information security technologies as core business...
TRANSCRIPT
08/05/2002 Copyright (c) CryptoNet 2002
1“Aperti e Sicuri”
Information Security Technologies as Core
BusinessPart 1 : PKI – PMI Focus
Sonia Crucitti
CryptoNet [email protected]
08/05/2002 Copyright (c) CryptoNet 2002
2“Aperti e Sicuri”
Agenda
• Introduzione: chi e’ CryptoNet• Infrastrutture#1: PKI
–Richiami di Crittografia–Public Key Infrastructure (PKI)–Un esempio: cifrare e firmare documenti
ed e-mails • Infrastrutture#2: PMI
–Policy Server based PMI–Attribute Certificate based PMI
08/05/2002 Copyright (c) CryptoNet 2002
3“Aperti e Sicuri”
Cryptonet: la missione
Societa’ a capitale italiano esclusivamente focalizzata sull’Information Security impegnata giorno dopo giorno a migliorare la capacita’ competitiva dei propri Clienti tramite l’uso innovativo delle tecnologie dell’informazione e della comunicazione
08/05/2002 Copyright (c) CryptoNet 2002
4“Aperti e Sicuri”
•1998: la prima rete Ipsec con copertura mondiale (Luxottica); la primademo di Ipsec/Cisco in Europa (TIM)•1999: le due allora piu’ complesse reti Ipsec con tecnologia CISCO: Omnitel 2000 (1000 routers) e RUPA (20000 routers); il primo sistema di trading on-line con firma digitale e timestamping (BNL/Siteco)
•1995: Rilascio del primo sistema informativo basato su WWW (Matica); progettazione della componente crittografica per la prima smart card per uso di massa in Italia (SSB/Minipay)•1996: la prima CERTIFICAZIONE della sicurezza di una rete di comunicazione Enterprise•1997: il primo sistema di home banking sicuro in Italia (BPS)
•2000: la securizzazione di una delle piu’ grandi Intranet d’Europa (ENEL), con 40000 utenti con desktop sicuro, 110000 utenti WWW con strong authentication e non ripudio•2001: realizzazione e messa in sicurezza della rete di 20 Autorita’ Portuali; il piu’ complesso progetto di Intrusion Detection in Italia (40 network sensors); la messa in sicurezza di applicazioni su Palmari WIN/CE (VPN, firma digitale); set up della prima VPN su GPRS
Le principali tappe
08/05/2002 Copyright (c) CryptoNet 2002
5“Aperti e Sicuri”
La struttura
• 30 dipendenti su due Sedi (Mi e Roma)• Fatturato 2001 > 2.5 M€• 20 tecnici specializzati suddivisi in tre
aree:Risk AnalysisNetwork SecurityApplication Security
• Osservatorio tecnologico e normativo• Certificazione qualita’ (ISO9000)
08/05/2002 Copyright (c) CryptoNet 2002
6“Aperti e Sicuri”
InfrastructuresPKIPMI
SSO & 3ADirectory
Smart Card
Application-LayerSecurity
Custom Apps Development
SystemIntegration,
PDAs,Wireless Area
Apps IntegrityDBMS, ERP,
CRM
Desktop Security
Personal FirewallAntivirus
Smart Card
Vulnerability AssessmentApps Scanner
Apps IDS
Application Security Area
PhysicalData LinkNetwork
TransportSessionSession
PresentationPresentationApplicationApplication
08/05/2002 Copyright (c) CryptoNet 2002
7“Aperti e Sicuri”
Infrastrutture #1:PKI
(Public Key Infrastructure)
08/05/2002 Copyright (c) CryptoNet 2002
8“Aperti e Sicuri”
EE--mailmailWebWeb
PKI
E-CommerceCommerce
Secure Secure DesktopDesktop
E-formsDigital Sign
VPNVPN
SingleSignOnSingleSignOnWAP
E-TradingHome Banking
Il perche’ di una PKIS/MIME
SSL/TSL
IPSec
X.509v3
ConfidentialitàConfidentialitàEvitare che destinatari non autorizzati leggano il messaggio
