RFc Feed

Abbonamento a feed RFc Feed
Soluzioni e ottimizzazione applicate alla infrastruttura informatica aziendale applicate alle reali necessità aziendali.
Aggiornato: 3 min 30 sec fa

Certificati Cisco ASA

Gio, 14/05/2020 - 15:26

Nel video l'inserimento di un certificato SSL in Ciaco ASA usando l'interfaccia grafica ASDM.

Tipologia: networkingCategoria: Certificati digitaliASACisco

Groupwise client

Sab, 09/05/2020 - 19:03

Microfocus Groupwise 18 client presenta diverse modalità di visualizzazione che lo rende particolarmente flessibile e adattabile a tutte le esigenze dell’utente.

 

Ci preferisce può ripristinare la visualizzazione tipica delle versioni precedenti (Groupwise 14) o esplorare nuove funzionalità.

Di default GW 18 client attiva la visualizzazione a thread, o discussione per dirla con parole nostre.

Questa modalità rende facile il seguire una discussione che evolve da una e-mail iniziale, le risposte e contro risposte che possono essere scambiate. Una visualizzazione ‘social’ delle nostre e-mail.

Nella cartella che elenca le e-mail vengono visualizzati i badge, semplici cerchi colorati con all’interno un numero, che riassumono a colpo d’occhio lo stato della discussione.

Un circolo blu indica, con il numero contenuto, le e-mail scambiate. Il badge verde indica il numero di e-mail non lette nell’ambito della discussione. Infine, il colore giallo denota una e-mail di risposta preparata, ma non ancora inviata.

Per vedere come funziona, guarda questo video.

Cerificati digitali: a cosa servono

Ven, 27/03/2020 - 21:08

Un certificato digitale è un documento elettronico che attesta l'associazione univoca tra una chiave pubblica e l'identità di un soggetto (una persona, una società, un computer, etc) che dichiara di utilizzarla nell'ambito delle procedure di cifratura asimmetrica e/o autenticazione tramite firma digitale. Da https://it.wikipedia.org/wiki/Certificato_digitale

In sostanza si tratta di un documento in forma elettronica che, opportunamente usato, è in grado di garantire sicurezza (riservatezza e integrità) nello scambio di informazioni e l'identità delle parti coinvolte.

Il certificato viene usato un diversi contesti:

  • Per firmare un documento elettronico (es. un contratto).
  • Per criptare il contenuto di un documento e renderlo accessibile solo al destinatario.
  • Per lo scambio sicuro e criptato di dati su un canale di comunicazione (integrità e riservatezza del messaggio).
  • … ed altro.

Il certificato digitale garantisce (a vari livelli) l’identità di un soggetto, identificato con un common name (un nome), la chiave pubblica associata a tale identità, oltre ad altre informazioni.

La crittografia a chiavi asimmetriche fa uso di due chiavi (sequenze di bit) associate univocamente una all’altra, denominate chiave pubblica e chiave privata. Per definizione, la chiave privata è mantenuta segreta dal proprietario delle chiavi, mentre la chiave pubblica può essere resa accessibile a chiunque.

Le chiavi sono usate per criptare un messaggio elettronico e garantirne l'integrità.
L’aspetto fondamentale è che un messaggio criptato con un a chiave pubblica può essere decifrato solo con la corrispondente chiave privata. Un entità A (Alice), per inviare un documento segreto a B (Beppe), può semplicemente usare la chiave pubblica di B per criptare un documento e recapitarglielo. Solo B, che possiede la chiave privata, potrà decifrare il documento.

Questo meccanismo, nella sua forma più semplice, presenta delle falle di sicurezza. Supponiamo che C, Caino, produca una coppia di chiavi e riesca a fornire ad Alice la pubblica creata spacciandola per quella di Beppe. In questo modo C può intercettare il messaggio di Alice, decriptarlo con la chiave privata in suo possesso, criptare nuovamente il messaggio con la vera chiave di Beppe e inviare a Beppe il messaggio. Ora Caino è in possesso di un segreto che solo A e B dovrebbero conoscere e, ne Alice, ne Beppe si accorgono dell'inganno.

