La sicurezza nelle transazioni

1
La sicurezza nelle transazioni

• Marco Riani

2

• Autenticazione capacità di garantire al
  destinatario del messaggio la certezza
  dell'autenticità dell'identità dichiarata dal
  mittente.
• Non ripudio garantire al destinatario la non
  ripudiabilità della manifestazione di volontà
  espressa dal mittente con l'invio del messaggio

3

• Riservatezza capacità di garantire il
  trasferimento delle informazioni impendendo al
  visione del documento ad estranei non autorizzati
  (hackers).
• Integrità dei dati capacità di trasferire in
  ambienti insicuri per definizione (Internet,
  Intranet ed Extranet) messaggi e informazioni in
  modo integro.

4
La crittografia aspetti preliminari

• Testo in chiaro
• Cifratura (encryption)
• Testo cifrato o crittogramma o testo criptato
• Decifratura (decryption)
• Crittografia l'insieme delle teorie e delle
  tecniche che permettono di cifrare un testo in
  chiaro (cioè di ottenere un crittogramma) e di
  decifrare un crittogramma.

5
La crittografia aspetti preliminari

• Algoritmo di crittografia (cryttographic
  algorithm o chypher) è una funzione matematica
  utilizzata nel processo di cifratura e
  decifratura dei dati.
• L'algoritmo di cifratura lavora in combinazione
  con una "chiave" (ossia una parola, un numero o
  una frase) per cifrare il testo in chiaro.

6
La cifratura e la decifratura di un testo
7
I software di crittogafia

• Fra i diversi software di criptosistema (o di
  cifratura) forse il più conosciuto è il PGP
  (Pretty Good Privacy) scritto dallingegnere
  Americano Philip Zimmermann. Questo software può
  essere scaricato gratuitamente dal sito Internet
  http//www.pgpi.org).

8
Crittografia a chiave simmetrica

• Utilizza un'unica chiave per cifrare e decifrare
  le informazioni.
• Questa tecnica, infatti, funziona bene solo
  quando mittente e ricevente possono combinare in
  anticipo lo scambio della chiave.

9
Cifratura e decifratura nella Crittografia a
chiave simmetrica la stessa chiave è utilizzata
per cifrare e decifrare i messaggi.
10
Crittografia a chiave asimmetrica

• Ogni utente utilizzando un determinato software
  (ad esempio PGP) genera una coppia di chiavi.
  L'algoritmo matematico che effettua questa
  operazione è tale per cui un messaggio che è
  stato cifrato con una chiave della coppia, può
  essere decifrato solo con l'altra chiave della
  stessa coppia. Inoltre, anche se le due chiavi
  sono generate insieme, partendo dalla chiave
  pubblica è impossibile ricavare la chiave segreta

11
Cifratura e decifratura nella crittografia a
chiave asimmetrica
12
La firma digitale di un documento

• La firma digitale ha lo stesso scopo della firma
  tradizionale. Tuttavia, mentre la firma
  tradizionale è facile da contraffare, la firma
  digitale è molto difficile da falsificare. La
  firma digitale consente a chi riceve
  l'informazione di verificare sia l'autenticità
  del messaggio, sia la veridicità del mittente.

13
Il messaggio è firmato digitalmente quando viene
cifrato con la chiave privata del mittente.
14

• Il sistema di firma digitale descritto nella
  precedente Figura, tuttavia, presenta due
  inconvenienti fondamentali
• è estremamente lento
• produce un notevole ammontare di dati.

15
Un modo efficiente e sicuro per firmare
digitalmente un documento
16
La certification Authority

• Una questione molto importante nei criptosistemi
  a chiave pubblica riguarda l'identità effettiva
  della persona di cui si vuole utilizzare la
  chiave pubblica. In altri termini, come si fa a
  sapere che una determinata chiave pubblica
  corrisponde effettivamente alla persona a cui io
  voglio spedire le informazioni?

17
Il certificato digitale

• Un certificato digitale (CD) è costituito da un
  insieme di dati che funzionano come un
  certificato tradizionale. Più precisamente, un CD
  contiene
• informazioni su una chiave pubblica
• informazioni sull'utilizzatore (nome, user ID)
  per aiutare altre persone a verificare lidentità
  del possessore della chiave pubblica
• una o più firme digitali.

18
Il certificati digitali supportati dal software
PGP

• Il certificato PGP
• Il certificato X.509

19
Cosa contiene il certificato PGP

• il numero della versione di PGP
• la chiave pubblica del possessore del
  certificato
• informazioni sul possessore del certificato (user
  ID, fotografia ecc.)
• la firma digitale del possessore del certificato
  (questa firma è stata ottenuta con la chiave
  privata del possessore del certificato)
• La data di creazione del certificato
• il periodo di validità del certificato
• l'algoritmo di cifratura preferito (PGP supporta
  i seguenti algoritmi CAST, IDEA e Triple-DES).