AutenticazioneAutenticazioneProteggere l’identità del mittente del messaggio da alterazioni
IntegritàIntegritàProteggere i messaggi da alterazioni intenzionali o accidentali
NonNon--ripudioripudioProteggere i destinatari di un messaggio dal rischio di ripudio dell’invio da parte del mittente
Controllo degli accessiControllo degli accessiRendere accessibile il contenuto del messaggio solo ai destinatari autorizzati
I livelli ISO di sicurezza
08/05/2002 Copyright (c) CryptoNet 2002
10“Aperti e Sicuri”
I due tipi di algoritmi crittografici
••Crittografia simmetricaCrittografia simmetrica ( o a chiave segreta): utilizza una sola chiave crittografica che deve essere posseduta sia dal mittente sia dal destinatario del messaggio
••Crittografia asimmetricaCrittografia asimmetrica (o a chiave pubblica):
utilizza una coppia di chiavi (una pubblica e l’altra privata) possedute entrambi da un unico proprietario
08/05/2002 Copyright (c) CryptoNet 2002
11“Aperti e Sicuri”
Chiave segreta comune
CIFRA DECIFRA
Chiave segreta comune
Bob Alice
La Crittografia Simmetrica
Bob e Alice condividono una chiave segreta comune
08/05/2002 Copyright (c) CryptoNet 2002
12“Aperti e Sicuri”
Alice Bob
CIFRA
Chiave pubblicadi Bob
DECIFRA
Chiave privatadi Bob
La Crittografia Asimmetrica
CONFIDENZIALITÀ
Solo Bob può decifrare il documento, perché solo lui possiede la chiave privata
08/05/2002 Copyright (c) CryptoNet 2002
13“Aperti e Sicuri”
Alice Bob
CIFRA
Chiave privatadi Alice
DECIFRA
Chiave pubblicadi Alice
La Crittografia Asimmetrica
AUTENTICAZIONE
Bob è sicuro che il messaggio è stato cifrato da Alice perché solo lei possiede la sua chiave privata
08/05/2002 Copyright (c) CryptoNet 2002
14“Aperti e Sicuri”
Crittografia Ibrida
•È l’utilizzo combinato della crittografia a chiave pubblica e di quella simmetrica
•Il documento viene cifrato con una chiave simmetrica generata appositamente (oneone--time time sessionsession keykey)
•La chiave pubblica di cifratura viene usata non per cifrare il documento ma per cifrare la chiave simmetrica di sessione; funge da exchange keyexchange key
•Si accelera notevolmente i processi di cifratura e decifratura
21 Giugno 2000 Ing. Mirko TEDALDI
15“Aperti e Sicuri”
La chiave pubblica di cifratura del destinatario è usata per cifrare la chiave simmetrica (DIGITAL ENVELOPEDIGITAL ENVELOPE)
Crittografia Ibrida: creazione
==
==
La chiave simmetrica di sessione è usata per cifrare il documento originale ottenendo il documento cifrato
Alice genera una chiave simmetrica di sessione
MESSAGGIOMESSAGGIO
21 Giugno 2000 Ing. Mirko TEDALDI
16“Aperti e Sicuri”
Crittografia Ibrida: verifica
==
Il digital envelope viene decifrato con la chiave privata di decifratura di destinatario ottenendo la chiave simmetrica di sessione
==
Il documento cifrato viene decifrato con la chiave simmetrica di sessione ottenendo il documento originale
08/05/2002 Copyright (c) CryptoNet 2002
17“Aperti e Sicuri”
Funzione hash =Documento hash
hash Chiave privata=
Documento Chiavepubblica
DIGITAL SIGNATUREDIGITAL SIGNATURE
Digital Signature
Creazione della Firma Digitale
08/05/2002 Copyright (c) CryptoNet 2002
18“Aperti e Sicuri”
Chiave pubblicadel firmatario
Funzione hash =Documento Hash “fresco”
=?
