Master : Teoria Codării și Stocării Informației [607352]

UNIVERSITATEA POLITEHNIC Ă BUCUREȘTI
Facultatea Științe Aplicate
Master : ”Teoria Codării și Stocării Informației ”

Aplicații ale criptografiei în e-comme rce

Profesor coordonator: conf. Radu Ursianu

Masterand: [anonimizat]

1. Introducere

Un element esențial al revoluției informatice, când hârtia tinde să devină tot mai mult un mijloc
secundar de prezentare a documentelor, calea de transport și arhivare fiind cea electronică, îl reprezintă
înlocuirea mijloacelor de autentificare a docum entelor electronice cu servicii noi, adaptate noilor
tehnologii informaționale. În acest cadru, un rol esențial îl are semnătura electronică , mijlocul de
autentificare a conținutului unui document electronic și a emitentului acestuia. Rolul este decisiv în
derularea tranzacțiilor specifice comerțului electronic.

2. Semnături olografe și semnături digitale

Potrivit Asociației Baroului American (American Bar Association -ABA), semnătura nu
reprezintă o parte a esenței unei tranzacții, ci mai degrabă a modului ei de reprezentare sau a formei sale.
Semnarea documentelor are următoarele scopuri:
 Probă : O semnătură autentifică un document scris prin identificarea celui care a semnat documentul.
Când persoana respectivă a "marcat" documentul într -o manieră proprie, distinctivă, documentul
poate fi atribuit acelei persoane.
 Caracter oficial : Actul de semnare a unui document are implicații în domeniul juridic și, de aceea,
cel care semnează trebuie să fie în cunoștință de cauză, putând astfel să evite "angajamentele
nechibzuite".
 Acord: în anumite contexte specificate prin lege, semnătura are rolul de a consemna în mod expres
autorizarea sau acordul dat de persoana care semnează pentru acel document sau intenția acesteia ca
documentul să aibă efect legal.
 Eficiență: O semnătură pe un document scris dă o anumită claritate și chiar finalitate unei tranzacții.

Multă vreme semnăturile olografe ("de mână") au fost folosite pentru a proba că o anumită persoană
este de acord cu un anumit document. Cerințele generale ce se pun în fața unei semnături sunt
următoarele:
1. să fie autentică , adică executată de autorul documentului;
2. să fie nefalsificabilă , adică să dovedească că documentul a fost produs de pretinsul semnatar;
3. să fie nereutilizabilă , adică să nu poată fi mutată, de cătr e o persoană rău intenționată, pe un alt
document;
4. să fie nealterabilă , adică o dată documentul semnat, acesta să nu poată fi modificat;
5. să fie nerepudiabilă , adică semnatarul să nu mai recunoască autenticitatea ei.

Cerințele formale pentru transpunerea î n documente a tranzacțiilor legale, incluzând și actul de
semnare al documentelor, variază în timp și în diferitele sisteme juridice. De asemenea, au variat
consecințele legale ale nerealizării documentelor în forma cerută. De -a lungul secolelor, cele mai
multe sisteme juridice au redus aceste cerințe sau au minimizat consecințele legale ale nerespectării
lor. În practica curentă, formalizarea tranzacțiilor implică în mod normal existența unor documente și
semnarea sau autentificarea acestora. Totuși, met odele tradiționale sunt pe cale de a fi schimbate.
Documentele continuă să fie scrise pe hârtie, dar uneori doar pentru a li se recunoaște legalitatea. De
multe ori, schimbul de informație necesar pentru realizarea unei tranzacții nu trebuie să fie transc ris pe
hârtie. Informația bazată pe folosirea calculatoarelor poate să fie utilizată diferit față de cea de pe hârtie.
De exemplu, computerul poate "citi" informația digitală, o poate transforma sau poate realiza acțiuni
programate bazate pe informație. I nformația stocată pe biți circulă aproape cu viteza luminii, poate fi
duplicată fără limite și cu costuri nesemnificative. Deși caracterul fundamental al tranzacțiilor nu s -a
schimbat, legea începe să se adapteze noilor evoluții ale tehnologiei.

