Relazione Anno II - Istituto di Calcolo e Reti ad Alte Rrestazioni

All. 1
RELAZIONE ANNUALE CONSUNTIVA
PROGRAMMA DI RICERCA SETTORE Legge 449/97
SETTORE: “Strumenti, Ambienti e Applicazioni per la Società dell’Informazione”
PROGETTO STRATEGICO: “SP1 Reti Internet: efficienza, integrazione e sicurezza” (II anno)
U.O.: Dipartimento di Informatica e Sistemistica, Università di Napoli “Federico II”
Responsabile U.O. Prof. Antonino Mazzeo
Introduzione
Scopo di questo documento è descrivere l’attività di ricerca svolta nell’ambito del WP3, “Sicurezza dei Documenti
Elettronici”. Questo WP è sotto la responsabilità dell'unità operativa dell'Università di Napoli Federico II. I task
d’intervento su cui si è articolata la ricerca nel corso del secondo anno di attività sono brevemente illustrati di seguito.
WP3.1 – Interoperabilità dei formati documentali e delle marche temporali
Non esistono allo stato attuale standard precisi - né a livello legislativo, né a livello tecnico - per il formato dei documenti
elettronici e delle relative marche temporali. Durante il primo anno di attività sono state sperimentate tecnologie e proposte
soluzioni e metodologie per la firma digitale e per la certificazione temporale di documenti elettronici. Durante il secondo
anno di attività, le soluzioni più promettenti sono state implementate e messe in esercizio in contesti applicativi d’interesse.
Particolarmente rilevanti sono stati i risultati relativi alla certificazione del tempo.
WP3.2 – Certificazione
Durante il primo anno di attività è stato progettato un modello architetturale per servizi di certificazione relativi sia
all’autenticazione che all’autorizzazione. Tale modello è stato anche validato mediante sperimentazioni. Nello schema
proposto, identità e autorizzazione non sono gestite in modo statico, attraverso un unico certificato (dotato di opportune
estensioni), ma mediante un certificato base ed uno o più certificati d’attributo (in grado di assicurare la gestione dinamica
degli attributi). Nel secondo anno di attività sono stati realizzati un server di Certification Authority (CA) e un server di
Attribute Authority (AA).
WP3.4 – Validazione dei processi di formazione dei documenti
La gestione documentale è vincolata o da regole interne e/o da norme di legge pensate in gran parte per un sistema
organizzativo basato sull’uso di documenti cartacei. Il passaggio da una gestione cartacea ad una digitalizzata richiede
l’emanazione di nuove norme o/e l’eventuale modifica delle vecchie e la riorganizzazione dei processi interni. Quando si
definisce un processo caratterizzato da un flusso documentale che coinvolge domini organizzativi diversi (ossia sottoposti a
sistemi di controllo differenti) diventa estremamente difficile documentare e quindi garantire che sia stata eseguita
correttamente la sequenza di operazioni globalmente necessaria allo svolgimento di una determinata funzione. Durante il
primo anno di attività sono state valutate alcune metodologie e tecnologie emergenti per la gestione dei processi di business.
Nel secondo anno di attività è stata condotta un’intensa campagna di sperimentazioni in contesti applicativi reali.
Linea e Tema di appartenenza
Sottoprogetto SP1 “Reti Internet: efficienza, integrazione e sicurezza”
Azione 3 – “Servizi di sicurezza di architetture applicative per la cooperazione in ambiente Internet”
WP3, “Sicurezza dei Documenti Elettronici”
All. 1
Finanziamenti ottenuti
Nella seguente tabella si riporta il dettaglio annuale dei costi (in lire).
anno 1
Attività = WP3.1, WP3.2, WP3.4
Partecipanti: UniNA
Obiettivi: 1 (solo progetto), 2 (solo progetto), 3
Contributo: 22.572.077
Autofinanziamento: 33.495.128
Costo: 56.067.206
anno 2
Attività = WP3.1, WP3.2, WP3.4
Partecipanti: UniNA
Obiettivi: 1 (implementazione), 2 (implementazione), 4
Contributo: 22.572.077
Autofinanziamento: 33.495.128
Costo: 56.067.206
Tabella 1 - Dettaglio annuale dei costi (lire)
Titolo della ricerca
WP3, “Sicurezza dei Documenti Elettronici”
Obiettivi previsti nel secondo anno di attività
Disponibilità di un applicativo di firma con potenziale validità giuridica
Un importante obiettivo della ricerca era lo sviluppo di un applicativo di firma capace di certificare sia le informazioni di
identita’ che quelle di attributo del soggetto connesse ad un documento in formato digitale, con riferimento ad un ben
preciso istante di tempo. Tale applicativo doveva quindi gestire: certificati base, certificati d’attributo e time stamp.
