SlideShare uma empresa Scribd logo

2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riservatezza

Fabio Pietrosanti
Fabio Pietrosanti
TecnologiaNotícias e política
1 de 30
Baixar para ler offline
L’impiego delle tecnologie di firma digitale per la tutela della confidenzialità Sikurezza.org - Infosecurity 2006 https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 1/30
$ whois naif Fabio Pietrosanti (non pietro-santi!) Privacy Architect @ www.khamsa.ch Analisi, Progettazione e implementazione di soluzioni e architetture di tutela della riservatezza delle informazioni. Diffusione delle informazioni e cultura sulla sikurezza: Sikurezza.org! https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 2/30
This page intentionally left blank https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 3/30
$ whois sikurezza.org Sikurezza.org è una comunità virtuale di persone che per passione e/o lavoro si interessano di problematiche di (in)sicurezza informatica e della loro diffusione. Si tratta di un progetto non commerciale portato avanti da volontari. https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 4/30
This page is unintentionally left blank https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 5/30
Finalità Comprendere i vantaggi e i limiti delle tecnologie di firma digitale per la tutela della riservatezza delle comunicazioni https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 6/30
Prerequisiti Concetti base di firma digitale Bisogno di tutela delle informazioni Visione delle informazioni per quel che queste sono https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 7/30
Requisiti di un sistema sicuro Confidenzialità Integrità Disponibilità https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 8/30
Firma digitale: usi e limiti https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 9/30
Firma digitale:è importante Risolve in modo decisivo il problema della gestione delle identità nella società dell’informazione Bisogno di un meccanismo di identificazione non ripudiabile https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 10/30
La firma digitale è ovunque Firma digitale per archiviazione sostituiva Firma digitale per la PEC Firma digitale per carte di identificazione e carte di servizi Firma digitale per le SIM GSM Firma digitale per i server web https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 11/30
Firma digitale: limiti d’uso (1) Viene usata esclusivamente per la gestione delle identità È poco usata nei client con chiavi software Le interfacce smartcard non sono di default nei computer I supporti software per smartcard sono ancora poco interoperabili https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 12/30
Firma digitale: limiti d’uso (2) Non prevede meccanismi efficienti di gestione della mobilità (Autorilascio di certificati temporanei) Non con tutti i certificati si può fare tutto (Bit di usage) Non è mai stato standardizzato un meccanismo di interoperabilità con altri sistemi PKI (OpenPGP) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 13/30
Firma digitale e riservatezza https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 14/30
Perché sono usate altre tecnologie Relazioni sociali non gerarchiche (OpenPGP) Percezione di bisogni differenti (la firma serve per autenticare!) Conflitto di interessi (Bisogni di ripudiabilità/deniability o anonimato) Percezione della sicurezza one-to-one (“la password di winzip è più sicura!”) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 15/30
DPS/PEC -> Riservatezza? Adeguamento alle misure minime: implementazione di sistemi di AAA Se i dati vengono “rubati” sottraendo i media fisici o mediante accesso logico questi vengono violati poiché non cifrati PEC: invio email con una scocciatura in più https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 16/30
La basi dati e la confidenzialità Le basi dati sono sempre sprotette Basi dati di messaggi Helpdesk/sistemisti/outsource/isp possono leggere le email? Basi dati di valore Autorizzazioni inutili se i dati non sono cifrati (credit card) Sviluppatori, sistemisti, DBA, addetti ai backup possono accedervi? Dischi cifrati https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 17/30
Quali informazioni proteggere? Posta Elettronica Documenti Basi Dati Archivi Password Dati in movimento Registri di attività (log) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 18/30
Da chi proteggere le informazioni? Competitor Outsourcer (Managed services) Personale esterno (quanti consulenti!) Personale interno infedele La segretaria Il collega Il gestore del sistema IT Organizzazioni governative straniere Organizzazioni governative nazionali https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 19/30
Rischi di mancata protezione Perdità di competitività Perdita di immagine Fallimento strategie Furto proprietà intellettuale La vita https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 20/30
Opportunità di tutela Il proliferare di strumenti di firma ci offre una base forte per la tutela della riservatezza: Standard x509v3 con chiavi RSA Hardware tamper proof (in teoria) Facilità di scambio chiavi (S/MIME) Indici centrali di verifica (bene o male, è una questione di contesto) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 21/30
Disponibilità dei sistemi di firma Oltre un milione di smartcard emesse dai certificatori accreditati Carte di credito VISA Carta nazionale dei servizi Carta identità elettronica PEC SIM GSM (limitata) Free S/MIME email certs https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 22/30
Modi d’uso Autenticazione Messaggistica email Archiviazione documentale Protezione infrastrutturale Protezione delle connessioni mobile https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 23/30
Modi d’uso: tecnologie Email: S/MIME HTTP SSL Client Auth Wireless 802.11 EAP-TLS Active Directory (SSO) VPN IPSec VPN SSL (OpenVPN/Cisco/Nokia/Checkpoint/Fortin et,etc) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 24/30
Riservatezza in ambienti complessi Metodi crittografici articolati Infrastrutture software crypto- aware Condivisione dei dati Escrow management (audit) Protezione dell’identità Trasparenza d’uso (exchange?) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 25/30
Riassumendo Gli ingredienti della riservatezza: Standard accettato da tutti Costo 0 per i supporti crittografici Hardware tamper proof Consapevolezza https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 26/30
Prospettive future Sistemi federativi di autenticazione e autorizzazione Sicurezza del sistema complessiva (tcpa) Sicurezza delle comunicazioni voce Sicurezza della messaggistica istantanea (i fw iniziano a farne inspection) Riservatezza della riservatezza Steganografia Deniable double Encryption https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 27/30
Bibliografia http://www.privacyinternational.org http://e-privacy.firenze.linux.it https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 28/30
Feedback https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 29/30
L’impiego delle tecnologie di firma digitale per la tutela della confidenzialità Domande? Fabio Pietrosanti naif@sikurezza.org https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 30/30

