Indice Pag. 1 Presentazione La sicurezza nellazienda Banca La sicurezza informatica La catena...
-
Upload
andreina-spada -
Category
Documents
-
view
213 -
download
0
Transcript of Indice Pag. 1 Presentazione La sicurezza nellazienda Banca La sicurezza informatica La catena...
IndiceIndice
Pag. 1
Presentazione
La sicurezza nell’azienda Banca
La sicurezza informatica
La catena tecnologica della sicurezza
La firma digitale
Direzione Centrale Tecnologia e Processi
Pag. 2
03 MARZO 2008
CEEDO ED EUTRONSEC ANNUNCIANO L’ADOZIONE DA PARTE DI CINQUE IMPORTANTI BANCHE EUROPEE DELLA SOLUZIONE E-BANKING SICURA IN AMBIENTE DI LAVORO VIRTUALE
La soluzione consente ai clienti delle banche di accedere in modo sicuro ai conti online e di apporre firme digitali a documenti finanziari
in qualsiasi luogo si trovino.
La soluzione è stata sviluppata da Eutronsec e Ceedo nel corso degli ultimi 18 mesi. La compartecipazione ha portato ad un “dispositivo autonomo” che memorizza il software del proprio PC al suo interno e che fornisce una piattaforma all’avanguardia per la gestione dei servizi bancari. La co-produzione ha portato all’aumento dell’utilizzo da parte dell’utenza di procedure hardware di autenticazione, alla riduzione di richieste di assistenza e all’adozione della soluzione da parte di principali gruppi bancari europei, tra i quali il Gruppo Banca delle Marche, il Monte dei Paschi di Siena (MPS) e Il Gruppo Banca Carige.
03 MARZO 2008
CEEDO ED EUTRONSEC ANNUNCIANO L’ADOZIONE DA PARTE DI CINQUE IMPORTANTI BANCHE EUROPEE DELLA SOLUZIONE E-BANKING SICURA IN AMBIENTE DI LAVORO VIRTUALE
La soluzione consente ai clienti delle banche di accedere in modo sicuro ai conti online e di apporre firme digitali a documenti finanziari
in qualsiasi luogo si trovino.
La soluzione è stata sviluppata da Eutronsec e Ceedo nel corso degli ultimi 18 mesi. La compartecipazione ha portato ad un “dispositivo autonomo” che memorizza il software del proprio PC al suo interno e che fornisce una piattaforma all’avanguardia per la gestione dei servizi bancari. La co-produzione ha portato all’aumento dell’utilizzo da parte dell’utenza di procedure hardware di autenticazione, alla riduzione di richieste di assistenza e all’adozione della soluzione da parte di principali gruppi bancari europei, tra i quali il Gruppo Banca delle Marche, il Monte dei Paschi di Siena (MPS) e Il Gruppo Banca Carige.
Banca Marche ha fatto un passo avanti: ha reso portabile anche la firma digitale, quella firma che una volta era indispensabile scaricare nel proprio computer e conservare gelosamente al riparo da qualsiasi attacco. Il nuovo sistema con firma digitale, che è il sistema oggi più sicuro per gestire servizi online.
La firma digitaleLa firma digitale
La firma digitaleLa firma digitale
Direzione Centrale Tecnologia e Processi
Pag. 3
La firma digitale é “un particolare tipo di firma elettronica qualificata
basata su un sistema di chiavi asimmetriche a coppia,
una pubblica e una privata, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”
Quando un documento informatico é sottoscritto con firma digitale basata su di un certificato qualificato ed è generata mediante un dispositivo sicuro
fa piena provafino a querela difalso della prove-nienza delle dichia-razioni di chi l’ha sottoscritto
Cos’è Che valore ha
Direzione Centrale Tecnologia e Processi
Pag. 4
Anna vuole inviare un documento o un messaggio a Carlo…
La firma digitaleLa firma digitale
Anna e Carlo vogliono che le
loro comunicazioni siano
sicure:
Crittografia a chiavi asimmetricheCrittografia a chiavi asimmetriche
Direzione Centrale Tecnologia e Processi
Pag. 5
In questo sistema, ogni utente ha una coppia di chiavi crittografiche distinte ma legate fra loro:
non è possibile risalire alla chiave privata conoscendo la chiave pubblica (le due chiavi sono indipendenti)
è possibile cifrare un dato con la chiave pubblica e decifrarlo con la chiave privata e viceversa
la chiave pubblica, divulgabile
la chiave privata, conosciuta e custodita dal solo proprietario
AutenticazioneAutenticazione
Direzione Centrale Tecnologia e Processi
Pag. 6
Anna vuole garantire a Carlo la paternità del documento…
Anna cifra il documento con la propria chiave privata e lo spedisce a Carlo…
RSA
1
AutenticazioneAutenticazione
Qual’è la chiave pubblica di Anna?
Carlo riesce a decifrare, quindi è sicuro che il documento sia stato spedito proprio da Anna (solo lei, infatti, è in possesso della chiave privata)
CERTIFICATION AUTHORITY
RSA
1
Qual è la chiave pubblica di Carlo?