Realizzazione di un modello architetturale per servizi di certificazione
Un importante obiettivo della ricerca era l’implementazione in forma prototipale di un sistema informativo per la gestione
documentale in sicurezza conforme alla vigente normativa. La ricerca, oltre ad analizzare i vantaggi e gli svantaggi delle
differenti soluzioni ammesse dagli standard internazionali, doveva fornire concrete proposte operative, anche rispetto ai
protocolli applicativi da impiegare e alle soluzioni organizzative necessarie a rendere praticabile la/le soluzioni prescelte.
Sperimentazioni sulle soluzioni proposte
Un importante obiettivo della ricerca era la sperimentazione delle soluzioni proposte in contesti applicativi realistici, di
interesse per gli istituti nazionali di ricerca e per la Pubblica Amministrazione. Era dunque necessaria un’intensa campagna
di sperimentazioni in contesti applicativi reali.
Risultati ottenuti
Sviluppo di un applicativo di firma con potenziale validità giuridica
L’obiettivo è stato pienamente raggiunto. Delle realizzazioni prototipali erano già state sviluppate nel corso del primo anno.
Nel secondo anno di attività, tali prototipi sono stati reingegnerizzati e testati nell’ambito di applicazioni caratterizzate da
flussi documentali complessi e requisiti di sicurezza stringenti, quali ad esempio le applicazioni di telemedicina. Le marche
temporali sono fornite da un un server di Time Stamping Authority basato su un algoritmo di tipo linking scheme. Il sistema
fornisce sia servizi di Relative Temporal Authentication (prova della precedenza della data di creazione di un documento
elettronico rispetto alla data di creazione di un altro) che di Absolute Temporal Authentication (prova dell’esistenza di un
documento ad un dato istante di tempo). L’architettura del server è di tipo multi-tier. Il middle tier fa uso della emergente
tecnologia dei Web Services. Ciò favorisce l’interoperabilità del servizio, che risulta accessibile anche da dispositivi mobili
dotati di scarsa potenza computazionale, quali ad esempio i Personal Digital Assistants (PDAs). L’architettura del sistema
ed i risultati sperimentali sono descritti in dettaglio nei lavori [1], [3] e [5]. L’applicativo sviluppato è disponibile - a scopo
All. 1
dimostrativo e di verifica - presso il laboratorio di sicurezza del Dipartimento di Informatica e Sistemistica dell’Università
degli Studi di Napoli Federico II.
Realizzazione di un’infrastruttura per la fornitura di servizi di certificazione
L’obiettivo è stato pienamente raggiunto. Il modello definito nel corso del primo anno, è stato implementato nel secondo
anno. Sono stati realizzati un server di Certification Authority (CA) e un server di Attribute Authority (AA). L’architettura
dei server è di tipo multi-tier. Il back-end tier si basa su tecnologia hardware programmabile e precisamente su schede di
tipo Field Programmable Gate Arrays (FPGAs). Ciò consente di raggiungere prestazioni elevate a costi contenuti.
L’architettura dei sistemi e dei principali componenti degli stessi sono descritti in dettaglio nei lavori [2], [4] e [6]. I sistemi
sono operanti e sono disponibili - a scopo dimostrativo e di verifica - presso il laboratorio di sicurezza del Dipartimento di
Informatica e Sistemistica dell’Università degli Studi di Napoli Federico II.
Sperimentazioni sulle soluzioni proposte
L’obiettivo è stato pienamente raggiunto. Alcune sperimentazioni preliminari – sui prototipi disponibili – erano state
condotte già nel corso del primo anno di attività. Nel secondo anno di attività è stata condotta un’intensa campagna di
sperimentazioni in contesti applicativi reali. Ciò è stato reso possibile dalla disponibilità di una efficiente infrastruttura di
sicurezza. I risultati sperimentali sono descritti in dettaglio nei lavori [1], [2], [3], [4], [5] e [6].
