CODICE 114583 ANNO ACCADEMICO 2026/2027 CFU 6 cfu anno 3 INFORMATICA 8759 (L-31) - GENOVA 6 cfu anno 3 INGEGNERIA INFORMATICA 8719 (L-8) - GENOVA SETTORE SCIENTIFICO DISCIPLINARE ING-INF/05 LINGUA Italiano (Inglese a richiesta) SEDE GENOVA PERIODO 2° Semestre MODULI Questo insegnamento è un modulo di: RETI DI CALCOLATORI E SICUREZZA INFORMATICA PRESENTAZIONE OBIETTIVI E CONTENUTI OBIETTIVI FORMATIVI L'insegnamento fornisce agli studenti i principi fondamentali della Sicurezza Informatica. Gli argomenti trattati includono: funzioni hash crittografiche, cifrari simmetrici e asimmetrici, firme digitali, certificati digitali, protocolli di sicurezza, controllo degli accessi, oltre a un'introduzione alla sicurezza delle reti e alla sicurezza web. OBIETTIVI FORMATIVI (DETTAGLIO) E RISULTATI DI APPRENDIMENTO Conoscenza e comprensione * Comprendere i principali obiettivi della sicurezza informatica e le relative minacce. * Comprendere i principi fondamentali della progettazione sicura. * Conoscere le principali tecniche crittografiche simmetriche e asimmetriche e il loro impiego nei sistemi reali. * Comprendere il ruolo dei protocolli di sicurezza, delle infrastrutture a chiave pubblica e dei modelli di controllo degli accessi. * Comprendere le principali problematiche di sicurezza delle reti e delle applicazioni web. Capacità di applicare conoscenza e comprensione * Analizzare i requisiti di sicurezza di un sistema informatico. * Identificare vulnerabilità e possibili contromisure. * Valutare le assunzioni di fiducia e i modelli di attaccante alla base di protocolli e sistemi di sicurezza. * Selezionare meccanismi di protezione appropriati in funzione degli obiettivi di sicurezza richiesti. * Analizzare criticamente vulnerabilità tipiche di applicazioni e sistemi informatici. * Applicare modelli di controllo degli accessi per soddisfare specifici requisiti di sicurezza. Autonomia di giudizio * Valutare criticamente le proprietà di sicurezza di sistemi e applicazioni informatiche. * Analizzare i compromessi tra requisiti di sicurezza, funzionalità e usabilità. Abilità comunicative * Descrivere con terminologia appropriata i principali meccanismi e protocolli di sicurezza. * Argomentare le scelte progettuali adottate per soddisfare specifici requisiti di sicurezza. Capacità di apprendimento * Approfondire autonomamente nuovi meccanismi, protocolli e tecnologie di sicurezza sulla base dei principi acquisiti durante il corso. MODALITA' DIDATTICHE L'insegnamento si basa su lezioni frontali integrate dalla discussione di casi di studio ed esempi applicativi PROGRAMMA/CONTENUTO 1. Introduction and Security Principles [2h] * The concepts of resource, vulnerability, threat, countermeasure * Security goals: confidentiality, integrity, availability * Security principles: Open Design, Least Privilege, Separation of Privilege, Defense-in-Depth 2. Introduction to Cryptography and Symmetric Cryptography [8h] * Shannon ciphers and perfect security * Computational ciphers and semantic security * Stream ciphers, pseudo-random generators * Block ciphers: DES, 3DES, AES * Message integrity: MAC, cryptographic hash functions * Authenticated Encryption (AEAD) * The key distribution problem 3. Public-Key Cryptography [10h] * Introduction to public-key cryptography * Introduction to Number Theory * The RSA algorithm * TLS handshake * Elliptic-Curve Cryptography * Diffie-Hellman key exchange * Digital signatures * Protecting private keys with secure elements: smartcards, hardware security modules * Digital Certificates and the Public Key Infrastructure 4. Security Protocols [8h] * Security goals, trust assumptions, attacker models * Protocol execution and analysis * Case studies: NSSK, NSPK, Otway-Rees, Andrew RPC, Denning-Sacco, Kerberos 5. Network Security [4h] * Firewalls * Link vs end-to-end encryption * Virtual Private Networks (IP-Sec, OpenVPN, WireGuard) 6. Secure Programming [4h] * Buffer overflows * Format string vulnerabilities 7. Web Security [6h] * Client side: Browser security model; origin-based security; cookies, sessions and web authentication; client-side attacks * Server side: input validation; authentication and session management; injection attacks (e.g. SQL Injection, Cross-Site Scripting); access control vulnerabilities * Web PKI; Certificate Transparency 8. Access Control [6h] * Discretionary vs Mandatory Access Control * Access control matrix model (UNIX Access Control model) * Role-Based Access Control (RBAC) * Mandatory Access Control (Bell-LaPadula Model, Biba Model, Chinese Wall Model TESTI/BIBLIOGRAFIA 1. William Stallings, Lawrie Brown. Computer Security: Principles and Practice (4th Edition). Pearson Ed., 2017 2. Thomas H. Cormen, Charles E. Leiserson, Ronald L. Rivest and Clifford Stein. Introduction to Algorithms (4th Edition). The MIT Press, 2022 3. Dan Boneh and Victor Shoup. A Graduate Course in Applied Cryptography. Available online at: https://toc.cryptobook.us/ DOCENTI E COMMISSIONI ALESSANDRO ARMANDO Ricevimento: Gli incontri via MS Teams o di persona (ufficio 102, DIBRIS, via Dodecaneso 35, Genova) devono essere preventivamente concordati per email. Per le richieste di incontro va inviato un messaggio all’indirizzo alessandro.armando@unige.it con oggetto che inizia con la stringa “[FSI]”, specificando l'insegnamento e il proprio numero di matricola. LEZIONI Orari delle lezioni L'orario di questo insegnamento è consultabile all'indirizzo: Portale EasyAcademy ESAMI MODALITA' D'ESAME La valutazione si basa su una prova scritta. MODALITA' DI ACCERTAMENTO L'apprendimento viene verificato mediante una prova scritta volta ad accertare la comprensione dei principi fondamentali della sicurezza informatica e la capacità di applicarli all'analisi di meccanismi, protocolli e sistemi di sicurezza. La prova può includere quesiti teorici ed esercizi relativi agli argomenti trattati nel corso. La valutazione tiene conto della correttezza delle risposte, della capacità di ragionamento, dell'uso appropriato della terminologia tecnica e della capacità di analizzare vulnerabilità e contromisure. Agenda 2030 Istruzione di qualità Imprese, innovazione e infrastrutture Pace, giustizia e istituzioni solide