Anna cifra il documento con la chiave pubblica di Carlo…
Anna vuole essere sicura che il documento sia letto unicamente da Carlo… CERTIFICATION
AUTHORITY
RSA
RiservatezzaRiservatezza2
Anna è sicura che solo Carlo potrà leggere il documento; infatti soltanto Carlo possiede la chiave privata necessaria per decifrarlo
Carlo legge il documento decifrandolo con la propria chiave privata
RSA
RiservatezzaRiservatezza2
Un sistema di hashing produce, a partire dai dati di ingresso, una breve sequenza di caratteri detta “hash” oppure “digest” (riassunto) o anche “fingerprint” (impronta)
digest
CD59047058E0B412
hashing
non invertibile (1-way function): dall’hash non è possibile risalire al documento originale
restituisce un output di lunghezza fissa, indipendentemente dalla dimensione del file di input
statisticamente univoca
due documenti diversi danno sempre luogo a fingerprint diversi
non è possibile costruire un documento che produca il fingerprint desiderato
IntegritàIntegrità3
HASH = POLPETT
A
Tecnica di autenticazione del mittente e di controllo dell’integrità ottenuta combinando il sistema a chiavi asimmetriche con un sistema di hashing.
CD59047058E0B412
hashing RSA
736CB3440AE23F59
Anna calcola il digest del documento e lo cifra con la propria chiave privata, ottenendo la firma digitale…
…quindi invia a Carlo il documento con allegata la firma digitale…
3 IntegritàIntegrità
Chiave pubblica di Anna
Carlo decifra la firma digitale con la chiave pubblica di Anna, ottenendo il presunto digest; nel frattempo, calcola nuovamente il digest partendo dal documento originale; se i due digest coincidono, la firma è autentica e il documento non è stato alterato
RSA
736CB3440AE23F59
CD59047058E0B412
hashing
CD59047058E0B412
Sono uguali?
736CB3440AE23F59
3 IntegritàIntegrità
4 Non ripudioNon ripudio
Elementi costitutivi della firma digitale
Elementi costitutivi della firma digitale
PKI– Certificati: è la forma con cui una PKI costruisce un’associazione certa tra utente
e rispettiva chiave pubblica. Il certificato è un file binario contenente, oltre alle chiavi pubbliche, gli estremi dell’utente, e la cui integrità è garantita dalla CA (attraverso la firma digitale);
– Registro dei certificati: è lo strumento che consente di pubblicare i certificati (generalmente un Directory Server o un Database accessibile agli Utenti);
– Security Kit: è il mezzo con cui apporre la firma digitale su documenti; è generalmente costituito da librerie software e un supporto per contenere la chiave privata.
Le funzioni principali svolte all’interno di una PKI sono:
– Certificazione: è il processo attraverso il quale il valore di una chiave pubblica viene associato ad un utente;
– Gestione del ciclo di vita del certificato: rinnovo, sospensione, revoca dei certificati (attraverso opportune liste di revoca);
– Validazione: è il processo attraverso il quale si verifica che una certificazione è ancora valida.
La firma richiede una struttura organizzativa (la Public Key Infrastructure -PKI) e l'utilizzo di un dispositivo di firma sicuro, in genere una smart card
Public Key InfrastructurePublic Key Infrastructure
Autenticazione IntegritàPrivacy Non Ripudio
Public Key Infrastructure (PKI)Public Key Infrastructure (PKI):: una tecnologia a sostegno una tecnologia a sostegno delle nuove opportunità offerte dall’ e-businessdelle nuove opportunità offerte dall’ e-business
Userid/password
Crittografia chiavi simmetriche
Certificati Digitalichiavi asimmetriche (RSA
Cos’è un certificato?Cos’è un certificato?
Certificato tradizionale
identità dell’ente emittente identità dell’utente validità verifica l’identità tramite
fotografia e firma
Certificato digitale
identità dell’ente emittente identità dell’utente validità verifica l’identità tramite
chiave di cifratura appropriata
Dove sono contenuti i certificati?
Dove sono contenuti i certificati?
– Identità del titolare– Codice Fiscale del
titolare– Chiave pubblica del
titolare– Identità della CA
emittente– Firma digitale della
CA emittente– Data scadenza del
certificato– ID del certificato (n°
seriale)
Certification Authority (CA): la terza parte fidataCertification Authority (CA): la terza parte fidata
Esempi di CA Tradizionali– Prefettura (passaporti)– Ministero dei
trasporti/ufficio motorizzazione civile (patente di guida)
– Uffici Anagrafici (carta d’identità)
La Certification Authority è l’entità che garantisce l’intero ciclo di vita dei certificati digitali
Emissione • Identificazione e registrazione
titolare• Emissione certificato• Rilascio al titolare
Utilizzo• verifica della validità del
certificato
Gestione• Rinnovo• Revoca/sospensione• Mantenimento del pubblico
registro
La Smart Card o token di firma (carta a microchip)La Smart Card o token di firma (carta a microchip)
GIUSEPPE VERDI
85.6 mm 54 m
mcontatti elettrici del microchip
Una smart card è simile ad una carta di credito, ma con un microchip al posto della banda magnetica. Il microchip è un piccolo computer in grado di:
memorizzare informazioni proteggere i dati che contiene da accessi non autorizzati eseguire elaborazioni di vario tipo (per esempio: RSA) comunicare con un elaboratore esterno di tipo tradizionale (PC)
FUNZIONI: genera e conserva al suo interno
la chiave privata dell’utente non può essere attivata senza
conoscere il relativo PIN dialoga con le applicazioni sul PC
attraverso un card reader (o porta USB)