Autenticazione forte con smart card : OpenSSL e Single Sign On (SSO)

Pubblicato da

Con la legge 196/2003 sono state introdotte precise direttive di privacy e di tenuta di dati personali con strumenti elettronici. Si riporta l’articolo 34 :

il trattamento di dati personali effettuato con strumenti elettronici e’ consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilita’ dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

E queste sono solo misure minime di sicurezza. Ma per chi fa conservazione sostitutiva, non bastano. Senza approfondire quali dovrebbero essere tutte le misure di sicurezza sufficienti e necessarie (e sono molte!), in questo post ci concentriamo esclusivamente sui metodi di autenticazione. E diciamo subito che : i software di conservazione sostitutiva che hanno come unico metodo di autenticazione quello di login e password, non sono software conformi alla normativa italiana!. Serve un metodo di autenticazione forte. E questo può essere soddisfatto solo ed esclusivamente con l’utilizzo di una smart card digitale, che può essere anche il nostro dispositivo di firma digitale, ma anche un qualsiasi dispositivo che identifichi in maniera certa l’utente che lo utilizza.

In informatica l’autenticazione tramite smart card ad esempio di una web application, avviene per mezzo di opportuni sistemi di autorizzazione e diversi standard. Gli standard dei certificati digitali, possono riguardare sia la firma elettronica digitale sia quella avanzata. Ad esempio l’insieme degli standard che definiscono la firma elettronica avanzata, vanno sotto il nominativo di PKCS#12, mentre quelli per la firma digitale sono PKCS#7. In crittografia, i PKCS (Public-Key Cryptography Standards) sono standard sviluppati al fine di incrementare l’uso della tecnica di cifratura a chiave Asimmetrica nel campo dell’Information Technology. Ci sono 15 standard PKCS, ognuno dei quali possiede diversi usi e specifiche. Questi standard possono essere integrati direttamente nelle application server o all’interno delle stesse web application, per permettere ovviamente sia la firma digitale in remoto, sia l’autenticazione tramite smart card. In effetti all’interno delle aziende sono molti i servizi e le applicazioni ai quali è necessario accedere attraverso un’autenticazione forte quali ad esempio le applicazioni legacy, portali, sistemi documentali e di conservazione sostitutiva. Ed esistono altrettanto molte soluzioni di sistemi di autorizzazione che permettono di soddisfare questi requisiti. In questo post concentriamo le nostre soluzioni su due piattaforme di crittografia : OpenSSL e Single Sign On (SSO). OpenSSL è un’implementazione Open Source dei protocolli SSL e TLS, mentre SSO è un sistema specializzato per l’autenticazione univoca anche per mezzo di smart card. In particolare i software di Single Sign On permettono di semplificare le procedure di autenticazione degli utenti ed è possibile allo stesso tempo memorizzare le proprie credenziali su supporti quali Smart Card e Token USB. Si ha quindi un controllo più semplice ed efficace e soprattutto meno critico per la sicurezza degli accessi. Inoltre SSO è anch’esso disponibile in ottica Open Source, reperibile al seguente link : https://opensso.dev.java.net/

Sulla piattaforma di call conference riservata ai soli utenti iscritti, approfondiremo l’autenticazione forte e l’uso della firma digitale per due linguaggi di programmazione: PHP e JAVA. Abbiamo scelto questi due linguaggi perchè sono quelli usati per implementare questa specifica soluzione rispettivamente con OpenSSL e SSO.

Vedremo nel dettaglio e con esempi pratici, l’autenticazione forte con OpenSSL su Apache e PHP e quella con Open Single Sign On su Tomcat e JAVA.

Un commento

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *