Mostra Sommario / Indice / Ricerca

Panoramica di PKI

PKI (Public Key Infrastructure) è un sistema che contribuisce a gestire comunicazioni protette tramite l'uso di certificati digitali. Reflection supporta l'uso di PKI per l'autenticazione di host e utenti durante sessioni Secure Shell e SSL/TLS.

Autenticazione

L'autenticazione è il processo per determinare in modo affidabile l'identità di una parte comunicante. L'identità può essere dimostrata da qualcosa di noto all'utente (ad esempio, una password), da qualcosa in possesso dell'utente (ad esempio, una chiave privata o un token) o da qualcosa di intrinseco dell'utente (ad esempio, le impronte digitali). In una normale sessione Telnet di connessione a un host remoto, l'utente viene autenticato con una password, mentre l'host non viene autenticato. I protocolli dotati di maggiore protezione, quali Secure Shell e SSL/TLS, richiedono l'autenticazione dell'host. Sia nelle sessioni Secure Shell che nelle sessioni SSL/TLS, l'autenticazione dell'host viene eseguita tramite crittografia della chiave pubblica. Inoltre, entrambi i tipi di sessione possono essere configurati in modo da utilizzare la crittografia della chiave pubblica per l'autenticazione dell'utente.

Crittografia della chiave pubblica

Nella crittografia della chiave pubblica viene utilizzato un algoritmo matematico con una coppia di chiavi pubblica/privata con cui crittografare e decrittografare i dati. Una delle chiavi è una chiave pubblica, che può essere distribuita liberamente alle parti comunicanti, mentre l'altra è una chiave privata, che deve essere conservata e protetta dal relativo proprietario. I dati crittografati con la chiave privata possono essere decrittografati soltanto con la chiave pubblica, mentre i dati crittografati con la chiave pubblica possono essere decrittografati soltanto con la chiave privata.

Quando vengono utilizzate le chiavi per eseguire l'autenticazione, la parte sottoposta ad autenticazione crea una firma digitale utilizzando la chiave privata di una coppia di chiavi pubblica/privata. Il destinatario deve utilizzare la chiave pubblica corrispondente per verificare l'autenticità della firma digitale. Pertanto, il destinatario deve disporre di una copia della chiave pubblica dell'altra parte, di cui deve ritenere attendibile l'autenticità.

Certificati digitali

I certificati digitali sono parte integrante di PKI. I certificati vengono emessi da un'autorità di certificazione (CA) che garantisce la validità delle informazioni contenute nel certificato. Ogni certificato contiene informazioni di identificazione sul proprietario del certificato, una copia della chiave pubblica del proprietario del certificato (utilizzata per crittografare e decrittografare messaggi e firme digitali) e una firma digitale (generata dalla CA in base al contenuto del certificato). La firma digitale viene utilizzata da un destinatario per verificare che il certificato non sia stato alterato e che sia attendibile.

Archivi di certificati digitali

I certificati digitali sono conservati nel computer in appositi archivi. Un archivio di certificati contiene i certificati utilizzati per verificare l'identità di parti remote e può inoltre conservare certificati personali da utilizzare per identificarsi nei confronti delle parti remote. I certificati personali sono associati a una chiave privata del computer.

Reflection può essere configurato in modo che utilizzi certificati digitali situati in uno o in entrambi gli archivi seguenti:

  • Archivio certificati di Windows

    Questo archivio può essere utilizzato da numerose applicazioni, quali Reflection, browser Web e client di posta elettronica. Alcuni certificati di questo archivio sono compresi nell'installazione del sistema operativo di Windows. Altri certificati possono essere aggiunti durante la connessione a siti Internet e la definizione dell'attendibilità, quando si installa nuovo software o quando si riceve un messaggio di posta elettronica crittografato o dotato di firma digitale. È inoltre possibile importare manualmente i certificati nell'archivio di Windows. La gestione dei certificati di questo archivio deve essere eseguita con il Gestore certificati di Windows.

  • Archivio certificati di Reflection

    Questo archivio viene utilizzato soltanto dalle applicazioni Reflection. Per aggiungere certificati a questo archivio, è necessario importarli manualmente. È possibile importare i certificati da file e inoltre utilizzarli su token di hardware come smart card. La gestione dei certificati di questo archivio deve essere eseguita con il Gestore certificati Reflection.

Le applicazioni Reflection possono essere configurate in modo da eseguire l'autenticazione soltanto mediante l'uso dei certificati contenuti nell'archivio di Reflection, oppure mediante l'uso sia dell'archivio di Windows che di quello di Reflection. L'attivazione dell'autenticazione host mediante l'uso dell'archivio certificati di Windows significa che potrebbe non essere necessario importare i certificati, perché l'autenticazione può essere eseguita tramite certificati già disponibili. La disattivazione dell'autenticazione mediante l'uso dell'archivio certificati di Windows consente un maggiore controllo sui certificati da utilizzare per l'autenticazione. Per maggiori informazioni, vedere Attivazione o disattivazione dell'autenticazione mediante l'uso dell'archivio certificati di Windows.

PKI nelle sessioni di Reflection

Le sessioni di Reflection supportano l'autenticazione di PKI sia per le sessioni Secure Shell che per le sessioni SSL/TLS.

  • Tutte le sessioni SSL/TLS richiedono certificati per l'autenticazione dell'host; non è possibile stabilire una connessione all'host senza il certificato appropriato. A seconda della configurazione dell'host, può inoltre essere necessario installare i certificati per l'autenticazione dell'utente. Per maggiori informazioni, vedere Certificati digitali nelle sessioni SSL/TLS.
  • Le sessioni Secure Shell richiedono in genere l'autenticazione sia dell'host che dell'utente. I certificati possono essere utilizzati per l'autenticazione dell'host e/o dell'utente, tuttavia non sono richiesti come impostazione predefinita. Per maggiori informazioni, vedere Certificati digitali nelle sessioni Secure Shell.