Protocolli SSL e SHTTP

Free license available.

La sicurezza delle comunicazioni via Internet:

I protocolli SSL e SHTTP

Autori: M. Buonopane, F. Capanni.
Revisori: F. Pirri, M. Lunghi.

Sintesi: questo lavoro ˆ diretto alla individuazione del problema della sicurezza delle comunicazioni su Internet, ed alla presentazione dei protocolli SSL e SHTTP, quali rimedi a tale questione. Sono curati i particolari tecnico-implementativi, l'aspetto comparativo tra i due protocolli, e, in appendice, si forniscono dettagli sui pi· comuni algoritmi di crittografia menzionati.

Argomenti :

Presentazione del problema.
Si individua la problematica della sicurezza in via generale e rispetto ad Internet.

Soluzioni possibili.
Sono presentati i protocolli SSL e SHTTP e le loro interrelazioni.

Protocollo SSL versione 3.0.
Il protocollo SSL ˆ analizzato sia dal punto di vista pratico-funzionale che da quello tecnico-strutturale.

Protocollo SHTTP.
Si descrive in modo approfondito il protocollo SHTTP.

Conclusioni.
Si traccia un confronto tra i due protocolli.

Appendice : Algoritmi di crittografia.
Rapida carrellata sugli algoritmi di crittografia pi· noti.

1. Presentazione del problema.

La questione della sicurezza è di fondamentale importanza non solo per gli utenti di Internet: in via più generale si deve pensare alla sicurezza delle informazioni come a quell'insieme di mezzi per proteggere le informazioni in qualsiasi loro situazione, quindi sia quando sono archiviate in una base di dati, sia quando sono trasmesse in rete. Ciò che interessa proteggere è, in particolare, l'integrità dell'informazione, ovvero poterla ritrovare esattamente come è stata spedita dal mittente o archiviata. Inoltre tale integrità deve essere controllata in modo affidabile, e le informazioni devono essere disponibili quando ne abbiamo bisogno, ma sicure contro accessi di persone non autorizzate.

Ogni sistema di telecomunicazione ha sei funzioni tipicamente vulnerabili agli attacchi :

identificazione e autenticazione: identificano un utente o un gruppo di utenti del sistema.

controllo degli accessi: controlla e definisce i diritti di accesso.

responsabilità: archiviazione delle azioni inerenti la sicurezza da parte degli utenti.

riutilizzabilità degli oggetti: prevenzione del riuso delle risorse senza autorizzazione.

protezione: assicura le informazioni contro eventuali attacchi.

affidabilità del servizio: assicura che le informazioni siano disponibili su richiesta lecita.

Per proteggere le comunicazioni sono impiegate diverse misure di sicurezza: per esempio una LAN può scegliere un firewall per proteggersi dall'esterno, quindi controllare gli accessi tramite password e chiavi private; ma questi sistemi non eliminano del tutto i rischi di attacchi alla privacy (vedi figura 1). All'esterno della LAN, se questa è collegata ad Internet, i firewalls non difendono da attacchi del tipo "l'uomo in mezzo". E' per questo motivo che i nuovi server WEB sicuri, prodotti da svariate imprese, prevedono un protocollo come SHTTP, estremamente flessibile rispetto alle esigenze degli utenti riguardo alle comunicazioni sul WWW, e come SSL che invece è più rigido ma più generale, nel senso che offre sicurezza anche per altri protocolli di livello applicazione. Dato che la fiducia è ciò che supporta gli operatori, sempre più numerosi, che decidono di sviluppare il commercio elettronico usando Internet come mezzo di comunicazione, ne consegue che rinforzare la sicurezza e ridurre le esposizioni ai rischi sono la migliore scelta possibile.

Figura 1: La sicurezza di una LAN non può basarsi solo su firewalls, ma anche su protocolli come Shttp e SSL per tutelarsi anche da possibili attacchi su Internet.

Ultimo aggiornamento: 13/9/1996.