Posta elettronica e crittografia Francesco Gennai IAT/CNR Bologna 23 novembre 2000 Francesco Gennai - IAT/CNR
Posta elettronica e crittografia • Breve introduzione ai meccanismi che regolano la crittografia a chiave pubblica • La certificazione: perchè è importante • Descrizione di una Public Key Infrastructure (PKI) • Comunicazioni sicure via posta elettronica Francesco Gennai - IAT/CNR
Posta elettronica e crittografia Cifratura con chiave simmetrica Chiave di cifratura 010001101011110 Blah blah…. Algoritmo di cifratura Chiave di cifratura 010001101011110 Internet Mittente Algoritmo di cifratura Blah blah…. Destinatario Francesco Gennai - IAT/CNR
Posta elettronica e crittografia Cifratura con chiave asimmetrica Blah blah…. Algoritmo di cifratura Internet Mittente Algoritmo di cifratura Blah blah…. Destinatario Francesco Gennai - IAT/CNR
Posta elettronica e crittografia Firma digitale Blah blah…. Message Digest Algoritmo 0110001100011011… 00011 di Hash Mittente Francesco Gennai - IAT/CNR
Posta elettronica e crittografia Firma digitale Blah blah…. Algoritmo di cifratura Hash 011000. . . 1011 … 00011 Cifratura del Msg Digest Internet Algoritmo di cifratura Hash Messaggio in chiaro Digest firmato Decifratura 011000. . . 1011 … 00011 del Msg Digest Mittente 011000. . . 1011 … 00011 Destinatario Francesco Gennai - IAT/CNR
Posta elettronica e crittografia • Certification Authority – garantisce l’appartenenza di una chiave pubblica ad un determinato soggetto. Come ? Mediante l’emissione di certificati • La Certification Authority rende nota la politica di sicurezza alla quale si dovrà rigorosamente attenere – gestisce il database dei certificati – gestisce la Certificate Revocation List (CRL) Francesco Gennai - IAT/CNR
Posta elettronica e crittografia • La stessa Certification Authority (CA) possiede una coppia di chiavi – Un certificato è l’unione di dati che identificano in modo univoco un soggetto e della sua chiave pubblica – La Certification Authority firma con la propria chiave privata il certificato assegnandoli un numero di serie – Chiunque potrà verificare che una determinata chiave pubblica appartiene ad un determinato soggetto semplicemente applicando il processo di verifica firma con la chiave pubblica della CA. E’ importante conoscere la “Policy” applicata dalla CA Francesco Gennai - IAT/CNR
Messaggi di posta elettronica e crittografia Security Multiparts for MIME: Multipart/signed and Multipart/encrypted Cryptographic Message Syntax S/MIME Version 3 Certificate Handling Internet X. 509 public Key Infrastructure Certificate and CRL Profile S/MIME Version 3 Message Specification Privacy Enhancement for Internet Electronic Mail Francesco Gennai - IAT/CNR
