Tu sei qui

Fondamenti di sicurezza

Fondamenti di Sicurezza
Corso di Laurea Triennale in Informatica F004

SCV0317 (SCV0068)
Docente: Barbara Carminati


CFU SSD LEZIONI ANNO LINGUA
6 INF/01 48 III* Italiano


*Gli immatricolati negli A.A. precedenti al 2014/2015 possono scegliere questo corso complementare anche al II anno.

Obiettivi dell’insegnamento e risultati di apprendimento attesi
Il corso si pone l’obiettivo di fornire le conoscenze e le abilità minime necessarie alla progettazione e verifica dei meccanismi per la protezione dei dati nei sistemi informativi e nelle reti.
Conoscenza e capacità di comprensione
L’obiettivo è raggiunto discutendo, inizialmente, le principali nozioni di crittografia. Questo comporta l’analisi delle trasformazioni base della crittografia simmetrica e lo studio dei principali algoritmi di crittografia simmetrica (i.e., DES, AES). In questa parte sono, inoltre, analizzati i principi della crittografia asimmetrica, presentando poi l’algoritmo asimmetrico più utilizzato, i.e., RSA.
La protezione dei dati durante la trasmissione è presentata analizzando i protocolli nei diversi livelli di rete: IPSec per la protezione dati a livello di rete, SSL per protezione dati a livello di trasporto, e Kerberos come esempio di protocollo a livello applicativo. L’organizzazione proposta fornisce la capacità di individuare le criticità dei singoli protocolli, comprensione necessaria per la progettazione di un sistema di protezione dei dati.
Il corso si pone, inoltre, l’obiettivo di fornire le nozioni basilari dei sistemi di controllo dell’accesso. Questo è raggiunto analizzando il meccanismo di controllo dell’accesso nei DBMS supportato da SQL standard.
Durante il corso, lo studente sarà indirizzato agli attuali standard di riferimento NIST (e.g., AES, DES, RBAC), IEFT (e.g., IPsec, SSL/TLS), W3C (e.g., XML signature), ISO/EIC (e.g., SQL standard) al fine di migliorare l’autonomia di giudizio e valutazione critica.
Conoscenza e capacità di comprensione applicate
Il corso ha lo scopo di analizzare come gli strumenti di protezione analizzati sono applicati nei sistemi informativi. Ad esempio, lo studente imparerà come gli algoritmi di crittografia simmetrica e asimmetrica sono utilizzati in accordo con lo standard NIST.
Imparerà come, grazie alle proprietà della crittografia asimmetrica, sia possibile ottenere due applicazioni di protezione dati molto rilevanti: la firma digitale e la busta digitale (digital envelope).
In particolare, sarà presentato come la firma digitale viene codificata e applicata, attraverso lo standard W3C XML signature, nelle architetture web service.
L’analisi del controllo dell’accesso nei DBMS, permetterà di comprendere i comandi SQL per la protezione dei dati. Ci si aspetta che a fine corso, lo studente sia in grado di definire autonomamente le autorizzazioni di accesso per relazioni e viste nei DBMS.
Autonomia di giudizio e abilità comunicative
Il principale risultato di apprendimento atteso è quello di rendere lo studente capace di esprimere un giudizio sul grado di protezione dati offerto da un sistema informativo, permettendogli di proporre soluzioni, ove necessario, allineante agli standard di sicurezza attuali. Inoltre, grazie agli approfondimenti e riferimenti agli standard esistenti, ci si aspetta che lo studente acquisisca la terminologia propria del campo della protezione dei dati.
Capacità di apprendere
La conoscenza dei principi della crittografia, dei fondamentali protocolli di sicurezza in rete, e dei meccanismi di controllo dell’accesso dà allo studente una solida base che gli permetterà di apprendere in autonomia nuovi strumenti e applicazioni per la protezione dei dati non visti nel corso. Inoltre, i riferimenti agli standard forniti nel corso aiuteranno lo studente a recuperare autonomamente del materiale di approfondimento riguardante i problemi analizzati nel corso e non. Questa capacità è molto rilevante perché gli permetterà di essere sempre aggiornato in un campo, come quello della protezione dei dati, dove nuovi standard e critiche ad essi sono proposti frequentemente.

Prerequisiti
Nessuno.

Contenuti e programma del corso

  • Introduzione alla sicurezza informatica. Lezioni ore 2;
  • Analisi della sicurezza della cifratura classica: sostituzioni e trasposizioni. Lezioni ore 4;
  • Cifratura simmetrica: DES. Lezioni ore 4;
  • Cifratura simmetrica: AES. lezioni ore 3;
  • Cifratura asimmetrica: RSA. Lezioni ore 3;
  • Applicazione della cifratura asimmetrica: firma digitale, digital evelope. Lezioni ore 5;
  • Certificati digitali (X.509, web of trust). Lezioni ore 3;
  • Protezione dati livello rete: IPSEC. Lezioni ore 6;
  • Protezione dati livello trasporto: SSL. Lezioni ore 6;
  • Kerberos. Lezioni ore 6;
  • Sistemi per il controllo dell’accesso in DBMS nel SQL standard. Lezioni ore 6;

Tipologia delle attività didattiche
L’attività didattica prevede 48 ore di lezioni frontali in presenza.

Testi e materiale didattico
Il materiale didattico comprende slides a disposizione dello studente sul sito e-learning, e i seguenti libri:

  • B. Catania, E. Ferrari, and G. Guerrini. Sistemi di Gestione Dati: Concetti e Architetture, Edizioni Utet-CittàStudi, 2006
  • William Stallings. Sicurezza delle Reti: Applicazioni e Standard, Addison Wesley, 2001
  • C.Pfleeger, S. Pfleeger. Sicurezza in Informatica, Pearson Prentice Hall, 2004

Modalità di verifica dell’apprendimento
L’esame consiste in una prova scritta della durata di 2 ore in cui lo studente è tenuto a rispondere a domande aperte, volte all'accertamento dell’acquisizione e della corretta comprensione degli argomenti trattati nel corso. Il voto finale, espresso in trentesimi, terrà conto dell’esattezza e della qualità delle risposte (70%), dell’abilità d’esposizione (10%) e della capacità di motivare adeguatamente affermazioni, analisi e giudizi (20%).

Orario di ricevimento
Su richiesta dello studente.


Theme by Danetsoft and Danang Probo Sayekti inspired by Maksimer