1 e 2 Flashcards
problemi di oggi (cybersecurity)
tanti sistemi, molto complessi, attacchi diretti, attacchi indiretti, kiss rule
risk estimation
asset->vulnerability->threat (volontario attacco, involontario incidente), security requirement e control
security process
security è processo non prodotto, security set-up e day2day security
woe window of exposure
motivazioni e relativi attaccanti
principi sicurezza
security properties
cia, peer authN(single/mutual), data origin authN, identification , non-repudiation, authZ, data integrity
dov’è l’enemy
zero trust architecture, enemy ovunque
attacchi e contromisure
replay attack, ip spoofing, packet sniffing, DoS,DDoS, fake server, connection hijacking, trojan, virus/worm, ransomware, phishing
framework for cybersecurity
kerchoff principle
symm crypto
des (3des,2des e relativo attacco)
rc2 e rc4
ecb
cbc
padding (cosa fare quando data>blocco e data<blocco?)
integrity check
cts
ctr
stream algo
salsa20 e chacha20
aes
asymm crypto -> funzionalità
rsa (attacco)
dh e ecdh (attacco)
message integrity-> hash (caratteristiche)
fast to compute, pre-image resistant, collision resistant
collisioni e birthday attack
dipende da lunghezza hash p[aliasing] proporzionale a 2^-N, 50% se generati 2^N/2 hash, parametro sicurezza hash rispetto a symm enc
kdf
chiavi devono essere casuali,kdf(pwd,salt,n°iterazioni),usano hash
keyed digest
no non repudiation
cbc-mac e attacco
secrecy e integrity
ae
aead e esempi
ige,gcm,ccm,aeskw
lightweight crypto , quali sono problemi?
authN con asymm crypto
non-repudiation, + strong di firma cartacea
x.509 certificate alcuni campi e a cosa serve
crl e ocsp
è dovere del receiver stabilire se la firma was valid at signature time
problema ricorsivo certificati chiavi pubbliche
