

191.23.1.56

Da: 192.168.1.1:2378

A: 193.45.13.5:80

Da: 191.23.1.56:61001

A: 193.45.13.5:80

Da: 193.45.13.5:80

A: 191.23.1.56:61001

Da: 193.45.13.5:80

A: 192.168.1.1:2378



Firewall e servizi internet

Server

Perimeter Network

Internal Network

Proxy Server

Bastion Host



Valutare i rischi di un servizio

• Non fare nessuna ipotesi su comportamenti al di fuori del proprio controllo: non supporre che i client e i server esterni si comporteranno come da specifiche.

• Che operazioni permette il protocollo?– meno cose permette di fare, più è probabile che sia sicuro– che informazioni rivela e cosa si può cambiare dall’esterno?– i metodi di autenticazione e autorizzazione che usa sono

appropriati?• Che dati trasmette il protocollo?

– eventuali dati riservati sono adeguatamente protetti?• Quanto bene è realizzato?

– tutti i dati in input sono controllati? (solo caratteri validi, lunghezza massima, ecc.)

– ci sono comandi (non documentati) lasciati dagli sviluppatori?• Può essere usato con un proxy server? Quanto è facile verificare

se un pacchetto appartiene ad esso?

Elementi di crittografia



Crittografia

• La crittografia risponde alle esigenze di sicurezza.– Riservatezza:

• cifratura.

– Autenticazione:• firma digitale;• certificati.

– Integrità:• one-way hash (message digest).

– Non ripudio:• Integrità e Autenticazione.



Riservatezza: cifratura

• Converte un testo “in chiaro” in uno inintelligibile.• Richiede almeno una “chiave” (un numero).• Può essere di due tipi:

– simmetrica (a chiave “privata”)• relativamente veloce; • come recapitare la chiave ai corrispondenti in modo sicuro?

– asimmetrica (a chiave “pubblica”)• lenta: si usa di solito insieme a quella simmetrica;• senza il problema della trasmissione della chiave “privata”.



Cifratura a chiave privata

• Richiede una chiave segreta nota solo ai corrispondenti

• La stessa chiave serve per cifrare e decifrare il messaggio

• Come trasferire la chiave in modo sicuro?

• Per n utenti il numero delle chiavi è O(n2).

A Bciao

3$r ciao

A Bciao

3$r ciao

3$r

3$r



Cifratura a chiave pubblica

• Ogni utente ha due chiavi generate contemporaneamente: una privata e una pubblica:– dalla chiave pubblica è

praticamente impossibile scoprire quella privata;

– quello che si cifra con una, si può decifrare solo con l’altra.

• Non è necessario nessuno scambio di chiavi segrete:– il mittente cifra con la chiave

pubblica del destinatario;– il destinatario decifra con la

propria chiave privata.• Per n utenti il numero di chiavi è

O(n)

Chiavi di B

pubblica

privata

Chiavi di A

pubblica

privata

A Bciao 3$r ciao

A Bciao cy7 ciao

3$r

cy7



Integrità: one-way hash

• Funzioni che hanno in ingresso un messaggio di lunghezza variabile e producono una stringa di lunghezza fissa (hash).

• È praticamente impossibile trovare un messaggio che produca un hash specificato.

• Modificando anche un solo bit del messaggio si ottiene un hash completamente diverso.



Autenticazione: firma digitale

• A calcola l’hash del messaggio e lo cifra con la sua chiave privata: l’hash cifrato è la firma digitale

• A invia il messaggio e l’hash a B.

• B ricalcola l’hash sul messaggio e lo confronta con quello cifrato da A.

• Se i due hash sono uguali, il messaggio non è stato modificato e A non può ripudiarlo.

Chiavi di A

pubblica privata

A

ciao ciaohash (A)

B

hash (B)

hash (A)

= ?

ciao



Autenticazione: certificati

• La firma digitale rende sicuro un messaggio se:– la chiave privata di A non è stata compromessa;– B è in possesso della vera chiave pubblica di A.

• La convalida delle chiavi pubbliche viene fatta tramite i certificati: un’autorità esterna (Certification Authority) garantisce dell’autenticità delle chiavi pubbliche.

• Due modelli esistenti:– X.509: organizzazione gerarchica;– PGP: “web of trust”



Certificati X.509

• Un certificato X.509 è composto fondamentalmente da:– informazioni sul propietario;– la data di scadenza;– la chiave pubblica del proprietario;– informazioni sull’autorità garante (la Certification

Authority o CA); • Il certificato è firmato dalla CA:

– cioè il certificato contiene anche un hash del suo contenuto, cifrato con la chiave privata della CA.



CA: catene gerarchiche e fiducia

Per: INFN CA

Firma: INFN CA

Per: Verisign

Firma: Verisign

Per: AltraCA

Firma: Verisign

Per:Leo

Firma:AltraCA

Per:Silvia

Firma:AltraCA

Per:Carlo

Firma:INFNCA

• Anche le CA hanno un proprio certificato.

• Una CA può garantire anche altre CA, di livello inferiore:– catene gerarchiche di

certificati• All’origine della catena c’

è una Root CA, che ha un certificato auto-firmato (root certificate).



Root CA

• I browser contengono preinstallati alcuni root certificates, visibili sotto Signers nel menu Security.

• Si possono aggiungere, eliminare e modificare i certificati.



Public Key Infrastructure (PKI)

• Una o più Certification Authority organizzate gerarchicamente o via “web of trust”– Politica di emissione dei certificati: Certificate Practice

Statement (CPS)– Emette certificati per server e utenti finali

(eventualmente per altre CA)– Mantiene una Certificate Revocation List (CRL)– Gestisce servizi WWW e LDAP

• Gestione delle chiavi private– Generazione

• via browser• via hardware: ad es. SmartCard

– Custodia• Hard disk (insicuro!)• SmartCard

Sicurezza di rete

Documents