Criptografia Site Urilor Web de Comert Electronic

2 Criptografia site-urilor Web de comerț electronic

2.1 Introducere în criptografie

Criptografia –Criptografie provine din cuvintele grecești pentru „scrieresecretă”. Criptografia are o istorie lungă și pitorească ce datează cu mii de ani în urmă.

Profesioniștii fac o distincție între cifruri și coduri. Un cifru este o transformare caracter-cu character sau bit-cu-bit a mesajului, fără a ține cont de structura lingvistică a acestuia. Prin contrast uncod înlocuiește un cuvânt cu un alt cuvântsau cu un simbol. Codurile nu mai sunt folosite, deși au avut o istorie glorioasă.Cel mai reușit cod inventat vreodată a fost folosit de forțele armate ale S.U.A. în timpul celui de-al doilea război mondial în Pacific. Pur și simplu au pus indieni Navajo să vorbească între ei folosind cuvinte specific dialectului Navajo pentru termenii militari, de exemplu chay-da-gahi-nail-tsaidi( literal: ucigaș de broaște țestoase ) pentru armele anti-tanc. Limbajul Navajo este foarte tonal, extrem de complex și nu are o formă scrisă. Și nimeni din Japonia nu știa nimic despre el.În septembrie 1945, San Diego Union descria codul spunând: „Pentru trei ani, oriunde acostau trupele Marine, Japonezii auzeau o mână de zgomote bolborosite răspândite prin trealte sunete care semănau cu strigătul unui călugăr Tibetan și cu sunetul golirii unei sticle cu apă fierbinte. Japonezii nu au spart niciodată codul și mulțivorbitori de cod Navajo au fost răsplătiți cu onoruri militare înalte pentru servicii și curaj extraordinare. Faptul că S.U.A. a spart codul japonez, dar că japonezii nu au reușit niciodată să spargă codul Navajo a jucat un rol crucial în victoriile americane din Pacific.

Scopul criptografiei este de a securiza informația stocată și transmisă– indifferent dacă transmisia respective este monitorizată sau nu.

Serviciile furnizate de criptografie sunt:

Confidențialitate – menținerea caracterului privat al informației (secretizarea informației);

Integritate – dovada că respective informație nu a fost modificată (asigurarea împotriva manipulării frauduloase a informației);

Autentificare – dovada identității celui care transmite mesajul (verificarea identității unui individ sau a unei aplicații);

Nerepudiere – siguranța că cel ce generează mesajul nu poatesă-l denigreze mai târziu (asigurarea paternității mesajului);

Din punct de vedere istoric, patru grupuri de oameni au contribuit și au folosit arta criptografiei:armata, corpurile diplomatice, cei ce au ținut jurnale și îndrăgostiții.Dintre acestea, armata a avut rolul cel mai important și a dat contur domeniului de-a lungul secolelor.Îni nteriorul organizațiilor militare, mesajele ce trebuiau criptate erau de obicei date pentru criptare și transmitere unor funcționari codori de nivel scăzut, prost plătiți. Volumul de mesaje nu permitea ca această muncăsă fie făcută doar de câțiva specialiști de elită.

Până la apariția calculatoarelor, una din marile constrângeri ale criptografiei a fost capacitatea funcționarilor codori de a realiza transformările necesare, adeseori pe câmpul de luptă, cu echipament redus. O constrângere suplimentară a fost dificultatea de comutare rapidă de la o metodă criptografică la alta, deoarece aceasta implica reantrenarea unui număr mare de oameni.

2.2 Algoritmi criptografici cu cheie simetrică

Algoritmii cu cheie secretă sunt caracterizați de faptul că folosesc aceeași cheie atât în procesul de criptare, cât și în cel de decriptare. Din acest motiv, acești algoritmi mai sunt cunoscuți sub numele de algoritmi simetrici; pentru aplicarea lor este necesar ca înaintea codificării / decodificării, atât emițătorul cât și receptorul să posede deja cheia respectivă. În mod evident, cheia ce caracterizează acești algoritmi trebuie să fie secretă. 

