Infineon Security Platform Solution
Autenticazione del client
Fino a poco tempo fa le reti di computer utilizzavano un database centralizzato di account per gestire gli utenti, i relativi privilegi e gli accessi. Questa tecnica è semplice ed efficace per le reti di piccole dimensioni. Nello scenario attuale, in cui sono sempre più frequenti reti molto estese con migliaia di utenti, questa forma di controllo centralizzato è difficile da gestire. La verifica di un account nel database su Internet o la gestione di un lungo elenco di utenti possono risultare problematici. Inoltre, l'avvento di Internet ha esposto le reti di computer all'attacco da parte di entità esterne.
Uso dei certificati
I certificati di chiavi pubbliche forniscono una soluzione che semplifica notevolmente l'amministrazione di numerosi utenti nelle reti estese e riduce al tempo stesso il rischio di attacchi a ID/password. Questi certificati possono essere distribuiti su larga scala, vengono rilasciati da vari soggetti ed enti e sono verificati esaminando il certificato senza dover fare riferimento a un database centralizzato.
I certificati possono essere utilizzati per effettuare comunicazioni sicure e per l'autenticazione degli utenti tra client e server sul Web. I certificati consentono ai client di determinare l'identità del server, poiché quest'ultimo presenta un certificato di autenticazione che rivela la propria origine. Se ci si collega a un sito Web in possesso di un certificato rilasciato da un'authority riconosciuta, si ha la garanzia che tale server sia effettivamente gestito dalla persona o dall'organizzazione identificata dal certificato. In modo analogo, i certificati consentono ai server di determinare l'identità degli utenti. Quando ci si collega a un sito Web, la propria identità viene indicata al server dal certificato del client. Il documento utilizzato per identificare un server viene definito certificato del server e il processo effettivo di verifica dell'identità del server viene denominato autenticazione del server. Analogamente, il documento utilizzato per verificare l'identità del client viene definito certificato del client e il processo è la cosiddetta autenticazione del client.
Ad esempio, se un server Web intende limitare l'accesso a informazioni o servizi a utenti o client specifici, richiede il certificato del client quando viene effettuata la connessione sicura (ad esempio, SSL).
Mentre l'autenticazione del server garantisce la trasmissione sicura dei dati, l'autenticazione del client migliora la sicurezza di tali transazioni in linea.
Mappatura dei certificati agli account utente
La tecnologia delle chiavi pubbliche ha fornito soluzioni a molti problemi associati alla sicurezza delle reti di grandi dimensioni. I certificati possono essere utilizzati per determinare l'identità di un soggetto e verificarne l'autenticità senza utilizzare estesi database di utenti ed elenchi di account con i relativi privilegi di accesso.
Tuttavia, i sistemi operativi e i tool di amministrazione esistenti sono strutturati solo per l'uso degli account utente e non dei certificati. La soluzione più semplice per conservare i vantaggi derivanti dai certificati e dagli account utente consiste nel creare un'associazione, o mappatura, tra certificato e account utente. In questo modo, il sistema operativo continua a utilizzare gli account, mentre il sistema più grande e gli utenti utilizzano i certificati.
In questo modello un certificato che deve essere rilasciato a un utente viene mappato all'account di tale utente sulla rete. Quando un utente presenta il proprio certificato, il sistema verifica la mappatura e stabilisce quale account collegare.
La presente Guida introduttiva delinea diversi approcci a questo argomento. Spiega come preparare il servizio di informazioni Internet (IIS) e la Active Directory per autenticare i client, nonché l'uso dell'autenticazione client in Internet Explorer.
La mappatura dei certificati utente e l'autenticazione dei client viene trattata anche per l'ambiente PKCS #11 con Mozilla Firefox.
©Infineon
Technologies AG