Messaggi di posta elettronica e crittografia • RFC 1847 + RFC 2630 + RFC 2633 = struttura messaggio Criptato: composto da un’unica parte application/pkcs 7 -mime; smime-type=enveloped-data Firmato: composto da un’unica parte application/pkcs 7 -mime; smime-type=signed-data oppure composto da due parti multipart/signed; protocol=“application/pkcs 7 -signature”; micalg=sha-1 | md 5 I parte: normale MIME content-type II parte: application/pkcs 7 -signature Firmato e criptato: una qualsiasi combinazione dei due precedenti casi Francesco Gennai - IAT/CNR
Messaggi di posta elettronica e crittografia RFC 1847 Intestazione e indirizzi To: From: cc: Subject: Corpo del messaggio Content-type: Multipart/signed; protocol=“. . . ”; micalg=“…. ”; Content-type: text/plain, image/gif, etc. . Content-type: application/pkcs 7 -signature Content-transfer-encoding: base 64 Francesco Gennai - IAT/CNR
MULTIPART/SIGNED Content-type: multipart/signed; protocol="application/pkcs 7 -signature"; micalg=sha 1; boundary=------ms 775 C 52 C 7 DD 5 A 1 C 12484764 F 0 This is a cryptographically signed message in MIME format. -------ms 775 C 52 C 7 DD 5 A 1 C 12484764 F 0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7 bit Saluti da Fabio -------ms 775 C 52 C 7 DD 5 A 1 C 12484764 F 0 Content-Type: application/pkcs 7 -signature; name="smime. p 7 s" Content-Transfer-Encoding: base 64 Content-Disposition: attachment; filename="smime. p 7 s" Content-Description: S/MIME Cryptographic Signature MIIGog. YJKo. ZIhvc. NAQc. Co. IIGkz. CCBo 8 CAQEx. Cz. AJBg. Ur. Dg. MCGg. UAMAs. GCSq. GSIb 3 DQEHAa. CC BKAwgg. Sc. MIIDh. KADAg. ECMA 0 GCSq. GSIb 3 DQEBBAUAMGsx. Jz. Al. Bgkqhki. G 9 w 0 BCQEWGHBr a. S 1 y. YUBwa 2 ktcm. Eua. WF 0 Lm. Nuci 5 pd. DEPMA 0 GA 1 UEAx. MGUEt. JLVJBMRQw. Eg. YDVQQLEwt. QS 0 kt Uk. Eg. VW 5 pd. DEMMAo. GA 1 UECh. MDSUFUMQsw. CQYDVQQGEw. JJVDAe. Fw 0 w. MDA 5 MDEx. ODA 5 MDBa. Fw 0 w ……. . . … ……. . . . ……. … ……. . AQEBBQAEg. YCKfsck 4 CKgnn. Jqx 5 Hisi. SGFBu. Sn. ZAj. Miz 6 u. GVscetkyhfo. JY/+BZm. RYKAIfigr +QSx. E 9 VIIeeq. EGMM 9 z 5 b 3 o 77 k. Nx. Viqy 3 WM 2 QPzs. GLB 7 r. YXyu. V 1 nx. Tx. ZQz. R+Drn. Rgqswm. P 0 t. T 1 KRp. BTs. L 9 s. LD 4 ul. IOb. UY 2 j 36 on 69 xs. Ax. Gs. LWfw== -------ms 775 C 52 C 7 DD 5 A 1 C 12484764 F 0 --
Messaggi di posta elettronica e crittografia RFC 2633 Intestazione e indirizzi To: From: cc: Subject: Corpo del messaggio Content-type: application/pkcs-mime; smime-type=signed-data; Content-transfer-encoding: base 64 Francesco Gennai - IAT/CNR
