Algoritmi DE Criptare A Datelor In Sistemele Informatice Financiar Contabile Si Bancare

CUPRINS

INTRODUCERE

CAPITOLUL I – CRIPTANALIZA

CAPITOLUL II- CRIPTOGRAFIA

CAPITOLUL III – SCOPUL DE BAZĂ AL CRIPTOGRAFIEI

CAPITOLUL IV – ALGORITMI CRIPTOGRAFICI CU CHEIE SECRETĂ(SIMETRICI)

CAPITOLUL V – ALGORITMI CRIPTOGRAFICI CU CHEI PUBLICE(ASIMETRICE)

CAPITOLUL VI – ALGORITMI CRIPTOGRAFICI CU CHEIE PUBLICĂ – RSA

CAPITOLUL VII – SEMNĂTURA DIGITALĂ

CAPITOLUL VIII – FUNCȚII DISPERSIVE(REZUMAT)

CAPITOLUL IX – SISTEME CU CHEI ÎN CUSTODIE

CAPITOLUL X – SISTEME ELECTRONICE DE PLĂȚI

CAPITOLUL XI – SOLUȚII TEHNICE EXISTENTE

CAPITOLUL XII – REȚELE VIRTUALE PRIVATE(VPNS)

CAPITOLUL XIII – UTILIZAREA PKI ÎN DIVERSE APLICAȚII

CAPITOLUL XIV – ELABORAREA SISTEMULUI CRIPTOGRAFIC HIBRID DE TRANSFER INSTANT DE FIȘIERE ȘI MESAJE

CAPITOLUL XV – CONCLUZII

BIBLIOGRAFIE

INTRODUCERE

Societatea umană cunoaște în momentul de față una din cele mai profunde transformări din întreaga ei existență, în care informatica joacă un rol determinant. Calculatoarele sunt folosite azi în interconectare, în rețele locale-LAN și în rețele de arie largă-WAN, ceea ce conferă informaticii un rol determinant în asigurarea legăturilor științifice, de afaceri, bancare sau de natură umană între persoane și instituții. Trăim astăzi o lume în care sute de milioane de calculatoare, deservind utilizatori foarte diversi, sunt interconectate într-o infrastructură informatică globală, numită de ziariști Cyberspace(Spațiul Cibernetic). Specialiștii caută soluții tehnice pentru dezvoltarea capacității de comunicație a calculatoarelor și pentru sporirea calității serviciilor de rețea oferite. În același timp societatea se adaptează din mers noilor tehnologii informatice, învatand să traiască în acestă lume nouă, dominată de calculatoare și comunicații între acestea.

Internet, cea mai amplă rețea de rețele de calculatoare din lume, care se apreciază că are cateva zeci de milioane de utilizatori zilnic, interconectând peste 30 de mii de rețele de pe tot globul și peste 2.5 milioane de computere, reprezintă embrionul a ceea ce se cheamă information superhighway ("autostrada informatică").

Guvernul federal al SUA investește în urmatorii 5 ani 400 milioane dolari pentru dezvoltarea succesorului Internet-ului care se va numi NREN, despre care se spune că va fi de 100 de ori mai rapid.

Societatea umană a început să transfere pe rețele o parte din activitățiile obișnuite, între puncte situate geografic la mii de kilometri. Vorbim astăzi de teleconferințe și grupuri de lucru prin rețele de calculatoare, grupuri de discuții, ca niște veritabile cluburi, profilate pe cele mai variate domenii de interes, ziare distribuite prin rețele, sisteme electronice de plăți prin rețele, sisteme de transfer de fonduri și de comerț prin rețele, etc. Toate aceste servicii și încă alte sute de acest fel, au început să fie o realitate a celui mai mare și mai impresionant mediu de comunicații între oameni, Internet-ul.

Rețelele de calculatoare sunt structuri deschise, la care se pot conecta un număr mare și uneori necontrolat de calculatoare. Complexitatea arhitecturală și distribuția topologică a rețelelor conduc la o mărire necontrolată a mulțimii utilizatorilor cu acces nemijlocit la resursele rețelei, fișiere, baze de date, rutere etc. de aceea putem vorbi de o vulnerabilitate a rețelelor ce se manifestă pe variate planuri. De aceea un aspect crucial al rețelelor de calculatoare, în special al comunicaților pe Internet, îl constituie securitatea informațiilor. Utilizatorii situați la mari distanțe trebuiesc bine identificați în mod tipic prin parole. Din nefericire, sistemele de parole au devenit vulnerabile, atât datorită hacker-ilor care și-au perfecționat metodele cât și datorită alegerii necorespunzătoare a parolelor de către utilizatori. Nevoia de securitate și de autenticitate, apare la toate nivelele arhitecturale ale rețelelor. La nivel înalt, utilizatorii vor să se asigure că poșta electronică, de exemplu, sosește chiar de la persoana care pretinde a fi expeditorul. Uneori utilizatorii, mai ales cand acționează în numele unor firme, doresc asigurarea caracterului confidențial al mesajelor transmise. În tranzacțiile financiare, alături de autenticitate și confidențialitate, un loc de mare importanță îl are și integritatea mesajelor, ceea ce înseamnă că mesajul recepționat nu a fost alterat în timpul tranziției prin rețea. În tranzacțiile de afaceri este foarte important ca odată recepționată o comandă, aceasta să fie nu numai autentică, cu conținut nemodificat, dar să nu existe posibilitatea ca expeditorul să nu o mai recunoască, adică să se respecte proprietatea de nerepudiere. La nivel scăzut, gateway-urile și ruterele trebuie să discearnă între calculatoarele autorizate să comunice și cele intruse. De asemenea, este necesar ca, de exemplu, informația medicală transmisa prin rețele să fie confidențială și să ajungă nealterată (voit sau nu) la nodurile care rețin marile baze de date ale sistemelor de asigurări medicale.

În aceste circumstanțe, securitatea informatică a devenit una din componentele majore la ceea ce numim Cyberspace. Analiștii acestui concept au sesizat o contradicție aparentă între nevoia de comunicații și conectivitate, pe de o parte și necesitatea asigurării confidențialității și autentificării datelor la calculatoare și rețele, pe de altă parte. Domeniul relativ nou al securității informatice caută o serie de soluții tehnice pentru rezolvarea acestei contradicții. Viteza și eficiența pe care o aduc comunicațiile, instantanee de documente și mesaje (poșta electronică, mesagerie electronică, transfer electronic de fonduri, etc) actului decizional al managerilor care acționează într-o economie puternic concurențială, conduc la un fel de euforie a utilizării rețelelor, bazată pe un sentiment fals de securitate a comunicațiilor, care poate transforma potențialele câștiguri generate de accesul la informații, în pierderi majore cauzate de furtul de date sau de inserarea de date false sau denaturate.

Istoria criptografiei începe acum câteva mii de ani. Până în secolul al XX-lea, tehnicile criptografice erau exclusiv destinate operatorilor umani, care foloseau la calcule doar creionul și hârtia, sau alte dispozitive rudimentare. În urma progreselor tehnologice din secolul al XX-lea, în special în domeniile electronicii și calculatoarelor, schemele de criptare au devenit din ce în ce mai elaborate și mai complexe.

Primul document încifrat dateaza din Antichitate. Este vorba despre o tăbliță de argilă, gasită în Irak, ce datează din secolul XVI î.Hr. Pe aceasta, un olar a gravat rețeta sa secretă prin suprimarea consoanelor și modificarea ortografiei cuvintelor.

Între secolele X și VII î.Hr., grecii utilizau în scopuri militare o tehnică de încifrare codificare prin transpunere, intervertire, adică schimbarea poziției literelor din mesaj. Ei foloseau un scytal (scytale), numit și bagheta lui Plutarque, în jurul căreia rulau în spirale alipite o bandă de piele pe care scriau mesajul. O data desfacut, mesajul era trimis destinatarului care trebuia să posede o baghetă identică, necesară descifrării. Numai persoana ce dispunea de o baghetă de diametru identic celei pe care a fost scris mesajul, putea să-l descifreze.Principalul defect al acestui sistem constă în faptul că o baghetă de un diametru aproximativ egal era îndeajuns pentru a descifra textul. Securitatea consta, însă, în păstrarea secretului procedeului de codare.

CAPITOLUL I

CRIPTANALIZA

Criptanaliza (din greacă, kryptós, „ascuns”, și analýein, „a dezlega”) este studiul metodelor de obținere a înțelesului informațiilor criptate, fără a avea acces la informația secretă necesară în mod normal pentru aceasta. De regulă, aceasta implică găsirea unei chei secrete. Într-un limbaj non-tehnic, aceasta este practica spargerii codurilor.

Termenul de criptanaliză este folosit și cu referire la orice încercare de a ocoli mecanismele de securitate ale diferitelor tipuri de protocoale și algoritmi criptografici în general, și nu doar al criptării informației. Totuși, criptanaliza de regulă exclude metode de atac care nu țintesc slăbiciunile conceptuale ale criptografiei, cum ar fi mita, extragerea informațiilor prin constrângeri fizice, intrarea prin efracție, logarea tastelor apăsate, și social engineering, deși aceste tipuri de atac sunt o problemă importantă și sunt adesea mai eficiente decât criptanaliza tradițională. Deși scopul a rămas același, tehnicile și metodele de criptanaliză s-au schimbat de-a lungul istoriei criptografiei, adaptându-se la creșterea complexității criptografice, de la metodele cu creionul și hârtia din trecut la mașini ca Enigma din al doilea război mondial, până la schemele criptografice computerizate din zilele noastre. Rezultatele criptanalizei au variat și nu mai este posibil să se obțină succese nelimitate în spargerea codurilor.

