![Page 1: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/1.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
1“Aperti e Sicuri”
Information Security Technologies as Core
BusinessPart 1 : PKI – PMI Focus
Sonia Crucitti
CryptoNet [email protected]
![Page 2: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/2.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
2“Aperti e Sicuri”
Agenda
• Introduzione: chi e’ CryptoNet• Infrastrutture#1: PKI
–Richiami di Crittografia–Public Key Infrastructure (PKI)–Un esempio: cifrare e firmare documenti
ed e-mails • Infrastrutture#2: PMI
–Policy Server based PMI–Attribute Certificate based PMI
![Page 3: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/3.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
3“Aperti e Sicuri”
Cryptonet: la missione
Societa’ a capitale italiano esclusivamente focalizzata sull’Information Security impegnata giorno dopo giorno a migliorare la capacita’ competitiva dei propri Clienti tramite l’uso innovativo delle tecnologie dell’informazione e della comunicazione
![Page 4: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/4.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
4“Aperti e Sicuri”
•1998: la prima rete Ipsec con copertura mondiale (Luxottica); la primademo di Ipsec/Cisco in Europa (TIM)•1999: le due allora piu’ complesse reti Ipsec con tecnologia CISCO: Omnitel 2000 (1000 routers) e RUPA (20000 routers); il primo sistema di trading on-line con firma digitale e timestamping (BNL/Siteco)
•1995: Rilascio del primo sistema informativo basato su WWW (Matica); progettazione della componente crittografica per la prima smart card per uso di massa in Italia (SSB/Minipay)•1996: la prima CERTIFICAZIONE della sicurezza di una rete di comunicazione Enterprise•1997: il primo sistema di home banking sicuro in Italia (BPS)
•2000: la securizzazione di una delle piu’ grandi Intranet d’Europa (ENEL), con 40000 utenti con desktop sicuro, 110000 utenti WWW con strong authentication e non ripudio•2001: realizzazione e messa in sicurezza della rete di 20 Autorita’ Portuali; il piu’ complesso progetto di Intrusion Detection in Italia (40 network sensors); la messa in sicurezza di applicazioni su Palmari WIN/CE (VPN, firma digitale); set up della prima VPN su GPRS
Le principali tappe
![Page 5: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/5.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
5“Aperti e Sicuri”
La struttura
• 30 dipendenti su due Sedi (Mi e Roma)• Fatturato 2001 > 2.5 M€• 20 tecnici specializzati suddivisi in tre
aree:Risk AnalysisNetwork SecurityApplication Security
• Osservatorio tecnologico e normativo• Certificazione qualita’ (ISO9000)
![Page 6: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/6.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
6“Aperti e Sicuri”
InfrastructuresPKIPMI
SSO & 3ADirectory
Smart Card
Application-LayerSecurity
Custom Apps Development
SystemIntegration,
PDAs,Wireless Area
Apps IntegrityDBMS, ERP,
CRM
Desktop Security
Personal FirewallAntivirus
Smart Card
Vulnerability AssessmentApps Scanner
Apps IDS
Application Security Area
PhysicalData LinkNetwork
TransportSessionSession
PresentationPresentationApplicationApplication
![Page 7: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/7.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
7“Aperti e Sicuri”
Infrastrutture #1:PKI
(Public Key Infrastructure)
![Page 8: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/8.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
8“Aperti e Sicuri”
EE--mailmailWebWeb
PKI
E-CommerceCommerce
Secure Secure DesktopDesktop
E-formsDigital Sign
VPNVPN
SingleSignOnSingleSignOnWAP
E-TradingHome Banking
Il perche’ di una PKIS/MIME
SSL/TSL
IPSec
X.509v3
![Page 9: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/9.jpg)
ConfidentialitàConfidentialitàEvitare che destinatari non autorizzati leggano il messaggio