Figura 2.1 Exemplu de algoritm simetric (1)

Criptarea simetrică prezintă avantajul rapidității cu care sunt realizate procesele de criptare / decriptare a mesajelor. Succesul sistemului se bazează pe dimensiunea cheii. Dacă are mai mult de 128 biți este una destul de sigură, deci sigură în exploatare. Cele trei caracteristici ale criptării simetrice sunt siguranța, rapiditatea și volumul mare de date criptate.

Principalul dezavantaj al algoritmilor simetrici constă în faptul că impugn un schimb de chei private înainte de a se începe transmisia de date. Altfel spus, pentru a putea fi utilizați, este necesar un canal cu transmisie protejată pentru a putea fi transmise cheile de criptare / decriptare..

2.3 Algoritmi criptografici cu cheie publică – RSA

În 1976, doi cercetători de la Universitatea Stanford, Diffie și Hellman (1976), au propus un tip radical nou de criptosistem în care cheile de criptare și decriptare sunt diferite, iar cheia de decriptare nu poate fi dedusă din cheia de criptare. În propunerea lor, algoritmul (cheia) de criptare, E, și algoritmul (cheia) de decriptare, D, trebuiau să satisfacă trei cerințe:

1. D(E(P))=P

2. Este maimultdecâtdificilsă se deducăD din E.

3. E nu poate fi spartprintr-un atac cu text clar ales

Tehnica cheilor publice poate fi folosită și pentru autentificarea mesajelor prin semnătură digitală, fapt care i-a sporit popularitatea.

Pentru asigurarea confidențialității unui mesaj, acesta este cifrat cu cheia publică a destinatarului, operație care poate fi făcută de orice persoană care poate accesa fișierul cu chei publice. O data cifrat, mesajul nu vamai putea fi descifrat de către destinatar, singurul care posedă cheia secretă (privată), pereche a celei publice.

Figura 2.2 Exemplu (1)

Algoritmii criptografici cu cheie publică sunt folosiți în general pentru:

cifrarea și distribuția cheilor simetrice folosite în secretizarea mesajelor;

semnătura digitală asociată mesajelor

Cel mai apreciat algoritm criptografic cu cheie publică este RSA(Rivest-Shamir-Adleman) numit dupa cei 3 cercetători de la Massachusetts Institute of Technology reprezintă standardul "de facto" în domeniul confidențialității cu chei publice și al semnăturilor digitale. RSA este astăzi recunoscută ca cea mai sigură metodă de cifrare și autentificare disponibilă comercial.

RSA este bazat pe cvasi-imposibilitatea actuală de a factoriza numere (întregi) mari, în timp ce a găsi numere prime mari este ușor; funcțiile de criptare/decriptare sunt exponențiale, unde exponentul este cheia și calculele se fac în inelul claselor de resturi modulo n .

2.4. Semnătura digitală

În condițiile globalizării economice, semnătura digitală devine un element indispensabil al mediului de afaceri modern și administrării electronice de stat.

Viteza de adoptare a deciziilor și încheierea contractelor poate contribui considerabil la economisirea mijloacelor financiare, mai ales a celor publice, sau poate deveni un instrument important al economiei de piață.Grație unui sistem de codificare, aplicat mesajului transmis, semnătura electronică constituie un răspuns la această problemă, garantând atât autenticitatea și integritatea datelor, cât și identificarea semnatarului.

Semnatura electronica reprezinta date in forma electronica, care sunt atasate sau logic asociate cu alte date in forma electronica si care servesc ca metoda de identificare.

Semnătura digitală, ca modalitate a semnăturii electronice, garantează identitatea, autenticitatea și integritatea părților implicate în contract. Semnătura digitală reprezintă un atribut al unui utili¬zator, fiind folosită pentru recunoașterea acestuia, și se bazează pe sisteme criptografice cu chei publice.

Pentru semnarea digitală a datelor, acestea sunt prelucrate astfel:

Figura 2.4 Semnatura digitală (1)

1. documentul M este cifrat cu cheia privată a emițătorului, care astfel semnează; în exemplu de mai sus este vorba despre utilizatorul Dan, care furnizează, prin intermediul unui card, cheia sa secretă, PRIVDan și folosește un algoritm cu chei publice cunoscut, cum este RSA (Rivest-Shamir-Adleman);

2. documentul este transmis la receptor;

3. receptorul verifică semnătura prin decriptarea documentului cu cheia publică a emițătorului.

Funcțiile de dispersie (hash functions1) joacă un rol important în autentificarea conținutului unui mesaj transmis în rețelele de calculatoare. Rolul lor nu este de a asigura secretul transmisiilor, ci de a crea o valoare h=H(M), numită șirezumat (digest), cu rol în procedura de semnătură digitală, foarte greu de falsificat. Funcțiile hash care pot fi folosite sunt MD5 și SHA1.

Utilizarea semnăturii digitale oferă următoarele avantaje:

-reduce considerabil timpul folosit la încheierea tranzacțiilor și realizarea schimbului de documente

-perfecționează și reduce cheltuielile ce țin de procedura de pregătire, distribuire, evidență și păstrare a documentelor

-garantează autenticitatea și integritatea documentației

-minimizează riscurile pierderilor financiare legate de sporirea confidențialității schimbului informational

-permite crearea unui sistem corporative pentru schimb de documente

-asigură autentificarea reciprocă a utilizatorilor

Ca și criptarea, semnătura electronică este implementată în serverele și browserele Web prin SSL, pentru a permite utilizatorilor:

– să-și demonstreze identitatea într-un mod care este mult mai eficient decât mecanismul nume utilizator/parolă;

– să confirme identitatea serverului Web cu care comunică (pentru a fi siguri că nu trimit informație sensibilă la un alt site Web).

În concluzie, utilizarea acestui tip de semnătură este de natură să favorizeze negocierile la distanță specifice comerțului electronic deoarece satisface exigențe cum ar fi, valoare juridică cel puțin egală cu cea a unei semnături manuscrise, și admisibilitate ca probă în instanță în aceeași manieră ca la semnătura manuscrisă.Pentru a utiliza în practică semnăturile digitale, trebuiesc utilizate o gamă complexă de tehnologii, standarde și practici, cunoscute sub numele de infrastructuri cu chei publice (PKI).

2.5. Infrastructuri de chei publice (PKI – Public Key Infrastructure) – cheia pentru un comerț electronic securizat

2.5.1 Prezentare generală

PKI (Public Key Infrastructure)-PKI este o combinație de produse hardware și software, politici și proceduri, care asigură securitatea necesară, astfel încât doi utilizatori care nu se cunosc sau se află în puncte diferite de pe glob să poată comunica în siguranță.

Un sistem PKI se constituie, de obicei, din una sau mai multe autorități de certificare (CA), un „container“ cu certificate și documentația ce include politica de certificare, la bază aflându-se certificatele digitale, un fel de pașapoarte electronice ce mapează semnătura digitală a utilizatorului la cheia publică a acestuia.

Majoritatea sistemelor PKI de nivel corporativ se bazează pe lanțuri de certificate pentru a stabili identitatea unei părți, deoarece este posibil ca un certificate să fi fost emis de către o autoritate de certificare, iar „legitimitatea“ sa să fi fost stabilită în aceste scopuri printr-un certificate emis de către o altă autoritate de certificare de nivel mai înalt.

Componentele PKI sunt:

-Autoritatea Certificatoare (CA): responsabilă cu generarea și revocarea certificatelor

-Autoritatea Registratoare (RA): responsabilă cu verificarea construcției generate de cheile publice și identitatea deținătorilor.

-Deținătorii de Certificate (subiecții): Oameni, mașini sau agenți software care dețin certificate și le pot utiliza la semnarea documentelor.

-Clienții: ei validează semnătura digital și certificarea de la un CA

-Depozitele: stochează și fac accesibile certificatele și Listele de Revocare a Certificatelor (CRLs -Certificate Revocation Lists)

-Politicile de securitate: defines procesele și principiile de utilizare a criptografiei.

