You are on page 1of 9

SECURITATEA ÎN REŢELE DE CALCULATOARE ŞI A SISTEMELOR INFORMATICE

Curs

Criptografia computationalã oferã cele mai puternice solutii pentru problemele ce privesc securitatea informaticã a acestui mediu în care ne pregãtim sã trãim în anii urmãtori si care se cheamã Cyberspace. Folositã multã vreme pentru asigurarea confidentialitãtii comunicatiilor în domeniul militar si diplomatic, criptografia a cunoscut în ultimii 20 de ani progrese spectaculoase datorate aplicatiilor sale în securitatea datelor la calculatoare.

Victor-Valeriu Patriciu @.1. INTRODUCERE IN INFRASTRUCTURA CU CHEI PUBLICE. Trãim astãzi o lume în care sute de milioane de calculatoare, deservind utilizatori foarte diversi, sunt interconectate într-o infrastructurã informaticã globalã, numitã de ziaristi si Cyberspace (Spatiul Cibernetic). Specialistii cautã si gãsesc, cu o vitezã de-a dreptul incredibilã, solutii tehnice pentru dezvoltarea capacitãtii de comunicatie a calculatoarelor si pentru sporirea calitãtii serviciilor de retea oferite. În acelasi timp societatea se adapteazã din mers noilor tehnologii informatice, învãtând sã trãiascã în acestã lume nouã, dominatã de calculatoare si comunicatii între acestea. Guvernul federal al SUA investeste în urmãtorii 5 ani 400 milioane dolari pentru dezvoltarea succesorului Internet-ului care se va numi (NREN), despre care se spune cã va fi de 100 de ori mai rapid. Pe masura ce majoritatea afacerilor, tranzactiilor si a contactelor cu exteriorul se desfasoara prin Internet, a devenit evidenta necesitatea pastrarii unui nivel de protectie a informatiilor cel putin similar cu nivelul de protectie oferit de modalitatile clasice de afaceri, pe hartie. De la aparitia pentru prima oara in mediul guvernamental (militar) tehnologia PKI (Public Key Infrastructure - Infrastructura cu Chei Publice) a fost adoptata rapid de catre organizatii din toate domeniile, de la cel bancar pana la companiiie din industrie si servicii si institutii guvernamentale, care, pe de o parte, au constientizat oportunitatile oferite de interconectarea sistemelor informatice si dezvoltarea afacerilor pe baza acestei infrastructuri, dar care, in acelasi timp, pe cealalta parte, au realizat ca prezenta in lumea electronica expune organizatia la riscuri considerabile. Infrastructura cu chei publice reprezinta un set de standarde pentru vehicularea securizata a informatiilor electronice, avand la baza conceptul de chei publice si private si este cel mai raspandit sistem de securitate electronica pentru retele publice (nesigure) si private. Securitatea informaticã - componentã majorã a Cyberspace. Retelele de calculatoare sunt structuri deschise, la care se pot conecta un numãr mare si uneori necontrolat de calculatoare. Complexitatea arhitecturalã si distributia topologicã a retelelor conduc la o mãrire necontrolatã a multimii utilizatorilor cu acces nemijlocit la resursele retelei-fisiere, baze de date, rutere etc. de aceea putem vorbi de o vulnerabilitate a retelelor ce se manifestã pe variate planuri. De aceea un aspect crucial al retelelor de calculatoare, în special al comunicatilor pe Internet, îl constituie securitatea informatiilor. Utilizatorii situati la mari distante trebuiesc bine identificati-în mod tipic prin parole. Din nefericire, sistemele de parole au devenit vulnerabile, atât datoritã hacker-ilor care si-au perfectionat metodele cât si datoritã alegerii necorespunzãtoare a parolelor de cãtre utilizatori. Nevoia de securitate si de autenticitate, apare la toate nivelele arhitecturale ale retelelor. La nivel înalt, utilizatorii vor sã se asigure cã posta electronicã, de exemplu, soseste chiar de la persoana care pretinde a fi expeditorul. Uneori utilizatorii, mai ales când actioneazã în numele unor firme, doresc asigurarea caracterului confidential al mesajelor transmise. În tranzactiile financiare, alãturi de autenticitate si confidentialitate, un loc de mare importantã îl are si integritatea mesajelor, ceea ce înseamnã cã mesajul receptionat nu a fost alterat în timpul tranzitiei prin retea. În tranzactiile de afaceri este foarte important ca odatã receptionatã o comandã, aceasta sã fie nu numai autenticã, cu continut nemodificat, dar sã nu existe posibilitatea ca expeditorul sã nu o mai recunoascã, adicã sã se respecte proprietatea de nerepudiere. La nivel scãzut, gateway-urile si ruterele trebuie sã discearnã între calculatoarele autorizate sã comunice si cele intruse. De asemenea, este necesar ca, de exemplu, informatia medicalã transmisã prin retele sã fie confidentialã si sã ajungã nealteratã (voit sau nu) la nodurile care retin marile baze de date ale sistemelor de asigurãri medicale. În aceste circumstante, securitatea informaticã a devenit una din componentele majore ale cea ce numim Cyberspace. Analistii acestui concept au sesizat o contradictie aparentã (antinomia) între nevoia de comunicatii si conectivitate, pe de o parte si necesitatea asigurãrii confidentialitãtii si autentificãrii datelor la

