Public Key Infrastructure Public Key Infrastructure

Fabrizio Grossi

Introduzione alla CriptografiaIntroduzione alla Criptografia

Chiavi di criptazioneChiavi di criptazione Criptazione SimmetricaCriptazione Simmetrica Public Key EncryptionPublic Key Encryption Public Key Digital SigningPublic Key Digital Signing EFSEFS

Chiavi di criptazioneChiavi di criptazione

Tipo di chiaveTipo di chiave DescrizioneDescrizione

SimmetricaSimmetrica

La stessa chiave è usata per criptare e La stessa chiave è usata per criptare e decriptare i datidecriptare i dati

Protegge i dati dall’intercettazioneProtegge i dati dall’intercettazione

AsimmetricaAsimmetrica

Consiste di una chiave pubblica e una privataConsiste di una chiave pubblica e una privata

La chiave privata è protetta, quella pubblica è La chiave privata è protetta, quella pubblica è distribuita liberamentedistribuita liberamente

Usa una crittografia asimmetricaUsa una crittografia asimmetrica

Criptazione SimmetricaCriptazione Simmetrica

Dato OriginaleDato Originale Testo cifratoTesto cifrato Dato OriginaleDato Originale

Crptazione Simmetrica:Crptazione Simmetrica:

Usa la stessa chiave

Bulk encryption

E’ vulnerabile se viene intercettata la chiave simmetrica

Usa la stessa chiave

Bulk encryption

E’ vulnerabile se viene intercettata la chiave simmetrica

Public Key EncryptionPublic Key Encryption

Encrypted Message is Sent Over NetworkEncrypted Message is Sent Over Network

2222

3A783A78Alice Encrypts Message with Bob’s Public Key.

Alice Encrypts Message with Bob’s Public Key.

1111DataData

3A783A78

Bob Decrypts Message with Bob’s Private Key.Bob Decrypts Message with Bob’s Private Key.

3333

Data

Public Key AuthenticationPublic Key Authentication

Message is Sent Over NetworkMessage is Sent Over Network

2222

~*~*~*~~*~*~*~Alice Signs Message with Her Private Key.Alice Signs Message with Her Private Key.

1111

~*~*~*~

~*~*~*~~*~*~*~

Bob Validates Message is From Alice with Alice’s Public Key.Bob Validates Message is From Alice with Alice’s Public Key.

3333

Public Key EncryptionPublic Key Encryption

ProcessoProcesso ProcessoProcesso

1.1. Si trova la chiave pubblica del destinatarioSi trova la chiave pubblica del destinatario

2.2. I dati sono criptati con una chiave simmetricaI dati sono criptati con una chiave simmetrica

3.3. La chiave simmetrica è criptata con la chiave La chiave simmetrica è criptata con la chiave pubblica del destinatariopubblica del destinatario

4.4. La chiave simmetrica criptata e i dati criptati La chiave simmetrica criptata e i dati criptati sono inviati al destinatariosono inviati al destinatario

5.5. Il destinatario decripta la chiave simmetrica Il destinatario decripta la chiave simmetrica con la sua chiave privatacon la sua chiave privata

6.6. I dati vengono decriptati con la chiave I dati vengono decriptati con la chiave simmetricasimmetrica

Public Key Digital SigningPublic Key Digital Signing

ProcessoProcesso ProcessoProcesso

1.1. I dati sono codificati con un algoritmo di I dati sono codificati con un algoritmo di hash, producendo un valore di hashhash, producendo un valore di hash

2.2. Il valore di hash è criptato con la chiave Il valore di hash è criptato con la chiave privata del mittenteprivata del mittente

3.3. Il certificato del mittente, il valore di hash Il certificato del mittente, il valore di hash criptato e i dati originali sono inviati al criptato e i dati originali sono inviati al destinatariodestinatario

4.4. Il destinatario decripta il valore di hash con Il destinatario decripta il valore di hash con la chiave pubblica del mittentela chiave pubblica del mittente

5.5. I dati sono passati attraverso un algoritmo I dati sono passati attraverso un algoritmo di hash, i valori di hash sono comparatidi hash, i valori di hash sono comparati

Utilizzo della firma digitaleUtilizzo della firma digitale

Digest Digest FunctionFunction

User1 (Sender)

Plaintext

User1’s Private Key

Digest

EncryptedDigest

1111

2222

3333

User2 (Receiver)