AutenticazioneAutenticazioneProteggere l’identità del mittente del messaggio da alterazioni
IntegritàIntegritàProteggere i messaggi da alterazioni intenzionali o accidentali
NonNon--ripudioripudioProteggere i destinatari di un messaggio dal rischio di ripudio dell’invio da parte del mittente
Controllo degli accessiControllo degli accessiRendere accessibile il contenuto del messaggio solo ai destinatari autorizzati
I livelli ISO di sicurezza
![Page 10: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/10.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
10“Aperti e Sicuri”
I due tipi di algoritmi crittografici
••Crittografia simmetricaCrittografia simmetrica ( o a chiave segreta): utilizza una sola chiave crittografica che deve essere posseduta sia dal mittente sia dal destinatario del messaggio
••Crittografia asimmetricaCrittografia asimmetrica (o a chiave pubblica):
utilizza una coppia di chiavi (una pubblica e l’altra privata) possedute entrambi da un unico proprietario
![Page 11: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/11.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
11“Aperti e Sicuri”
Chiave segreta comune
CIFRA DECIFRA
Chiave segreta comune
Bob Alice
La Crittografia Simmetrica
Bob e Alice condividono una chiave segreta comune
![Page 12: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/12.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
12“Aperti e Sicuri”
Alice Bob
CIFRA
Chiave pubblicadi Bob
DECIFRA
Chiave privatadi Bob
La Crittografia Asimmetrica
CONFIDENZIALITÀ
Solo Bob può decifrare il documento, perché solo lui possiede la chiave privata
![Page 13: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/13.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
13“Aperti e Sicuri”
Alice Bob
CIFRA
Chiave privatadi Alice
DECIFRA
Chiave pubblicadi Alice
La Crittografia Asimmetrica
AUTENTICAZIONE
Bob è sicuro che il messaggio è stato cifrato da Alice perché solo lei possiede la sua chiave privata
![Page 14: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/14.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
14“Aperti e Sicuri”
Crittografia Ibrida
•È l’utilizzo combinato della crittografia a chiave pubblica e di quella simmetrica
•Il documento viene cifrato con una chiave simmetrica generata appositamente (oneone--time time sessionsession keykey)
•La chiave pubblica di cifratura viene usata non per cifrare il documento ma per cifrare la chiave simmetrica di sessione; funge da exchange keyexchange key
•Si accelera notevolmente i processi di cifratura e decifratura
![Page 15: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/15.jpg)
21 Giugno 2000 Ing. Mirko TEDALDI
15“Aperti e Sicuri”
La chiave pubblica di cifratura del destinatario è usata per cifrare la chiave simmetrica (DIGITAL ENVELOPEDIGITAL ENVELOPE)
Crittografia Ibrida: creazione
==
==
La chiave simmetrica di sessione è usata per cifrare il documento originale ottenendo il documento cifrato
Alice genera una chiave simmetrica di sessione
MESSAGGIOMESSAGGIO
![Page 16: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/16.jpg)
21 Giugno 2000 Ing. Mirko TEDALDI
16“Aperti e Sicuri”
Crittografia Ibrida: verifica
==
Il digital envelope viene decifrato con la chiave privata di decifratura di destinatario ottenendo la chiave simmetrica di sessione
==
Il documento cifrato viene decifrato con la chiave simmetrica di sessione ottenendo il documento originale
![Page 17: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/17.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
17“Aperti e Sicuri”
Funzione hash =Documento hash
hash Chiave privata=
Documento Chiavepubblica
DIGITAL SIGNATUREDIGITAL SIGNATURE
Digital Signature
Creazione della Firma Digitale
![Page 18: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/18.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
18“Aperti e Sicuri”
Chiave pubblicadel firmatario
Funzione hash =Documento Hash “fresco”
=?