Application/pkcs-mime Content-Type: application/pkcs 7 -mime; smime-type=signed-data; name="smime. p 7 m" Content-Transfer-Encoding: base 64 Content-Disposition: attachment; filename="smime. p 7 m" ZSBmcm. Eg. SUFUL 1 JBIGVk. IEl. TUC 4 g. SW 5 mb 3 Jt. YXppb 25 p. IHN 1 b. CBwcm 9 n. ZXR 0 by. Bl. IENQUy. Bk ZWxs. YSBDQSBzb 25 v. IHJlc. GVya. WJpb. Gkg. YWxs. YSBVUkwga. HR 0 c. Dov. L 3 Bra. S 1 y. YS 5 p. YXQu. Y 25 y Lml 0 MB 0 GA 1 Ud. Dg. QWBBSOj. XEKa. Kcc. TQt. TUFi 5 Ow. WNx. GFr 5 TCBl. QYDVR 0 j. BIGNMIGKg. BQLF 6 f. S 1 Pti 2 lhm. Mn 5 C/WD 8 J 4 Uo. Ra. Fvp. G 0 waz. En. MCUGCSq. GSIb 3 DQEJARYYc. Gtp. LXJh. QHBra. S 1 y. YS 5 p YXQu. Y 25 y. Lml 0 MQ 8 w. DQYDVQQDEw. ZQS 0 kt. Uk. Ex. FDASBg. NVBAs. TC 1 BLSS 1 SQSBVbml 0 MQww. Cg. YD ……. . . … ……. . . . ……. … ……. . Gkg. YWxs. YSBVUkwga. Hk. Opp. Ifex 5 Hisi. SGFBu. Sn. ZAj. Miz 6 u. GVscetkyhfo. JY/+BZm. RYKAIfigr +DQSBzb 25 v. IHJlc. GVjx. Viqy 3 WM 2 QPzs. GLB 7 r. Bwcm 9 n. Zp. YXyu. V 1 nx. Tx. ZQz. R+Drn. Rgqswm. P 0 t. T TUFi 5 Ow. WNx. GFr 5 TCBl. QYo. Ra. Fvp. G 0 waz== Francesco Gennai - IAT/CNR
Messaggi di posta elettronica e crittografia • multipart/signed – application/pkcs 7 -signature; name=smime. p 7 s • application/pkcs 7 -mime; smime-type=signed-data; name=smime. p 7 m • application/pkcs 7 -mime; smime-type=enveloped-data; name=smime. p 7 m Francesco Gennai - IAT/CNR
Public Key Infrastructure CA root Priv. K q. A CA A Priv. K CRL End Entity 1 Priv. K e t R b. K r Ce Pu CA A q Re t 1 ert En C d K En Pub CA root Pub. K CA root Self signed certificate CA root Pub. K CA A Certificate signed by CA root Ce En rt Req End Entityn d. E Priv. K Pub ntn K End Entityn End Entity 1 Pub. K End Entity 1 Certificate signed by CA A Francesco Gennai - IAT/CNR End Entity 1 End Pub. K Entityn Certificate signed by CA A
Posta elettronica e PKI CA root Priv. K q. A Re K rt Ce Pub End Entity 1 CA A Priv. K Signed E-mail MSG CA A cert End Entity 1 cert CA A CRL End Entity 1 Priv. K q Re rt nt 1 Ce d E K En Pub End Entity 1 Pub. K End Entity 1 Certificate signed by CA A CA root Pub. K CA root Self signed certificate CA root End Entityn CA A Pub. K Certificate signed by CA root Ce r En t Req d. E Pub ntn K Signed E-mail MSG End Entityn Priv. K End Entityn End Entity 1 Pub. K End Entityn Certificate signed by CA A Francesco Gennai - IAT/CNR CA A cert End Entity 1 cert
