Impostazioni dei criteri di sicurezza
La sezione Sicurezza include l’impostazione dei criteri per la configurazione della crittografia della sessione e della crittografia dei dati di accesso.
Livello minimo di crittografia SecureICA
Questa impostazione specifica il livello minimo al quale crittografare i dati della sessione inviati tra il server e un dispositivo utente.
Importante: Per Virtual Delivery Agent 7.x, questa impostazione dei criteri può essere utilizzata solo per abilitare la crittografia dei dati di accesso con crittografia RC5 a 128 bit. Altre impostazioni sono fornite solo per la compatibilità con le versioni precedenti di Citrix Virtual Apps and Desktops.
Per VDA 7.x, la crittografia dei dati della sessione viene impostata utilizzando le impostazioni di base del Delivery Group del VDA. Se per il Delivery Group è selezionata l’opzione Abilita Secure ICA, i dati della sessione vengono crittografati utilizzando la crittografia RC5 (128 bit). Se l’opzione Abilita Secure ICA non è selezionata per il Delivery Group, i dati della sessione vengono crittografati con crittografia di base.
Quando si aggiunge questa impostazione a un criterio, selezionare un’opzione:
- Base crittografa la connessione client utilizzando un algoritmo non-RC5. Protegge il flusso di dati dalla lettura diretta, ma può essere decrittografato. Per impostazione predefinita, il server utilizza la crittografia di base per il traffico client-server.
- Accesso RC5 (128 bit) crittografa solo i dati di accesso utilizzando la crittografia RC5 a 128 bit e la connessione client utilizzando la crittografia di base.
- RC5 (40 bit) crittografa la connessione client utilizzando la crittografia RC5 a 40 bit.
- RC5 (56 bit) crittografa la connessione client utilizzando la crittografia RC5 a 56 bit.
- RC5 (128 bit) crittografa la connessione client utilizzando la crittografia RC5 a 128 bit.
Le impostazioni specificate per la crittografia client-server possono interagire con qualsiasi altra impostazione di crittografia nell’ambiente e nel sistema operativo Windows. Si consideri che un livello di crittografia a priorità più alta è impostato su un server o un dispositivo utente. In questo caso, le impostazioni specificate per le risorse pubblicate possono essere sovrascritte.
È possibile aumentare i livelli di crittografia per proteggere ulteriormente le comunicazioni e l’integrità dei messaggi per determinati utenti. Se un criterio richiede un livello di crittografia più elevato, le connessioni dei Citrix Receiver che utilizzano un livello di crittografia inferiore vengono negate.
SecureICA non esegue l’autenticazione né verifica l’integrità dei dati. Per fornire la crittografia end-to-end per il sito, utilizzare SecureICA con la crittografia TLS.
SecureICA non utilizza algoritmi conformi a FIPS. Se questa impostazione rappresenta un problema, configurare il server e i Citrix Receiver per evitare l’uso di SecureICA.
SecureICA utilizza il cifrario a blocchi RC5, come descritto in RFC 2040, per la riservatezza. La dimensione del blocco è di 64 bit (un multiplo di unità di parola a 32 bit). La lunghezza della chiave è di 128 bit. Il numero di round è 12.
Le chiavi per il cifrario a blocchi RC5 vengono negoziate alla creazione di una sessione. La negoziazione viene eseguita utilizzando l’algoritmo Diffie-Hellman. Questa negoziazione utilizza parametri pubblici Diffie-Hellman. Questi parametri vengono memorizzati nel registro di Windows quando viene installato Virtual Delivery Agent. I parametri pubblici non sono segreti. Il risultato della negoziazione Diffie-Hellman è una chiave segreta, da cui vengono derivate le chiavi di sessione per il cifrario a blocchi RC5. Vengono utilizzate chiavi di sessione separate per l’accesso utente e per il trasferimento dei dati. Inoltre, vengono utilizzate chiavi di sessione separate per il traffico da e verso Virtual Delivery Agent. Pertanto, ci sono quattro chiavi di sessione per ogni sessione. Le chiavi segrete e le chiavi di sessione non vengono memorizzate. Anche i vettori di inizializzazione per il cifrario a blocchi RC5 sono derivati dalla chiave segreta.