Universita degli studi di Perugia Corso di Laurea

Universita` degli studi di Perugia Corso di Laurea in Matematica Attribute Certificate Valentina Hamam Rosa Leccisotti

Non e` sufficiente… …sapere chi ha firmato il documento ma e` importante essere certi che egli fosse autorizzato a farlo.

Certificato digitale E’ un documento di tipo elettronico che serve ad identificare in maniera univoca oggetti reali come utenti o computer.

Come si ottiene un certificato digitale? Chiave pubblica

Public Key Certificate (PKC) • Un PKC e` un certificato che associa l’identita` di un utente ad una chiave pubblica. • Emesso dalla Certification Authority • La revoca avviene tramite la Certificate Revocation List (CRL) • Precedentemente la Registration Authority si occupa della registrazione dell’utente

Processo identificativo

Attribute Certificate (AC) • E` un certificato digitale in cui sono specificati gli attributi di chi lo possiede, come gruppo di appartenenza, ruoli, funzioni. • Il formato tipico e` lo standard X. 509

Struttura dell’AC • VERSION: La versione del certificato. • HOLDER: L’identità dell’individuo in possesso del certificato. • ISSUER: L’identità di chi ha emesso il certificato. • SIGNATURE: L’identificatore dell’algoritmo che viene usato per calcolare la firma digitale. Una • SERIAL NUMBER: Un numero intero positivo unico, assegnato dall’emittente. • ATTRIBUTE CERTIFICATE VALIDITY PERIOD: Periodo di validità del certificato , • ATTRIBUTES: Informazioni relative al titolare dell’AC , definite come una sequenza di attributi. • ISSUER UNIQUE ID: Informazioni relative alla localizzazione dell’emittente dell’AC. • EXTENSIONS: Ulteriori informazioni tra cui per esempio Authority key identifier, cioè sequenza di numeri interi separati da punti , unica per ogni soggetto. entro il quale gli attributi sono validi. l’identificatore della chiave usata per verificare la firma digitale, Attribute certificate targeting: per verificare i server e i servizi che accettano l’AC , Authority information access: per controllare lo stato di revoca di un certificato.

Esempio Attribute. Certificate. Info : : = SEQUENCE { version v 2 holder c=IT, O=Policlinico, CN=Rossi Mario Issuer c=IT, O=Policlinico, CN=Ufficio Ruoli Signature 1. 2. 840. 113549. 1. 1. 5 Serial. Number 1234 validity 01/01/2004 – 01/01/2005 attributes title=Radiologo issuer. Unique. ID 22431 extensions …… }

Attribute Authority (AA) • Gli AC sono emessi da una terza parte, detta Attribute Authority • Ha il compito di assegnare gli attributi e rendere disponibili gli AC a utenti o applicazioni • Puo` revocare, sospendere o rimuovere gli AC alla scadenza

Per i dipendenti di un’azienda, la AA non può essere che l’azienda stessa Per i clienti di un servizio, la AA non può essere che il servizio stesso Per gli appartenenti ad un ordine professionale, la AA non può essere che l’ordine professionale stesso

Durata degli attributi Varia a seconda del periodo di validita` del PKC di riferimento. Gli attributi possono essere: • “a vita”, validi per tutta la vita • “a lunga durata”, validi per un periodo superiore a quello del PKC • “di breve durata”, validi per un periodo inferiore a quello del PKC

Revoca degli attributi Un AC può essere revocato prima della sua scadenza naturale: • su richiesta del titolare • autonomamente dall’emittente • implicitamente, con brevi periodi di validità • come i PKC, usando Attribute Certificate Revocation List (ACRL), emesse periodicamente dall’emittente dell’AC; contengono i numeri seriali dei certificati revocati Si possono distinguere due schemi di revoca: • Never revoke • Pointer in AC

Modelli di distribuzione di AC • Il modello “pull”, in cui e` il server che recupera da una directory l’AC del client; • Il modello “push”, in cui e` il client che presenta il suo AC direttamente al server

Privilege Management Infrastructure (PMI) • Infrastruttura per l’uso e la gestione dei certificati di attributo • Definita nel 2001, nella quarta edizione dello standard X. 509 • Fornisce i servizi di autorizzazione dopo che è avvenuta l’autenticazione fornita dalla PKI

Legame tra AC e PKC AC PKC Version Holder Issuer Signature Serial Number Att. Cert. Validity. Period Attributes Issuer. Unique. ID Extensions Version Serial Number Signature Issuer Subject. Public. Key. Info Issuer. Unique. ID Subject. Unique. ID Extensions

PKC vs AC PKC carta d’identità • identifica il possessore • dura per molto tempo • non dovrebbe essere banale da ottenere AC carta di credito • rilasciata da un’autorità diversa • di durata minore • ottenerla tipicamente richiede di presentare una carta d’identità

Cifratura Se un AC contiene informazioni importanti, allora può essere necessario cifrare gli attributi in esso contenuti

Al processo di identificazione del mittente, deve sempre seguire un processo di autorizzazione

Processo Autorizzativo Tradizionale Si basa sul vecchio concetto di “anagrafica utenti” (database locale contenente informazioni sugli utenti) Le informazioni nel database sono facilmente modificabili e ciò comporta un serio problema….

Processo Autorizzativo basato sugli AC

Perche` i normali certificati non bastano? 1. La CA non è l’ente più adatto per attestare gli attributi degli utenti e ne esistono già appositi che lo fanno a livello istituzionale 2. Gli attributi di un utente variano frequentemente nel corso del tempo… 3. Fissare gli attributi in un PKC comporta la necessità di revocare il certificato al variare di quest’ultimi

CONCLUSIONI La certificazione di attributi rappresenta una tecnologia innovativa a supporto del processo autorizzativo.

Grazie per l’attenzione!