Un moment foarte important în evoluția criptografiei computaționale l-a constituit adoptarea unui principiu diferit de acela al cifrării clasice, cunoscută de mii de ani. Whitfield Diffie și Martin Hellman, de la Univeritatea Stanford din California, printr-un articol celebru publicat în 1976, au pus bazele criptografiei cu chei publice. În locul unei singure chei secrete, criptografia asimetrică folosește doua chei diferite, una pentru cifrare, alta pentru descifrare. Deoarece este imposibilă deducerea unei chei din cealaltă, una din chei este facută publică fiind pusă la dispoziția oricui dorește să transmită un mesaj cifrat. Doar destinatarul, care deține cea de-a doua cheie, poate descifra și utiliza mesajul. Tehnica cheilor publice poate fi folosită și pentru autentificarea mesajelor, prin așa numita semnatură digitală, fapt care i-a sporit popularitatea. Folosind algoritmi cu cheie publică (asimetrici), se creaza criptosisteme cu doua chei, în cadrul cărora doi utilizatori (procese) pot comunica cunoscînd fiecare doar cheia publica a celuilalt. Această știință servește două lumi cu interese diferite, prima este lumea comunicațiilor autorizate, cum sunt cele dintre utilizatorii de drept ai aceleiași baze de date (și sunt operații legale) și a doua este lumea operațiilor ilegale în care persoana neautorizată încearcă să intercepteze mesaje sau să le altereze (uneori să le distrugă).

Criptografia apare ca o luptă continuă între cele două părți. Un success al celui ce intră neautorizat va conduce iminent la întărirea măsurilor de siguranță întreprinse de utilizatorii autorizați.

CAPITOLUL II

CRIPTOGRAFIA

Criptografia este un set de standarde și protocoale pentru codificarea datelor și mesajelor, astfel încât acestea să poată fi stocate și transmise mai sigur. Ea stă la baza multor servicii și mecanisme de securitate folosite în INTERNET, folosind metode matematice pentru transformarea datelor, în intenția de a ascunde conținutul lor sau de a le proteja împotriva modificării. Criptografia ajută comunicații mai sigure, chiar și atunci cînd mediul de transmitere (de exemplu, Internetul) nu este de încredere, se poate utiliza pentru criptarea fișierelor sensibile, astfel ca probabilitatea de a fi înțelese de intruși să fie mai mică. Criptografia poate fi utilizată pentru a contribui la asigurarea integrității datelor, precum și la menținerea lor ca secrete. Criptografia ajută la verificarea originii datelor și a mesajelor prin utilizarea semnăturilor digitale și a certificatelor. Cînd utilizăm metode criptografice, cheile criptografice trebuie să rămână secrete. Algoritmii, dimensiunea cheilor și formatele de fișiere pot fi făcute publice fără a compromite securitatea.

Criptografia computațională oferă cele mai puternice soluții pentru toate aceste probleme privind securitatea informatică. Folosită multă vreme pentru asigurarea confidențialității comunicațiilor în domeniul militar și diplomatic, criptografia a cunoscut în ultimii 20 de ani progrese spectaculoase datorate aplicațiilor sale în securitatea datelor la calculatoare.

Se poate spune ca domeniul criptografiei computațea integrității datelor, precum și la menținerea lor ca secrete. Criptografia ajută la verificarea originii datelor și a mesajelor prin utilizarea semnăturilor digitale și a certificatelor. Cînd utilizăm metode criptografice, cheile criptografice trebuie să rămână secrete. Algoritmii, dimensiunea cheilor și formatele de fișiere pot fi făcute publice fără a compromite securitatea.

Criptografia computațională oferă cele mai puternice soluții pentru toate aceste probleme privind securitatea informatică. Folosită multă vreme pentru asigurarea confidențialității comunicațiilor în domeniul militar și diplomatic, criptografia a cunoscut în ultimii 20 de ani progrese spectaculoase datorate aplicațiilor sale în securitatea datelor la calculatoare.

Se poate spune ca domeniul criptografiei computaționale a devenit azi un spațiu legitim de intense cercetări academice.

Istoria recentă a criptografiei cunoaște numeroase inovații care au marcat o cotitură semnificativă în dezvoltarea metodelor criptografice. Acestea sunt legate de dezvoltarea rețelelor de calculatoare al caror stimulent extraordinar s-a manifestat atât prin presiunea exercitată de tot mai mulți utilizatori, a căror dorință expresă era păstrarea secretului și a siguranței poștei electronice private, a transferului electronic de fonduri și a altor aplicații, cât și prin potențarea gamei de instrumente folosite, pe de o parte pentru execuția algoritmilor de cifrare iar pe de alta parte pentru spargerea sistemelor criptografice.

CAPITOLUL III

SCOPUL DE BAZĂ AL CRIPTOGRAFIEI

Din cele expuse mai sus se pot evidenția următoarele cerințe față de criptografia modernă:

Confidențialitatea – protecția informațiilor în sistem astfel încât persoane neautorizate să nu le poată accesa. Este vorba despre controlarea dreptului de a citi informațiile. Aproape fiecare organizație are informații care, dacă sunt divulgate sau furate, ar putea avea un impact semnificativ asupra avantajului competițional, valorii de piață sau a veniturilor. Adițional, o firmă poate fi făcută responsabilă pentru divulgarea de informații private. Aspecte cruciale ale confidențialității sunt identificarea și autentificarea utilizatorilor.

Integritatea – protecția informațiilor împotriva modificărilor intenționate sau accidentale neautorizate; condiția ca informația din/sau produsă într-un mediu informatic reflectă sursa sau procesele pe care le reprezintă. Este vorba despre nevoia de a asigura că informația și programele sunt modificate numai în maniera specificată și autorizată și că datele prezente sunt originale, nealterate sau șterse în tranzit. Ca și în cazul confidențialității, identificarea și autentificarea utilizatorilor sunt elemente cheie ale unei politici de integritate a informațiilor.

Disponibilitatea – se referă la asigurarea că sistemele de calcul sunt accesibile utilizatorilor autorizați când și unde aceștia au nevoie și în forma necesară (condiția ca informația stocată electronic este unde trebuie să fie, când trebuie să fie acolo și în forma necesară). Importanța pe care fiecare dintre aceste cerințe o joacă în cadrul operațiilor unei firme depinde de la industrie la industrie și de la firmă la firmă. Obiectivul tehnologiilor de securitate a informației constă în ”protejarea intereselor celor care se bazează pe informații și sistemele și comunicațiile care livrează aceste informații împotriva daunelor care pot rezulta din incapacitatea de a se asigura disponibilitatea, confidențialitatea și integritatea informațiilor” .

Non-repudiere – caracteristica tranzacțiilor în care părțile într-o tranzacție efectuată sunt atestate, astfel încât nici una dintre părțile implicate nu poate tăgădui participarea sau detaliile acțiunilor sau deciziilor luate în timpul participării.

Toate acestea ne conduc spre un risc major, vulnerabilitatea digitală. Riscul este comun tuturor țărilor, dar pentru țări cu infrastructură în formare poate fi considerat mai mare în prezența problemelor de lipsă de educare a utilizatorilor în folosirea tehnologiilor informației și comunicațiilor.

După cum afirma consultantul pe probleme de securitate, Bruce Schneider, ,,securitatea nu este un produs, ci un proces”.

În plus, securitatea informației economice distribuită în rețele de calculatoare, nu este o problemă ce ține de tehnologie – este o problemă umană și de management.

Pe măsură ce programatorii inventează tehnologii de securitate din ce în ce mai bune, făcând din ce în ce mai dificilă exploatarea vulnerabilităților de natură tehnologică, atacatorii se vor reorienta din ce în ce mai mult spre exploatarea elementului uman. Spargerea zidului de protecție uman se face adeseori ușor, fără a necesita nici o altă investiție în afară de costul unui apel telefonic și implicând un risc minimal.

Deci, criptografia trebuie să acopere în mod corespunzător aceste patru direcții atît în teorie cît și în practică. Ea trebuie să prevină și să detecteze furtul și alte acțiuni ilegale, fiind doar una din tehnicile de asigurare a securității informației.

Exista doua mari categorii de sisteme criptografice folosite azi in securitatea informatica:sisteme simetrice si sisteme cu chei publice.

Din punct de vedere algoritmic și al domeniului de aplicare criptografia poate fi divizată în patru primitive criptografice:

– algoritmi criptografici cu cheie secretă;

– algoritmi criptografici cu chei publice;

– semnătură digitală;

– funcții dispersive(rezumat).

Un sistem criptografic (criptosistem) are cinci componente:

– spațiul mesajelor în text clar;

– spațiul mesajelor în text cifrat;

– spațiul cheilor;

– familia transformărilor de cifrare;

– familia transformărilor de descifrare.

CAPITOLUL IV

ALGORITMI CRIPTOGRAFICI CU CHEIE SECRETĂ(SIMETRICI)

Pentru asigurarea confidențialității datelor memorate în calculatoare sau transmise prin rețele se folosesc preponderent algoritmi criptografici cu cheie secretă (simetrici). Ei se caracterizează prin aceea că ambii utilizatori ai algoritmului împart aceeași cheie secretă, folosită atît la cifrare cît și la descifrare. Cheia de criptare este necesar de păstrat în secret față de utilizatorii neautorizați, pentru că cel ce are acces la acestă cheie poate avea acces și la informația secretă. Algoritmii criptografici simetrici se caracterizează printr-o viteză de cifrare foarte mare, în comparație cu algoritmii criptografici asimetrici și sunt comozi la cifrarea blocurilor mari de informație. Securitatea acestui tip de algoritm depinde în mare măsură de lungimea cheii și posibilitatea de a o păstra în secret. Problema principală ce apare la încercarea de a crea comunicații secrete între numeroși utilizatori este managementul cheilor; pentru n utilizatori sunt posibile n(n-1)/2 legături bidirecționale, fiind necesare tot atîtea chei. Aceasta implică în general probleme dificile în generarea, distribuția și memorarea cheilor. Utilizarea calculatoarelor electronice a permis folosirea unor chei de dimensiuni mai mari, sporindu-se astfel rezistenta la atacuri criptoanalitice. Cînd cheia secretă are o dimensiune convenabilă și este suficient de frecvent schimbată, devine practic imposibilă spargerea cifrului, chiar dacă se cunoaște algoritmul de cifrare.

Securitatea criptării simetrice depinde mult de protecția cheii criptografice. Ca urmare, administrarea acestora este un factor esențial și se referă la:

– generarea cheilor, adică mijloacele (pseudo)aleatoare de creare a succesiunii de octeți (biți) ai cheii;

– distribuția cheilor, adică modul în care se transmit și se fac cunoscute cheile tuturor utilizatorilor cu drept de acces la informațiile criptate;

– memorarea cheilor, adică stocarea lor sigură pe un suport magnetic sau pe un card, de obicei criptate sub o altă cheie de cifrare a cheilor, numită și cheie master.

Problema fundamentală a utilizării criptografiei în rețele este aceea a găsirii unor modalități de distribuție sigură și periodică a cheilor criptografice, fiind necesar ca acestea să fie schimbate cît mai des. În Internet, pentru aceasta, se utilizează tot serviciile rețelei, folosind protocoale speciale sau sisteme cu chei publice, așa numitele anvelope (plicuri) digitale.

Cei mai cunoscuți algoritmi criptografici simetrici sunt:

DES (Data Encryption Standard)

IDEA (International Data Encryption Algorithm)

AES(Advanced Encryption Standard)

În figura 1 sunt prezentate principiile criptării simetrice.

Figura 1: Criptare folosind algoritmi criptografici cu cheie simetrică

După cum se poate observa din figura de mai sus se folosește aceeași cheie K și aceeași funcție de criptare F, atât la emisia mesajului () cât și la recepția sa ().

Securitatea criptării simetrice depinde de protecția cheii; managementul acestora fiind un factor vital în asigurarea securității datelor, iar procesul de distribuire sigură a cheilor este foarte dificil.

DES (Data Encryption Standard), cel mai folosit algoritm criptografic cu cheie simetrică, folosește o cheie de criptare de 56 de biți, iar IDEA (International Data Encryption Algorithm) folosește o cheie de criptare de 128 de biți. AES (Advanced Encryption Standard), înlocuitorul lui DES, permite utilizarea unei chei de cifrare pe 128, 192 sau 256 de biți.

CAPITOLUL V

ALGORITMI CRIPTOGRAFICI CU CHEI PUBLICE(ASIMETRICE)

O nouă privire asupra sistemelor criptografice a adus-o algoritmii criptografici asimetrici(cu chei publice). Acești algoritmi se caracterizează prin aceea, că la criptare și decriptare se folosesc chei diferite, legate între ele printr-o relație matematică. Acest tip de relație este de o așa natură, că cunoscînd o cheie să o determini pe cealaltă, din punct de vedere computațional, este foarte greu. Astfel dacă criptăm cu prima cheie vom putea decripta doar cu cea de-a doua și invers. În acest fel pentru transmitere de informații secrete una dintre chei(de exemplu cea de criptare) se face publică, pe cînd cealaltă să fie ținută în secret.

Din cele expuse aici se pot evidenția două direcții de utilizare a criptosistemelor asimetrice:

– de confidențialitate, se face publică cheia publică și astfel cel care dorește să trimită date confidențiale proprietarului cheii publice va cripta aceste date cu acestă cheie, știind că doar prorietarul le va putea decripta.

– de autentificare atît a emițătorului cît și a datelor, emițătorul criptează datele cu cheia sa secretă, iar cel ce va dori să autentifice datele va folosi la decriptare cheia pereche(cea făcută publică).

Chiar dacă criptosistemul asimetric este destul de puternic, lungimea cheii trebuie să fie de minimum 2304 biți pentru a oferi un nivel de securitate comparabil cu cel oferit de o cheie de 128 biți în criptosistemul simetric. Criptosistemele asimetrice sunt cu mult mai lente la criptare/decriptare și sunt nepractice la criptarea volumelor mari de informații. Criptosistemele simetrice sunt de aproximativ 1000 de ori mai rapide ca cele asimetrice, de aceea criptosistemele asimetrice cel mai des se folosesc în următoarele scopuri de bază:

– la distribuția cheilor, care se folosesc la algoritmii simetrici de criptare

– semnătura digitală, un atribut al unui utilizator, folosită pentru recunoașterea acestuia.

Cele mai întrebuințate criptosisteme asimetrice sunt următoarele:

RSA(Rivest-Shamir-Adleman)

EG(El Gamal)

ECC(Elliptical Curve Cryptography)

CAPITOLUL VI

ALGORITMI CRIPTOGRAFICI CU CHEIE PUBLICĂ – RSA

Cel mai cunoscut sistem cu chei publice este RSA al cărui nume provine de la cei trei cercetători de la Massachusetts Institute of Technology care l-au creat- Rivest, Shamir și Adleman. El este un adevărat standard „de facto" în domeniul semnăturilor digitale și al confidențialității cu chei publice. Se bucură de o foarte mare apreciere atât în mediul guvernamental cât și în cel comercial, fiind susținut prin lucrări și studii de comunitatea academică. Sub diferite forme de implementare, prin programe sau dispozitive hardware speciale, RSA este astăzi recunoscută ca cea mai sigură metodă de cifrare si autentificare disponibilă comercial. O serie de firme producătoare de sisteme de programe și echipamente ca DEC, Lotus, Novell, Motorola precum și o serie de instituții importante (Departamentul Apararii din SUA, National Aeronautics-SUA, Boeing, rețeaua bancară internațională SWIFT, guvernul Belgiei etc), folosesc acest algoritm pentru protejarea și autentificarea datelor, parolelor, fișierelor, documentelor memorate sau transmise prin rețele.

De exemplu firma Lotus a dezvoltat Notes, un nou concept de lucru în comun (groupware) într-o rețea. La o astfel de legătură în comun a numeroase programe și persoane se cere însă o mare încredere în informație cât și o mare confidențialitate; ca urmare Lotus folosește semnătura digitală și secretizarea cu ajutorul criptosistemelor RSA.

În sistemul de operare NetWare, pentru rețelele locale, ale firmei Novell, se folosește curent RSA în mecanismele de autentificare care permit utilizatorilor să acceadă la orice server al rețelei.

Motorola comercializează telefoane sigure care încorporează o serie de metode de confidențialitate și autentificare a utilizatorilor cât și a partenerilor de dialog.Toate acestea se bazează pe algoritmul RSA și se regăsesc atât în variante de uz general cât și în variante pentru comunicații militare, fiind destinate atât transmisiilor de voce cât și de FAX.

Un alt exemplu semnificativ de utilizare a sistemului RSA este rețeaua de poștă electronică a guvernului belgian.Toate protocoalele de asigurare a confidențialității și de autentificare prin semnatură digitală folosesc acest algoritm.

Publicat în 1978, RSA este bazat pe imposibilitatea practică, la nivelul performanțelor calculatoarelor de azi, de a factoriza numere prime mari. În același timp găsirea unor numere prime mari este ușoară. Funcțiile de criptare / decriptare sunt exponențiale, unde exponentul este cheia și calculele se fac în inelul claselor de resturi modulo n.

Pentru asigurarea confidențialității unui mesaj, acesta este cifrat cu cheia publică a destinatarului, operație care poate fi făcută de orice persoană care poate accesa fișierul cu chei publice. O dată cifrat, mesajul nu va mai putea fi descifrat decât de către destinatar, singurul care posedă cheia secretă (privată), pereche a celei publice.

În figura 2 sunt prezentate principiile criptării simetrice.

Figura .2. Criptare folosind algoritmi criptografici cu cheie publică

Cu toate acestea, există o serie de tipuri de atacuri care au succes în cazul RSA. Acestea nu sunt îndreptate împotriva algoritmului în sine, ci împotriva protocolului pe care acest algoritm îl presupune. Este important de știut că nu este de ajuns numai faptul că se utilizează algoritmul RSA, detaliile contează.