Verifica della Firma Digitale
=Hash decifrato
Comparazione del hash decifratocon hash fresco
08/05/2002 Copyright (c) CryptoNet 2002
19“Aperti e Sicuri”
Firma Digitale vs. Cifratura
Abbiamo due operazioni crittografiche fondamentali:firma digitalefirma digitalecifratura/decifraturacifratura/decifratura
• Si potrebbe pensare di utilizzare un’unica coppia di chiavi asimmetriche (RSA è “reversible”)
• In realtà, le chiavi corrispondenti alle due operazioni hanno requisiti molto diversi
• Si utilizza una doppia coppia di chiavi doppia coppia di chiavi crittografichecrittografiche: una per la creazione e verifica della firma digitale, l’altra per la cifratura e decifratura dei documenti
08/05/2002 Copyright (c) CryptoNet 2002
20“Aperti e Sicuri”
Coppia di Chiavi di Firma
La chiave privata di firmachiave privata di firma:1. deve essere custodita in modo tale che solo il suo
legittimo possessore possa averne accesso2. NON deve essere sottoposta a backup (per
consentire meccanismi di recovery)3. NON deve essere archiviata alla sua scadenza ma
distrutta
La chiave pubblica di verificachiave pubblica di verifica:4. deve essere archiviata per poter verificare le “firme
storiche”
08/05/2002 Copyright (c) CryptoNet 2002
21“Aperti e Sicuri”
Coppia di Chiavi di Cifratura
La chiave privata di decifraturachiave privata di decifratura:1. deve essere sottoposta a backup per consentire
meccanismi di key recovery nel caso venga smarrita o corrotta
2. NON deve essere distrutta alla sua scadenza ma archiviata per poter continuare a decifrare i documenti cifrati in passato
La chiave pubblica di cifraturachiave pubblica di cifratura:3. non deve necessariamente essere archiviata
08/05/2002 Copyright (c) CryptoNet 2002
22“Aperti e Sicuri”
Doppia Coppia di Chiavi
NONNON è possibile soddisfare questi requisiti utilizzando un’unica coppia di chiavi
Inoltre:•le chiavi di firma e di cifratura possono avere validitàtemporali differenti per motivi di politica organizzativi-gestionali e di sicurezza•non tutti gli algoritmi a chiave pubblica hanno la proprietà dell’algoritmo RSA di effettuare sia cifratura sia firma con la stessa coppia di chiavi•le chiavi di cifratura possono essere soggetti a limiti di esportazione più ristrettivi
08/05/2002 Copyright (c) CryptoNet 2002
23“Aperti e Sicuri”
Le nostre chiavi crittografiche
••Chiave privata di firmaChiave privata di firma••Chiave pubblica di verificaChiave pubblica di verifica
••Chiave pubblica di cifraturaChiave pubblica di cifratura••Chiave privata di decifraturaChiave privata di decifratura
(in realtà, sono chiavi per il key-exchange)
••Chiavi simmetriche di sessioneChiavi simmetriche di sessione
08/05/2002 Copyright (c) CryptoNet 2002
24“Aperti e Sicuri”
Subject DN:cn=Mirko Tedaldi,ou=Utenti,o=CryptoNet SpA,c=it
Serial #: 8391037Start:11/10/01 1:02End:11/10/02 1:02CRL:cn=CRL1, ou=CryptoNet CA, o=CryptoNet SpA,c=itSubjectAltName: IP, DNS, email
Key:
CA DN: ou=CryptoNet CA, o=CryptoNet SpA, c=it
Nome univoco possessore
Numero di serie univoco
Periodo di validita’
Informazioni sulla revoca
Chiave pubblica
Nome della CA emittente
Firma digitaledella CA
Identificativo alternativo
I Certificati Elettronici
08/05/2002 Copyright (c) CryptoNet 2002
25“Aperti e Sicuri”
Third-Party Trust
Alice Bob
Autorità di Certificazione
Garantisce la corrispondenza tra chiave pubblica e soggetto attraverso i certificati digitalicertificati digitali
08/05/2002 Copyright (c) CryptoNet 2002
26“Aperti e Sicuri”
Public Key Infrastructure
Transazioni di management
End EntityTransazioni operazionali e
transazioni di management
Pubblica i certificati
Pubblica i certificati e le CRL
Transazioni di management
UTENTI UTENTI DELLE PKIDELLE PKI
ENTITÀ DIENTITÀ DIMANAGEMENTMANAGEMENT
DELLE PKIDELLE PKI
Repositorydi
certificati e
CRL
CERTIFICATO CERTIFICATO DIGITALEDIGITALE
08/05/2002 Copyright (c) CryptoNet 2002
27“Aperti e Sicuri”
PKI: Requisiti Tecnici Certification
Authority
CertificateRepository
CertificateRevocation
Key Backup& Recovery
Support fornon-repudiation
AutomaticKey Update
Timestamping
Key HistoriesCross-certification
Clientapplications
“Aperti e Sicuri”
PKI: Richiesta di un certificato3. Genera le chiavi di firma: la chiave privata rimane nel PSE dell’utente (Key generation)
2. Initialization(Ref. No./AuthCode)
1. richiesta di certificazione(Registrazione/autenticazione)
4. invia alla CA la chiave pubblica diverifica
6. Invia all’utente: CA, Encryption and Verification certificates and user’s encryption key
7. Pubblica i certificati
Registration Authority
User
Directory
Certification Authority
CADatabase
5. Genera le chiavi di encryption e genera i certificati
CMP
21 Giugno 2000 Ing. Mirko TEDALDI
29“Aperti e Sicuri”
La Richiesta di un Certificato (1)
1.1. RegistrationRegistrationÈ il processo con cui un utente fornisce informazioni sulla sua identità e su tutti gli altri dati che si vuole includere nel certificato. Questa operazione è svolta dall’Autorità di Registrazione.