Ek. Dk. este o functie matematica. Cuvantul "criptografie". Viteza si eficienta pe care o aduc comunicatiile instantanee de documente si mesaje (postã electronicã. Puterea de criptare. sporindu-se astfel rezistenta la atacuri criptoanalitice. care inseamna “ascuns" si de la grecul "grafik". lucreaza cu o cheie (care poate fi un cuvant. distributia si memorarea cheilor. criptografia a cunoscut în ultimii 20 de ani progrese spectaculoase datorate aplicatiilor sale în securitatea datelor la calculatoare. ¾ familia transformãrilor de cifrare. cripteaza diferit cu diferite chei. Criptoanaliza studiazã metodele de spargere a cifrurilor. DES a rezistat evaluãrii fãcute de-a lungul a aproape douã decenii nu numai de „spãrgãtorii de 2/9 . 1. Existã douã mari categorii de sisteme criptografice folosite azi în securitatea informaticã: sisteme simetrice si sisteme cu chei publice. vine de la grecul "krypte". {M}. Ek: M-> C .calculatoare si retele. Pe aceastã idee se bazeazã si standardul american de cifrare a datelor-DES (Data Encryption Standard). Securitatea datelor criptate. Domeniul relativ nou al securitãtii informatice cautã o serie de solutii tehnice pentru rezolvarea acestei contradictii. Aceasta implica în general probleme dificile în generarea. Atît cifrarea cît si descifrarea sunt controlate de cãtre una sau mai multe chei criptografice.2.1. este stiinta care foloseste matematica pentru a cripta si decripta datele. pentru n utilizatori sunt posibile n(n-1)/2 legãturi bidirectionale. K. depinde de doua Iucruri: puterea algoritmului si secretul cu care este tinuta cheia. mesagerie electronicã. fiecare transformare de descifrare. si de cheia K. Propus initial de IBM sub forma sistemului Lucifer. comun tuturor transformãrilor familiei. Criptarea unor date. Un cifru se defineste ca transformarea unui mesaj-clar sau text clar în mesaj-cifrat ori criptogramã. Folositã multã vreme pentru asigurarea confidentialitãtii comunicatiilor în domeniul militar si diplomatic. Criptografia.unde K∈{K} ¾ familia transformãrilor de descifrare. Definirea conceptului de cheie criptografica. . E. folositã atât la cifrare cât si la descifrare (a se vedea schema criptosistemului simetric). Acelasi algoritm. în pierderi majore cauzate de furtul de date sau de inserarea de date false sau denaturate. 1. fiind necesare tot atîtea chei. conduc la un fel de euforie a utilizãrii retelelor. si o cheie. Pana la jumatatea anilor '70. este definitã de un algoritm de descifrare D. a criptogramei în text clar. folosita in procesul de criptare si decriptare. Criptografia computationalã oferã cele mai puternice solutii pentru toate aceste probleme privind securitatea informaticã. {K}. Dk: C -> M. poate fi puternica sau slaba. În mod similar. fara sa se stie cheia de criptare. Un sistem criptografic (criptosistem) are cinci componente: ¾ spatiul mesajelor în text clar. care poate transforma potentialele câstiguri generate de accesul la informatii. distinctã de la o transformare la alta. Când comunicatiile dintre numerosi utilizatori trebuie sã fie criptate. Un algoritm criptografic. un numar. Cheile simetrice (Algoritmi criptografici cu cheie secretã). larg utilizat de guvernul SUA si de diverse companii internationale. chiar dacã se cunoaste algoritmul de cifrare. utilizatorii trebuie sã aibã încredere reciprocã. bazatã pe un sentiment fals de securitate a comunicatiilor. de obicei pentru determinarea cheii de cifrare din criptogramã si text clar echivalent. apare o mare problemã a managementului cheilor. este data de timpul si de resursele necesare decriptarii textului criptat. Procesul de transformare a textului clar în text cifrat se numeste cifrare sau criptare. Securitatea acestui tip de algoritm depinde de lungimea cheii si posibilitatea de a o pãstra secretã. ¾ spatiul mesajelor în text cifrat. Deoarece algoritmul este valid în ambele directii. transfer electronic de fonduri. In prezent exista doua mari categorii de chei pentru a cripta datele: cheile simetrice sau cheile secrete si cea de-a doua categorie este reprezentata de perechile de chei publice si private. Cînd cheia secretã are o dimeniune convenabilã si este suficient de frecvent schimbatã. Criptografia este stiinta scrierilor secrete. care inseamna "scriere".M∈{M}. etc) actului decizional al managerilor care actioneazã într-o economie puternic concurentialã. ¾ spatiul cheilor. pe de alta parte. Pentru un K dat. are denumirea de descifrare sau decriptare. Ei se caracterizeazã prin aceea cã ambii utilizatori ai algoritmului împart aceeasi cheie secretã. adicã: Dk(Ek((M))=M. Putem spune cã domeniul criptografiei computationale a devenit azi un spatiu legitim de intense cercetãri academice. Algoritmul criptografic. DK reprezintã inversa lui EK. o fraza) pentru a cripta textul. {C}. este definitã de un algoritm de cifrare. iar transformarea inversã. Utilizarea calculatoarelor electronice a permis folosirea unor chei de dimensiuni mai mari. devine practic imposibilã spargerea cifrului. singura metoda de criptare a informatiilor a fost cea a utilizarii cheilor simetrice sau a algoritmilor simetrici. unde K∈{K} Fiecare transformare de cifrare. Pentru asigurarea confidentialitãtii datelor memorate în calculatoare sau transmise prin retele se folosesc preponderent algoritmi criptografici cu cheie secretã (simetrici).