Criptarea mesajelor oferă confidențialitate, dar acest lucru nu este suficient. În cazul unei transmisii sau recepții trebuie să existe certitudinea că cel care a generat mesajul este o persoană autorizată, motiv care a dus la adăugarea de noi proprietăți cum ar fi integritatea și autentificarea, acestea fiind asigurate cu ajutorul semnăturii digitale.

CAPITOLUL VII

SEMNĂTURA DIGITALĂ

O semnătură digitală reprezintă o informație care îl identifică pe expeditorul unui document. Semnătură digitală se realizează folosind un sistem criptografic cu chei publice și o funcție de dispersie. Astfel în procedura de semnare sunt implicate 3 entități:

• M – mesajul de semnat;

• h=H(M) – amprenta digitală a mesajului (rezumatul calculat prin hash);

• semnătura digitală.

Aceasta face ca semnătura sa fie unică atît pentru un fișier cît și pentru deținătorul cheii. Orice modificări aduse documentului afectează semnătura, oferindu-se astfel atît integritate cît și autentificare. Semnăturile digitale utilizează criptarea asimetrică, în care se folosește o cheie (secretă) pentru a crea semnătura și o alta cheie(publică), legată de prima, pentru a o verifica. Cheia publică este raspîndită și identificată de către certificatele digitale.

Un certificat de cheie publică este о structură de date folosită pentru a se putea asocia, în mod sigur, о cheie publică cu niște atribute de utilizator. Certificatele sunt emise de terți de încredere, cunoscuți sub numele de autorități de certificare (AC), care își asumă responsabilitatea pentru identificarea utilizatorilor și pentru acordarea cheilor. În mod asemănator, companiile mari pot folosi AC-uri interne organizaționale pentru a identifica personalul și functia fiecăruia, în scopul autentificarii tranzacțiilor de comerț electronic.

Dezvoltarea comerțului electronic este subordonată existenței unei garanții de securitate a transmisiilor de date și a plăților electronice. Grație unui sistem de codificare, aplicat mesajului transmis, semnătura electronică constituie un răspuns la această problemă, garantând atât autenticitatea și integritatea datelor, cât și identificarea celui care a semnat.

Semnăturile electronice se utilizează în circumstanțe și aplicații foarte variate, ceea ce determină apariția unei serii de noi servicii și produse legate de utilizarea acestui tip de semnătură. Orice disfuncție sau inadvertență în aplicarea și recunoașterea juridică a semnăturii electronice riscă să devină un obstacol serios în calea utilizării comunicațiilor electronice și a comerțului electronic.

Semnătura digitală, ca modalitate a semnăturii electronice, garantează identitatea, autenticitatea și integritatea părților implicate în contract. Semnătura digitală reprezintă un atribut al unui utilizator, fiind folosită pentru recunoașterea acestuia, și se bazează pe sisteme criptografice cu chei publice.

Pentru semnarea digitală a datelor, acestea sunt prelucrate astfel:

Figura3. Semnarea unui document electronic

Documentul M este cifrat cu cheia privată a emițătorului, care astfel semnează; în exemplu de mai sus este vorba despre utilizatorul Dan, care furnizează, prin intermediul unui card, cheia sa secretă, PRIVDan și folosește un algoritm cu chei publice cunoscut, cum este RSA (Rivest-Shamir-Adleman);

documentul este transmis la receptor; receptorul verifică semnătura prin decriptarea documentului cu cheia publică a emițătorului.

CAPITOLUL VIII

FUNCȚII DISPERSIVE(REZUMAT)

Functiile de dispersie (hash funcții) joacă un rol important în autentificarea conținutului unui mesaj transmis în rețelele de calculatoare. Rolul lor nu este de a asigura secretul transmisiilor, ci de a crea о valoare h=H(M), numită și rezumat (digest), cu rol în procedura de semnătură digitală, foarte greu de falsificat. Una din cerințele fundamentale pentru о astfel de funcție este ca, modificînd un singur bit la intrare, să producă о avalanșă de modificări în biții de la iesire.

Există mai multe scheme de calcul a rezumatului unui mesaj, cele mai folosite sunt:

MD5 – este vorba de un algoritm care primește la intrare un mesaj de lungime arbitrară și produce la ieșire un rezumat de 128 de biți.

SHA1 – NIST împreună cu NSA au proiectat un algoritm pentru calculului functiei hash numit Secure Hash Algorithm (SHA), standardul numindu-se SHS. El este destinat să fie folosit împreună cu sistemul de semnătură digitală DSS ). SHA produce un rezumat de 160 de biți, mai mare decât MD5.

Semnăturile digitale au două proprietăți importante: permit identificarea emitentului unui mesaj electronic și a oricăror modificări aduse mesajului original. Aceste proprietăți fac ca semnăturile digitale să aibe un rol important la securizarea comerțului electronic deoarece ajută la:

– demonstrarea autenticității unei tranzacții electronice pentru a preveni falsurile;

– confirmarea identității unei persoane;

– asigură dovada transmisiei și recepționării tranzacțiilor pentru a preveni repudierea mesajelor.

Ca și criptarea, semnătura electronică este implementată în serverele și browserele Web prin SSL, pentru a permite utilizatorilor:

– să-și demonstreze identitatea într-un mod care este mult mai eficient decât mecanismul nume utilizator/parolă;

– să confirme identitatea serverului Web cu care comunică (pentru a fi siguri că nu trimit informație sensibilă la un alt site Web).

În concluzie, utilizarea acestui tip de semnătură este de natură să favorizeze negocierile la distanță specifice comerțului electronic deoarece satisface exigențe cum ar fi, valoare juridică cel puțin egală cu cea a unei semnături manuscrise, și admisibilitate ca probă în instanță în aceeași manieră ca la semnătura manuscrisă.

Pentru a utiliza în practică semnăturile digitale, trebuiesc utilizate o gamă complexă de tehnologii, standarde și practici, cunoscute sub numele de infrastructuri cu chei publice (PKI).

Criptosistemele cu chei publice au următoarele aplicații mai importante în serviciile specifice rețelelor de azi:

-autentificarea conținutului mesajelor și al emițătorului, prin semnătura digitală;

-distribuția cheilor de cifrare simetrică, prin anvelopare cu ajutorul sistemelor cu chei publice;

-autentificarea utilizatorilor și a cheilor publice prin așa numitele certificate digitale.

Dată fiind importanța pentru securitatea informatică a criptosistemelor cu chei publice guvernul SUA a inițiat adoptarea unui standard de semnătură digitală bazat pe conceptul de cheie publică. Acest demers a generat controverse, soldate chiar cu acuze între organizațiile implicate. Până în decembrie 1990, Institutul Național de Standarde și Tehnologie al SUA (NIST) recomanda pentru adoptare ca standard metoda RSA, prezentă deja în industrie. Dar nouă luni mai târziu, în august 1991, NIST a avansat un cu totul alt algoritm, bazat pe o metodă cu chei publice publicată de El Gamal în 1985. Noua propunere, denumită DSS (Digital Signature Standard), a fost dezvoltată de Agenția de Securitate Națională a SUA (NSA). Ea a stârnit controverse, nu datorită performanțelor sale, ci mai degrabă ca urmare a suspiciunilor asupra autorului(NSA), care este și spargator de cifruri.

CAPITOLUL IX

SISTEME CU CHEI ÎN CUSTODIE

Un alt concept este pe cale a fi implementat în SUA de către NSA (National Security Agency). El este numit sistem cu chei în custodie (Escrowed Key System) și promovează pentru SUA o nouă tehnologie criptografică sub numele de Clipper. El este destinat să permită, sub control (legal se susține), interceptarea și decriptarea, de către instituțiile abilitate ale statului, a unor informații transmise prin telefon, fax sau Internet. Decriptarea se face cu ajutorul unor fragmente de chei obținute prin aprobări legale de la așa numite agenții de custodie a cheilor.

Cipul Clipper, care va fi integrat atât în telefoane, fax-uri cât și în interfața de rețea a calculatoarelor, conține un algoritm de criptare simetrică, pe 64 biți, numit „Skipjack". Acesta folosește o cheie de 80 biți (în comparație cu 56 de biți la DES) și are 32 de runde de iterații (față de numai 16 la DES), suportând toate cele 4 moduri DES de operații.

Fiecare cip include următoarele componente :

– algoritmul de criptare „Skipjack"(secret și studiat sub jurământ de câțiva mari specialiști);

F- cheie de familie pe 80 biți comună tuturor chip-urilor ;

N – număr serial al chip-ului, de 30 biți;

U- cheie secretă pe 80 biți, care va fi lăsată, sub forma unor fragmente în custodie.

Cipurile sunt programate de Mykotronx Inc., care le denumește MYK-78. Suportul fizic este asigurat de VLSI Tehnology Inc., în tehnologia de 0.8 microni, costând aproximativ 30 dolari bucata, pentru cantități mai mari de 10.000 bucăți.