Legăturile dintre aceste componente sunt prezentate în figura 2.5.1 (1)

2.5.2 Certificate digitale

Un certificat digital este o „carte de identitate” virtuală care poate permite crearea de semnătură electronică cu valoare legală, permițând identificarea fără echivoc în mediul electronic. Prin semnătură electronică se garantează trasabilitatea modificării documentelor (integritatea), originea lor (autenticitatea), precum și răspunderea legală a semnatarului (nerepudierea).

Certificatul digital este utilizat pentru o gamă variată de tranzacții electronice ce include e-mail, comerțul electronic, transferul electronic de fonduri. În mod obișnuit, comerțul electronic impune și utilizarea unui certificat pentru securizarea serverului.Certificatul digital reprezintă un instrument în stabilirea unui canal securizat pentru comunicarea informațiilor confidențiale.

De ce avem nevoie de un certificat digital?

Magazinele virtuale, transferurile electronice bancare și alte servicii electronice devin, pe zi ce trece, instrumente obișnuite, convenabile și flexibile și pot fi utilizate chiar de acasă. Preocupările legate de confidențialitate și securitate pot fi prevenite apelând la acest mijloc nou de comunicare.

Cum functioneaza un certificat digital?

Certificatul digital folosește tehnici de criptare cu cheie publică utilizând o pereche de chei, legate între ele, o cheie publică și o cheie privată. În procedeul criptării cu cheie publică, cheia publică este disponibilă pentru oricine vrea sa comunice cu posesorul acelei perechi de chei. Cheia publică poate fi utilizată pentru a verifica un mesaj semnat cu cheie privată sau pentru a cripta un mesaj ce poate fi decriptat folosind doar cheia privată. Securitatea mesajelor criptate se bazează pe securitatea cheii private, ce trebuie protejată împotriva utilizării neautorizate.Într-un certificat digital, perechea de chei este evidențiată de numele utilizatorului și alte informații de identificare. Certificatul digital funcționează ca un mijloc electronic credibil ce poate fi verificat de site. Aceasta permite certificatelor digitale să inlocuiască modalitatea furnizării unei parole pentru a accesa informații confidențiale sau de a restricționa accesul utilizatorilor ocazionali.Un certificat digital este semnat de către autoritatea de certificare care emite acel certificate..

Cum se utilizează un certificat digital?

Cand primiți mesaje semnate digital, puteți verifica certificatul digital al semnatarului pentru a afla dacă acesta nu e falsificat.În momentul în care trimiteți mesaje, puteți semna aceste mesaje și puteți alătura certificatul digital pentru a asigura destinatarul că acel mesaj a fost trimis chiar de dumneavoastră. Pot fi alăturate mai multe certificate digitale, care formează un lanț de certificare, în care un certificat digital asigură autenticitatea certificatului anterior. La cel mai înalt nivel al ierarhiei se afla o autoritate de certificare credibilă fără a avea un certificat digital emis de altă autoritate. De asemenea, puteți folosi certificatul digital pentru a accesa un site web securizat în calitate de membru al acestuia.În mod obișnuit, din momentul în care obțineți un certificat digital puteți să vă configurați optiunile de securitate ale site-ului web sau aplicația de e-mail pentru a utiliza această facilitate în mod automat.

Certificatele sunt clasificate ca: certificate self-signed și certificate CA signed. Primul este semnat de deținătorul cheii, iar al doilea de o altă persoană cu autoritate. Ele funcționează ca și containere de chei publice, iar informația tipică include:

• numele deținătorului,

• e-mail-ul acestuia,

• numele companiei,

• telefonul,

• informații legate de certificat,

• un număr serial,

• un indicator de nivel de încredere,

• data generării,

• data expirării.

Un sistem bazat pe certificate de chei publice implică existența unei Autorități de Certificare, care emite certificate pentru un anumit grup de deținători de perechi de chei (publică și privată). Fiecare certificat conține valoarea cheii publice și o informație care identifică în mod unic Subiectul certificatului (care poate fi o persoană, o aplicație, un dispozitiv sau altă entitate care deține cheia privată corespunzătoare cheii publice incluse în certificat). Certificatul reprezintă o legătură imposibil de falsificat între o cheie publică și un anumit atribut al posesorului său.