Il mittente End Entity 1 Signed E-mail MSG CA A cert • Include qualsiasi certificato che ritiene utile alla operazione di verifica del “Recipient”. • Include almeno una catena di certificati sino a quello della CA (escluso) che ritiene possa essere affidabile (trusted) per il “Recipient”. • L’indirizzo “From: ” dovrebbe essere identico a quello eventualmente presente nel corrispondente certificato. End Entity 1 cert Francesco Gennai - IAT/CNR
Il ricevente • Riconosce un qualsiasi numero di certificati inclusi nel messaggio. In particolare gestisce una “catena di certificati”. • Accede al certificato della CA ritenuta “affidabile”. • Verifica che il from del messaggio corrisponda all’indirizzo eventualmente presente nel certificato. • Accede alla CRL per riconoscere eventuali certificati revocati. Francesco Gennai - IAT/CNR End Entityn Signed E-mail MSG CA A cert End Entity 1 cert
Condizioni di verifica • Indirizzo del from non corrisponde ad uno degli indirizzi presenti nel certificato • Non esiste un valido percorso fino ad una CA affidabile • Impossibile accedere ad una CRL • La CRL non è valida • La CRL è scaduta • Il certificato è scaduto • Il certificato è stato revocato Francesco Gennai - IAT/CNR
Certificato X. 509 (End Entity) (parte 1/2) Certificate: Data: Version: 3 (0 x 2) Serial Number: 2 (0 x 2) Signature Algorithm: md 5 With. RSAEncryption Issuer: Email=pkp-ca@iat. cnr. it, CN=IAT PKP-CA, OU=IAT, O=CNR, C=IT Validity Not Before: Apr 3 22: 34: 26 2000 GMT Not After : Dec 31 22: 34: 26 2001 GMT Subject: C=IT, O=CNR, OU=IAT, CN=PKP-CA Staff 1/Email=anna. vaccarelli@iat. cnr. it Subject Public Key Info: Public Key Algorithm: rsa. Encryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00: bd: 12: 33: ff: 84: 9 c: 2 c: 0 a: 7 a: ad: 19: 90: ca: 9 a: 37: 22: 24: d 0: 0 c: 1 a: e 0: 54: 30: 72: 92: 2 d: 4 a: 5 e: 02: bd: 0 b: ed: 72: 80: 25: a 2: 6 a: 5 b: e 3: d 8: fb: bb: 06: aa: 8 e: d 6: 2 d: 68: 56: 45: 18: 1 b: 20: f 9: a 4: a 6: c 8: 2 a: 0 c: 62: d 9: 71: 0 c: 0 a: fe: 20: 3 a: 97: 2 b: 1 a: 7 c: 45: b 7: 92: 09: 75: e 3: 94: 17: e 9: 14: 86: 02: 4 c: 79: a 0: b 4: a 6: 41: 38: e 4: 83: 3 b: cf: 33: 14: c 5: c 9: f 0: a 9: d 7: cd: 9 e: 8 f: 26: ab: dc: e 6: 26: c 0: d 8: b 8: 4 f: ba: 49: fd: 54: a 2: 78: f 0: dd: ff: 36: 26: 8 e: 38: 08: bb Exponent: 65537 (0 x 10001) Francesco Gennai - IAT/CNR
Certificato X. 509 (End Entity) X 509 v 3 extensions: (parte 2/2) X 509 v 3 Basic Constraints: CA: FALSE Netscape Cert Type: SSL Client, S/MIME X 509 v 3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment Netscape Comment: PKP user certificate. Certificato emesso nell'ambito di una sperimentazione fra Istituti CNR. Informazioni sul progetto e CPS della CA sono reperibili alla URL https: //pkp-ca. iat. cnr. it X 509 v 3 Subject Key Identifier: D 7: 0 D: CF: E 9: D 8: 5 F: D 3: BB: 1 D: 32: 24: 89: 83: 44: 4 B: 6 A: 85: B 5: 98: 7 C X 509 v 3 Authority Key Identifier: keyid: 3 F: 45: 7 B: 0 E: 9 F: E 8: 9 A: D 3: 3 F: 08: D 3: F 9: 97: 37: 2 B: 9 E: 0 F: 62: FA: CE Dir. Name: /Email=pkp-ca@iat. cnr. it/CN=IAT PKP-CA/OU=IAT/O=CNR/C=IT serial: 00 X 509 v 3 Subject Alternative Name: email: anna. vaccarelli@iat. cnr. it X 509 v 3 Issuer Alternative Name: <EMPTY> Signature Algorithm: md 5 With. RSAEncryption 0 b: 1 e: 9 c: 18: 9 a: ba: a 6: cf: e 1: d 5: 9 f: 6 f: 9 a: f 1: 1 d: e 4: 82: e 6: ba: 91: 77: e 4: 68: 26: 19: 2 a: 15: df: f 0: eb: 7 f: 37: b 3: 27: 9 e: a 4: d 2: 9 f: 7 d: dc: cb: 78: e 5: d 5: ed: 1 e: 45: a 0: ef: 74: 96: e 5: 58: a 4: 50: a 0: f 6: 0 e: d 7: 79: 7 f: ae: 8 c: 04: cf: 5 e: 0 e: b 5: 7 c: 68: 2 a: . . … …. . 7 d: 77: ed: 83: 3 b: a 7: f 0: f 7: 49: d 6: 14: dd: 3 b: db: aa: c 2: e 3: ab: b 0: de: 29: f 4: 0 f: 52: 5 d: 44: ca: 02: 30: 0 b: f 9: 4 d: 3 e: bb: eb: 9 f: b 7: 58: 91: f 8
Certificato X. 509 (Certification Authority) Certificate: (parte 1/2) Data: Version: 3 (0 x 2) Serial Number: 0 (0 x 0) Signature Algorithm: md 5 With. RSAEncryption Issuer: Email=pkp-ca@iat. cnr. it, CN=IAT PKP-CA, OU=IAT, O=CNR, C=IT Validity Not Before: Apr 3 21: 54: 36 2000 GMT Not After : Dec 31 21: 54: 36 2001 GMT Subject: Email=pkp-ca@iat. cnr. it, CN=IAT PKP-CA, OU=IAT, O=CNR, C=IT Subject Public Key Info: Public Key Algorithm: rsa. Encryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00: ca: 25: a 7: 43: 62: 4 d: 75: 8 f: 71: d 4: 88: aa: 30: 4 f: d 9: 6 c: 37: 1 d: 2 f: e 2: bf: f 9: 53: 36: ad: 40: be: 9 a: ad: 14: e 2: c 2: 90: ee: 6 a: a 6: 4 c: 43: 09: 1 d: ab: 5 d: 53: 3 c: 4 c: e 2: 2 c: 78: 35: 1 f: 39: e 7: 3 d: 04: d 9: b 1: 12: a 5: 5 f: 92: 05: 90: 9 a: df: 02: 52: 1 e: 57: 7 b: b 4: 13: 4 e: 12: 7 f: 51: d 2: c 8: 08: 19: aa: f 1: 27: 71: 7 b: f 2: 48: f 5: aa: cd: 68: 6 c: cd: 25: 8 b: 5 a: 5 d: af: ce: b 6: 97: db: 4 c: 4 b: 29: ae: 5 f: e 2: 05: b 3: e 2: 46: 92: 2 b: 51: cd: 50: a 9: 67: 47: c 6: 17: bf: c 4: da: ff: 2 a: 0 e: 2 d: a 6: 8 f: 89: 05: ea: f 0: 90: 4 d: 14: 9 e: 41: 1 e: 5 c: 05: a 4: 26: 1 b: 02: 0 f: 02: 95: a 4: bd: 94: 73: 4 c: 1 b: 61: f 3: 29: 7 a: 01: 04: 16: 0 e: 2 a: 24: 3 d: 47: bf: 28: 95: 15: 5 e: bb: 53: d 0: 97: 69: ab: 5 b: c 2: ca: 20: 9 e: 5 a: 54: 01: da: f 5: 7 c: 65: 76: 31: 93: 52: 27: 3 a: aa: 8 a: 31: 41: 3 c: 0 a: af: 3 e: 3 c: 62: 08: bd: e 8: 10: 8 d: 63: e 3: 52: c 6: d 9: aa: 40: f 3: 15: 67: 15: 4 f: 09: a 4: e 3: e 8: 58: f 0: fc: 89: a 5: 86: 0 b: 56: 39: 6 f: a 7: 22: f 7: ec: 8 f: e 3: 40: 84: 21: 39: 91: 04: bb: e 6: 57: 6 c: d 1: 0 e: 65 Exponent: 65537 (0 x 10001)
