Vai al contenuto
Vai al menu di navigazione
Vai all'indice del modulo

LA SICUREZZA INFORMATICA APPLICATA AL MONDO INTERNET

Autenticazione

Durante una comunicazione in Internet o l’accesso ad uno dei servizi messi a disposizione dal Web è importate sapere se il nostro interlocutore sia veramente chi dice di essere e non un impostore!

Su questa affermazione si basa il concetto di autenticazione inteso come servizio di Sicurezza attraverso il quale si intende garantire l’identità di un utente che deve accedere ad Internet e ad i suoi servizi.

L’autenticazione  rappresenta il meccanismo attraverso il quale si realizza la verifica dell’identità e viene basato sul “Controllo degli Accessi” nei servizi di Internet.  L’autenticazione di un utente che, per esempio, accede attraverso Internet alla proprio casella di posta elettronica, al servizio di prenotazione di ticket on line o di consultazione dei propri dati di conto corrente bancario, può avvenire utilizzando meccanismi e livelli di Sicurezza diversi.

Nella vita quotidiana ci autentichiamo l’un l’altro in diversi modi: riconosciamo il viso degli altri quando ci incontriamo, riconosciamo la voce dell’altro al telefono, ci identifichiamo ad un pubblico ufficiale attraverso un documento di riconoscimento. Quando si esegue l’autenticazione su Internet, le parti comunicanti non possono scambiarsi informazioni biometriche (come l’aspetto del viso o il timbro di voce), ma deve avvenire solo sulla base dei messaggi e dei dati scambiati.

Protocollo di autenticazione
Tipicamente un protocollo di autenticazione deve funzionare prima che le due parti comunicanti azionino qualsiasi altro protocollo, ad esempio un protocollo per il trasferimento dei dati o un protocollo di posta elettronica. Esso stabilisce 'prima' l’identità delle parti e solo dopo di questa le parti possono mettersi a lavoro. Vediamo ora diverse versioni del protocollo di autenticazione, partendo dal più elementare e valutando i difetti della sicurezza in ciascuna delle versioni. Siano Alice e Bob le due parti che intendo comunicare.

  • Il più semplice protocollo che si può immaginare è quello in cui Alice invia un messaggio a Bob dicendo semplicemente di essere Alice. Il difetto è ovvio: per Bob non c’è nessun modo di sapere veramente se la persona che invia il messaggio sia veramente Alice.
  • Nel caso in cui Alice abbia un indirizzo di rete conosciuto (es. indirizzo IP), Bob può tentare di autenticare Alice verificando tale indirizzo. Ma non è difficile creare pacchetti in cui viene falsificato l’indirizzo IP del mittente (tecnica conosciuta come spoofing), per cui non può esserci nessuna certezza neanche in questo secondo approccio.
  • Un classico approccio è l’impiego di una password segreta. La password è un segreto condiviso fra l’autenticatore e la persona che deve essere autenticata. Alice quindi invia la sua password segreta a Bob. Il difetto è chiaro, se un avversario intercetta la comunicazione di Alice, riesce a scoprire la sua password (furto della password).
  • Supponendo che Alice e Bob condividano una chiave segreta. Una soluzione al problema precedente potrebbe essere l’utilizzo della cifratura, ovvero Alice potrebbe cifrare la password e inviare a Bob il suo messaggio di identificazione insieme alla sua password cifrata. Bob decifrando la password verifica la correttezza della stessa e autentica Alice; Bob si sente sicuro nell’autenticarla perché ella non solo conosce la password, ma anche i valori della chiave segreta condivisa per cifrarla. Nonostante ciò però non viene risolto il problema, perché un ipotetico avversario pur non conoscendo la password, potrebbe intercettare e catturare la versione cifrata della chiave ed utilizzarla in un secondo momento per comunicare con Bob, fingendo di essere Alice. Bob è soggetto al cosiddetto attacco di replica.
  • Il problema risiede essenzialmente nell’utilizzo della stessa password più e più volte. Una soluzione potrebbe essere l’impiego di password diverse ogni volta. Alice e Bob potrebbero accordarsi preventivamente sulla sequenza di password da utilizzare ed usarne solo una per volta in sequenza.
  • Infine per ovviare ai limiti imposti dalla condivisione di una chiave segreta si arriva all’utilizzo della cosiddetta crittografia a chiave pubblica, in cui ciascun utente possiede una coppia di chiavi (pubblica, privata). In questo modo se Alice vuole inviare un messaggio a Bob, cifra il messaggio con la chiave pubblica di Bob che lo decifra invece utilizzando la propria chiave privata (l’unico in grado di farlo, perché l’unico in possesso della propria chiave privata); in modo analogo avviene l’invio di un messaggio da parte di Bob per Alice.

Il meccanismo più comune e semplice per realizzare il servizio di autenticazione per i servizi in Internet è senz’altro l’assegnazione di uno user Id e una Password per ciascun utente. Il primo parametro rappresenta il nome di presentazione dell’utente , mentre il secondo rappresenta un codice o chiave segreta, conosciuto dal solo utente, attraverso il quale i sistemi sono in grado di autenticare l’utente stesso.

Esistono delle linee di buon senso riguardo la scelta delle password di un utente, che possono aiutare a rendere più sicuro l’utilizzo di questo meccanismo base di autenticazione.

Un meccanismo più complesso che prevede quindi un livello di Sicurezza maggiore è invece rappresentato dall’utilizzo dei Certificati Digitali, ossia veri e propri documenti rilasciati da una entità fidata che contiene tutte le informazioni necessarie per l’autenticazione ed altri servizi di sicurezza.

I meccanismi più avanzati usati oggi per l’autenticazione fanno uso della biometria, ossia della misurazione di alcune caratteristiche fisiche che identificano in modo univoco l’individuo, come per esempio l’impronta digitale, la geometria del volto, della mano. Questi meccanismi sono ancora oggi oggetto di ricerca e in forte sviluppo da un punto di vista tecnologico. Esistono esempi concreti del loro utilizzo quasi esclusivamente in ambito privato, ma per un loro ulteriore sviluppo ancora bisogna tenere in particolare considerazione non solo gli aspetti legati alla modalità di funzionamento ma anche tutti gli aspetti legati alla sicurezza e alla privacy dell’individuo.