20
Il certificato PGP può essere pensato come una
chiave pubblica a cui sono state allegate alcune
etichette
21
Le autorità di certificazione in Italia

• In Italia l'articolo 8 comma 3 del DPR 513/97 ha
  stabilito che l'elenco pubblico dei certificatori
  è tenuto dall'Autorità per l'informatica nella
  pubblica amministrazione (AIPA).

22
Elenco dei certificatori

• http//www.interlex.it/docdigit/elenco.htm

23
PGP, la crittografia e la firma digitale in
pratica

• Il software PGP (scaricabile gratuitamente dal
  sito Internet www.pgpi.com) è un criptosistema
  ibrido in quanto combina le caratteristiche della
  crittografia simmetrica con quelle della
  crittografia a chiave pubblica.

24
Crittografia con PGP

• Compressione dei dati
• Dopo aver compresso i dati, PGP crea una chiave
  di sessione, ossia una chiave segreta (ossia un
  numero casuale). Questo numero dipende dai
  movimenti del mouse, dai tasti che si premono e
  dal contenuto del messaggio

25
Crittografia con PGP

• Partendo dal numero casuale che rappresenta la
  chiave di sessione si utilizza un algoritmo di
  compressione a chiave simmetrica per cifrare
  lintero testo in chiaro. Il risultato di questo
  processo è un testo cifrato con la chiave di
  sessione in chiaro.

26
Crittografia con PGP

• Una volta che i dati sono stati cifrati con la
  chiave di sessione, se io voglio spedire il
  messaggio al soggetto B, posso limitarmi a
  cifrare la chiave di sessione con la chiave
  pubblica di B

27
Il metodo utilizzato dai software di crittografia
per la cifratura dei dati
28
Il metodo utilizzato dai software di crittografia
per decifrare i dati
29

• L'impiego congiunto dei due metodi di
  crittografia (chiave simmetrica e chiave
  pubblica) permette di combinare la sicurezza e la
  convenienza del metodo di cifratura a chiave
  pubblica, con la velocità del metodo di cifratura
  convenzionale. La cifratura a chiave simmetrica,
  infatti, è circa 1000 volte più veloce della
  cifratura a chiave pubblica.

30
La crittografia in pratica

• Generazione della coppia di chiavi
• Come trovare la chiave pubblica di una persona
• Come cifrare un file con la chiave pubblica di
  una determinata persona
• Come decifrare un file che vi è stato spedito
  utilizzando la vostra chiave pubblica

31
I sistemi di pagamento

• Marco Riani

32
Carta di credito e di debito

• La differenza sostanziale tra questi due tipi di
  carte consiste nel fatto che le operazioni che
  utilizzano la Cd prevedono l'addebito immediato
  sul conto corrente del cliente, mentre quelle con
  la Cc vengono raggruppate in un estratto conto
  separato e addebitate mensilmente per l'importo
  totale.

33
Tipologie di carte di credito

• Le carte di credito sono di due tipi a seconda
  che siano gestite completamente da organizzazioni
  non bancarie oppure siano distribuite tramite
  organizzazioni bancarie. Al primo raggruppamento
  appartengono Diners Club e American Express. Nel
  secondo gruppo troviamo invece VISA, MasterCard e
  Europay.

34
(No Transcript)
35
Il pagamento tradizionale tramite carta di credito
36
Il pagamento tramite Internet con CC utilizzando
il protocollo SSL

• SSL (Secure Sockets Layer) è un protocollo
  sviluppato dalla Rsa Data Security Inc. che ha
  l'obiettivo di gestire la sicurezza del canale
  per la trasmissione dei dati garantendo
  l'integrità e l'autenticazione degli stessi.

37
Caratteristiche di SSL

• privacy i dati vengono crittografati in modo da
  assicurare la segretezza durante la trasmissione
• validazione del messaggio il protocollo
  controlla che i dati non vengano falsificati
  durante la trasmissione
• possibilità di autenticazione del negozio on line
  se la firma digitale del sito web, rilasciata da
  unautorità di certificazione, accompagna i
  messaggi assicurando che l'identità del sito di
  e-commerce è autentica.

38
Dettagli tecnici

• A livello tecnico, i protocolli di SSL si
  inseriscono tra l'HTTP (il protocollo di
  trasmissione degli iperoggetti) e il TCP (il
  protocollo che cura la trasmissione vera e
  propria dei dati) l'insieme dell'HTTP e dell'SSL
  è denominato HTTPS, e il suo uso è individuato da
  URL https.

39
Come certificare il proprio sito web con Verisign

• Passo 1 Conferma del Nome di Dominio
• Passo 2 Ottenimento della documentazione legale
  (numero DUN)
• Passo 3 generazione e invio del CSR (ossia la
  richiesta di firma del certificato) e la coppia
  di chiavi (pubblica e privata).