User1’s Public Key

4444

6666CompareCompare

5555

Digest Digest FunctionFunction

Criptazione dei dati

Criptazione dei DatiCriptazione dei Dati

Criptazione della File Encryption Key

EncryptedText

EncryptedText

ClearText

ClearText

EncryptedText

EncryptedText

File Encryption KeyFile Encryption Key

Recovery Agent’s Public Key

Recovery Agent’s Public Key

User’s Public Key

User’s Public Key

1111

2222

3333

DDFDRF

File Encryption KeyFile Encryption Key

Utente Decripta

Decriptazione dei DatiDecriptazione dei Dati

EncryptedText

EncryptedText

ClearText

ClearText

User’s Private KeyUser’s Private Key

DDFDDF

1111 2222

EncryptedText

EncryptedText

ClearText

ClearText

File Encryption Key

File Encryption Key

Recovery Agent’s Private KeyRecovery Agent’s Private Key

DRFDRF

1111 2222

Recovery Agent Decripta

File Encryption Key

File Encryption Key

Scegliere i dati da criptare con Scegliere i dati da criptare con EFSEFS

Mobile ComputerMobile Computer

DesktopDesktop

File Encrypted When Copied

I File sono criptati quando sono copiati sul

portatile

Criptare le cartelle sui Computer portatili

Criptare le cartelle invece che i file

EFS

Pianificare il Recovery EFS Pianificare il Recovery EFS

Recovery Key Esportata

Recovery Station

Recovery Agent

Trusted AdministratorTrusted Administrator

Encrypting File System (EFS)Encrypting File System (EFS)

NTFSNTFS File ConfidentialityFile Confidentiality Offline FilesOffline Files

E’ possibile criptare il database dei File OfflineE’ possibile criptare il database dei File Offline Cripta la cache locale dei FileCripta la cache locale dei File

Data Encryption (DESX)Data Encryption (DESX) Triple-DES (3DES)Triple-DES (3DES)

Un Certificato digitale:Un Certificato digitale:

Verifica l’identità di un utente, computer o di un programma

Contiene informazioni sul soggetto e su chi lo ha rilasciato

E’ firmato da una CA

Verifica l’identità di un utente, computer o di un programma

Contiene informazioni sul soggetto e su chi lo ha rilasciato

E’ firmato da una CA

Certificato DigitaleCertificato Digitale

Estensioni dei CertificatiEstensioni dei Certificati

Estensioni dei Certificati:Estensioni dei Certificati:

Forniscono informazioni addizionali sul soggetto

Contengono i campi versione 1 e versione 3

Forniscono informazioni addizionali sul soggetto

Contengono i campi versione 1 e versione 3

Un certification authority:Un certification authority:

Verifica l’identità di chi ha richiesto un certificato La metodologia di identificazione dipende dal tipo della

CA

Rilascia certificati Il modello del certificato o il certificato richiesto

determinano l’informazione nel certificato

Gestione delle revoca dei certificati La CRL garantisce che i certificati non validi non siano

usati

Verifica l’identità di chi ha richiesto un certificato La metodologia di identificazione dipende dal tipo della

CA

Rilascia certificati Il modello del certificato o il certificato richiesto

determinano l’informazione nel certificato

Gestione delle revoca dei certificati La CRL garantisce che i certificati non validi non siano

usati

Certification AuthorityCertification Authority

Rilascia il Certificato per utilizzarlo come Credenziale di Sicurezza

Rilascia il Certificato per utilizzarlo come Credenziale di Sicurezza

4444

Computer, User, or ServiceComputer, User, or ServiceComputer, User, or ServiceComputer, User, or Service

CACACACA

~*~*~*~

CA Accetta una richiesta di CertificatoCA Accetta una richiesta di Certificato

1111

Verifica InformazioniVerifica Informazioni2222

Usa la Chiave Privata per apporre firma digitale al Certificato

Usa la Chiave Privata per apporre firma digitale al Certificato

3333

Certification AuthorityCertification Authority

Componenti di una PKIComponenti di una PKIStrumenti di

GestioneStrumenti di

Gestione Certification Authority

Certification Authority

CRLDistribution Points

CRLDistribution Points

Certificate Template

Certificate Template

CertificatoDigitale

CertificatoDigitale

Certificate Revocation List

Certificate Revocation List

Applicazioni e servizi Public Key-Enabled

Applicazioni e servizi Public Key-Enabled