Prodotti della ricerca
Tutti gli obiettivi sono stati pienamente raggiunti. Sono stati sviluppati sistemi e condotte sperimentazioni. Tutti i prodotti
della ricerca sono disponibili - a scopo dimostrativo e di verifica - presso il laboratorio di sicurezza del Dipartimento di
Informatica e Sistemistica dell’Università degli Studi di Napoli Federico II.
I sistemi sviluppati sono elencati di seguito:
¾
¾
¾
Sistema CA - Per la certificazione d’identità. Consente la generazione e la gestione di certificati a chiave pubblica
conformi allo standard X509 v3 secondo politiche di certificazione personalizzabili. L’architettura del server è di
tipo multi-tier. Il back-end tier sfrutta tecnologia hardware programmabile e precisamente su schede di tipo Field
Programmable Gate Arrays (FPGAs). Gira su sistema operativo Linux. La parte software si basa esclusivamente su
prodotti Open Source;
Sistema AA - Per la certificazione dei privilegi. Consente la generazione e la gestione di certificati d’attributo
conformi allo standard X509 v3 secondo politiche di certificazione personalizzabili. L’architettura del server è di
tipo multi-tier. Il back-end tier sfrutta tecnologia hardware programmabile e precisamente su schede di tipo Field
Programmable Gate Arrays (FPGAs). Gira su sistema operativo Linux. La parte software si basa esclusivamente su
prodotti Open Source;
Sistema TSA – Per la certificazione del tempo. Consente la generazione di marche temporali conformi alle
indicazioni del RFC 3161. L’architettura del server è di tipo multi-tier. Il middle tier fa uso della emergente
tecnologia dei Web Services. Ciò favorisce l’interoperabilità del servizio, che risulta accessibile anche da
dispositivi mobili dotati di scarsa potenza computazionale, quali ad esempio i Personal Digital Assistants (PDAs).
All. 1
Pubblicazioni
I sistemi sviluppati e le sperimentazioni condotte sono descritti in una serie di articoli scientifici, pubblicati o accettati per la
pubblicazione negli atti di conferenze e giornali internazionali. Tali articoli sono riportati di seguito, raggruppati per
categorie.
Riviste indicizzate
[1] A. Cilardo, G. P. Saggese, A. Mazzeo, and L. Romano, A Web Services based Architecture for Digital
Time Stamping. in Rinton Press Journal of Web Engineering, vol. 2, no. 3, pp. 148-175, February 2004.
[2] A. Cilardo, G. P. Saggese, A. Mazzeo, and L. Romano, Exploring the Design-Space for FPGA-based
Implementation of RSA. in Elsevier Microprocessors and Microsystems, vol. 28, no. 4, pp. 183-191, May
2004 1 .
Riviste non indicizzate
Nessuno.
Capitoli su libri
[3] A. Cilardo, A. Mazzeo, L. Romano, G. P. Saggese, Using Web Services Technology for Inter-Enterprise
Integration of Digital Time Stamping, in Springer Verlag, Proc. of Workshop on Reliable and Secure
Middleware (WRSM2003), Springer-Verlag, Lecture Notes in Computer Science, LNCS 2889, pp. 960974, November 2003.
Articoli a conferenze
[4] A. Cilardo, A. Mazzeo, N. Mazzocca, and L. Romano, A Novel Unified Architecture for Public-Key
Cryptography to appear in IEEE Proc. of Design, Automation and Test in Europe Conference 2005
(DATE05), March 2005.
[5] A. Cilardo, A. Mazzeo, L. Romano, G. P. Saggese, and G. Cattaneo, Providing Interoperable Time
Stamping Services, in Proc. of International Conference on Advances in Infrastructure for Electronic
Business, Education, Science, Medicine, and Mobile Technologies on the Internet Telecom Italia
Learning Services, L'Aquila, July 2003.
[6] A. Cilardo, A. Mazzeo, L. Romano, and G. P. Saggese, An FPGA-based Key-Store for Improving the
Dependability of Security Services, in Proc. Of the Tenth IEEE International Workshop on Objectoriented Real-time Dependable Systems (WORDS2005) (to appear).
1
Questo articolo risulta al diciassettesimo posto nella graduatoria Elsevier dei venticinque articoli più scaricati
(http://top25.sciencedirect.com/).