40
Come certificare il proprio sito web con Verisign

• Per generare la CSR si può utilizzare il sito
  http//www.verisign.it/server/prd/index_s.htm
• Dopo aver creato la vostra CSR, aprite il
  relativo file con un editor di testo (ad esempio
  notepad), copiate la CSR e incollatela nel modulo
  di registrazione on-line di VeriSign. La CSR si
  presenterà in questo formato
• -----BEGIN NEW CERTIFICATE REQUEST-----MIIBJTCB0A
  IBADBtMQswCQYDVQQGEwJVUzEQMA4GA1UEChs4lBMHQXJpem9u
  YTENA1UEBxMETWVzYTEfMB0GA1UEChMWTWVs3XbnzYSBDb21td
  W5pdHkgQ29sbGVnZTEA1UEAxMTd3d3Lm1jLm1hcmljb3BhLmVk
  dTBaMA0GCSqGSIb3DQEBAQUAA0kAMEYCQQDRNU6xslWjG41163
  gArsj/P108sFmjkjzMuUUFYbmtZX4RFxf/U7cZZdMagz4IMmY0
  F9cdpDLTAutULTsZKDcLAgEDoAAwDQYJKoZIhvcNAQEEBQADQQ
  AjIFpTLgfmBVhc9SQaip5SFNXtzAmhYzvJkt5JJ4X2r7VJYG3J
  0vauJ5VkjXz9aevJ8dzx37ir3P4XpZNFxK1R-----END
  NEW CERTIFICATE REQUEST-----

41
Come certificare il proprio sito web con Verisign

• Passo 4 completamento delliscrizione
• Contatto Tecnico (ISP)
• Contatto Organizzativo (chi è autorizzato a
  stipulare il contratto)
• Contatto Amministrativo (Chi riceverà le
  richieste di pagamento

42
Come certificare il proprio sito web con Verisign

• Passo 5 autenticazione del vostro sito Web
•  
• Gli impiegati di VeriSign esaminano le
  informazioni inviate e se tutto è corretto,
  dovreste ricevere il vostro ID via e-mail in
  circa 7 giorni lavorativi.

43
Il protocollo SET

• provvedere alla segretezza delle informazioni
  circa i pagamenti
• assicurare l'integrità dei dati durante la
  trasmissione
• provvedere all'autenticazione della carta di
  credito del compratore
• provvedere all'autenticazione del venditore
  (occorre verificare che colui che dice di essere
  un venditore sia veramente quel venditore)
• assicurare la titolarietà degli strumenti di
  pagamento

44
(No Transcript)
45
Le altre modalità di pagamento on line possibili

• Carte intelligenti o carte prepagate
  (www.cartafacile.it)
• La moneta elettronica
• borsellino elettronico

46
Le società di payment gateway in Italia

• Le società di payment gateway si occupano di
  convogliare i dati nei circuiti autorizzativi
  internazionali delle società emittenti la carta
  di credito, di eseguire le transazioni nei
  circuiti bancari degli attori e di restituire al
  negozio e al cliente l'esito della transazione.

47
Le società di payment gateway in Italia

• Banca Sella
• SSB

48
Come gli hacker attaccano un sito web

• Analisi delle porte di ingresso (Portscan
  Portfuck) Nukenubber
• Attacco attraverso l'esecuzione automatica di
  script.
• Cracking (scoperta) delle password
• Spoofing della posta elettronica
• Intasamento del server (ping of death)
• I Virus

49
I virus

• I virus sono semplicemente programmi o parte di
  programmi che riescono in vario modo a replicare
  se stessi, a scrivere sull'hard disk, e più in
  generale, a compiere un certo numero di
  operazioni più o meno dannose.

50
Effetti dei virus

• Alcuni modificano i programmi, fino ad impedirne
  il funzionamento, altri ancora si preoccupano, ad
  una data prestabilita, o dopo un certo numero di
  duplicazioni o di accensioni del PC, di
  cancellare parti dei nostri dati o dei nostri
  programmi, o di rinominarli, o di formattare
  l'Hard Disk. I peggiori in assoluto, vanno a
  riscrivere il settore di boot del disco

51
Come possono entrare in contatto con il vostro
sistema

• aprendo (ossia facendo doppio click con il mouse)
  se un file eseguibile
• aprendo un file di dati che è stato in precedenza
  infettato
• eseguendo macro

52
Come evitarli

• Procuratevi ad intervalli regolari un programma
  antivirus aggiornato
• Controllate con lantivirus ogni dischetto che
  proviene da altre persone
• Controllate con antivirus ogni programma
  eseguibile che proviene dalla rete o da messaggi
  di posta elettronica

53
I siti degli hacker

• Allindirizzo web http//web.tiscalinet.it/psicho/
  Hacking.htm è possibile trovare tutto il
  repertorio dettagliato degli hacker italiani le
  utilità per attaccare, i software di password
  cracker, i software port scanner ecc.