Sistemele de obținere a cheilor publice bazate pe certificate sunt simplu și economic de implementat, datorită unei importante caracteristici a certificatelor digitale: certificatele pot fi distribuite fără a necesita protecție prin serviciile de securitate obținute (autentificare, integritate și confidențialitate). Aceasta deoarece cheia publică nu trebuie păstrată secretă; în consecință, nici certificatul digital care o conține nu este secret.

Rolul PKI, de a susține încrederea în comerțul electronic, va face din acestea o tehnologie foarte importantă în viitorul apropiat. PKI este de asemenea importantă pentru serviciile eGuvernare care vor deveni catalizatorul pentru alte produse și servicii comerciale.

Produsele și serviciile necesare pentru a construi sau utiliza PKI nu sunt încă suficient dezvoltate, dar sunt în continuă expansiune.

3.5.3 Utilizarea PKI în diverse aplicații

PKI gestionează cheile și certificatele digitale folosite pentru implementarea criptografiei în aplicații precum, email-ul și mesageria, browsere și servere Web, EDI; în aplicații care presupun realizarea unor tranzacții în rețea sau sesiuni de comunicații securizate peste Web sau VPN-uri care folosesc protocoale S/MIME, SSl și IPsec, și funcții (de exemplu, semnarea unui document). În plus, aplicațiile dezvoltate în particular pot utiliza suport PKI

Figura 2.5.2 (1)

Principalele componente server ale unei infrastructuri cu chei publice sunt serverul de certificare, deținătorul și serverul de recuperare a cheii; de obicei însoțite de o consolă de management

Emailul și mesageria

Email-ul și mesageria folosesc perechi de chei pentru criptarea mesajelor și fișierelor, și pentru semnătura digitală. De exemplu, programele de poștă electronică Microsoft Exchange și IBM Note Mail folosesc criptarea pentru transportul informațiilor speciale. Același lucru este valabil și pentru programe de mesagerie destinate grupurilor de utilizatori, cum este de exemplu, Novell Groupwise. Sistemele EDI permit realizarea de tranzacții financiare care necesită autentificare, confidențialitate și integritatea datelor.

Accesul Web

Browserele și serverele Web folosesc criptarea pentru autentificare și confidențialitate și pentru aplicații precum online banking și online shopping. Tipic, folosind SSL (Secure Sockets Layer) serverele se pot autentifica în fața clienților. De asemenea, SSL realizează și criptarea traficului. Autentificarea clientului este prezentă și ea, ca opțiune. SSL nu este limitat doar la HTTP, suportând și protocoalele FTP și Telnet.

VPN

VPN-ul este o “rețea privată virtuală”. Este vorba de o tehnologie de comunicații computerizate sigure, folosite de obicei în cadrul unei companii, organizații, sau al mai multor companii, dar bazate pe o rețea publică și de aceea nu foarte sigură. Tehnologia VPN este concepută tocmai pentru a crea într-o rețea publică o subrețea de confidențialitate lafel de înaltă ca și într-o rețea privată independentă.

Criptarea și autentificarea sunt tehnologiile principale folosite pentru convertirea legăturilor standard din Internet în VPN-uri, folosite fie pentru confidențialitatea site – site (router – router), fie pentru accesul securizat de la distanță (client – server).Figura: Standarde PKI care definesc PKI

Locul pe care îl are PKI într-o aplicație de comerț electronic este prezentat în figura de mai jos

Figura : Locul PKI într-o infrastructură de comerț electronic (1)

3.5.4 Exemple de infrastructuri cu chei publice care pot fi utilizate în comerțul electronic

Să presupunem că avem nevoie de un certificat pentru propriul server Web pentru a putea implementa un sistem de plăți securizat. Avem următoarele variante din care putem alege:

– închirierea unui serviciu de CA de la o agenție externă (outsourcing). Agenția, în schimbul unei sume de bani, furnizează un certificat și apoi verifică și certifică, de câte ori este nevoie, că persoana care deține certificatul este cea cu care a fost încheiat acordul. De exemplu, Verisign (www.verisign.com) este o astfel de agenție.