Recomendados

Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
 
Syllabus it security
Syllabus it securitySyllabus it security
Syllabus it securityPietro Latino
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informaticaFedericaPaolini3
 
pfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retipfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retivittoriomz
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaCSI Piemonte
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 

Recomendados

Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
 
Syllabus it security
Syllabus it securitySyllabus it security
Syllabus it securityPietro Latino
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informaticaFedericaPaolini3
 
pfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retipfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retivittoriomz
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaCSI Piemonte
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
Errori tipici nella gestione del data breach
Errori tipici nella gestione del data breachErrori tipici nella gestione del data breach
Errori tipici nella gestione del data breachCSI Piemonte
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training CourseSylvio Verrecchia - IT Security Engineer
 
Gli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachGli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachAdriano Bertolino
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umanoCSI Piemonte
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleMario Rossano
 
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza Antonio Lepore
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?CSI Piemonte
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 
Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiM.Ela International Srl
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...Ivanti
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.gmorelli78
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.Carlo Balbo
 
2004: Webbit Padova 04: Presentazione Sikurezza.Org
2004: Webbit Padova 04: Presentazione Sikurezza.Org2004: Webbit Padova 04: Presentazione Sikurezza.Org
2004: Webbit Padova 04: Presentazione Sikurezza.OrgFabio Pietrosanti
 
2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E Ombre2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E OmbreFabio Pietrosanti
 
2004: Webbit Padova 04: Wireless (in)security
2004: Webbit Padova 04: Wireless (in)security2004: Webbit Padova 04: Wireless (in)security
2004: Webbit Padova 04: Wireless (in)securityFabio Pietrosanti
 
2007: Infosecurity Italy: Voice Privacy Security (flash talk)
2007: Infosecurity Italy: Voice Privacy Security (flash talk)2007: Infosecurity Italy: Voice Privacy Security (flash talk)
2007: Infosecurity Italy: Voice Privacy Security (flash talk)Fabio Pietrosanti
 
2009: Voice Security And Privacy (Security Summit - Milan)
2009: Voice Security And Privacy (Security Summit - Milan)2009: Voice Security And Privacy (Security Summit - Milan)
2009: Voice Security And Privacy (Security Summit - Milan)Fabio Pietrosanti
 