2. Authentication2. AuthenticationÈ il processo di controllo che le informazioni fornite dall’utente siano autentiche; è in questa fase che viene presa la decisione finale se emettere il certificato per l’utente. Questa operazione è svolta dall’Autorità di Registrazione.
21 Giugno 2000 Ing. Mirko TEDALDI
30“Aperti e Sicuri”
3.3. InitialitationInitialitationÈ una fase critica in cui l’utente e la CA devono inizializzare un canale sicuro di comunicazione in cui verranno trasmesse le informazioni che porteranno alla creazione del certificato corrispondete ad una certa chiave pubblica
(CMP – Certificate Management Protocol)
La Richiesta di un Certificato (2)
21 Giugno 2000 Ing. Mirko TEDALDI
31“Aperti e Sicuri”
•È il protocollo standard Internet dell’IETFIETF che stabilisce le modalità di certificazione tra CA e utenti
•Prevede la conoscenza di una coppia di segreti iniziali tra CA e utente: IAKIAK (Initial Authetication Key) e RVRV(Reference Value). Sono distribuiti out-of-band e consentono la muta autenticazione inizialemuta autenticazione iniziale tra CA e utente.
•Con la coppia IAK-RV viene creato un canale di canale di comunicazione sicurocomunicazione sicuro tra CA e utente per l’invio della richiesta di certificazione e la relativa risposta
Certificate Management Protocol (CMP)
21 Giugno 2000 Ing. Mirko TEDALDI
32“Aperti e Sicuri”
4. Key Generation and 4. Key Generation and CertificationCertificationa) L’utente genera la coppia di chiavi e usa il
canale sicuro creato in fase di inizializzazione per passare la chiave pubblica alla CA, che genera il certificato e lo restituisce all’utente (chiavi di firma).
b) La CA genera la coppia di chiavi, certifica la chiave pubblica e usa il canale sicuro per passare la chiave privata e il certificato all’utente (chiavi di cifratura)
La Richiesta di un Certificato (3)
21 Giugno 2000 Ing. Mirko TEDALDI
33“Aperti e Sicuri”
La Richiesta di un Certificato (4)
5. Certificate5. Certificate PublicationPublicationLa CA pubblica il certificato nella directory.
6. Certificate6. Certificate UsageUsageL’utente può utilizzare la sua coppia di chiavi per firmare e/o cifrare i vari documenti. Inoltre può scaricare dalla directory i certificati degli altri utenti e ottenere le CRL
(LDAP - Lightweight Directory Access Protocol)
08/05/2002 Copyright (c) CryptoNet 2002
34“Aperti e Sicuri”
E ntrust-R eady A pplicationsE ntrust/E nte lligence• E ntrust U sers
D irectory
E ntrust/R A• S ecurity O fficers• E ntrust A dm in istrators• D irectory A dm in istrators
E ntrust/A uthority• M aster U sers
T im estam p
W eb B row sers& S ervers
S E T V P N & A ccess D evices
C O N N EC T O RVPNC O N N EC T O R
Web
Una tecnologia : Entrust/PKI (1)
08/05/2002 Copyright (c) CryptoNet 2002
35“Aperti e Sicuri”
Authority
EntelligenceCrypto Kernal
FIPS140-1 L 3ICE
File EncryptionTrue Delete
ExpressExchange / Outlook / Lotus
S/MIME + PEM
DirectWeb client /server
proxyAny Browser
Access(a.k.a SecuRemote)
IPSEC / IKE
KeyManagement
+SecurityPolicy
Assertion
SAP/r3SNC & SSF
DirectoryTimestamp
ProfileServer
Singlelog-in
Win / NT
RA
Browsing
Built using Entrust Toolkits
Enrollment /Recovery Wizards
Unity
MS ExpressNetscape
Messenger
Entrust-Ready Partners
profileCert.Add.Book
Encrypt for self & recipients + Sign filesSecure Delete, Passprotect
Set user preferences
.epf
AutoRA
Una tecnologia : Entrust/PKI (2)
08/05/2002 Copyright (c) CryptoNet 2002
36“Aperti e Sicuri”
Example of PKI:Secure e-mail
08/05/2002 Copyright (c) CryptoNet 2002
37“Aperti e Sicuri”
Esempio:Posta elettronica sicura
08/05/2002 Copyright (c) CryptoNet 2002
38“Aperti e Sicuri”
Posta elettronica sicura:sblocco della smart card
Directory
Alice Bob
Alice inserisce la sua smartcard, fornisce il PIN e sblocca il suo PSE (Personal Security Environment) per ottenere i suoi