Majoritatea firmelor din SUA ca și societatea civilă rejectează concepția NSA, obiectând în principal următoarele:

Clipper a fost dezvoltat în secret, fîră informarea și colaborarea producătorilor în domeniu ;

Algoritmii nu sunt documentați și disponibili;

Există teama existenței unor trape care pot permite FBI/CIA să spargă cifrul ;

Controlul sever exercitat de guvernul SUA asupra producției și exportului vor restricționa afacerile;

Exista teama în fața posibilitatiilor FBI/CIA de a intercepta comunicațiile dintre calculatoare pe scară mare, fără aprobările legale.

CAPITOLUL X

SISTEME ELECTRONICE DE PLĂȚI

Dezvoltarea rețelei globale de comunicații între calculatoare, în ceea ce unii numesc Global Village (Satul Global), a permis introducerea și folosirea pe scară tot mai largă a sistemelor electronice de plăți. Acest gen de aplicații pot fi văzute ca o latură a utilizării calculatoarelor și rețelelor în activități financiare și comerciale la mare distanță.

Dintre numeroasele utilizări ale metodelor criptografice în aplicațiile cu caracter financiar-bancar putem aminti:

– confidențialitatea (secretizarea) datelor din fișiere, baze de date sau documente me-morate pe suporții externi;

– confidențialitatea datelor din fișiere/documente/poștă electronică transmise prin re-țele de calculatoare sau prin legături fax;

– protecția conținutului fișierelor/mesajelor/documentelor, autentificarea originii acestora precum și confirmarea recepției lor autorizate prin servicii de securitate cum ar fi: semnătura digitală, sigiliu digital, anvelopa digitală, certificat digital sau notar digital;

– sigilarea digitală (criptografică) a software-ului utilizat, ceea ce impiedică orice incercări de modificare a programelor autorizate (protecția software-lui);

– protocoale sigure (criptografice) care să permită utilizarea eficientă și robustă a sistemelor de tip POS (Point of Sale),

– asigurarea unor metode de semnătură digitală și autentificare pentru cartele magnetice și cartele inteligente (smart-cards);

– asigurarea unor protocoale criptografice sigure pentru utilizarea cecurilor electronice în aplicațiile de EFT (Electronic Founds Transfer).

Transferarea comodă, rapidă și sigură a banilor a devenit una din cerintele fundamentale de viabilitate a noului concept de sisteme electronice de plata. De asemenea, înlocuirea formelor tradiționale de numerar prin intermediul banilor electronici (digibani) oferă o mai buna flexibilitate sistemelor de plăți, în condițiile ridicării gradului de securitate al tuturor participanților la sistem. Se diminuează mult, în aceste condiții, costurile implicate de emiterea și menținerea în circulație a numerarului. În sistemele de plăți electronice, cele mai multe lucrând on-line, plătitorul și plătitul comunică cu băncile în decursul tranzacțiilor de plată. Acest lucru implică necesitatea asigurării unui nivel înalt de securitate al sistemului de plăți în ansamblu. Folosirea monedelor electronice, a cecurilor electronice și desfășurarea unor repetate schimburi de date prin rețele, fac necesară asigurarea confidențialității tranzacțiilor, a autentificării sigure a entităților comunicante prin semnătura și certificate digitale. Folosirea unor smart-carduri pe post de portmoneu electronic fac necesară desfașurarea unor protocoale criptografice sigure între aceste mici calculatoare și dispozitivele care joacă rol de registru de casă. Smart-cardurile conțin în spatele stratului magnetic un microprocesor pe 8 biți și o memorie de dimensiuni mici. Memoria este divizată în 3 zone:

– 8 kb de (EP)ROM conținând „inteligența" (programele);

– 256 b de RAM;

– 8 kb de EEPROM care conține informațiile de identificare a utilizatorului și cheile de cifrare. Partea care conține cheia nu poate fi citită din afara cartelei.

Dispozitivele de acces și smart-card-urile trebuie să conțină hard și soft securizate la deschidere-"temper proof resistant"- pentru a nu se putea opera modificări în vederea falsificărilor.

În implementarea sistemelor bazate pe digibani, se folosesc pentru cifrare și autentificare, algoritmi criptografici cu chei publice. Multe soluții actuale se bazează pe schema de identificare semnătură a lui Schnorr, a cărei teorie pornește de la intractabilitatea problemei logaritmilor discreți, problemă cu o complexitate echivalentă factorizării de la schema RSA. Alte implementări cunoscute în sistemele de plăți electronice folosesc o schemă de autentificare criptografică propusă de Fiat&Shamir sau cea propusă pentru standardizare de către ISO și publicată de Guillou&Quisquater .

În momentul de față sunt demarate mai multe proiecte de bani electronici si portofel electronic, dintre care amintim: VISA-MASTERCARD-EUROPAY, Banksys în țările Beneluxului, Mondex al Băncii Centrale a Marii Britanii, precum și proiectul ESPRIT-CAFE (Conditional Access for Europe), dezvoltat prin finanțarea Comunității Europene, care încearcă să impună un limbaj financiar comun bazat pe ECU între țările comunitare, în domeniul sistemelor de plăți electronice.

Cele prezentate mai sus sunt decât câteva dintre aplicațiile criptografiei în asigurarea securității informatice a acestui mediu în care ne pregătim să trăim în anii următori și care se cheamă Cyberspace.

În lucrarea Computer at Risks, dedicată securității calculatoarelor și rețelelor, National Research Council din SUA deschide primul capitol cu acest semnal de alarmă: "We are at risk". Este realitatea în care evoluează majoritatea rețelelor din diferite țări ale lumii, pe care se execută, concurent, un mare număr de programe, insuficient protejate împotriva unor atacuri privind integritatea și autenticitatea informațiilor procesate. Tehnologii pentru ameliorarea acestui enorm risc al anilor următori nu pot veni decât din comunitatea cercetătorilor iar numitorul lor comun va fi acela că vor utiliza diferite tehnici și protocoale criptografice. Pentru că se poate aprecia cu certitudine că măsurile legislative care sunt preconizate pentru asigurarea securității Cyberspace-ului trebuiesc dublate de soluții tehnice de protecție, indisolubil legate de noua tinerețe a criptografiei computaționale.

CAPITOLUL XI

SOLUȚII TEHNICE EXISTENTE

Asupra soluțiilor tehnice existente se poate de privit din două puncte de vedere: eficacității lucrului sistemului și al costului sistemului (implementare, susținere ș.a.).

În continuare voi prezenta cele mai cunoscute soluții tehnice.

Securitatea serviciului e-mail

Cele mai cunoscute metode de protecție criptografică a serviciului e-mail sunt S/MIME (Secure/Multipurpose Internet Mail Extension) și PGP (Pretty Good Privacy). MIME a fost creat ca standard de transfer și transport a diferitor tipuri de fișiere atașate la e-mail, ca GIF, JPEG, DOC și altele. Litera S în față indică includerea unui standard de criptare în interiorul acestui protocol. Dar deoarece fiecare sistem e-mail are o realizare proprie a protocolului S/MIME adesea apar probleme cu interoperabilitatea dintre diferite sisteme de acest fel. Acest protocol are avantajul că este inclus în majoritatea sistemelor e-mail și e-mailul clientului(ca Outlook și Eudora). Este soluția cea mai comodă și mai ieftină.

O altă soluție de securitate a serviciului e-mail este produsul soft PGP. PGP este un pachet de programe destinat protecției poștei electronice și a fișierelor, prin cifrare simetrică și cu chei publice. Cu ajutorul său se pot stabili modalități sigure de comunicație între persoane, nefiind necesară schimbarea prealabilă a unor chei de cifrare. PGP include un sistem sigur de gestiune a cheilor, autentificarea datelor prin semnătura digitală și compresia datelor. PGP satisface trei cerințe fundamentale:

– caracterul privat al postei electronice, ceea ce înseamna că doar destinatarul desemnat al scrisorii poate citi conținutul acesteia

– autentificarea emițătorului;

– autentificarea mesajelor, adică certitudinea că mesajele nu au fost modificate de alte persoane.

Securitatea comerțului electronic(e-commerce)

Orice Web server care colecteză date personale de la clienți trebuie de considerat ca un e-commerce server, și toate soluțiile posibile de securitate trebuie de implementat. Tradițional doar Web site-urile care conduc tranzacții comerciale și financiare sunt numite e-commerce servere, dar este bine ca toate aceste soluții să fie implementate, după posibilitate pe orice Web site pentru a- l face mult mai sigur din punct de vedere al securității informaționale. Pentru asigurarea unui nivel acceptabil de securitate există mai multe tehnici de criptare, similare în ceea ce privește algoritmii de criptare, dar diferind prin modul și locul de aplicare. Astfel, dacă ne referim la familia de protocoale TCP/IP, există posibilitatea să se aplice criptarea la nivelul IP, la nivelul sesiune sau la nivelul aplicație. Pentru criptare la nivelul rețea (IP) se utilizează două mecanisme diferite:AH –Authentification Header care utilizează pentru autentificare și pentru integritatea datelor algoritmul MD 5 (message-digest) si ESP – Encapsulating Security Payload care furnizează confidențialitate folosind algoritmul DES – Data Ecription Standard. Protocolul de criptare la nivelul de sesiune cel mai folosit este SSL (Secure Socket Layer )- server securizat de date – în combinație cu Certificatul Digital (Digital Certificate). Certificatul Digital este cel care recunoaște standardul și confirmă că serverul pe care se află web site-ul utilizează într-adevăr criptarea SSL atunci cînd primește și transmite datele. În momentul în care sunt accesate pagini în care se cer informatii de plată de la consumator, acestea trebuie să se afle pe un astfel de server securizat; la nivelul aplicație există două tehnici diferite: securizarea individuala a aplicatiilor (S/HTTP si S/MIME) sau prevederea unor tehnici de criptare externe, deasupra aplicatiilor predefinite cum sunt PGP (Pretty Good Privacy) sau SET (Secure Electronic Transfer) .