Esistono diversi scenari simili, che coinvolgono la sicurezza nello scambio di informazioni. Questo, in particolare, si chiama Men in the Middle (persona nel mezzo).

Dall'esempio, si evidenzia la necessità di garantire l’autenticità della chiave pubblica.

Il certificato elettronico ha questo scopo. Attraverso la catena di autenticazioni, che fa capo ad una autorità di certificazione (CA, Certificate Authority), per definizione affidabile, attesta che la chiave pubblica appartiene effettivamente al soggetto o all'entità che sostiene di essere, cos' come una carta di identità garantisce l'identità, attraverso il comune che l'ha emessa, del soggetto che che ne è titolare..

Alice, prima di usare la chiave pubblica di Bob, deve accertarsi che questa corrisponda effettivamente a Bob, ovvero che il certificato che la contiene sia effettivamente firmato (signed) da una autorità di certificazione.

Il protocollo Transport Layer Security (TLS), e il suo predecessore Secure Sockets Layer (SSL), sono utilizzati per stabilire una sessione di comunicazione fra due nodi: un client e un server. Il caso più frequente è una connessione HTTPS fra un browser e il server WEB.

Il server dispone di un certificato elettronico utilizzato per confermare la propria identità e per definire una chiave simmetrica per cifrare i dati scambiati. Il meccanismo chiave pubblica/chiave privata non si presta a criptare efficacemente grossi flussi di dati, ma viene utilizzato per negoziare una chiave simmetrica. I meccanismi di cifratura a chiave simmetrica sono più efficienti di quelli a chiave asimmetrica, ma richiedono un segreto comune fra le due parti, la chiave. Il meccanismo a chiave pubblica/privata è usato per negoziare in sicurezza tale segreto.

Per garantire al client, con certezza, la connessione al server desiderato, questo controlla la catena di certificazione del certificato presentato dal server, in sostanza il browser verifica che la firma della CA, che ha rilasciato il certificato, sia vera.
Un po' come verificare presso il comune se la carta di identita numero xyz del gg/mm/aa è stata rilasciata al tizio che la presenta.
Se la verifica non va a buon fine il browser avvisa con un messaggio di allerta. Il traffico sarà cifrato, ma l’autenticità del server non è verificata Sta all’utente decidere se proseguire la navigazione o no.

 

Certificati digitali: richiesta certificato

Gio, 26/03/2020 - 23:07

La creazione di un certificato richiede alcune procedure iniziali:

  • creazione di una propria coppia di chiavi pubblica/privata
  • richiesta del certificato .csr (Certificate Signing Request)

Il file .csr è il certificato da inoltrare alla Certificate Authority (CA) per ottenere un certificato valido.

Di seguito i comandi essenziali (sono diverse varianti e opzioni) per le operazioni usando openssl (disponibile in ambiente Linux o Windows)

Creazione chiavi: openssl genrsa -out private.key 2048

 

Genera le chiavi di linghezza 2048 e le salva nel file private.key

Con questo comando il certificato è in formato txt, codificato base64 ed è facilmente leggibile con un editor di testo o con il comando:

openssl rsa -text -in private.key

Questa situazione, salvo casi specifici, non è desiderabile, perché la conoscenza e l’uso della chiave privata da parte di terzi comporta problemi di sicurezza.

La soluzione è utilizzare una password (o pass phrase) per proteggere la chiave. Il contenuto del file resta con una codifica base64, può essere aperto da un editor di testo, ma la chiave è criptata e per decriptarla serve la password. Si può aggiungere una protezione alla chiave in un secondo tempo, o fornire una password durante la generazione ad esempio con l’opzione –des3:

openssl genrsa -des3 -out private.key 2048

L’opzione -des3 consente di criptare le chiavi con un pass phrase richiesta durante l’esecuzione del programma.