va trebui sa i se spuna cheia. cealalta este stocata numai la posesor (cheia privata). Problema distribuirii cheii secrete. este folosita atat pentru criptare. s.2. cat si pentru decriptare. Deci. cand lulius Caesar.1. nefiind posibila deducerea uneia pe baza celeilalte (computational este imposibila deducerea cheii private pe baza celei publice). toate literele b cu e. dar a fost tinut secret si nu s-a facut nimic cu el). in acest caz.m.3.conventionala. putem enumera: • in primul rand in dificultatea schimbului de chei sau transmiterea cheii secrete catre cealalta persoana implicata. este rezolvata de criptarea cu chei asimetrice. ca deveni "VHFUHW". in dificultatea in stabilirea unei comunicatii sigure intre parteneri care nu se cunosc. are avantajul ca este rapid. Din pãcate nu existã o certitudine absolutã cã specialistii de la NSA. este 3.cifruri" de la NSA-National Security Agency din SUA ci si de nenumãrati matematicieni de la marile universitãti din lume. Experienta a arãtat însã cã orice schemã criptograficã are o viatã limitatã si cã avansul tehnologic reduce. una publica si una privata legate una de cealalta dar in acelasi timp diferite. in numarul mare de chei necesare intre mai multi parteneri. Criptarea conventionala.a. sau de la vreo altã organizatie. care. DES a fost adoptat ca standard federal în 1977 si a fost folosit intens datoritã performantelor de vitezã atinse la cifrare. Cheie secreta Cheie secreta GEORGE DAN Figura @. Figura de mai jos ilustreaza modul in care functioneaza criptarea cu chei asimetrice: Cheie publicaDan Cheie privată GEORGE Figura @. • in al treilea rand. Figura de mai jos ilustreaza modul in care se face criptarea cu chei simetrice. Una dintre chei (cheia publica) se va stoca intr-o baza de date publica.d. Printre dezavantajele acestei metode. cuvantul "SECRET". Se considerã cã perioada DES este aproape încheiatã si cã alte sisteme. atunci numai cheia ei corespondenta va putea decripta informatia respectiva (decriptarea nu se poate face cu aceeasi cheie cu care s-a facut criptarea). Criptarea asimterica se bazeaza pe utilizarea unei perechi de chei. au reusit sau nu sã spargã DES. cum ar fi IDEA sau Clipper îi vor lua locul. Criptarea cu cheie publica (algoritmi asimetrici). In criptarea. se poate zice ca a fost folosita si acum 2000 de ani. neavand incredere in mesagerii sai. mai devreme sau mai tîrziu. fiecare litera venea astfel: ABCDEFGHIJKLMNOPQRSTUVWXYZ DEFGHIJKLMNOPQRSTUVWXYZABC Folosind acest algoritm. iar pentru a pastra siguranta criptarii. Acest tip de criptare. Astfel. Pentru ca un text criptat astfel sa fie citit de catre altcineva. El este eficient cand nu trebuie sa se transmita datele de la o persoana la alta. securitatea furnizatã de ea. Ea a fost inventata in 1975 de Whitfield Diffie si Martin Hellman (sunt dovezi ca acest tip de criptare a fost descoperit inaintea celor doi de catre Serviciul Secret Britanic. daca una dintre chei este folosita pentru criptarea informatiei. 1. DAN 3/9 . a inlocuit toate literele a cu d. o asa zisa cheie secreta. Sã amintim doar cã DES este folosit azi pentru cifrarea datelor de cãtre multe armate din lume sau de cãtre comunitatea bancarã internationalã. • in al doilea rand.

Digital Signature Algorithm (inventat de David Kravitz). Necesitatea aplicarii functiei de rezumat apare pe considerentul ca documentele pot fi mari in dimensiune. folosind un algoritm simetric. Hellman (numit tot dupa inventatorii sai).2. si este foarte folosit datorita rapiditatii si protectiei care sunt oferite in acelasi timp (rapiditate. in momentul in care a devenit solutia evidenta pentru asigurarea securitatii mediului electronic. Semnatura digitala este echivalentul semnaturii scrise in lumea digitala. cheia folosita la criptarea simetrica. folosita pentru asigurarea autenticitatii documentelor electronice. Cheie privată George Semnatura Mesaj criptat Vă informă m prin prezenta Mesaj criptat Comparar e Vă informăm prin prezenta Mediu de transmisie Mesaj în clar Vă informă m prin prezenta Mesaj criptat GEORGE Figura @. este numita criptare hibrida. (numit dupa inventatorii sai: Ron Rivest. iar cheia necriptata. atat algoritmii simetrici. Tehnologiei PKI. i s-au atribuit sapte caracteristici ce stau la baza emularii tranzactiilor „clasice" (ce utilizeaza hartia tiparita) intra si interorganizationale in lumea electronica: autorizare. este folosita pentru a cripta datele propriu-zise. Semnatura digitala. deoarece. In acest mod se asigura de faptul ca numai Dan. Dan va primi hash-ul criptat si il va decripta cu cheia publica a lui George pe care o poate lua dintr-o baza de date publica. nerepudiere si privacy. atunci Dan va fi sigur ca numai George a trimis acel document. Semnatura digitala este un serviciu de baza intr-o infrastructura cu chei publice (PKI). si protectie buna. nemaifiind nevoie de o aceasi cheie atat pentru criptare cat si pentru decriptare). care este mult mai rapid decat unul nesimetric datorita evitarii lucrului cu numere mari. peste documentul in clar primit va aplica aceeasi functie de hash. este criptata cu un algoritm asimetric.Astfel. pe baza rezumatului nu va putea obtine documentul initial. sunt: Elgamal RSA Diffie-Hllman DSA ECDH ECDSA SHA-1 (numit dupa inventatorul sau Taher Elgamal). Algoritmi care folosesc astfel de chei. 1. Adi Shamir si Leonard Adleman). ceea ce ar conduce la un timp mare pentru criptare-decriptare. sunt folositi. autenticitate. confidentialitate. George va trimite catre Dan atat rezumatul criptat cat si documentul in clar. in combinatie. Elliptic Curve Diffie – Hellman Elliptic Curve DSA Secure Hash Algoritm In