Verifica della Firma Digitale
=Hash decifrato
Comparazione del hash decifratocon hash fresco
![Page 19: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/19.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
19“Aperti e Sicuri”
Firma Digitale vs. Cifratura
Abbiamo due operazioni crittografiche fondamentali:firma digitalefirma digitalecifratura/decifraturacifratura/decifratura
• Si potrebbe pensare di utilizzare un’unica coppia di chiavi asimmetriche (RSA è “reversible”)
• In realtà, le chiavi corrispondenti alle due operazioni hanno requisiti molto diversi
• Si utilizza una doppia coppia di chiavi doppia coppia di chiavi crittografichecrittografiche: una per la creazione e verifica della firma digitale, l’altra per la cifratura e decifratura dei documenti
![Page 20: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/20.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
20“Aperti e Sicuri”
Coppia di Chiavi di Firma
La chiave privata di firmachiave privata di firma:1. deve essere custodita in modo tale che solo il suo
legittimo possessore possa averne accesso2. NON deve essere sottoposta a backup (per
consentire meccanismi di recovery)3. NON deve essere archiviata alla sua scadenza ma
distrutta
La chiave pubblica di verificachiave pubblica di verifica:4. deve essere archiviata per poter verificare le “firme
storiche”
![Page 21: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/21.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
21“Aperti e Sicuri”
Coppia di Chiavi di Cifratura
La chiave privata di decifraturachiave privata di decifratura:1. deve essere sottoposta a backup per consentire
meccanismi di key recovery nel caso venga smarrita o corrotta
2. NON deve essere distrutta alla sua scadenza ma archiviata per poter continuare a decifrare i documenti cifrati in passato
La chiave pubblica di cifraturachiave pubblica di cifratura:3. non deve necessariamente essere archiviata
![Page 22: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/22.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
22“Aperti e Sicuri”
Doppia Coppia di Chiavi
NONNON è possibile soddisfare questi requisiti utilizzando un’unica coppia di chiavi
Inoltre:•le chiavi di firma e di cifratura possono avere validitàtemporali differenti per motivi di politica organizzativi-gestionali e di sicurezza•non tutti gli algoritmi a chiave pubblica hanno la proprietà dell’algoritmo RSA di effettuare sia cifratura sia firma con la stessa coppia di chiavi•le chiavi di cifratura possono essere soggetti a limiti di esportazione più ristrettivi
![Page 23: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/23.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
23“Aperti e Sicuri”
Le nostre chiavi crittografiche
••Chiave privata di firmaChiave privata di firma••Chiave pubblica di verificaChiave pubblica di verifica
••Chiave pubblica di cifraturaChiave pubblica di cifratura••Chiave privata di decifraturaChiave privata di decifratura
(in realtà, sono chiavi per il key-exchange)
••Chiavi simmetriche di sessioneChiavi simmetriche di sessione
![Page 24: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/24.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
24“Aperti e Sicuri”
Subject DN:cn=Mirko Tedaldi,ou=Utenti,o=CryptoNet SpA,c=it
Serial #: 8391037Start:11/10/01 1:02End:11/10/02 1:02CRL:cn=CRL1, ou=CryptoNet CA, o=CryptoNet SpA,c=itSubjectAltName: IP, DNS, email
Key:
CA DN: ou=CryptoNet CA, o=CryptoNet SpA, c=it
Nome univoco possessore
Numero di serie univoco
Periodo di validita’
Informazioni sulla revoca
Chiave pubblica
Nome della CA emittente
Firma digitaledella CA
Identificativo alternativo
I Certificati Elettronici
![Page 25: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/25.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
25“Aperti e Sicuri”
Third-Party Trust
Alice Bob
Autorità di Certificazione
Garantisce la corrispondenza tra chiave pubblica e soggetto attraverso i certificati digitalicertificati digitali
![Page 26: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/26.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
26“Aperti e Sicuri”
Public Key Infrastructure
Transazioni di management
End EntityTransazioni operazionali e
transazioni di management
Pubblica i certificati
Pubblica i certificati e le CRL
Transazioni di management
UTENTI UTENTI DELLE PKIDELLE PKI
ENTITÀ DIENTITÀ DIMANAGEMENTMANAGEMENT
DELLE PKIDELLE PKI
Repositorydi
certificati e
CRL
CERTIFICATO CERTIFICATO DIGITALEDIGITALE
![Page 27: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/27.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
27“Aperti e Sicuri”
PKI: Requisiti Tecnici Certification
Authority
CertificateRepository
CertificateRevocation
Key Backup& Recovery
Support fornon-repudiation
AutomaticKey Update
Timestamping
Key HistoriesCross-certification
Clientapplications
![Page 28: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/28.jpg)
“Aperti e Sicuri”
PKI: Richiesta di un certificato3. Genera le chiavi di firma: la chiave privata rimane nel PSE dell’utente (Key generation)
2. Initialization(Ref. No./AuthCode)
1. richiesta di certificazione(Registrazione/autenticazione)
4. invia alla CA la chiave pubblica diverifica
6. Invia all’utente: CA, Encryption and Verification certificates and user’s encryption key
7. Pubblica i certificati
Registration Authority
User
Directory
Certification Authority
CADatabase
5. Genera le chiavi di encryption e genera i certificati
CMP
![Page 29: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/29.jpg)
21 Giugno 2000 Ing. Mirko TEDALDI
29“Aperti e Sicuri”
La Richiesta di un Certificato (1)
1.1. RegistrationRegistrationÈ il processo con cui un utente fornisce informazioni sulla sua identità e su tutti gli altri dati che si vuole includere nel certificato. Questa operazione è svolta dall’Autorità di Registrazione.