certificati e le corrispondenti chiavi private
PSEPSE
Mail Server
08/05/2002 Copyright (c) CryptoNet 2002
39“Aperti e Sicuri”
Directory
Alice
Alice firma digitalmente l’e-mail per Bob utilizzando la sua chiave privata di firma contenuta nella smart card
Posta elettronica sicura: firma
08/05/2002 Copyright (c) CryptoNet 2002
40“Aperti e Sicuri”
Directory
Alice
Viene spedito hash dell’e-mail al timestamp server che appendeuna marca temporale (firmata) e la restituisce ad Alice
Timestamp server
Posta elettronica sicura: validazione temporale
08/05/2002 Copyright (c) CryptoNet 2002
41“Aperti e Sicuri”
Directory
…
Alice Bob
Alice recupera il certificato di Bob dalla Directory
Exchange Server
Posta elettronica sicura: cifratura (1)
08/05/2002 Copyright (c) CryptoNet 2002
42“Aperti e Sicuri”
Directory
…
Alice Bob
CRLExchange Server
Viene verificato la data di validita’ del certificato della CA e del certificato di cifratura di Bob. Poi viene recuperata la CRL per vedere se non e’ stato revocato
Posta elettronica sicura: cifratura (2)
08/05/2002 Copyright (c) CryptoNet 2002
43“Aperti e Sicuri”
Directory
Alice BobSe il certificato di Bob risulta ancora valido, viene
estratta la chiave pubblica di Bob
Exchange Server
Posta elettronica sicura: cifratura (3)
08/05/2002 Copyright (c) CryptoNet 2002
44“Aperti e Sicuri”
Directory
AliceBob
Alice cifra l’e-mail usando la chiave pubblica di Bob e spediscel’e-mail firmata e cifrata
Exchange Server
Posta elettronica sicura: cifratura (4)
08/05/2002 Copyright (c) CryptoNet 2002
45“Aperti e Sicuri”
Infrastrutture #2:PMI
(Privilege Management Infrastructure)
08/05/2002 Copyright (c) CryptoNet 2002
46“Aperti e Sicuri”
Secure Portal
08/05/2002 Copyright (c) CryptoNet 2002
47“Aperti e Sicuri”
401 KHRAsset ManagementSales ForecastCompetitive Analysis
Ask the ExpertKnowledgeBaseOrder Accessories Product UpdatesSchedule Service
Virtual StoreFrontProduct CatalogsAuctionsConfiguratorsPricing
NegotiationReverse AuctionDecision OptimizationCatalog MgmtContract Mgmt
InventoryPricingSales ForecastingPipeline ReportingQuoting
The Challenge: Securely Managing e-Business Web Sites & Applications
Customer ServicesIntranet E-Commerce
ApplicationsSupply Chain Management
Channel Management
e-Business Web Site
Customer Supplier PartnerEmployee
SecurityIsland
SecurityIsland
SecurityIsland
SecurityIsland
SecurityIsland
08/05/2002 Copyright (c) CryptoNet 2002
48“Aperti e Sicuri”
401 KHRAsset ManagementSales ForecastCompetitive Analysis
Ask the ExpertKnowledgeBaseOrder Accessories Product UpdatesSchedule Service
Virtual StoreFrontProduct CatalogsAuctionsConfiguratorsPricing
NegotiationReverse AuctionDecision OptimizationCatalog MgmtContract Mgmt
InventoryPricingSales ForecastingPipeline ReportingQuoting
The Solution: PMI
Customer ServicesIntranet E-Commerce
ApplicationsSupply Chain Management
Channel Management
e-Business Web Site
Customer Supplier PartnerEmployee
SecuritIsland PMISecurity
IslandSecurityIsland
08/05/2002 Copyright (c) CryptoNet 2002
49“Aperti e Sicuri”
Tim
e &
Cos
t Application SpecificSecurity
Security as a Shared Service
Number of Applications or Business Functions
PMIs Enable Economies of Scale
Shared Services Benefits• Rapidly re-build and/or
enhance web sites • Reduces costs• Reduces complexity• Ensures scalability
08/05/2002 Copyright (c) CryptoNet 2002
50“Aperti e Sicuri”
Access Control: What’s a PMI
B-to-EIntranet
B-to-BExtranet
Exchanges &Marketplaces
B-to-CExtranet
TRUSTED MANAGEMENT INFRASTRUCTURE (Policy Server)
Authentication Authorization AccessControl SSO DMS Privilege
Management
The Platform for Securely Managing e-Business
08/05/2002 Copyright (c) CryptoNet 2002
51“Aperti e Sicuri”
Authentication: what is it?