practica. Acest rezumat sau hash va fi criptat cu cheia privata a lui George. cat si cei nesimetrici.4. obtinand astfel rezumatul documentului. Acest tip de criptare. Daca rezultatul decriptarii si cel al aplicarii functiei de hash va fi acelasi. Modul de functionare al semnaturii electronice este prezentat in figura de mai jos. Un algoritm cu cheie publica este folosit pentru a cripta o cheie luata aleator. disponibilitate. care poseda cheia privata corespondenta va fi cel care va decripta informatiile. integritate. deoarece se foloseste la criptarea propriuzisa a datelor un algoritm simetric. pentru ca George este singurul care detine 4/9 . de cele mai multe ori. George va lua dintr-o baza de date publica cheia publica a lui Dan si va cripta informatiile. DAN Mai intai George aplica peste documentul pe care doreste sa il semneze'o functie de hash (un algoritm care intoarce un rezumat al documentului. De aceea. un rezultat unic din care nu se mai poate deduce documentul initial). Insa.

5/9 . Receptorul B îl obtine pe M aplicînd la început propria-i functie de descifrare. Whitfield Diffie si Martin Hellman. asa încît orice pereche (EA. inclusiv B. EA. prin asa numita semnãturã digitalã. mecanismul semnaturii digitale asigura autenticitatea originii. Functia cheii Tiul cheii Detinatorul cheii utilizate Criptare date Cheia publica Destinatar Semnare date Cheia privata Expeditor Decriptare date Cheia privata Destinatar Verificarea semnaturii Cheia publica Expeditor Algoritmi criptografici cu chei publice. atunci A poate transmite M la B sub forma C=EB(M). sã falsifice semnãtura lui A. Doar destinatarul. Pentru autentificare se aplicã lui M transformarea secretã DA a lui A. adicã: EA(DA(M))=DA(EA(M))=M. în plus se cere ca EA si DA sã fie mutual inverse. EA. • în cazul în care A nu recunoaste semnarea unui mesaj M. cît si asupra textului cifrat. Emitãtorul de mesaj A va aplica mai întîi transformarea secretã a sa. DB. alta pentru descifrare. Urmatorul tabel sumarizeaza modul de utilizare a perechilor de chei publice si private pentru criptare si semnare. B. DA) sã fie în mãsurã sã opereze atît asupra textului clar. fiind folosit pentru recunoasterea sigurã a utilizatorilor sau proceselor. asigurîndu-se astfel functia de confidentialitate. iar apoi transformare publicã a lui A. de la Univeritatea Stanford din California. printr-un articol celebru publicat în 1976. criptografia asimetricã foloseste douã chei diferite. deoarece orice utilizator (proces) are acces la transformarea publicã EB a lui B si îi poate trimite mesaje false M' sub forma C'=EB(M'). Cheia de descifrare (secretã) este derivatã din cheia de cifrare (publicã) printr-o transformare greu inversabilã (one-way). Un alt moment foarte important în evolutia criptografiei computationale l-a constituit adoptarea unui principiu diferit de acela al cifrãrii clasice. una pentru cifrare. documentul ar fi fost alterat. una din chei este fãcutã publicã fiind pusã la dispozitia oricui doreste sã transmitã un mesaj cifrat. Acest concept poartã numele de semnãturã digitalã. pe traseu. detine o transformare de cifrare publicã. cunoscutã doar de el: DB(C)=DB(EB(M))=M. aplicînd transformarea publicã EA. care poate fi memoratã într-un registru (fisier) public si o transformare de descifrare secretã. în cadrul cãrora doi utilizatori (procese) pot comunica cunoscînd fiecare doar cheia publicã a celuilalt. M. care la receptie va aplica transformarea publicã. mesajului M.utilizînd transformarea publicã a lui B. unui alt utilizator (proces) B. protectia si autentificarea sunt realizate prin transformãri distincte. Pentru a se realiza simultan protectia si autentificarea informatiilor spatiului {M} trebuie sã fie echivalent spatiului {C}. La receptie. Fie B un receptor de mesaj semnat de A. integritatea continuitatii si nerepudirea informatiilor transmise. În criptosistemele cu chei publice fiecare utilizator A. A va emite C=DA(M) la B. cea care furnizeazã autentificarea: EA(DB(C))=EA(DB(EB(DA(M))))=EA(DA(M))=M. EB si va emite cãtre receptor criptograma: C=EB(DA(M)). poate descifra si utiliza mesajul. În sistemele cu chei publice. DA. Practic. EA a lui A: EA(C)=EA(DA(M))=M (a se vedea Crearea si Verificarea Semãturii Digitale) Autentificarea este realizatã deoarece numai A poate aplica transformarea DA. Folosind algoritmi cu cheie publicã (asimetrici). semnându-l. va descifra criptograma C utilizînd transformarea secretã DB. întrucît este posibil ca mesajul M sã fie obtinut de oricine. Sã presupunem cã utilizatorul (procesul) A doreste sã emitã un mesaj. care detine cea de-a doua cheie. ce nu este posibil sã fie obtinutã din EA. În locul unei singure chei secrete. Apoi A va cifra rezultatul . DA. trebuie sã existe un „judecãtor" care sã poatã rezolva disputa dintre A si B. se creazã criptosisteme cu douã chei. Ignorînd protectia pentru moment. iar George nu poate nega ca a trimis informatia si in acelasi timp se asigura ca informatiile primite sunt autentice pentru ca daca.cheia privata. Protectia nu este asiguratã. Schema nu furnizeazã facilitãti de autentificare. au pus bazele criptografiei cu chei publice. Deoarece este imposibilã deducerea unei chei din cealaltã. atunci rezumatul documentului modificat nu ar mai fi acelasi cu cel criptat (functia de hash intoarce un rezultat unic). fapt care i-a sporit popularitatea. • sã fie imposibil pentru oricine. Semnãtura lui A trebuie sã satisfacã urmãtoarele proprietãti: • B sã fie capabil sã valideze semnãtura lui A. Dacã A cunoaste transformarea publicã EB. Tehnica cheilor publice poate fi folositã si pentru autentificarea mesajelor. cunoscutã de mii de ani.

Noua propunere. costînd aproximativ 30 dolari bucata. Acest demers a generat controverse. numit „Skipjack". Datã fiind importanta pentru securitatea informaticã a criptosistemelor cu chei publice guvernul SUA a initiat adoptarea unui standard de semnaturã digitalã bazat pe conceptul de cheie publicã. unde exponentul este cheia si calculele se fac în inelul claselor de resturi modulo n. Cipurile sunt programate de Mykotronx Inc. în tehnologia de 0. Un alt exemplu semnificativ de utilizare a sistemului RSA este reteaua de postã electronicã a guvernului belgian. care va fi lãsatã.Cel mai cunoscut sistem cu chei publice este RSA al cãrui nume provine de la de cei trei cercetãtori de la Massachusetts Institute of Technology care l-au creat-Rivest.8 microni. Shamir si Adleman. de 30 biti. suportînd toate cele 4 moduri DES de operatii. pe 64 biti.. U. ¾ Controlul sever exercitat de guvernul SUA asupra productiei si exportului vor restrictiona afacerile. pentru cantitãti mai mari de 10. ¾ Existã teama existentei unor trape care pot permite FBI/CIA sã spargã cifrul . a unor informatii transmise prin telefon. de a factoriza numere prime mari. N . soldate chiar cu acuze între organizatiile implicate. Dar nouã luni mai tîrziu. Mj(n) (mod n) = 1..numãr serial al chip-ului. care afirmã cã pentru orice M relativ prim cu n. nu datoritã performantelor sale. Criptosistemele cu chei publice au urmãtoarele aplicatii mai importante în serviciile specifice retelelor de azi: • autentificarea continutului mesajelor si al emitãtorului. Aceastã proprietate implicã faptul cã e si d sã satisfacã proprietatea: e*d (mod j(n)) = 1.cheie secretã pe 80 biti. în august 1991. Fiecare cip include urmãtoarele componente: algoritmul de criptare „Skipjack"(secret si studiat sub jurãmânt de câtiva mari specialisti). prin anvelopare cu ajutorul sistemelor cu chei publice. Majoritatea firmelor din SUA ca si societatea civilã rejecteazã conceptia NSA. Numerele e si d sunt cheile. Ea a stârnit controverse. ¾ Algoritmii nu sunt documentati si disponibili. În acelasi timp gãsirea unor numere prime mari este usoarã. El este numit sistem cu chei în custodie (Escrowed Key System) si promoveazã pentru SUA o nouã tehnologie criptograficã sub numele de Clipper. prezentã deja în industrie. Cipul Clipper. • autentificarea utilizatorilor si a cheilor publice prin asa numitele certificate digitale. Sisteme cu chei în custodie. Decriptarea se face cu ajutorul unor fragmente de chei obtinute prin aprobãri legale de la asa numite agentii de custodie a cheilor. Pînã în decembrie 1990. Rezultã: Med = M (mod n).000 bucãti. Suportul fizic este asigurat de VLSI Tehnology Inc. ¾ Existã teamã în fata posibilitãtiilor FBI/CIA de a intercepta comunicatiile dintre calculatoare pe scarã mare. Un alt concept este pe cale a fi implementat în SUA de cãtre NSA (National Security Agency). bazat pe o metodã cu chei publice publicatã de El Gamal în 1985. cifrarea si descifrarea se fac astfel: C=E(M)=Me mod(p*q) . fax-uri cât si în interfata de retea a calculatoarelor. sub control (legal se sustine). M=D(C)=Cd mod(p*q) . unde j(n) este indicatorul lui Euler. interceptarea si decriptarea. Valorile p si q sunt tinute secrete iar n=p*q este fãcut public. prin semnãturã digitalã. care este si spãrgãtor de cifruri. NIST a avansat un cu totul alt algoritm. RSA este bazat pe imposibilitatea practicã. F. fãrã aprobãrile legale. a fost dezvoltatã de Agentia de Securitate Nationalã a SUA (NSA). publicã si secretã. care va fi integrat atât în telefoane. obiectând în principal urmãtoarele: ¾ Clipper a fost dezvoltat în secret. de cãtre institutiile abilitate ale statului. Publicat în 1978. El este destinat sã permitã. Toate protocoalele de asigurare a confidentialitãtii si de autentificare prin semnãturã digitalã folosesc acest algoritm.cheie de familie pe 80 biti comunã tuturor chip-urilor . Fuctiile de criptare / decriptare sunt exponentiale. Cifrarea si descifrarea sunt bazate pe generalizarea lui Euler a teoremei lui Fermat. 6/9 . ci mai degrabã ca urmare a suspiciunilor asupra autorului(NSA). Acesta foloseste o cheie de 80 biti (în comparatie cu 56 de biti la DES) si are 32 de runde de iteratii (fatã de numai 16 la DES). • distributia cheilor de cifrare simetricã. care le denumeste MYK-78. fax sau Internet. fãrã informarea si colaborarea producãtorilor în domeniu . Institutul National de Standarde si Tehnologie al SUA (NIST) recomanda pentru adoptare ca standard metoda RSA. sub forma unor fragmente în custodie. la nivelul performantelor calculatoarelor de azi. contine un algoritm de criptare simetricã. denumitã DSS (Digital Signature Standard). Dacã p si q sunt numere prime foarte mari (100-200 de cifre zecimale).