Certificato X. 509 (Certification Authority) (parte 2/2) X 509 v 3 extensions: X 509 v 3 Basic Constraints: CA: TRUE X 509 v 3 Subject Key Identifier: 3 F: 45: 7 B: 0 E: 9 F: E 8: 9 A: D 3: 3 F: 08: D 3: F 9: 97: 37: 2 B: 9 E: 0 F: 62: FA: CE X 509 v 3 Authority Key Identifier: keyid: 3 F: 45: 7 B: 0 E: 9 F: E 8: 9 A: D 3: 3 F: 08: D 3: F 9: 97: 37: 2 B: 9 E: 0 F: 62: FA: CE Dir. Name: /Email=pkp-ca@iat. cnr. it/CN=IAT PKP-CA/OU=IAT/O=CNR/C=IT serial: 00 X 509 v 3 Key Usage: Certificate Sign, CRL Sign X 509 v 3 Subject Alternative Name: <EMPTY> X 509 v 3 Issuer Alternative Name: <EMPTY> Signature Algorithm: md 5 With. RSAEncryption 29: 8 f: 9 b: 60: 86: d 2: 17: 78: 72: b 4: 6 e: a 1: f 4: 6 a: d 8: f 0: 3 e: 9 f: df: 38: 82: 47: 11: 31: 2 e: 9 c: 36: 49: 9 b: 39: b 5: e 0: ef: 59: c 5: 7 c: fc: 9 c: f 9: 1 b: 4 e: 8 f: 35: ad: 71: 3 a: c 0: d 4: 37: 16: dd: f 0: a 8: b 0: 62: b 9: 09: 5 b: 9 b: 00: b 3: 41: be: f 1: 9 c: 72: 9 b: 00: 6 f: a 9: dc: 2 c: 92: 0 a: 7 f: 48: 43: 2 a: 03: 1 e: 49: fd: 2 f: 15: c 3: 7 c: b 6: a 2: c 9: 0 e: ……. . . …. …. . ……… …. . . 9 d: e 3: d 9: 4 c: 70: d 5: e 0: c 3: a 1: 8 d: c 1: a 8: d 5: be: bc: 14: c 0: 9 a: 99: 8 e: a 1: 11: c 1: b 6: 96: 3 e: a 8: eb: 0 c: ae: 8 b: f 1: 0 b: 6 b: 88: 3 a: 14: 6 a: 0 e: 6 d: 71: 7 c: af: 1 e: 94: 67: 1 a: fc: 2 d: 67: 3 b: 81: ab: 3 b: ea: d 4: 92: 24: 3 b: 3 c: 9 a: 93: 9 a: 6 c: cd: 2 f: c 1: 7 f: fd: 2 f: ba: f 3: bf: 22: 14
Certificate Revocation List (CRL): Version 1 (0 x 0) Signature Algorithm: md 5 With. RSAEncryption Issuer: /O=Open. CA/C=IT Last Update: Jun 19 13: 57: 27 2000 GMT Next Update: Jul 20 13: 57: 27 2000 GMT Revoked Certificates: Serial Number: 02 Revocation Date: Jun 19 13: 25: 55 2000 GMT Serial Number: 03 Revocation Date: Jun 19 13: 27: 38 2000 GMT Serial Number: 04 Revocation Date: Jun 19 13: 55: 39 2000 GMT Serial Number: 05 Revocation Date: Jun 19 13: 57: 20 2000 GMT Signature Algorithm: md 5 With. RSAEncryption 57: 4 b: cb: 04: da: be: 8 e: 7 f: 53: 0 b: 26: 8 f: e 2: f 5: ca: 67: a 8: d 1: ab: 2 e: 8 e: 62: 59: 65: 7 e: f 4: 12: 49: 0 d: 20: fd: b 5: ed: 58: 88: 55: 08: a 1: ad: 43: 3 d: 6 b: 03: 83: 78: c 2: 11: a 4: 54: 65: 74: 5 b: 1 b: 58: cd: b 1: e 7: 05: 58: fd: 50: f 8: 8 e: cb: 16: e 1: b 9: 6 d: 10: 11: 30: e 3: 25: 5 a: 35: bb: f 6: 39: 64: cc: bb: fa: 36: 54: 15: f 0: f 6: bb: 6 b: 39: e 4: e 7: d 3: db: 0 b: 4 d: 59: d 3: 35: d 1: aa: f 8: 7 b: 6 a: b 5: 3 b: 50: a 8: 8 e: 06: a 9: 4 a: c 8: 08: 2 c: 6 d: 9 b: 82: 