Authentication: validate that each user is who they say they are
Something you know
• password
Something you have
• Digital certificate (software token)
• Token card
• Smart card
Something you are (Biometrics)
• Fingerprints
• Voice recognition
• Retinal scans
SecurityLevel
Low
High
08/05/2002 Copyright (c) CryptoNet 2002
52“Aperti e Sicuri”
Multiple Authentication support
• Protect portions of the web site with different authentication mechanism:
User name/password• LDAP Directories• Windows NT Domain• RADIUS
Public key certificates (X.509 v3),smart cardsTwo factor tokens
• SecurID, SafeWordAPI for other methods
• RACF, Biometrics...• Authentication mechanisms can be chained together such that
additional authentication methods are permitted if the session has already been authenticated
Supports all major
authentication methods.
Full Password Management
System
08/05/2002 Copyright (c) CryptoNet 2002
53“Aperti e Sicuri”
Authorization: validate that each user has been granted rights to access a resource.
Privilege or entitlement: a user capability to perform an operation, or access data.
Privilege management: administration of all user privileges, by admins and applications.
Fine-grained access control: the ability to control user access to objects within a page.
Authorization: what is it?
08/05/2002 Copyright (c) CryptoNet 2002
54“Aperti e Sicuri”
Authorization Model
08/05/2002 Copyright (c) CryptoNet 2002
55“Aperti e Sicuri”
Authorization solutions: 3 categories
– KerberosKerberos-- based technologiesbased technologies
• Central server; Kerberos authentication
– PolicyPolicy-- ServerServer-- based technologiesbased technologies
• Central server; choice of authentication
– AttributeAttribute-- CertificateCertificate-- based technologiesbased technologies
• Distributed architecture; PKI authentication
Type of PMI
08/05/2002 Copyright (c) CryptoNet 2002
56“Aperti e Sicuri”
PMI#1: Policy-Server Based
Authentication:
•X.509 v3 digital certs.•User Name + Pswd•Windows NT Domain•LDAP
EnterpriseApplications
Databases
Enterprise C/S
Applications
LegacySystems
Internet Authentication
Auth/server™
X.500Directory
EntitlementsDatabase
Authorization
WebServers
User checkRulescheck
Privilege Server
Authentication & Authorization
check
URL Request
Grant orDeny
Data Access
08/05/2002 Copyright (c) CryptoNet 2002
57“Aperti e Sicuri”
Authorization: Policy
• Policy = Collection of rules relating users, roles or groups to protected resources
Rules Users Responses IP Address Time Policy Extension
Allows or denies access to a
resource
User or Groups Action that occurswhen a rule fires
IP address that the policy applies
to (optional)
Time when thepolicy can or
cannot fire(optional)
Dynamic extension of
the policy(optional)
Example: “Employees can enroll in the 401K plan (application), but onlyif they have been employed for at least 3 months”
08/05/2002 Copyright (c) CryptoNet 2002
58“Aperti e Sicuri”
PMI#2: Attribute Certificate BasedGestione dei privilegi/attributi di una identità:
1. Uso di PKC (subjectDirectoryAttributes) Appropriato se:
• CA=AA (problema di giurisdizione)
• Tempo di vita attributi=tempo di vita identità(problema di revoca)
PKCPKC
2. Uso di Attribute Certificate
Uno “standard” emergente per l’autorizzazione in ambiente Internet
• Se emessi da una AA forniscono una infrastruttura flessibile per la gestione dei privilegi (PMI)
• Può essere gestita indipendentemente da una PKI
ACAC
Insieme di attributi
08/05/2002 Copyright (c) CryptoNet 2002
59“Aperti e Sicuri”
Version: 1Serial Number: 8391037Signature: RSAIssuer: o=ACME, c=US; snu=234561Validity: 1/5/97 1:02 - 7/5/98 1:02Holder: o=ACME, c=US; snu=2345622
Attributes: - dn= cn=Bob Smith, o=ACME, c=US
- role= security engineer
Extensions OPTIONAL
What is in an X509 Attribute certificate?