2. Authentication2. AuthenticationÈ il processo di controllo che le informazioni fornite dall’utente siano autentiche; è in questa fase che viene presa la decisione finale se emettere il certificato per l’utente. Questa operazione è svolta dall’Autorità di Registrazione.
![Page 30: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/30.jpg)
21 Giugno 2000 Ing. Mirko TEDALDI
30“Aperti e Sicuri”
3.3. InitialitationInitialitationÈ una fase critica in cui l’utente e la CA devono inizializzare un canale sicuro di comunicazione in cui verranno trasmesse le informazioni che porteranno alla creazione del certificato corrispondete ad una certa chiave pubblica
(CMP – Certificate Management Protocol)
La Richiesta di un Certificato (2)
![Page 31: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/31.jpg)
21 Giugno 2000 Ing. Mirko TEDALDI
31“Aperti e Sicuri”
•È il protocollo standard Internet dell’IETFIETF che stabilisce le modalità di certificazione tra CA e utenti
•Prevede la conoscenza di una coppia di segreti iniziali tra CA e utente: IAKIAK (Initial Authetication Key) e RVRV(Reference Value). Sono distribuiti out-of-band e consentono la muta autenticazione inizialemuta autenticazione iniziale tra CA e utente.
•Con la coppia IAK-RV viene creato un canale di canale di comunicazione sicurocomunicazione sicuro tra CA e utente per l’invio della richiesta di certificazione e la relativa risposta
Certificate Management Protocol (CMP)
![Page 32: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/32.jpg)
21 Giugno 2000 Ing. Mirko TEDALDI
32“Aperti e Sicuri”
4. Key Generation and 4. Key Generation and CertificationCertificationa) L’utente genera la coppia di chiavi e usa il
canale sicuro creato in fase di inizializzazione per passare la chiave pubblica alla CA, che genera il certificato e lo restituisce all’utente (chiavi di firma).
b) La CA genera la coppia di chiavi, certifica la chiave pubblica e usa il canale sicuro per passare la chiave privata e il certificato all’utente (chiavi di cifratura)
La Richiesta di un Certificato (3)
![Page 33: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/33.jpg)
21 Giugno 2000 Ing. Mirko TEDALDI
33“Aperti e Sicuri”
La Richiesta di un Certificato (4)
