Cerca nel blog

venerdì 1 ottobre 2010

Digital certificaties e PKI

Quando si utilizza un sistema crittografico basato sulla chiave pubblica c’è da chiedersi, se è davvero la chiave pubblica del destinatario del nostro messaggio.
Per risolvere questo problema si è ricorso al digital certificates o certificato digitale. Questo certificato firmato digitalmente da una terza parte chiamata Certificate Authority(CA), è un documento che attesta un’associazione tra una chiave pubblica e l’identità di un soggetto.
La CA è l’unica agenzia responsabile per la certificazione delle chiavi pubbliche, dopo la generazione della coppia di chiavi pubblica e privata, l’utente dimostra la sua identità e la CA certifica con la propria chiave privata la chiave pubblica dell’utente.
La PKI(Public Key Infrastructure) ha una struttura gerarchica, ed è composta da:
  • Certification Authority (CA)
  • Registration Authority (RA)
  • Repository
  • Archive
  • Users

La CA è una terza parte trusted(fidata), rilascia i certificati per l’utente e pubblica questi certificati, rispettando standard internazionali e norme nazionali in materia. Può revocare i certificati e mantiene copie delle chiavi private.
La RA invece verifica il contenuto dei documenti per la CA, e la chiave pubblica di quest’ultima è nota alla CA, una CA può avere più RA.
Il Repository contiene i componenti critici della PKI e LDAP(Lightweight Directory Access Protocol), memorizza e distribuisce i certificati e la lista dei certificati revocati, informazioni sulla PKI, le informazioni contenute non hanno bisogno di essere attendibili sono firmata dalla CA stessa.
Archive permette invece la verifica di firme vecchie, provando che la firma era valida nel momento in cui è stata posta.
Gli Users invece sono i proprietari del certificato che devono mantenere segreta la chiave privata.
In questo tipo di struttura gerarchia se si vuole ottenere un certificato digitale si deve:
  1. Generare la coppia di chiavi pubblica/privata.
  2. Fornire le chiavi, nome ed informazioni alla RA.
  3. La RA convalida le credenziali ed invia la richiesta di certificato alla CA.
  4. La CA genera un certificato per la chiave pubblica insieme ad altre informazioni e lo firma con la propria chiave privata.
  5. Il richiedente ha così una coppia di chiavi pubblica/privata e la chiave pubblica è certificata.
La CA può revocare un certificato anche se il suo periodo di validità non è ancora scaduto, ma per altre condizioni come potrebbero essere:

  • Compromissione delle chiave privata
  • Informazioni non più valide
  • Compromissione dell’algoritmo
La CA memorizza questi certificati nella CRL(Certificare Revocation List), la CRL può essere distribuita dalla CA nei seguenti modi:

  • Modalità pull:download dalla CA quando necessario
  • Modalidà push:la stessa CA la invia ad intervalli regolari
  • Approccio ibrido: la CA la invia a repository intermedi dai quale si effettua il download quando necessario
I certificati sono generati secondo lo standard X.509 Digital Certificate Standard.


Pubblicato da Gioacchino alle 10:00
Etichette: , , , , ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)