Holder BaseCertificateID
Unique serial number
Period of validity
Attributes
AA BaseCertificateID
Signed by an Attribute Authority
X509 version
59
08/05/2002 Copyright (c) CryptoNet 2002
60“Aperti e Sicuri”
DN: CN= Bob O=xy, C=IT
Public Key: 9f 0a 34 ...
Certificate #: 51543576
Validity: 1.1.1999- 1.1.2001
Issuer: CA-name
Signature: CA Digital Signature
DN: CN= Bob O=xy, C=IT
Attributes:
Role: manager
Grade: 4
Validity: 1.2.1999 -2.2.1999
Certificate#: 3514534
Issuer: AA-name
Campo holder dell’ AC: Identità o DN (entityName)PKC (BaseCertificateID)Hash oggetto es Applet Java
(objetcDigestInfo)
AC & PKC: Relazioni
Signature: AA Digital Signature
Certificato a chiave pubblica (PKC) Certificato di Attributo (AC)
08/05/2002 Copyright (c) CryptoNet 2002
61“Aperti e Sicuri”
•Insieme di processi necessari per fornire i servizi di autorizzazione
• Cosa Permette: PMI definisce una architettura per ottenere e rendere credibili gli attributi di una entità (AC), con lo scopo di determinare se questa èautorizzata o meno ad accedere alle risorse.
•Componenti:
• Source of Authority (SOA): autorità che decide quali privilegi sono necessari per accedere alle risorse e li assegna agli user.
• Attribute Authority (AA): una autorità che assegna i privilegi emanando gli AC
• Privilege holder (Client): possessore dei privilegi
• Privilege verifier: effettua le decisioni per l’accesso alle risorse
• Repository (X.500) per pubblicare AC, liste di revoca ACRL (nel caso in cui sia necessario) e privilege policy
Privilege Management Infrastructure
08/05/2002 Copyright (c) CryptoNet 2002
62“Aperti e Sicuri”
Architettura di una PMI
Source Of Authority
AC/ACRL
Privilege Policy
AC
Trust
Directory (X.500)
AC / PKC
ACRL / CRL
Privilege Policy
PrivilegeVerifier Risorse
Pass/Fail
Holder
08/05/2002 Copyright (c) CryptoNet 2002
63“Aperti e Sicuri”
Assegna/pubblica chiavi pub/pri
Verifica dell’identità (PKI API)
Verifica dell’autorizzazione (PMI API)
Privilege Verifier
Verification Layer
Recupera ACRecupera PKC
Modulo Risorsa
Funzioni
ResourceLayer
Accesso
LDAP AC / ACRLPKC SOA,AA / CRL
Privilege Policy
Repository Layer
X.500 directory
RootCA SOA
CA
Authority Layer Delega i Privilegi
Assegna/pubblica ruoli
Assegna le politiche
AA_AffAA_SI AA_Rag
Integrazione della PMI con una PKI
08/05/2002 Copyright (c) CryptoNet 2002
64“Aperti e Sicuri”
Access Control with AC
AttributeAuthority
LDAP
WindowsNT
CustomRepository
Browser
WebServer
Request
Authenticate
AttributeCertificate
AppServer
Request
AttributeCertificate
Check PSWD
NativeAttributes
CustomAttributes
CustomAttributes
AttributeCertificate
Plug-in
Plug-in
08/05/2002 Copyright (c) CryptoNet 2002
65“Aperti e Sicuri”
QuestionTime
[email protected]@cryptonet.it