baze de date sau documente me-morate pe suportii externi. integritate. autoritatea de certificare este cea care il va asigura pe Dan ca George este cine pretinde a fi. in format standard care contine datele personale ale unui utilizator impreuna cu cheia publicas Cel mai utilizat standard pentru pentru certificatele digitale este ITU 7/9 . în conditiile ridicãrii gradului de securitate al tuturor participantilor la sistem. tehnologiei PKI i s-au atribuit sapte caracteristici de baza: autorizare. Sisteme electronice de plãti. costurile implicate de emiterea si mentinerea în circulatie a numerarului. • confidentialitatea datelor din fisiere/documente/postã electronicã transmise prin re-tele de calculatoare sau prin legãturi fax. entitatile ce garanteaza identitatea membrilor din comunitatea electronica. devenind un model de incredere pentru parti. confidentialitate. Se diminueazã mult. Folosirea monedelor electronice. Acest gen de aplicatii pot fi vãzute ca o laturã a utilizãrii calculatoarelor si retelelor în activitãti financiare si comerciale la mare distantã. în ceea ce unii numesc Global Village (Satul Global).PKI 2. certificat digital sau notar digital. 2. sigiliu digital. plãtitorul si plãtitul comunicã cu bãncile în decursul tranzactiilor de platã. problemã cu o complexitate echivalentã factorizãrii de la schema RSA. Acestia sunt pilonii de bază ai protectiei lumii electronice şi punerea lor in practica este realizata prin intermediul Autoritatilor de Certificare (CA . autentificarea originii acestora precum si confirmarea receptiei lor autorizate prin servicii de securitate cum ar fi: semnãturã digitalã. Folosirea unor smart-carduri pe post de portmoneu electronic fac necesarã desfãsurarea unor protocoale criptografice sigure între aceste mici calculatoare si dispozitivele care joacã rol de registru de casã. a permis introducerea si folosirea pe scarã tot mai largã a sistemelor electronice de plãti. pe care le si semneaza electronic Certificatul este un sir de octeti. Dintre numeroasele utilizãri ale metodelor criptografice în aplicatiile cu caracter financiar-bancar putem aminti: • confidentialitatea (secretizarea) datelor din fisiere. • sigilarea digitalã (criptograficã) a software-ului utilizat. a autentificãrii sigure a entitãtiilor comunicante prin semnãturã si certificate digitale. În implementarea sistemelor bazate pe digibani. De asemenea. anvelopã digitalã. dintre care amintim: VISA-MASTERCARD-EUROPAY. • protocoale sigure (criptografice) care sã permitã utilizarea eficientã si robustã a sistemelor de tip POS (Point of Sale) • asigurarea unor metode de semnãturã digitalã si autentificare pentru cartele magnetice si cartele inteligente (smart-cards). Multe solutii actuale se bazeazã pe schema de identificare/semnãturã a lui Schnorr. COMPONENTELE INFRASTRUCTURII CU CHEI PUBLICE . care încearcã sã impunã un limbaj financiar comun bazat pe ECU între tãrile comunitare. În sistemele de plãti electronice. disponibilitate. • asigurarea unor protocoale criptografice sigure pentru utilizarea cecurilor electronice în aplicatiile de EFT (Electronic Founds Transfer). a cãrei tãrie porneste de la intractabilitatea problemei logaritmilor discreti. Transferarea comodã. • protectia continutului fisierelor/mesajelor/documentelor. în aceste conditii. Autoritate de certificare emite partilor certificate care astfel atesta faptul ca acea chaie publica din certificat apartine utilizatorului cu datele din certifiiat. se folosesc pentru cifrare si autentificare algoritmi criptografice cu chei publice. Dezvoltarea retelei globale de comunicatii între calculatoare. Acest lucru implicã necesitatea asigurãrii unui nivel înalt de securitate al sistemului de plãti în ansamblu. nerepudiere si privacy. fac necesarã asigurarea confidentialitãtii tranzactiilor. rapidã si sigurã a banilor a devenit una din cerintele fundamentale de viabilitate a noului concept de sisteme electronice de platã. dezvoltat prin finantarea Comunitãtii Europene. în domeniul sistemelor de plãti electronice. Alte implementãri cunoscute în sistemele de plãti electronice folosesc o schemã de autentificare criptograficã propusã de Fiat&Shamir sau cea propusã pentru standardizare de cãtre ISO si publicatã de Guillou&Quisquater . Cu alte cuvinte. Cum am mai mentionat. cele mai multe lucrând on-line. ceea ce împiedicã orice încercãri de modificare a programelor autorizate (protectia software-lui).Certification Authority). precum si proiectul ESPRIT-CAFE (Conditional Access for Europe). autenticitate. înlocuirea formelor traditionale de numerar prin intermediul banilor electronici (digibani) oferã o mai bunã flexibilitate sistemelor de plãti. a cecurilor electronice si desfãsurarea unor repetate schimburi de date prin retele.1. În momentul de fatã sunt demarate mai multe proiecte de bani electronici si portofel electronic. Autoritatea de ceritificare si certificatul digital.