CAPITOLUL XII

REȚELE VIRTUALE PRIVATE(VPNS)

Să presupunem că avem o companie cu sedii aflate la distanță destul de mare că să ne permitem realizarea unei rețele personale, dar în același timp avem nevoie de un nivel de securitate sporit, care poate fi soluția acestei probleme ? O soluție dintre cele mai rezonabile este crearea unei rețele virtuale private prin intermediul rețelei Internet. VPNs este o colecție de tehnologii care permit crearea unui tunel de comunicare securizat prin Internet cu ajutorul sistemelor criptografice. Acest tunel poate fi accesat doar de utilizatorii autorizați, pentru ceilalți fiind transparent. Înainte de a vă conecta la acest tunnel de comunicare va trebui să vă identificați. Cripatrea în rețele VPNs poate fi efectuată pe două căi diferite: transport și tunelare.În primul tip se cifrează doar datele propriu zise, însă header-ele pachetelor de date rămîn neschimbate, ceia ce este uneori insuficient . Criptarea nivelului tunel duce la criptarea atît a datelor cît și a headerelor pachetelor, acesta este foarte bine deoarece este puțin să criptăm doar datele și să lăsăm adresele și conținutul pachetelor vizibile.

PKI (Public Key Infrastructure) este standardul acceptat pentru identificarea persoanelor prin intermediul certificatelor. El include suportul pentru tot ciclul de viață al certificatelor și cheilor de la crearea până la distrugerea acestora. Din această cauză soluțiile bazate pe PKI sunt scumpe, complexe și destul de greu de administrat și utilizat, ceea ce a împiedicat utilizarea lor pe scară largă.

PKI este o combinație de produse hardware și software, politici și proceduri care asigură securitatea de bază necesară astfel încât doi utilizatori, care nu se cunosc sau se află în puncte diferite de pe glob, să poată comunica în siguranță. La baza PKI se află certificatele digitale, un fel de pașapoarte electronice care mapează semnătura digitală a utilizatorului la cheia publică a acestuia. Aceste obiecte informaționale sunt cărămizile care stau la baza unei implementări PKI și reprezintă mijlocul de identificare digitală a fiecărui subiect participant într-o relație derulată prin mijloace electronice.

Componentele PKI sunt:

Autoritatea Certificatoare (CA) – responsabilă cu generarea și revocarea certificatelor;

Autoritatea Registratoare (RA) – responsabilă cu verificarea construcției generate de cheile publice și identitatea deținătorilor;

Deținătorii de Certificate (subiecții) – Oameni, mașini sau agenți software care dețin certificate și le pot utiliza la semnarea documentelor;

Clienții – ei validează semnătura digitală și certificarea de la un CA.;

Depozitele – stochează și fac accesibile certificatele și Listele de Revocare a Certificatelor (CRLs -Certificate Revocation Lists);

Politicile de securitate: definesc procesele și principiile de utilizare a criptografiei

Certificatele sunt clasificate ca: certificate self-signed și certificate CA-signed.

Primul este semnat de deținătorul cheii, iar al doilea de o altă persoană cu autoritate. Ele funcționează ca și containere de chei publice, iar informația tipică include:

numele deținătorului,

e-mail-ul acestuia,

numele companiei,

telefonul,

informații legate de certificat,

un număr serial,

un indicator de nivel de încredere,

data generării,

data expirării.

Un sistem bazat pe certificate de chei publice implică existența unei Autorități de Certificare, care emite certificate pentru un anumit grup de deținători de perechi de chei (publică și privată). Fiecare certificat conține valoarea cheii publice și o informație care identifică în mod unic Subiectul certificatului (care poate fi o persoană, o aplicație, un dispozitiv sau altă entitate care deține cheia privată corespunzătoare cheii publice incluse în certificat). Certificatul reprezintă o legătură imposibil de falsificat între o cheie publică și un anumit atribut al posesorului său. Certificatul este semnat digital de o Autoritate de Certificare, care confirmă astfel identitatea subiectului. O dată ce setul de certificate a fost stabilit, un utilizator al respectivei infrastructuri cu chei publice poate obține cheia publică pentru orice utilizator certificat de respectiva Autoritate de Certificare, obținând pur și simplu certificatul pentru utilizatorul respectiv și extrăgând din el cheia publică dorită.

Sistemele de obținere a cheilor publice bazate pe certificate sunt simplu și economic de implementat, datorită unei importante caracteristici a certificatelor digitale: certificatele pot fi distribuite fără a necesita protecție prin serviciile de securitate obținute (autentificare, integritate și confidențialitate). Aceasta deoarece cheia publică nu trebuie păstrată secretă; în consecință, nici certificatul digital care o conține nu este secret. Nu există cerințe de autentificare sau integritate, deoarece certificatul se auto-protejează (semnătura digitală a AC din interiorul certificatului asigură atât autentificarea, cât și integritatea acestuia).

Ca urmare, certificatele digitale pot fi distribuite și vehiculate prin legături de comunicație nesigure: prin servere de fișiere nesigure, prin sisteme de directoare nesigure și/sau protocoale de comunicație care nu asigură securitatea. Un prim avantaj al unui sistem de certificate este acela că orice utilizator al său poate obține cheile publice pentru un număr mare de alte entități, cunoscând la început doar cheia publică a unei Autorități de Certificare. Certificatele permit deci scalabilitate, adică mărirea numărului entităților pentru care se poate obține cheia publică.

O astfel de infrastructură permite:

– stabilirea de standarde astfel încât certificatele digitale să fie valide peste diferite unități de afaceri, organizații și țări;

– crearea, stocarea și administrarea sigură a certificatelor digitale și a cheilor criptografice asociate;

– reînoirea certificatelor expirate;

– revocarea certificatelor digitale utilizate fraudulos.

Rolul PKI, de a susține încrederea în comerțul electronic, va face din acestea o tehnologie foarte importantă în viitorul apropiat. PKI este de asemenea importantă pentru serviciile eGuvernare care vor deveni catalizatorul pentru alte produse și servicii comerciale.

Produsele și serviciile necesare pentru a construi sau utiliza PKI nu sunt încă suficient dezvoltate, dar sunt în continuă expansiune.

CAPITOLUL XIII

UTILIZAREA PKI ÎN DIVERSE APLICAȚII

PKI gestionează cheile și certificatele digitale folosite pentru implementarea criptografiei în aplicații precum, email-ul și mesageria, browsere și servere Web, EDI; în aplicații care presupun realizarea unor tranzacții în rețea sau sesiuni de comunicații securizate peste Web sau VPN-uri care folosesc protocoale S/MIME, SSl și IPsec, și funcții (de exemplu, semnarea unui document). În plus, aplicațiile dezvoltate în particular pot utiliza suport PKI (vezi figura 3.7

Entrust – Produs PKI Comercial

Entrust.net, un produs al Entrust Technologies, este furnizor de sisteme PKI, având o bogată experiență în implementarea de soluții pentru administrarea sigură a tranzacțiilor de comerț electronic. Soluțiile includ tranzacții securizate pentru afacerile electronice pornind de la site-uri Web de comerț electronic până la telefonie celulară interactivă. De curând, Entrust a dezvoltat soluții și pentru transmisiile wireless. Entrust.net administrează certificate personale, Web și WAP (pentru comunicații wireless). În particular, noile certificate de server WAP sunt certificate digitale care permit serverelor WAP să stabilească sesiuni WTLS (Wireless Transport Layer Security) cu telefoanele mobile și micro-browser-ele care suportă standardele WAP.

Verisign – autoritate de certificare (outsourcing)

Verisign este una dintre cele mai cunoscute CA. Verisign furnizează o gamă largă de soluții de securitate pentru certificate, mesagerie securizată, sisteme Wireless și sisteme de plăți.

Silcor Personal CAT – Soluție de semnătură digitală extinsă (în sensul Legii Nr. 455 din 18/07/2001, Art. 4)

Soluția Personal CAT de la Silcor se remarcă față de toate celelalte soluții client cu cheie publică prin faptul că este bazată pe terminalul personal de smartcard care are în același timp funcția de mouse.

Acest terminal original este cunoscut de asemenea sub numele de "pisică", oferind o ergonomie optimală pentru utilizarea smartcardurilor criptografice. Pisica are interfață USB, firmware update securizat, slot intern pentru smartcard în format µSIM, wheel, navigație optică programabile 400/800 dpi. 

Soluția Personal CAT oferă un modul CSP și un modul PCKS#11 prin care se integrează practic cu orice aplicație compatibila PKIX (browser Internet, client email, etc). Soluția Silcor impune un gest voluntar pentru fiecare semnătură digitală și pentru orice folosire a cheilor private conținute în smartcardul furnizat în kit (identificare, autentificare, decriptare). Acest smartcard este un SSCD certificat, capabil să lucreze cu:

a) două certificate de semnătură,

b) două certificate multi-utilizare,

c) un certificat de criptare. 