Mais conteúdo relacionado

Mais procurados

Errori tipici nella gestione del data breach
Errori tipici nella gestione del data breachErrori tipici nella gestione del data breach
Errori tipici nella gestione del data breachCSI Piemonte
 
Gli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachGli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachAdriano Bertolino
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleMario Rossano
 
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza Antonio Lepore
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...Ivanti
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.gmorelli78
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.Carlo Balbo
 

Mais procurados (17)

Errori tipici nella gestione del data breach
Errori tipici nella gestione del data breachErrori tipici nella gestione del data breach
Errori tipici nella gestione del data breach
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training Course
 
Gli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachGli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data Breach
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI Piemonte
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informatica
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitale
 
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informatica
 
Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei Dati
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT Security
 
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
Prima parte: Proteggi la tua organizzazione con un approccio multilivello all...
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
 

Destaque

2004: Webbit Padova 04: Presentazione Sikurezza.Org
2004: Webbit Padova 04: Presentazione Sikurezza.Org2004: Webbit Padova 04: Presentazione Sikurezza.Org
2004: Webbit Padova 04: Presentazione Sikurezza.OrgFabio Pietrosanti
 
2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E Ombre2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E OmbreFabio Pietrosanti
 
2004: Webbit Padova 04: Wireless (in)security
2004: Webbit Padova 04: Wireless (in)security2004: Webbit Padova 04: Wireless (in)security
2004: Webbit Padova 04: Wireless (in)securityFabio Pietrosanti
 
2007: Infosecurity Italy: Voice Privacy Security (flash talk)
2007: Infosecurity Italy: Voice Privacy Security (flash talk)2007: Infosecurity Italy: Voice Privacy Security (flash talk)
2007: Infosecurity Italy: Voice Privacy Security (flash talk)Fabio Pietrosanti
 
2009: Voice Security And Privacy (Security Summit - Milan)
2009: Voice Security And Privacy (Security Summit - Milan)2009: Voice Security And Privacy (Security Summit - Milan)
2009: Voice Security And Privacy (Security Summit - Milan)Fabio Pietrosanti
 
2002: SMAU ITBH: Wireless (in)security
2002: SMAU ITBH: Wireless (in)security2002: SMAU ITBH: Wireless (in)security
2002: SMAU ITBH: Wireless (in)securityFabio Pietrosanti
 
2006: Hack.lu Luxembourg 2006: Anonymous Communication
2006: Hack.lu Luxembourg 2006: Anonymous Communication2006: Hack.lu Luxembourg 2006: Anonymous Communication
2006: Hack.lu Luxembourg 2006: Anonymous CommunicationFabio Pietrosanti
 
педагог портфолиосы
педагог портфолиосыпедагог портфолиосы
педагог портфолиосыErjan Beisenhojaev
 

Destaque (8)

2004: Webbit Padova 04: Presentazione Sikurezza.Org
2004: Webbit Padova 04: Presentazione Sikurezza.Org2004: Webbit Padova 04: Presentazione Sikurezza.Org
2004: Webbit Padova 04: Presentazione Sikurezza.Org
 
2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E Ombre2005: E-privacy 2005: Pgp Luci E Ombre
2005: E-privacy 2005: Pgp Luci E Ombre
 
2004: Webbit Padova 04: Wireless (in)security
2004: Webbit Padova 04: Wireless (in)security2004: Webbit Padova 04: Wireless (in)security
2004: Webbit Padova 04: Wireless (in)security
 
2007: Infosecurity Italy: Voice Privacy Security (flash talk)
2007: Infosecurity Italy: Voice Privacy Security (flash talk)2007: Infosecurity Italy: Voice Privacy Security (flash talk)
2007: Infosecurity Italy: Voice Privacy Security (flash talk)
 
2009: Voice Security And Privacy (Security Summit - Milan)
2009: Voice Security And Privacy (Security Summit - Milan)2009: Voice Security And Privacy (Security Summit - Milan)
2009: Voice Security And Privacy (Security Summit - Milan)
 
2002: SMAU ITBH: Wireless (in)security
2002: SMAU ITBH: Wireless (in)security2002: SMAU ITBH: Wireless (in)security
2002: SMAU ITBH: Wireless (in)security
 
