Protocolli per la comunicazione sicura sul Web

La forte diffusione dei servizi sul Web e l’interesse crescente verso le possibilità del commercio elettronico stanno dando grande impulso alla definizione di protocolli per la comunicazione sicura sul Web. Si esaminano brevemente due dei primi protocolli che fanno uso delle tecnologie di cifratura: S-HTTP ed SSL.

Schema S-HTTP

Lo schema di funzionamento di questo protocollo è il seguente:

• il client richiede un documento protetto;
• il server replica con un messaggio di tipo “Unauthorized” al quale allega la propria chiave pubblica;
• il client genera una chiave casuale (session-key), vi associa i dati identificativi dell’utente ed un time-stamp, cifra il tutto con la chiave pubblica del server e glielo invia;
• il server decifra il messaggio del client con la sua chiave privata, estrae la session- key del client, la usa per cifrare il documento riservato, ed invia il documento cifrato al client;
• il client decifra il documento con la stessa session-key e lo presenta all’utente.

Schema SSL (Secure Socket Layer)

A differenza del protocollo S-HTTP, la chiave pubblica del server è fornita al client attraverso un certificato rilasciato e firmato da una Autorità di certificazione. Inoltre anche il client può essere autenticato laddove disponga di un certificato valido per la sua chiave pubblica.

Come per S-HTTP, la riservatezza delle comunicazioni é realizzata attraverso la cifratura simmetrica del traffico con una chiave di sessione generata casualmente. SSL supporta inoltre la firma digitale dei documenti scamb iati fra client e server.

SSL é indipendente dal protocollo di applicazione, e può quindi supportare qualsiasi servizio che usi il protocollo TCP, quindi non solo HTTP ma anche News, Telnet, FTP, e tanti altri.