astfel incat utilizatorii sa le poata utiliza pentru implementarea serviciilor de securitate necesare • mentinerea arhivelor cu informatiile despre certificatele revocate sau expirate • oferirea posibilitatii de recuperare a cheilor private de criptare Generarea perechii de chei (publica si privata) se poate face atat de catre solicitant si in acest caz autoritatea de certificare semneaza in urma verificarii identitatii certificatul (pentru a preveni modificarile ulterioare care ar putea interveni). 2. securizare tranzactii WEB. Pe langa serviciile de asigurare a identitatii utilizatorilor in lumea electronica (oferite de Autoritatea de Certificare) este esential ca intr-o infrastructura de securitate sa existe mecanisme care. reduc eforturle pentru verificarea starii unui certificat. etc.pentru eleiberare sunt necesare si alte informatii personale aditionale • clasa 3 . 2. 2. Aceasta este practic interfata directa cu solicitantul. Certficatele care respecta acest. nu exista nici un dubiu asupra originii informatiei respective. comunicatii criptate VPN (Virtual Private Network). a datei cand au fost revocate. impreuna cu aplicatii adecvate. ¾ OCSP (On-line Certificate Status Protocol) . indiferent de momentul de timp.Certificate Revocation List) pentru a pune la dispozitia celor interesati. Certificatele revocate nu sunt sterse de catre autoritate pentru ca nu ar mai exista posibilitatea verificarii ulterioare a motivului pentru care au fost revocate. Serverele OCSP minimizeaza aceste probleme si. Servicii avansate ale unei infrastructuri de securitate. Care sunt riscurile la care ne expunem cand iesim in lumea electronica? In afara de beneficiile aduse de aceste sisteme trebuie luat in considerare riscul major la care se expune o organizatie din momentul in care intra in lumea electronica. Acestea sunt atasate documentelor electronice in momentul semnarii si fac legatura intre document. Printre aceste aplicatii putem aminti aplicatii pentru criptare si semnare electronica. una dintre functiile unei autoritati de certificare este publicarea listei de certificate revocate (CRL .2. impreuna cu semnatura electronica. In mod uzual informatiile privind starea unui certificat digital sunt publicate la intervale de timp destul de largi. Certificatele se pot revoca din diverse motive. Informatiile despre starea certificatelor digitale lâ un moment de timp din trecut (cativa ani in urma) nu sunt disponibile decat prin mecanisme greoaie. Amenintarile vin deopotriva din exteriorul organizatiei cat si din interior iar bresele de securitate de orice fel (erori neremediate ale sistemelor de calcul sau angajati neatenti sau neloiali) sunt speculate. semnatar si momentul de timp in care s-a aplicat semnatura electronica.cuprind datele de identificare ale posesului. tranzactii electronice. de multe ori manuale.realizarea de amprente de timp. e-mail securizat (sau alte tipuri de comunicatii electronice de la persoana la persoana). perioada de valabilitate a certificatului. sa asigure fara echivoc autenticitatea. sisteme management documente. Autoritatea de certificare poate preciza si calitatea verificarii identitatii solicitantului prin incadrarea certificatului in mai multe clase: • clasa 1 . 5 0 9 v 3 .( I E T F ) x .3. exista doua modalitati de verificare a certificatelor revocate: listele CRL si OCSP.verificarea in timp real a starii certificatelor digitale. De aceea. insa nu este cea care elibereaza si semneaza certificatul. integritatea si nerepudierea tranzactiilor. Aceste mecanisme sunt: ¾ Time Stamp . Aplicatiile PKI aware sunt cele care au inclus suportul pentru PKI si pot folosi certificatele si functiile autoritatii de certificare. Aplicatiile PKI aware. standard. sau se poate face direct de catre autoritatea de certificare. Printre functiile unei autoritati de certificare se pot aminti: • emiterea certificatelor (le creeeaza si le semneaza) • mentinerea informatiiior despre starea certificatelor si emite liste de certificate revocate (CRL Certificate Revocation List) • publica certificatele neexpirate si CRL. In prezent. Fie ca site-ul web nu este disponibil cateva ore sau cateva zile.1.se adreseaza in special organizatiilor guvernamentale care au nevoie de un nivel foarte inalt al verificarii identitatii Revocarea certificatelor. dintre care putem aminti expirarea perioadei de valabilitate sau pierderea cheii private corespunzatoare. In acest fel.certificatul se poate obtine numai prin precizarea unei adrese de email • clasa 2 . Autoritatea de certificare poate folosi o autoritate de inregistrare care sa efectueze operatiunile de verificare a identitatii solicitantului unui certificat. fie ca 8/9 . si tipul de actiune pentru care sunt folosite cheile (criptare sau semnare). In acest moment exista o propunere legislativa care va stipula conditiile legale pentru utilizarea amprentelor de timp. Autoritatea de inregistrare.certificatele pot fi cumparate numai dupa verificarea amanuntita a identitatii solicitantului • clasa 4 . algoritmii de criptare utilizati si algontmii de hash asociati. lungimea cheilor.