2006: Hack.lu Luxembourg 2006: Anonymous Communication
2006: Hack.lu Luxembourg 2006: Anonymous Communication2006: Hack.lu Luxembourg 2006: Anonymous Communication
2006: Hack.lu Luxembourg 2006: Anonymous Communication
 
педагог портфолиосы
педагог портфолиосыпедагог портфолиосы
педагог портфолиосы
 

Semelhante a 2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riservatezza

Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genovauninfoit
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007jekil
 
E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017
E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017
E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017Simone Aliprandi
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 
Architettura Di Reti Sicure
Architettura Di Reti SicureArchitettura Di Reti Sicure
Architettura Di Reti SicureRoberto Maggiora
 
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017Simone Aliprandi
 
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...Sandro Fontana
 
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017Simone Aliprandi
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017 Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017 Simone Aliprandi
 
Smau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSmau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSMAU
 
Expo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_ITExpo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_ITCisco Case Studies
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017SMAU
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Massimo Chirivì
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reodenis frati
 
Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017
Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017
Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017Simone Aliprandi
 

Semelhante a 2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riservatezza (20)

Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genova
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007
 
E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017
E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017
E-Safety: fare didattica in sicurezza (sicurezza dati e privacy) - marzo 2017
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
 
Architettura Di Reti Sicure
Architettura Di Reti SicureArchitettura Di Reti Sicure
Architettura Di Reti Sicure
 
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
 
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
 
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
 
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017 Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017
 
Sicurezza nei servizi IoT
Sicurezza nei servizi IoTSicurezza nei servizi IoT
Sicurezza nei servizi IoT
 
Smau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSmau milano 2013 marco bozzetti
Smau milano 2013 marco bozzetti
 
Expo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_ITExpo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_IT
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legale
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reo
 
Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017
Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017
Sicurezza dati e privacy (animatori digitali) - Lecce, aprile 2017
 

