Gli utenti ed i provider di sistemi informatici su reti aperte, come Internet, si trovano ad affrontare problemi di sicurezza per i quali é possibile definire dei prerequisiti molto generali tra i quali c'è l'autenticazione delle comunicazioni. E' importante, ad esempio, che il soggetto mittente di un messaggio sia riconosciuto in maniera certa come il soggetto che lo ha inviato.
Il mittente del messaggio, in questo modo é anche responsabile del suo contenuto (non ripudio). Il messaggio sarà letto esclusivamente dal destinatario (privacy). Egli é in grado di rilevare qualsiasi modifica eventualmente apportata da una terza parte durante la fase di trasferimento del messaggio (integrità).


SECUDE per SAP R/3

SECUDE offre soluzioni che permettono di operare in ambiente client/server SAP R/3 in modo sicuro. Per fare questo SECUDE ha implementato delle procedure standardizzate che fanno uso di algoritmi crittografici. Il collegamento tra SECUDE e SAP R/3 é composto di una interfaccia creata dalla IETF (Internet Engineering Task Force), chiamata Generic Security Services API - GSS-API.

Tutte le parti coinvolte nelle comunicazioni, come gli utenti SAP R/3, l'application server, e le SAPlpd, ricevono un identificazione digitale univoca. Questa identificazione é contenuta nel "personal security environment" dell'utente (PSE). Il PSE può essere collocato su smartcard o memorizzato su file, magari nella "home directory" dell'utente..

La sicurezza di entrambi le parti viene consolidata utilizzando una autenticazione a 3 vie per la quale un utente si identifica verso l'application server R/3 e viceversa. Le informazioni necessarie per questa autenticazione sono contenute nel PSE. La novità è che anche le informazioni riguardo l'identità del server vengono controllate dall'utente che si collega. In questo modo entrambi i partecipanti possono essere sicuri dell'identità del loro interlocutore.

Nell'autenticazione a 3 vie tra l'utente ed il server, viene generata una chiave di sessione che é valida solo per la sessione corrente ed é in possesso solo delle due parti che comunicano.

SECUDE Assicura l'Integrità dei Dati

Con SECUDE, i dati da trasferire sono soggetti ad un test di integrità. Per ogni pacchetto viene calcolato un checksum. Il checksum viene quindi firmato digitalmente. Il destinatario può quindi verificare i pacchetti di dati che sono stati firmati digitalmente dal mittente. Il destinatario quindi, può subito verificare qualsiasi modifica possa essere avvenuta nel passaggio.

SECUDE Critta i Dati

Un passo successivo per la sicurezza é la crittazione, che viene svolta in aggiunta al test di integrità. Questa fase protegge i dati dall'essere visibili da terze parti. Per la crittazione viene utilizzata la stessa chiave che era stata creata in fase di autenticazione tra il client e il server e che é quindi disponibile solo ai due partecipanti. E' impossibile per qualsiasi intruso, manipolare i dati senza essere notato.

SECUDE Offre Sicurezza

SECUDE offre vari metodi di protezione nei confronti delle tecniche più conosciute di intrusione ed impersonificazione (masquerading), di manipolazione dei file, di modifica delle password, di monitoraggio e logging delle comunicazioni. Ogni utente possiede un PSE protetto da una password (chiamato anche PIN - Personal Identification Number). In questo modo si proteggono da intrusioni di terze parti anche le informazioni per la sicurezza relative all'utente che sono richieste per l'attivazione di comunicazioni autenticate e riservate. Un test di integrità riconosce immediatamente un' eventuale manipolazione delle informazioni trasferite su reti aperte. Se le informazioni sono anche criptate, un eventuale intruso, può sempre monitorare e "loggare" le comunicazioni, ma non può utilizzare nessuna delle informazioni registrate.