Generazione richiesta:

La procedura di generazione della richiesta produce un certificato (estensione .csr) che contiene varie informazioni quali:

  • Common name. Il nome della entità a cui si riferisce il certificato. Si tratta del nome della risorsa indicata nell’url della richiesta https (o Full Qualidied Domain Name). Ad esempio www.nomesito.it
  • Organization. Il nome della organizzazione alla quale vien rilasciato il certificato. Es.: ACME spa.
  • Organization unit. L’unità organizzativa. Ad esempio il servizio informatico: Servizio IT
  • Email address. Indirizzo e-mail del richiedente.
  • City/Locality. Città. Ad esempio: Parma
  • State/County: Italia
  • Country. Codice ISO a due lettere della nazione, IT per l’Italia (https://www.nationsonline.org/oneworld/country_code_list.htm)
  • Public Key. La chiave pubblica ottenuta dalla generazione delle chiavi.

Il comando è:

openssl req -new -key private.key -out my_cert.csr

dove viene fornitito il nome del file contenente le chiavi e il nome del certificato che sarà creato.

Le varie informazioni, il common name in particolare, viene richiesto durante l'esecuzione del comando (o possono essere inserite usando varie opzioni del comando).

Il certificato così generato deve essere fornito alla Certificate Authority, che genera un nuovo certificato, firmato con la propria chiave privata a prova della sua autenticità.

Mantenendo il paragone con il rilascio della carta di identità, la richiesta consiste nei moduli compilati da consegnare al comune, dove si dichiara le generalità del richiedente. Il comune verifica i dati forniti dal richiedente e fornisce la carta di identità si un supporto specifico, con la firma dell’impiegato dell’anagrafe e il timbro del comune.

Ci sono, poi, vari livelli di verifica che la CA (o chi per essa) fa per verificare l’autenticità del richiedente, fornendo certificati con diversi livelli di sicurezza.

Tipologia: contenutoCategoria: Certificati digitali

Certificati digitali: i formati

Mer, 25/03/2020 - 13:27

Esistono diversi formati del documento che contiene il certificato, normalmente contraddistinti dall’estensione del file.

Formato PEM

Privacy Enhanced Mail, è un formato di testo codificato in base64. Il file che lo contiene ha spesso estensioni .pem, .crt, .cer, and .key (.key è più frequentemente usato per il file che contiene le chiavi pubblica/privata).
Il certificato è usato, ad esempio, da Apache.
Il certificato è inserito fra due linee: -----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----
La richiesta di certificato (estensione .csr -Certificate Signing Request-) è racchiusa fra “-----BEGIN CERTIFICATE REQUEST-----“ e “-----END CERTIFICATE REQUEST-----“ show a CSR in PEM format.
La coppia chiave pubblica privata (estensione .key): “-----BEGIN RSA PRIVATE KEY-----“ e “-----END RSA PRIVATE KEY-----“

Formato DER

Distinguished Encoding Rules. E’ la versione binaria (in base64) del formato ASCII PEM,
Tutti i tipi di certificati e chiavi private possono essere codificate nel formato DER.
Questo formato è spesso usato su piattaforme Java

Formato PKCS#7

Public-Key Cryptography Standards, usa estensioni .p7b o p7c. Usato per firmare o criptare messaggi in una infrastruttura a chiave pubblica (PKI). Usata anche per la trasmissione di certificati.
I certificati P7B iniziano con "-----BEGIN PKCS7-----"  e finiscono con "-----END PKCS7-----" e contengono solo il certificato e i certificati che compongono la catena di certificazione, ma non la chiave privata.

Formato PKCS#12

Public-Key Cryptography Standards, è un formato binario per memorizzare i certificati e relariva catena di certificazione compresa la chiave primaria. Per questo motivo il certificato è protetto e criptato da una passphrase. I file hanno estensione .pfx o .p12.

 

 

Tipologia: contenutoCategoria: Certificati digitaliformati