2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riservatezza

  • 1. L’impiego delle tecnologie di firma digitale per la tutela della confidenzialità Sikurezza.org - Infosecurity 2006 https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 1/30
  • 2. $ whois naif Fabio Pietrosanti (non pietro-santi!) Privacy Architect @ www.khamsa.ch Analisi, Progettazione e implementazione di soluzioni e architetture di tutela della riservatezza delle informazioni. Diffusione delle informazioni e cultura sulla sikurezza: Sikurezza.org! https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 2/30
  • 3. This page intentionally left blank https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 3/30
  • 4. $ whois sikurezza.org Sikurezza.org è una comunità virtuale di persone che per passione e/o lavoro si interessano di problematiche di (in)sicurezza informatica e della loro diffusione. Si tratta di un progetto non commerciale portato avanti da volontari. https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 4/30
  • 5. This page is unintentionally left blank https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 5/30
  • 6. Finalità Comprendere i vantaggi e i limiti delle tecnologie di firma digitale per la tutela della riservatezza delle comunicazioni https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 6/30
  • 7. Prerequisiti Concetti base di firma digitale Bisogno di tutela delle informazioni Visione delle informazioni per quel che queste sono https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 7/30
  • 8. Requisiti di un sistema sicuro Confidenzialità Integrità Disponibilità https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 8/30
  • 9. Firma digitale: usi e limiti https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 9/30
  • 10. Firma digitale:è importante Risolve in modo decisivo il problema della gestione delle identità nella società dell’informazione Bisogno di un meccanismo di identificazione non ripudiabile https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 10/30
  • 11. La firma digitale è ovunque Firma digitale per archiviazione sostituiva Firma digitale per la PEC Firma digitale per carte di identificazione e carte di servizi Firma digitale per le SIM GSM Firma digitale per i server web https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 11/30
  • 12. Firma digitale: limiti d’uso (1) Viene usata esclusivamente per la gestione delle identità È poco usata nei client con chiavi software Le interfacce smartcard non sono di default nei computer I supporti software per smartcard sono ancora poco interoperabili https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 12/30
  • 13. Firma digitale: limiti d’uso (2) Non prevede meccanismi efficienti di gestione della mobilità (Autorilascio di certificati temporanei) Non con tutti i certificati si può fare tutto (Bit di usage) Non è mai stato standardizzato un meccanismo di interoperabilità con altri sistemi PKI (OpenPGP) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 13/30
  • 14. Firma digitale e riservatezza https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 14/30
  • 15. Perché sono usate altre tecnologie Relazioni sociali non gerarchiche (OpenPGP) Percezione di bisogni differenti (la firma serve per autenticare!) Conflitto di interessi (Bisogni di ripudiabilità/deniability o anonimato) Percezione della sicurezza one-to-one (“la password di winzip è più sicura!”) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 15/30
  • 16. DPS/PEC -> Riservatezza? Adeguamento alle misure minime: implementazione di sistemi di AAA Se i dati vengono “rubati” sottraendo i media fisici o mediante accesso logico questi vengono violati poiché non cifrati PEC: invio email con una scocciatura in più https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 16/30
  • 17. La basi dati e la confidenzialità Le basi dati sono sempre sprotette Basi dati di messaggi Helpdesk/sistemisti/outsource/isp possono leggere le email? Basi dati di valore Autorizzazioni inutili se i dati non sono cifrati (credit card) Sviluppatori, sistemisti, DBA, addetti ai backup possono accedervi? Dischi cifrati https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 17/30
  • 18. Quali informazioni proteggere? Posta Elettronica Documenti Basi Dati Archivi Password Dati in movimento Registri di attività (log) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 18/30
  • 19. Da chi proteggere le informazioni? Competitor Outsourcer (Managed services) Personale esterno (quanti consulenti!) Personale interno infedele La segretaria Il collega Il gestore del sistema IT Organizzazioni governative straniere Organizzazioni governative nazionali https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 19/30
  • 20. Rischi di mancata protezione Perdità di competitività Perdita di immagine Fallimento strategie Furto proprietà intellettuale La vita https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 20/30
  • 21. Opportunità di tutela Il proliferare di strumenti di firma ci offre una base forte per la tutela della riservatezza: Standard x509v3 con chiavi RSA Hardware tamper proof (in teoria) Facilità di scambio chiavi (S/MIME) Indici centrali di verifica (bene o male, è una questione di contesto) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 21/30
  • 22. Disponibilità dei sistemi di firma Oltre un milione di smartcard emesse dai certificatori accreditati Carte di credito VISA Carta nazionale dei servizi Carta identità elettronica PEC SIM GSM (limitata) Free S/MIME email certs https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 22/30
  • 23. Modi d’uso Autenticazione Messaggistica email Archiviazione documentale Protezione infrastrutturale Protezione delle connessioni mobile https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 23/30
  • 24. Modi d’uso: tecnologie Email: S/MIME HTTP SSL Client Auth Wireless 802.11 EAP-TLS Active Directory (SSO) VPN IPSec VPN SSL (OpenVPN/Cisco/Nokia/Checkpoint/Fortin et,etc) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 24/30
  • 25. Riservatezza in ambienti complessi Metodi crittografici articolati Infrastrutture software crypto- aware Condivisione dei dati Escrow management (audit) Protezione dell’identità Trasparenza d’uso (exchange?) https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 25/30
  • 26. Riassumendo Gli ingredienti della riservatezza: Standard accettato da tutti Costo 0 per i supporti crittografici Hardware tamper proof Consapevolezza https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 26/30
  • 27. Prospettive future Sistemi federativi di autenticazione e autorizzazione Sicurezza del sistema complessiva (tcpa) Sicurezza delle comunicazioni voce Sicurezza della messaggistica istantanea (i fw iniziano a farne inspection) Riservatezza della riservatezza Steganografia Deniable double Encryption https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 27/30
  • 28. Bibliografia http://www.privacyinternational.org http://e-privacy.firenze.linux.it https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 28/30
  • 29. Feedback https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 29/30
  • 30. L’impiego delle tecnologie di firma digitale per la tutela della confidenzialità Domande? Fabio Pietrosanti naif@sikurezza.org https://www.sikurezza.org/ Fabio Pietrosanti naif@sikurezza.org pag. 30/30