concurent. Acestia sunt pilonii de baza ai protectiei lumii electronice iar punerea lor in practica este realizata prin intermediul Autoritatilor de Certificare (CA . semnatura digitala Semnaturi. sisteme de securitate fizica precum si Politici si Proceduri de securitate. certificate digitale. mijloace de transport Solutii redundante. cele prezentate nu sunt decât câteva dintre aplicatiile criptografiei în asigurarea securitãtii informatice a acestui mediu în care ne pregãtim sã trãim în anii urmãtori si care se cheamã Cyberspace. 3. disponibilitate. entitatile ce garanteaza identitatea membrilor din comunitatea electronica. sigilii. infrastructura cu chei publice raspunde intr-o masura mai mare necesitatilor de securitate a informatiei comparativ cu solutiile clasice. O arhitectura de securitate care sa raspunda celor sapte cerinţe prezentate mai sus este compusa din: arhitectura PKI (Public Key Infrastructure Jnfrastructura cu chei publice). Desigur. integritate nerepudiere. Astfel. coduri de bare Autenticitate Nerepudiere Disponibilitate Solutii electronice Criptare Semnatura digitala. Tehnologiei PKI. fara nici un efort si transparent pentru utilizatori. audit de securitate. Trebuie insa recunoscut faptul ca PKI ca nu este doar o tehnologie noua fara beneficii tangibile.crearea de VPN -uri peste retele publice Pe de alta parte. National Research Council din SUA deschide primul capitol cu acest semnal de alarmã: "We are at risk". pierderile suferite pot fi uneori irecuperabile. In cazul mediului guvernamental Romanesc stimularea proceselor de eGuvernare si e-Administratie a fost pusa in practica prin crearea SEN (Sistemul Electronic National). • reducerea pierderilor datorita furturilor electronice • reducerea costurilor in telecomunicatii . un portal ce functioneaza ca mecanism de interconectare intre Ministere si companii sau populatie. usurinta in utilizare pentru utilizatorii finali. prezenta fizica. sistem de blocare si monitorizare a atacurilor. In lucrarea Computer at Risks.Certification Authority). atat din punct de vedere financiar cat si. indisolubil legate de noua tinerete a criptografiei computationale. Utilizata in mod corespunzator. note de confirmare Semantura digitala. confidentialitate. PKI ofera diverse avantaje. printre care: • reducerea pentru utilizatorul final a numarului de evenimente de logare • reducerea volumului de hartie necesar • imbunatatirea fluxurilor de munca prin procese automate • cresterea productivitatii muncii • nivel sporit de securitate a informatiei in raport cu solutiile clasice (pe hartie) .cea mai buna solutie de securitate informatica. autenticitate. . antivirus.serviciile electronice oferite nu functioneaza. sistem de protejare a datelor si a transmisiei acestora. in momentul in care a devenit solutia evidenta pentru asigurarea securitatii mediului electronic. fapt ilustrat in tabelul de mai jos: Necesitate securitate Solutii clasice Confidentialitate Plicuri sigilate Integritate Semnaturi. fisiere de log Trasee diferite. sistem de configurare a reţ elelor virtuale. si crearea infrastructurii de incredere între instituţii. soluţ ie pentru managementul identitaţii. Trebuie elaborate si implementate la toate nivelurile organizatiei sisteme de securitate informatica. Este o afirmatie perfect acoperitã de realitatea în care evolueazã majoritatea retelelor din diferite tãri ale lumii. i s-au atribuit sapte caracteristici ce stau la baza emularii tranzactiilor „clasice" (ce utilizeaza hartia tiparita) intra si interorganizationale in lumea electronica: -autorizare. priwacy.Concluzie. Pentru cã se poate aprecia cu certitudine cã mãsurile legislative care sunt preconizate pentru asigurarea securitãtii Cyberspace-ului trebuiesc dublate de solutii tehnice de protectie. dedicatã securitãtii calculatoarelor si retelelor. infrastructura IT si de securitate trebuie proiectata in asa fel incat sa acopere in totalitate nevoile interne si sa asigure. acte de identitate Algoritmi hash. 9/9 . este necesara o viziune globala a intregului sistem si a modului de interactiune al acestuia in interior si exterior pentru elaborarea unei strategii concertate si coerente pentru protejarea resurselor organizatiei.protejarea informatiilor • usurinta administrare din partea personalului IT. PKI . insuficient protejate împotriva unor atacuri privind integritatea si autenticitatea informatiilor procesate. sistem de monitorizare a accesului la resurse. tehnologia bazata pe infrastructura cu chei publice a atras foarte mult atentia in ultimul timp. un mare numãr de programe. identitate digitala Notari. Politica de securitate trebuie sa fie unitara si orice dezvoltare a sistemului informatic trebuie sa se faca in spiritul acesteia. interconectarea cu sistemele din exterior We are at risk. solutii disaster recovery In contextul mai sus prezentat. in afara celor de securitate. in special in cazul e-Administratiei si e-Guvernarii ca imagine si incredere a utilizatorilor. Importanta adoptarii PKI. pe care se executã. Fara indoiala.