Informatica
per
la comunicazione" - lezione 13 -
Funzionamento
di una password"
1: l’utente tramite il suo browser richiede l’accesso a una pagina del server; 2: il server richiede il nome utente e la password per capire da chi arriva la richiesta (nome utente) e se arriva davvero da questa persona (password); 3: tali informazioni vengono inserite dall’utente e inviate al server; 4: il server controlla tra l suoi registri se la username e la password corrispondono; 5: se sì, il server invia la pagina web richiesta, altrimenti no." 1: richiesta di accesso" 2: richiesta di username/pwd" 3: username/pwd"
4: check"
5: pagina richiesta/no"
Si dice che con questa interazione, l’utente “si autentica” al server di Twitter.
Autenticazione: identificazione corretta."
Alternativa
alla password:
autenticazione
biometrica"
bio = vita"
Alternativa
alla password:
autenticazione
biometrica"
metrica = misurazione"
Alternativa
alla password:
autenticazione
biometrica"
le password biometriche si basano sulle misurazioni di nostre caratteristiche fisiche: impronte digitali, iridi, voce, connotati"
Vera alternativa
alla password?"
Insomma."
="
"
Gli apparati per misurare i connotati non riescono, allo stato attuale, a distinguere una persona da una sua foto."
1: richiesta di accesso" 2: richiesta di username/pwd" 3: username/pwd" 5: pagina richiesta/no"
Nemmeno le password classiche sono prive di problemi!"
4: check"
3: username/pwd"
Se il riconoscimento di un’identità si basa sulla password, il furto di una password equivale al furto di un’identità (identity theft)."
Serve un metodo per rendere il canale di comunicazione sicuro, di modo che nessun altro host, oltre a Twitter, possa ricevere la username e password."
3: username/pwd"
La proprietà di una comunicazione che è accessibile solo al legittimo destinatario si chiama confidenzialità."
Crittografia" La crittografia è una tecnica di manipolazione dell’informazione per garantirne la confidenzialità"
Di nuovo Alan Turing: uno dei massimi esperti di crittografia del XX secolo, ha dato un fondamentale aiuto agli alleati per decifrare i codici usati dai nazisti."
Alan Turing
Idea di base"
Ofrs fo nsdr"
L’idea di base della crittografia è di usare lettere diverse per scrivere un messaggio, di modo che nessuno possa capirne il formato originale, a meno che non sappia come le lettere nuove siano state scelte. Tipicamente il passaggio da lettere originali a quelle modificate si basa su una tabella. La tabella deve essere nota al mittente e al destinatario e a nessun altro"
Idea di base" Ofrs fo nsdr"
Si dice che il messaggio viene crittografato, o criptato, o cifrato, o codificato. Il destinatario, per poterlo leggere, lo deve prima decriptarlo, o decifrarlo, o decodificarlo. "
Il processo di crittografia ha una chiave: un parametro che viene usato per cifrare, e che è necessario per decifrare."
Si usa la metafora della chiave, ma di fatto il parametro della crittografia è la tabella che indica il passaggio da lettere originali a quelle modificate."
Se la password viene cifrata con una chiave, il malintenzionato otterrà una sequenza di lettere e cifre che è diversa dalla vera password, quindi inutile."
3: username/pwd cifrate"
Per decifrare e ottenere la password originale, anche il server deve avere la stessa chiave. Per questo, questo tipo di crittografia si dice simmetrica."
Problema"
Come fanno l’utente e il server Twitter a condividere la stessa chiave crittografica?"
0: invio chiave"
Non la si può inviare attraverso il canale di comunicazione perché un intruso malintenzionato potrebbe copiarla e quindi essere in grado di decifrare tutti i messaggi futuri."
Anche la chiave crittografica dovrebbe essere cifrata"
Con un’altra chiave?"
Non si può ricorrere alla crittografia simmetrica di nuovo."
Per proteggere la prima chiave, l’utente e Twitter avrebbero bisogno di una seconda chiave, che a sua volta non può essere spedita senza essere protetta da una terza chiave, la quale…"
Crittografia asimmetrica, o a chiave pubblica"
Non più"
Bensì"
: chiave pubblica dell’utente" " : chiave privata dell’utente"
informazione cifrata con la chiave pubblica, può essere decifrata solo con la chiave privata e viceversa" ora si capirà il perché dei nomi di questo tipo di crittografia"
Per inviare la chiave con cui cifrare in maniera simmetrica i messaggi futuri, l’utente la cifra con la chiave pubblica di Twitter, che è appunto pubblica e a disposizione di tutti su un elenco appostio"
0: invio chiave"
Tale messaggio può essere decifrato solo per mezzo della chiave privata di Twitter, che deve rimanere privata e nota solo al responsabile della sicurezza di Twitter"
In questo modo è possibile stabilire una connessione sicura con Twitter"
Connessioni sicure:
protocollo HTTPS"
Connessioni sicure:
protocollo HTTPS" S sta per “sicurezza”: è la versione di HTTP arricchita con i meccanismi crittografici per proteggere le informazioni trasmesse da eventuali malintenzionati in ascolto."
La crittografia asimmetrica rende inoltre possibile la firma digitale.
Un mittente di un messaggio deve cifrarlo con la propria chiave privata. Così, tutti possono verificare che, riuscendo a decifrare il messaggio con la corrispondente chiave pubblica, tale messaggio non può esser stato scritto da nessun altro, visto che nessun altro avrebbe potuto cifrarlo con quella particolare chiave privata."
Problema"
Chi crea e gestisce le coppie di chiavi pubbliche/private?
Chi gestisce l’elenco delle chiavi pubbliche delle varie (id)entità presenti in internet?
Chi garantisce che una chiave pubblica appartenga proprio all’(id)entità dichiarata?"
Risposta:
certification authorities
(o autorità di certificazione)" Si tratta di organizzazioni il cui compito è di garantire che l’identità reale (al di fuori di internet) coincida con quella digitale dichiarata in internet, associata a una particolare chiave pubblica.
Ad es. si deve garantire che la chiave pubblica di Twitter sia gestita proprio da Twitter e non da altri soggetti."
Ritorna la questione del trust.
La fiducia che ho nell’autenticità di un’identità garantita da una certification authority dipende dalla fiducia che ho nella certification authority stessa."
Il modo più comune che una certification authority ha di verificare l’identità di una persona è di incontrarla fisicamente e di controllarne un documento di identità." Le certification authority devono quindi aver fiducia nella verifica delle identità effettuata dallo Stato."
Se guardiamo dentro un passaporto capiamo su quale tipo di definizione di identità si basa lo Stato."