5. Certificate5. Certificate PublicationPublicationLa CA pubblica il certificato nella directory.
6. Certificate6. Certificate UsageUsageL’utente può utilizzare la sua coppia di chiavi per firmare e/o cifrare i vari documenti. Inoltre può scaricare dalla directory i certificati degli altri utenti e ottenere le CRL
(LDAP - Lightweight Directory Access Protocol)
![Page 34: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/34.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
34“Aperti e Sicuri”
E ntrust-R eady A pplicationsE ntrust/E nte lligence• E ntrust U sers
D irectory
E ntrust/R A• S ecurity O fficers• E ntrust A dm in istrators• D irectory A dm in istrators
E ntrust/A uthority• M aster U sers
T im estam p
W eb B row sers& S ervers
S E T V P N & A ccess D evices
C O N N EC T O RVPNC O N N EC T O R
Web
Una tecnologia : Entrust/PKI (1)
![Page 35: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/35.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
35“Aperti e Sicuri”
Authority
EntelligenceCrypto Kernal
FIPS140-1 L 3ICE
File EncryptionTrue Delete
ExpressExchange / Outlook / Lotus
S/MIME + PEM
DirectWeb client /server
proxyAny Browser
Access(a.k.a SecuRemote)
IPSEC / IKE
KeyManagement
+SecurityPolicy
Assertion
SAP/r3SNC & SSF
DirectoryTimestamp
ProfileServer
Singlelog-in
Win / NT
RA
Browsing
Built using Entrust Toolkits
Enrollment /Recovery Wizards
Unity
MS ExpressNetscape
Messenger
Entrust-Ready Partners
profileCert.Add.Book
Encrypt for self & recipients + Sign filesSecure Delete, Passprotect
Set user preferences
.epf
AutoRA
Una tecnologia : Entrust/PKI (2)
![Page 36: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/36.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
36“Aperti e Sicuri”
Example of PKI:Secure e-mail
![Page 37: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/37.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
37“Aperti e Sicuri”
Esempio:Posta elettronica sicura
![Page 38: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/38.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
38“Aperti e Sicuri”
Posta elettronica sicura:sblocco della smart card
Directory
Alice Bob
Alice inserisce la sua smartcard, fornisce il PIN e sblocca il suo PSE (Personal Security Environment) per ottenere i suoi
certificati e le corrispondenti chiavi private
PSEPSE
Mail Server
![Page 39: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/39.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
39“Aperti e Sicuri”
Directory
Alice
Alice firma digitalmente l’e-mail per Bob utilizzando la sua chiave privata di firma contenuta nella smart card
Posta elettronica sicura: firma
![Page 40: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/40.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
40“Aperti e Sicuri”
Directory
Alice
Viene spedito hash dell’e-mail al timestamp server che appendeuna marca temporale (firmata) e la restituisce ad Alice
Timestamp server
Posta elettronica sicura: validazione temporale
![Page 41: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/41.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
41“Aperti e Sicuri”
Directory
…
Alice Bob
Alice recupera il certificato di Bob dalla Directory
Exchange Server
Posta elettronica sicura: cifratura (1)
![Page 42: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/42.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
42“Aperti e Sicuri”
Directory
…
Alice Bob
CRLExchange Server
Viene verificato la data di validita’ del certificato della CA e del certificato di cifratura di Bob. Poi viene recuperata la CRL per vedere se non e’ stato revocato
Posta elettronica sicura: cifratura (2)
![Page 43: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/43.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
43“Aperti e Sicuri”
Directory
Alice BobSe il certificato di Bob risulta ancora valido, viene
estratta la chiave pubblica di Bob
Exchange Server
Posta elettronica sicura: cifratura (3)
![Page 44: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/44.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
44“Aperti e Sicuri”
Directory
AliceBob
Alice cifra l’e-mail usando la chiave pubblica di Bob e spediscel’e-mail firmata e cifrata
Exchange Server
Posta elettronica sicura: cifratura (4)
![Page 45: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/45.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
45“Aperti e Sicuri”
Infrastrutture #2:PMI
(Privilege Management Infrastructure)
![Page 46: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/46.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
46“Aperti e Sicuri”
Secure Portal
![Page 47: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/47.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
47“Aperti e Sicuri”
401 KHRAsset ManagementSales ForecastCompetitive Analysis
Ask the ExpertKnowledgeBaseOrder Accessories Product UpdatesSchedule Service
Virtual StoreFrontProduct CatalogsAuctionsConfiguratorsPricing
NegotiationReverse AuctionDecision OptimizationCatalog MgmtContract Mgmt
InventoryPricingSales ForecastingPipeline ReportingQuoting
The Challenge: Securely Managing e-Business Web Sites & Applications
Customer ServicesIntranet E-Commerce
ApplicationsSupply Chain Management
Channel Management
e-Business Web Site
Customer Supplier PartnerEmployee
SecurityIsland
SecurityIsland
SecurityIsland
SecurityIsland
SecurityIsland
![Page 48: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/48.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
48“Aperti e Sicuri”
401 KHRAsset ManagementSales ForecastCompetitive Analysis
Ask the ExpertKnowledgeBaseOrder Accessories Product UpdatesSchedule Service
Virtual StoreFrontProduct CatalogsAuctionsConfiguratorsPricing
NegotiationReverse AuctionDecision OptimizationCatalog MgmtContract Mgmt
InventoryPricingSales ForecastingPipeline ReportingQuoting
The Solution: PMI
Customer ServicesIntranet E-Commerce
ApplicationsSupply Chain Management
Channel Management
e-Business Web Site
Customer Supplier PartnerEmployee
SecuritIsland PMISecurity
IslandSecurityIsland
![Page 49: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/49.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
49“Aperti e Sicuri”
Tim
e &
Cos
t Application SpecificSecurity
Security as a Shared Service
Number of Applications or Business Functions
PMIs Enable Economies of Scale
Shared Services Benefits• Rapidly re-build and/or
enhance web sites • Reduces costs• Reduces complexity• Ensures scalability
![Page 50: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/50.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
50“Aperti e Sicuri”
Access Control: What’s a PMI
B-to-EIntranet
B-to-BExtranet
Exchanges &Marketplaces
B-to-CExtranet
TRUSTED MANAGEMENT INFRASTRUCTURE (Policy Server)
Authentication Authorization AccessControl SSO DMS Privilege
Management
The Platform for Securely Managing e-Business
![Page 51: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/51.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
51“Aperti e Sicuri”
Authentication: what is it?
