Infrastruttura a chiave pubblica (PKI) in PKCS #11

Infineon Security Platform

Infineon Security Platform Solution

Infrastruttura a chiave pubblica (PKI) in PKCS #11

Lo standard PKCS #11 definisce un'interfaccia comune per la creazione, l'uso e l'amministrazione dei certificati e delle chiavi di crittografia. Per ciascuna implementazione dell'interfaccia viene fornito un approccio specifico alla tecnologia sottostante, in quanto lo standard PKCS #11 non fornisce alcuna informazione circa il token di crittografia che esegue le funzionalità principali. Il mercato offre diverse soluzioni basate sia su software che su Smart Card, nonché moduli di crittografia hardware specializzati. Ciascuna libreria compatibile PKCS #11 implementa secondo modalità proprie i metodi di inclusione e l'uso dei dispositivi speciali per la generazione e la gestione dei dati crittografati.

Lo standard PKCS #11 definisce un'interfaccia indipendente dalla piattaforma e consente l'uso di un'ampia gamma di soluzioni essendo supportato da numerose piattaforme e sistemi operativi.

Le librerie compatibili PKCS #11 forniscono le funzionalità attraverso un'interfaccia perfettamente definita. In funzione dell'obiettivo principale dell'implementazione, una libreria PKCS #11 è in grado di supportare solo un sottoinsieme dell'interfaccia definita.

Per la costruzione di un'infrastruttura a chiave pubblica, le applicazioni che utilizzano un modulo PKCS #11 necessitano dell'accesso a una memorizzazione permanente per conservare in modo sicuro e affidabile i certificati utente e le chiavi private. PKCS #11 non fornisce informazioni su questo meccanismo di memorizzazione. Un meccanismo molto diffuso è rappresentato dai servizi di directory, che hanno dimostrato di essere un valido strumento per la gestione delle funzionalità richieste. L'accesso ai servizi di directory avviene generalmente tramite il protocollo LDAP (Lightweight Directory Access Protocol).

Poiché Windows 2000/XP non include una libreria PKCS #11 nativa, è necessario aggiungere questa funzione mediante soluzioni di altri produttori. Il software Infineon Security Platform Solution contiene una libreria per l'implementazione dell'interfaccia PKCS #11 che utilizza Trusted Platform Module per l'esecuzione delle operazioni di crittografia più delicate, come la generazione di chiavi.

Sullo stesso sistema è possibile installare diverse implementazioni indipendenti. Generalmente, le applicazioni che utilizzano queste librerie devono essere configurate tramite una procedura aggiuntiva  per poter accedere correttamente ai rispettivi moduli.

Le applicazioni basate su PKCS #11 devono inoltre implementare tutto il lavoro amministrativo necessario per fornire i dati richiesti per la gestione delle funzionalità PKCS #11.

Gli sviluppatori di applicazioni traggono vantaggio dalle procedure di sicurezza basate su chiave pubblica utilizzando differenti moduli di implementazione PKCS #11, senza la necessità di apportare modifiche alla piattaforma o al software utilizzato. Inoltre, le aziende possono amministrare i rispettivi ambienti e le applicazioni utilizzate mediante strumenti e criteri coerenti in tutta l'organizzazione.

Per abilitare altri utenti alla lettura dei messaggi crittografati o verificare le e-mail con firma, è necessario che i certificati utente siano memorizzati in una directory pubblica. In genere questa directory si trova su un server raggiungibile dall'interno dell'unità organizzativa interessata.

 

I componenti di base di un'infrastruttura a chiave pubblica includono i certificati digitali, gli elenchi delle revoche dei certificati e le authority di certificazione. Gli amministratori di aziende devono assicurarsi che l'infrastruttura a chiave pubblica sia implementata prima che la crittografia a chiave pubblica venga realmente utilizzata nelle proprie reti.

La configurazione di un'infrastruttura a chiave pubblica all'interno di un'organizzazione include le seguenti fasi:

  • Installazione di un server dei certificati
  • Definizione di un provider di certificati esterno
  • Configurazione di Mozilla Firefox per l'uso della libreria PKCS #11 di Infineon Security Platform
  • Ottenimento dei certificati da un'authority di certificazione per l'autenticazione del client

Questa Guida introduttiva offre una panoramica sugli argomenti sopra elencati e riporta i collegamenti che forniscono ulteriori informazioni su tali argomenti.

Dopo un'aggiornamento del software Security Platform Solution, le applicazioni che utilizzano Security Platform Solution mediante l'interfaccia PKCS#11 potrebbero non funzionare come previsto perché il file DLL relativo (ifxtpmck.dll) si trova ora nella directory di installazione del software Security Platform Solution. Nelle versioni precedenti del prodotto, si trovava nella directory system32. È necessario riconfigurare le applicazioni per il caricamento del file ifxtpmck.dll dal nuovo percorso.

©Infineon Technologies AG