89: d 1: aa: e 2: a 0: 09: 17: 6 d: 52: 8 c: 61: 73: 38: f 9: ed: ec: 79: 9 e: 42: 11: 31: 8 a: 5 d: ff: 54: 5 e: 4 d: 30: a 0: 8 f: 38: 65: ad: 47: 22: 45: 51: 70: d 6: 6 b: c 4: 3 c: b 4: ad: 9 b: 2 c: f 6: af: 4 b: b 7: b 5: 2 e: f 9: df: 5 d: 93: ec: a 5: dc: 73: 18: 37: 46: 44: 2 f: e 1: 83: 1 f: fa: d 2: 9 a: b 4: d 6: 40: 85: 6 e: 20: 62: b 5: 68: db: 4 f: af: 3 b: 0 b: e 1: 85: c 4: 1 e: 13: 1 f: 6 f: c 0: 15: db: cc: 2 f: fa: 83: 48: 2 f: f 3: 22: c 4: e 6: 8 f: d 4: 65: 16: e 9: 0 f: 72: 94: 74: 03: 2 e: 66: 74: 0 e: b 2: 90: 47: 51: a 5: 96: 56: 0 e: ff: 60: 4 e: f 8: 94: 7 a: 27: 77: e 9
Authority e Subject Key Identifiers Cert ROOT CA issuer = CA root subject = CA root K 1 -PUB (ROOTCA) Cert CA alfa issuer = CA root subject = CA alfa K 1 -PUB (alfa. CA) Cert CA alfa issuer = CA root subject = CA alfa K 2 -PUB (alfa. CA) Authority. Key. Identifier: hash(K 1 -PUB root. CA) issuer + SN Subject. Key. Identifier: hash(K 1 -PUB alfa. CA) Authority. Key. Identifier: hash(K 1 -PUB root. CA) issuer + SN Subject. Key. Identifier: hash(K 2 -PUB alfa. CA) Cert 1 End Entity 1 issuer = CA alfa subject = End Entity 1 K 2 -PUB (alfa. CA) Authority. Key. Identifier: hash(K 2 -PUB alfa. CA) issuer + SN
Open. SSL • Librerie per lo sviluppo di applicativi crittografici • Applicativi per la manipolazione/generazione/conversione di vari oggetti appartenenti ad una PKI (certificate manipulation, basic CRL manipulation, basic CA management, signing, encrypting, decrypting, verifying, etc…) • Pubblico dominio. • Ultima release: 0. 9. 6 Francesco Gennai - IAT/CNR
Il processo di verifica di Open. SSL issuer di Cert 1 End Entity 1 = subject di Cert CA alfa ? Cert CA alfa issuer = CA root subject = CA alfa K 1 -PUB (alfa. CA) Cert CA alfa issuer = CA root subject = CA alfa K 2 -PUB (alfa. CA) Authority. Key. Identifier: hash(K 1 -PUB root. CA) issuer + SN Subject. Key. Identifier: hash(K 1 -PUB alfa. CA) Authority. Key. Identifier: hash(K 1 -PUB root. CA) issuer + SN Subject. Key. Identifier: hash(K 2 -PUB alfa. CA) Cert 1 End Entity 1 issuer = CA alfa subject = End Entity 1 K 2 -PUB (alfa. CA) Authority. Key. Identifier: hash(K 2 -PUB alfa. CA) issuer + SN • Costruzione catena certificati: Authority e Subject Key Identifier • Controllo Key. Usage • Selezione certificato per la root CA (trusted) • Verifica consistenza certificati intermedi (CA: TRUE) • Verifica validità certificati della catena e relativa firma Francesco Gennai - IAT/CNR
Скачать презентацию Posta elettronica e crittografia Francesco Gennai IAT CNR Bologna
0b70d365404636a782ea07989e9e5a84.ppt