Authentication: validate that each user is who they say they are
Something you know
• password
Something you have
• Digital certificate (software token)
• Token card
• Smart card
Something you are (Biometrics)
• Fingerprints
• Voice recognition
• Retinal scans
SecurityLevel
Low
High
![Page 52: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/52.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
52“Aperti e Sicuri”
Multiple Authentication support
• Protect portions of the web site with different authentication mechanism:
User name/password• LDAP Directories• Windows NT Domain• RADIUS
Public key certificates (X.509 v3),smart cardsTwo factor tokens
• SecurID, SafeWordAPI for other methods
• RACF, Biometrics...• Authentication mechanisms can be chained together such that
additional authentication methods are permitted if the session has already been authenticated
Supports all major
authentication methods.
Full Password Management
System
![Page 53: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/53.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
53“Aperti e Sicuri”
Authorization: validate that each user has been granted rights to access a resource.
Privilege or entitlement: a user capability to perform an operation, or access data.
Privilege management: administration of all user privileges, by admins and applications.
Fine-grained access control: the ability to control user access to objects within a page.
Authorization: what is it?
![Page 54: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/54.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
54“Aperti e Sicuri”
Authorization Model
![Page 55: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/55.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
55“Aperti e Sicuri”
Authorization solutions: 3 categories
– KerberosKerberos-- based technologiesbased technologies
• Central server; Kerberos authentication
– PolicyPolicy-- ServerServer-- based technologiesbased technologies
• Central server; choice of authentication
– AttributeAttribute-- CertificateCertificate-- based technologiesbased technologies
• Distributed architecture; PKI authentication
Type of PMI
![Page 56: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/56.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
56“Aperti e Sicuri”
PMI#1: Policy-Server Based
Authentication:
•X.509 v3 digital certs.•User Name + Pswd•Windows NT Domain•LDAP
EnterpriseApplications
Databases
Enterprise C/S
Applications
LegacySystems
Internet Authentication
Auth/server™
X.500Directory
EntitlementsDatabase
Authorization
WebServers
User checkRulescheck
Privilege Server
Authentication & Authorization
check
URL Request
Grant orDeny
Data Access
![Page 57: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/57.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
57“Aperti e Sicuri”
Authorization: Policy
• Policy = Collection of rules relating users, roles or groups to protected resources
Rules Users Responses IP Address Time Policy Extension
Allows or denies access to a
resource
User or Groups Action that occurswhen a rule fires
IP address that the policy applies
to (optional)
Time when thepolicy can or
cannot fire(optional)
Dynamic extension of
the policy(optional)
Example: “Employees can enroll in the 401K plan (application), but onlyif they have been employed for at least 3 months”
![Page 58: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/58.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
58“Aperti e Sicuri”
PMI#2: Attribute Certificate BasedGestione dei privilegi/attributi di una identità:
1. Uso di PKC (subjectDirectoryAttributes) Appropriato se:
• CA=AA (problema di giurisdizione)
• Tempo di vita attributi=tempo di vita identità(problema di revoca)
PKCPKC
2. Uso di Attribute Certificate
Uno “standard” emergente per l’autorizzazione in ambiente Internet
• Se emessi da una AA forniscono una infrastruttura flessibile per la gestione dei privilegi (PMI)
• Può essere gestita indipendentemente da una PKI
ACAC
Insieme di attributi
![Page 59: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/59.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
59“Aperti e Sicuri”
Version: 1Serial Number: 8391037Signature: RSAIssuer: o=ACME, c=US; snu=234561Validity: 1/5/97 1:02 - 7/5/98 1:02Holder: o=ACME, c=US; snu=2345622
Attributes: - dn= cn=Bob Smith, o=ACME, c=US
- role= security engineer
Extensions OPTIONAL
What is in an X509 Attribute certificate?