Cheile private asociate certificatelor a) și b) există doar în smartcard, pe toată durata lor de viață.

Pentru dematerializarea directă a documentelor comerciale și legale, Silcor oferă un modul complementar kitului de bază permițând semnarea documentelor în format PDF. Acest modul permite accesul la stampila poștală electronică (Electronic PostMark). Pentru verificarea autenticității documentelor PDF semnate astfel, Silcor oferă o alternativă soft gratuită.

Baltimore UniCERT

Baltimore UniCERT este elementul cel mai critic al unei infrastructuri cu chei publice. UniCERT realizează criptografic legătura dintre identitatea unei persoane sau dispozitiv prin intermediul cheii publice. Utilizând aceste identități digitale (certificate) identitatea și încrederea pot fi stabilite în Internet, lucru care permite derularea afacerilor electronice în acest mediu.

UTI – certSafe – Autoritatea de Certificare dezvoltată de UTI este un produs complex, de înaltă securitate și nivel tehnologic avansat, comparativ cu produse din gama Autorităților de Certificare de tip public, național (RSA, Baltimore, Verisign);

shellSafe – suită de aplicații pentru securizarea informațiilor;

smartcard-urile și token-urile sunt dispozitive utilizate pentru generarea și stocarea certificatelor digitale. Acestea sunt carduri cu un microcontroler integrat, care conține un procesor modular aritmetic și o memorie de stocare de 32k, cu posibilitate de extindere;

Soluții PKI de la eToken permit aplicațiilor PKI să opereze, genereze și să stocheze chei private și certificate digitale în interiorul eToken-urilor USB sau eToken smartcard, creând astfel un mediu securizat, ușor de utilizat. Soluțiile PKI eToken conțin toate componentele și driver-ele PKI necesare pentru integrarea ușoară cu produsele industriale. Datele de autentificare sunt în siguranță, fiind stocate pe eToken. Acesta poate fi utilizat pe orice calculator configurat să utilizeze eToken.

Soluțiile PKI eToken oferite de Aladdin permit autentificarea utilizatorilor pentru accesul Web, accesul prin VPN, Logon în rețea, protejarea calculatoarelor, email securizat și orice aplicație activă prin utilizarea standardului PKI.

CAPITOLUL XIV

ELABORAREA SISTEMULUI CRIPTOGRAFIC HIBRID DE TRANSFER INSTANT DE FIȘIERE ȘI MESAJE

Sistemul dat se referă la crearea unor canale criptografiate de comunicații pe rețeaua Internet, care permite transferul instant de fișiere și mesaje. Acest sistem se poate de implementat pe diferite sisteme distribuite de informații. În lucrarea dată se propune crearea unui sistem criptografic hibrid la nivelul aplicație din suita de protocoale TCP/IP. Aplicația va defini un port pentru comunicare și va folosi protocolul TCP pentru transportul datelor.

Acest sistem criptografic, este propus ca o soluție la problemele de securitate informațională, și poate fi realizat atît pentru sistemele de calcul care au conexiune la Internet cu adresă IP constantă cît și pentru cele la care IP-ul se generează odată cu conexiunea.

Sistemul criptografic hibrid conține următoarele componente:

– algoritmul simetric de criptare a fluxului de date;

– algoritmul asimetric pentru schimbul periodic al cheilor de sesiune;

– semnătură digitală pentru autentificarea entităților la comunicare.

Arhitectura generală a sistemului este compusă din următoarele aplicații:

– aplicație server, cu funcții de generare, semnare și gestiunea certificatelor pentru fiecare utilizator;

– aplicații utilizator care vor comunică între ele și cu aplicația server.

Aplicația server oferă următoarele servicii:

– generarea certificatelor digitale pentru fiecare utilizator;

– ține evidența utilizatorilor cărora li sau eliberat certificate;

– semnează certificatele pentru a li se putea verifica validitatea;

– va urmări care certificate au fost anulate sau expirate.

Certificatul care conține cheia secretă se criptografiază în baza unei fraze introduse de utilizator, iar certificatul cu cheia publică se va păstra într-o bază de date publică, astfel încît fiecare utilizator să poată avea acces la ea.

Certificatul de cheie publică are următoarea structură:

– seria de identificare a fiecărui certificat;

– utilizator(date personale ale utilizatorului);

– data expirării certificatului;

– cheia publică a utilizatorului;

– semnătura aplicației server.

Certificatul care păstrează cheia secretă va avea aceeași structură doar că cheia secretă va fi criptografiată cu un algoritm criptografic simetric(în calitate de cheie se va folosi hash funcția frazei introduse de utilizator).

Aplicația utilizator posedă următoarele posibilități:

Conectarea la un alt utilizator:

inițial se va verifica identitatea utilizatorului prin fraza cheie;

crearea unei cereri de conexiune către aplicația dorită.

Cererea conține următoarele date:

subiectul cererii;

certificatul de cheie publică;

cheia de sesiune criptată cu chia publică a destinatarului;

semnătura digitală a sursei

Acceptarea unei conexiuni din partea altui utilizator:

verificarea autenticității sursei;

extragerea, decriptarea cheii de sesiune;

Criptarea/decriptarea fluxului de date cu cheia de sesiune;

Încărcarea de pe aplicația server a certificatelor digitale de chei publică.

Pentru realizarea acestui sistem criptografic se propune utilizarea celor mai eficiente platforme pentru crearea aplicațiilor: platforma Java de la Sun sau platforma Microsoft .Net Framework .

Sun propune trei extensii, ca parte integrantă din pachetul SDK care oferă o nouă perspectivă asupra securității. Cele trei extensii sunt JCE (Java Criptography Extension), JSSE (Java Secure Socket Extension) și JAAS (Java Authenticațion and Authorization Service).

JCE reprezintă cadrul în care sunt implementați:

– algoritmi de criptare, cei mai cunoscuți DES, RC2, RC4, IDEA,3DES,AES, RSA;

– algoritmi pentru generarea de chei pentru algoritmii de cripate;

– criptare cu parolă, PBE ( Password Based Encryption )

JCE conține următoarele servicii :

– fabrici de chei(se pot genera chei pentru tipurile menționate de algoritmi);

– crearea și managementul bazelor de date în care sunt păstrate cheile;

– crearea și managementul parametrilor algoritmilor de criptare;

– fabrici de certificate.

JSSE implementează protocoalele SSL V3 (Secure Socket Layer) și TLS 1.0 (Transport Layer Security). Această extensie asigură de asemenea suport pentru protocolul HTTPS și algoritmul de criptare RSA.

JAAS, această extensie permite serviciilor care rulează pe un server să se autentifice și asigură controlul asupra utilizatorilor ce folosesc serviciile respective.

Microsoft propune în general aceleași servicii prin tehnologia Microsoft CryptoAPI .

 Spre deosebire de semnătura olografă, semnătura electronică nu posedă nici un atribut care să permită atribuirea acesteia unei anumite persoane, dar cu toate acestea, are un mare potențial în privința îmbunătățirii liberei circulații a bunurilor și serviciilor pe piață. Fiecare utilizator trebuie să stabilească cu certitudine identitatea celor cu care contractează. Din acest motiv se recurge la furnizorii de servicii certificate, care se bucură de încrederea tuturor părților implicate și care garantează apartenența unei semnături la o anumită persoană.

PKI stabilește cadrul funcțional, bazat pe standarde, pentru o mare varietate de componente, aplicații, politici și practici al căror scop este atingerea celor patru funcționalități principale ale unei tranzacții comerciale:confidențialitatea, integritatea, autenticitatea, nerepudierea

Dintre funcțiile realizate cu ajutorul PKI putem menționa:

– Înregistrarea: este un proces în care cel ce dorește să obțină un certificat de la CA își prezintă atributele sale. Acestea sunt verificate iar apoi se eliberează certificatul.

– Certificarea: este procesul în care CA eliberează certificatul ce conține cheia publică subiectului apoi îl depune într-un depozit public.

– Generarea Cheilor: în multe cazuri subiectul generează o pereche de chei în mediul său, înainte de a transmite cheia publică la CA pentru certificare. Dacă CA răspunde pentru generarea cheilor, acestea sunt oferite subiectului ca un fișier criptat sau token fizic asemeni unui smartcard.

– Recuperarea Cheilor: în unele implementări PKI necesită ca toate cheile schimbate și/sau criptate să fie depuse într-un depozit securizat. Ele sunt recuperabile dacă subiectul pierde cheia, acest lucru revenind lui CA sau sistemului de recuperare.

– Actualizarea Cheilor: toate cheile perechi și certificatele lor asociate trebuie actualizate la un interval regulat. În acest sens există două situații care necesită acest lucru:

– Data care este specificată în certificat ca dată de expirare este depășită și se actualizează.

– Cheia privată a uneia din entități din PKI este compromisă. În acest caz PKI trebuie să anunțe că vechiul certificat nu mai este valid și urmează să-l înlocuiască. Una din căi este de pre-generare și stocare securizată a perechilor de chei pentru astfel de situații, acțiune ce duce la informarea fiecărui utilizator de acest lucru. Altă cale este metoda "out-of-band" unde cu ajutorul telefonului, faxului, scrisorii se transmite acea cheie.