– se cumpără propriul pachet PKI, de la o companie precum Entrust. În acest caz se instalează, întreține și administrează propriul sistem PKI, ceea ce presupune un efort considerabil.

În cazul în care este nevoie de o autentificare puternică oferită de certificate față de cea dată de ID și parolă, dar nu se dorește să se depună efort prea mare, atunci se implementează prima variantă. În cazul în care se dorește controlul strict al certificatelor se utilizează a doua variantă.

Exemple de produse comerciale:

Versign – http://www.versign.com;

U.S. Post Office – http://www.ups.gov

CommerceNet – http://www.commerce.net.

Baltimore Technologies UniCERT – http://www.baltimore.com/

Entrust/PKI – http://www.entrust.com/

IBM SecureWay PKI – http://www-4.ibm.com/software/security/trust/

iPlanet Certificate Management System – http://www.iplanet.com/

Microsoft Windows 2000 Certificate Services – http://www.microsoft.com/

RSA Data Security Keon – http://www.rsasecurity.com/

Sun SunScreen CA – http://www.sun.com/security/product/ca.html

Xcert Sentry Suite – http://www.xcert.com/

Entrust – Produs PKI Comercial

Entrust.net, un produs al Entrust Technologies, este furnizor de sisteme PKI, având o bogată experiență în implementarea de soluții pentru administrarea sigură a tranzacțiilor de comerț electronic. Soluțiile includ tranzacții securizate pentru afacerile electronice pornind de la site-uri Web de comerț electronic până la telefonie celulară interactivă. De curând, Entrust a dezvoltat soluții și pentru transmisiile wireless. Entrust.net administrează certificate personale, Web și WAP (pentru comunicații wireless). În particular, noile certificate de server WAP sunt certificate digitale care permit serverelor WAP să stabilească sesiuni WTLS (Wireless Transport Layer Security) cu telefoanele mobile și micro-browser-ele care suportă standardele WAP. Pentru informații suplimentare se poate consulta site-ul www.entrust.com.

Verisign – autoritate de certificare (outsourcing)

Verisign (www.verisign.com) este una dintre cele mai cunoscute CA. Verisign furnizează o gamă largă de soluții de securitate pentru certificate, mesagerie securizată, sisteme Wireless și sisteme de plăți.

Soluția Silcor impune un gest voluntar pentru fiecare semnătură digitală și pentru orice folosire a cheilor private conținute în smartcardul furnizat în kit (identificare, autentificare, decriptare). Acest smartcard este un SSCD certificat, capabil să lucreze cu:

a) două certificate de semnătură,

b) două certificate multi-utilizare,

c) un certificat de criptare. 

Baltimore UniCERT este elementul cel mai critic al unei infrastructuri cu chei publice. UniCERT realizează criptografic legătura dintre identitatea unei persoane sau dispozitiv prin intermediul cheii publice. Utilizând aceste identități digitale (certificate) identitatea și încrederea pot fi stabilite în Internet, lucru care permite derularea afacerilor electronice în acest mediu.

Soluții PKI de la eToken permit aplicațiilor PKI să opereze, genereze și să stocheze chei private și certificate digitale în interiorul eToken-urilor USB sau eToken smartcard, creând astfel un mediu securizat, ușor de utilizat. Soluțiile PKI eToken conțin toate componentele și driver-ele PKI necesare pentru integrarea ușoară cu produsele industriale. Datele de autentificare sunt în siguranță, fiind stocate pe eToken. Acesta poate fi utilizat pe orice calculator configurat să utilizeze eToken.Soluțiile PKI eToken oferite de Aladdin permit autentificarea utilizatorilor pentru accesul Web, accesul prin VPN, Logon în rețea, protejarea calculatoarelor, email securizat și orice aplicație activă prin utilizarea standardului PKI.

Soluții PKI de la eToken