Holder BaseCertificateID
Unique serial number
Period of validity
Attributes
AA BaseCertificateID
Signed by an Attribute Authority
X509 version
59
![Page 60: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/60.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
60“Aperti e Sicuri”
DN: CN= Bob O=xy, C=IT
Public Key: 9f 0a 34 ...
Certificate #: 51543576
Validity: 1.1.1999- 1.1.2001
Issuer: CA-name
Signature: CA Digital Signature
DN: CN= Bob O=xy, C=IT
Attributes:
Role: manager
Grade: 4
Validity: 1.2.1999 -2.2.1999
Certificate#: 3514534
Issuer: AA-name
Campo holder dell’ AC: Identità o DN (entityName)PKC (BaseCertificateID)Hash oggetto es Applet Java
(objetcDigestInfo)
AC & PKC: Relazioni
Signature: AA Digital Signature
Certificato a chiave pubblica (PKC) Certificato di Attributo (AC)
![Page 61: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/61.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
61“Aperti e Sicuri”
•Insieme di processi necessari per fornire i servizi di autorizzazione
• Cosa Permette: PMI definisce una architettura per ottenere e rendere credibili gli attributi di una entità (AC), con lo scopo di determinare se questa èautorizzata o meno ad accedere alle risorse.
•Componenti:
• Source of Authority (SOA): autorità che decide quali privilegi sono necessari per accedere alle risorse e li assegna agli user.
• Attribute Authority (AA): una autorità che assegna i privilegi emanando gli AC
• Privilege holder (Client): possessore dei privilegi
• Privilege verifier: effettua le decisioni per l’accesso alle risorse
• Repository (X.500) per pubblicare AC, liste di revoca ACRL (nel caso in cui sia necessario) e privilege policy
Privilege Management Infrastructure
![Page 62: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/62.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
62“Aperti e Sicuri”
Architettura di una PMI
Source Of Authority
AC/ACRL
Privilege Policy
AC
Trust
Directory (X.500)
AC / PKC
ACRL / CRL
Privilege Policy
PrivilegeVerifier Risorse
Pass/Fail
Holder
![Page 63: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/63.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
63“Aperti e Sicuri”
Assegna/pubblica chiavi pub/pri
Verifica dell’identità (PKI API)
Verifica dell’autorizzazione (PMI API)
Privilege Verifier
Verification Layer
Recupera ACRecupera PKC
Modulo Risorsa
Funzioni
ResourceLayer
Accesso
LDAP AC / ACRLPKC SOA,AA / CRL
Privilege Policy
Repository Layer
X.500 directory
RootCA SOA
CA
Authority Layer Delega i Privilegi
Assegna/pubblica ruoli
Assegna le politiche
AA_AffAA_SI AA_Rag
Integrazione della PMI con una PKI
![Page 64: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/64.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
64“Aperti e Sicuri”
Access Control with AC
AttributeAuthority
LDAP
WindowsNT
CustomRepository
Browser
WebServer
Request
Authenticate
AttributeCertificate
AppServer
Request
AttributeCertificate
Check PSWD
NativeAttributes
CustomAttributes
CustomAttributes
AttributeCertificate
Plug-in
Plug-in
![Page 65: Information Security Technologies as Core Business …home.deib.polimi.it/fugini/Cryptonet1.pdfConfidentialità Evitare che destinatari non autorizzati leggano il messaggio Autenticazione](https://reader030.vdocument.in/reader030/viewer/2022012923/5b0ddb0c7f8b9af65e8e47d1/html5/thumbnails/65.jpg)
08/05/2002 Copyright (c) CryptoNet 2002
65“Aperti e Sicuri”
QuestionTime
[email protected]@cryptonet.it