– Certificarea încrucișată: permite utilizatorilor dintr-un domeniu administrativ să utilizeze certificate generate de un CA operațional în alt domeniu. Procesul implică un CA (CA_1) ce oferă o certificare pentru alt CA(CA_2). Acest certificat conține cheia publică CA asociată cu cea privată pe care CA_1 o utilizează, lucru ce permite subiecților certificați prin CA_2 să accepte certificatele generate de CA_1 sau orice CA subordonat.

– Revocarea: apare în momentul expirării perioadei de validitate care poate apărea când: subiectul își schimbă numele, angajatul părăsește compania, cheia privată este compromisă. În cadrul standardului X.509, pentru a revoca un certificat se utilizează Lista Revocărilor Certificatelor (CRL – Certificate Revocation List). Această listă identifică certificate și sunt semnate de CA.

CAPITOLUL XV

CONCLUZII

Securitatea informațională este o problemă care devine tot mai stringentă și mai actuală odată cu dezvoltarea rețelelor și industriei sistemelor de calcul. Una din metodele de bază de asigurare a securității informaționale este metoda criptografică.Criptografia, la momentul actual acoperă un set de protocoale, algoritmi de criptare, infrastructuri de manipulare a cheilor criptografice.

Pentru obținerea unui sistem sigur de protecție a informației este nevoie de prevăzut toate direcțiile posibile de atac asupra lui, deoarece este inutil de securizat o latură a sistemului, aunci cînd atacul poate fi ușor realizat pe o latură mai sensibilă.

Un sistem criptografic este eficient atunci cînd ține echilibrul între ceea ce este necesar și ceea ce este posibil. Pentru crearea unui astfel de sistem este nevoie de construit o infrastructură pusă bine la punct și care ar conține următoarele componente: algoritmi criptografici simetrici, asimetrici, de funcții dispersive, de semnătură digitală și de o infrastructură a cheilor necesare.

În practică, cînd apare problema implementării unui astfel de sistem, se poate merge pe două căi: alegerea unui sistem existent sau crearea unuia nou. Fiecare dintre aceste căi are și avantaje și dezavantaje. Soluțiile existente au fost studiate prezent de specialiști în domeniu și aplicate în practică deci ele sunt mult mai sigure de utilizat, problema este că nu tot timpul aceste sisteme pot fi încadrate în sistemul nostru informațional. Deci de multe ori apare necesitatea creării unui sistem acordat la necesitățile noastre. Un astfel de sistem este propus pentru transferul securizat de date între sisteme distribuite de informații. Acest sistem este o soluție eficientă pentru companiile(de diferit profil) care au o infrastructură distribuită de informații.

Avantajele aduse față de sistemele existente sunt flexibilitate, automatizare în lucru și o securitate crescută(prin gestionarea locală a certificatelor digitale).

Sistemul criptografic hibrid propus permite crearea unor canale de comunicații criptografiate pe rețeaua Internet și implementează o infrastructură locală de certificate digitale.Acest tip de soluție se poate crea efectiv pe platforme de programare ca Java în SDK și Microsoft .Net Framework.

Pentru care tip de soluție n-am pleda, este necesar de știut, că oricît de bun și sigur ar fi sistemul folosit, el este ineficient dacă este administrat și utilizat incorect.

Comerțul electronic se află încă într-o fază incipientă. Clienții manifestă temeri în ceea ce privește acest tip de comerț datorită, în special, problemelor de securitate apărute (furtul ID-urilor, parolelor, numerelor cardurilor de credit, confidențialitatea datelor personale, etc.). Acestea se datorează faptului că, multe firme nu au adoptat modelul electronic potrivit pentru derularea comerțului lor electronic sau întâmpină dificultăți în integrarea comenzilor legate de securizarea site-ului Web și a informațiilor culese online, în activitatea curentă a firmei. Cu toate acestea, este o certitudine faptul că numărul clienților magazinelor electronice și a firmelor care adoptă soluțiile comerțului electronic este în continuă creștere. Mulți furnizori de servicii Internet popularizează sistemul de cumpărare online tocmai pentru a induce un plus de încredere și considerație.

Marea majoritate a atacurilor cibernetice de succes sunt posibile datorită unor vulnerabilități prezente într-un număr mic de servicii obișnuite ale sistemului de operare, neluate în considerare de majoritatea webmasterilor și administratorilor. Atacatorii sunt oportuniști. Ei aleg cea mai ușoară și cea mai convenabilă cale și exploatează erori bine-cunoscute cu cele mai eficiente și disponibile instrumente de atac.

Pentru a elimina aceste amenințări și a răspunde la cerințele pieței privind securitatea în Internet, în general, și pe cea a comerțului electronic în particular, au fost elaborate mai multe standarde și protocoale pentru securizarea comunicațiilor (SSL v2/v3, TLS, PCT, PGP, IPSec, L2T2P, P2PTP, SSH) și pentru protejarea tranzacțiilor comerciale efectuate prin intermediul Internet-ului (SET). De asemenea au fost implementate atât instrumente necesare unei analize corecte a riscurilor și vulnerabilităților, instrumente de monitorizare, detectare și respingere a intruziunilor în timp real (IDS), cât și soluții firewall, antivirus, PKI și VPN.

Practic, securitatea trebuie să devină o componentă de bază pentru toate site-urile Web de comerț electronic, importanța sa fiind, în ultima perioadă, luată în considerare din ce în ce mai mult de firmele care au adoptat această formă de comerț, acestea având ca exemplu experiențele negative ale unor site-uri Web de comerț electronic care nu și-au luat măsurile necesare în ceea ce privește securitatea Web și au avut de suferit în urma exploatării vulnerabilităților de securitate existente de către hackeri. Aceasta a afectat imaginea companiilor respective și a dus la pierderi mari în plan financiar.

Pentru viitor se anticipează realizarea unui grad mai mare de securizare a site-urilor Web. În acest sens se prevede realizarea unui sistem care va impune un standard de clasificare a vulnerabilităților produselor software, în funcție de gradul de risc al acestora. Sistemul va oferi un limbaj comun de descriere a importanței problemelor de securitate, înlocuindu-le pe cele elaborate de fiecare furnizor în parte.

BIBLIOGRAFIE

1. Andone, I.; Mockler, R.J.; Dologite, D.G.;Țugui, Al. – Dezvoltarea sistemelor inteligente în economie, Metodologie și studii de caz, Editura Economică, București, 2001.

2. Andone, I.; Țugui, Al. – Sisteme inteligente în management, contabilitate, finanțe, bănci și marketing, Editura Economică, București, 1999.

3. Carmen Timofte, „Comerțul Electronic” – suport de curs, 2002;

4. Gherasim, Z. – Programare și baze de date, Ed.FRM, București, 2005.

5. Gherasim, Z; Cocianu, L.C. – Sisteme expert de gestiune, Ed.FRM, București, 2005.

6. Gherasim, Z; Andronie, M.; Popescu-Bodorin N. – Informatică managerială, Ed.FRM, București, 2004.

6.       Manolea, B.; Georgescu, I. – Semnătura electronică – încotro?, prezentare ppt, site Web.

7.       Patriciu, V.V. – Criptografia și securitatea rețelelor de calculatoare, cu aplicații în C și Pascal, Editura Tehnică, București, 1994.

8. Victor-Valeriu Patriciu, „Securitatea comerțului electronic” , Ed. All, București, 2001;

9.      Rădescu, R. – Metode de codare și protecție a informației în sisteme de calcul, Editura Printech, București, 1998.

10. Revista Market Watch, Soluții pentru management, anii 2004-2006,

11. Revista e-Finance, anii 2004-2006,

12. Revista Business Review, 2005-2006,

13. www.academiaromana.ro

14. www.en.wikipedia.org

15. www.ibm.com

16. www.business.com

17. www.mfinante.ro

18. Legea nr.445/2001 privind semnătura electronică, publicată în Monitorul Oficial nr.429 din 31 iulie 2001

19. Legea nr.365/2002 cu privire la comerțul electronic, publicată în M.Of. nr.483 din 05 iulie 2002.

20. Legea nr.527/2002 pentru aprobarea Ordonanței nr.34/2002 privind accesul la rețelele de comunicații electronice și la infrastructura asociată, precum și la interconectarea acestora.

21. Legea nr.161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnității public, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției, M.Of.nr.279 din 21 aprilie 2003.

22. Ordinul Ministrului Finanțelor Publice nr. 1742/106 din 17 decembrie 2002 privind aprobarea Reglementărilor contabile armonizate cu Directiva a IV-a a Comunităților Economice Europene și cu Standardele Internaționale de Contabilitate aplicabile instituțiilor reglementate și supravegheate de Comisia Națională a Valorilor Mobiliare, M.Of.nr.947/23.12.2002.

23. Ordinul nr.218 din 14 iunie 2004 al Ministrului Comunicațiilor și Tehnologiei Informației privind procedura de avizare a instrumentelor de plată cu acces la distanță, de tipul aplicațiilor Internet-banking, home-banking sau mobile-banking, M.Of.nr.579/30.06.2004.