Comunități le de afaceri și juridice trebuie să elaboreze reguli și practici care folosesc noua
tehnologie. Pentru ca actul de semnare a unui document să atingă scopurile prezentate mai sus, semnătura
trebuie să aibă următoarele 4 atribute:

 Să-l autentifice pe cel ca re semnează: O semnătură trebuie să indice persoana care a semnat un
document, mesaj sau înregistrare și trebuie să fie foarte dificil pentru o altă persoană să o reproducă
fără autorizarea celei dintâi.
 Să autentifice documentul: O semnătură trebuie să identifice documentul pe care se găsește,
făcând imposibilă falsificarea sau alterarea acestuia sau a semnăturii, fără a se putea detecta acest
lucru.

Aceste două atribute reprezintă "unelte" folosite pentru a elimina pe cei care se dau drept altcineva,
pe falsificatori, și sunt elementele esențiale a ceea ce se numește azi "serviciu de non -repudiere" în
terminologia securității informației.
Un serviciu de non -repudiere protejează expeditorul de o posibilă negare a destinatarului în legătură
cu datele pri mite, și invers, protejează pe destinatar de o posibilă negare a expeditorului cu privire la
datele trimise.

 Să fie un act afirmativ: Stabilește că o tranzacție a fost realizată legal.
 Eficiență: în mod optim, o semnătură și procesele de creare și verific are ale ei trebuie să furnizeze
siguranță maximă atât în autentificarea celui care semnează, cât și a documentului, cu un cât mai
mic consum de resurse.

Tehnologia semnăturii electronice surclasează tehnologia "pe hârtie" pentru toate aceste atribute.
Noile servicii Internet și în special comerțul electronic au creat necesitatea unui serviciu permanent
de semnătură electronică (digitală) , care, realizată prin mijloace electronice, să garanteze tranzacțiile
Internet, adică:
 să permită identificarea unei p ersoane fără a o întâlni;
 să creeze o probă, irefutabilă în fața unei autorități, a tranzacției încheiate și executate.
În realitate, deși a fost folosită mii de ani, semnătura olografă nu respectă întru totul aceste
deziderate. Cu atât mai mult, atașarea unor semnături scanate la documentele electronice face banal
procesul de falsificare. Ca urmare, s-a creat un tip de semnătură electronică , numită și digitală , și care
se realizează folosind metode criptografice cu chei publice . În literatura de speciali tate nu se face, de
cele mai multe ori, distincția dintre termenul de semnătură electronică și cel de semnătură digitală, ținând
cont de faptul că tehnologia cea mai folosită în realizarea semnăturilor electronice o constituie azi
criptografia.
Sistemele c riptografice cu chei publice (asimetrice) "inventate" de Diffie și Hellman, de la
Universitatea Stanford, folosesc un principiu diferit de acela al cifrării "clasice": în locul unei singure
chei secrete, criptografia asimetrică folosește două chei diferite , una pentru cifrare, alta pentru descifrare.
Una din chei – cheia privată (PRIV) – este ținută secretă și este cunoscută doar de proprietarul ei. A
doua cheie (perechea ei) – numită cheie publică (PUB) – este făcută publică, de unde și numele de
criptogra fie cu cheie publică.
Ambele chei sunt de fapt niște șiruri de biți, furnizate de un program capabil să genereze aceste
perechi. Dacă această cheie publică se poate da oriunde în lume, cea privată trebuie păstrată la loc sigur.
Pentru a se asigura confiden țialitatea unui mesaj, datele sunt cifrate la emisie cu cheia publică a
receptorului. Ele pot fi descifrate doar de către destinatarul autentic, cu cheia lui privată.

3.Semnarea documentelor
Dacă însă se dorește semnarea digitală (electronică) a datelor în vederea verificării autenticității,
datele sunt prelucrate astfel ( Figura 1 ):

Figura 1 – Semnarea unui document electronic
1. documentul M este cifrat cu cheia privată a emițătorului, care astfel semnează; în exemplul nostru
este vorba de utilizatorul Dan, care furnizează, prin intermediul unui card, cheia sa secretă,
PRIV Dan;
2. documentul este trimis la receptor;
3. receptorul verifică semnătura prin decriptarea documentului cu cheia publică a emițătorului.

O cheie criptografică este de fapt un fișier. C heia privată "stă" pe calculatorul semnatarului, pe o
dischetă personală sau pe un card. În ceea ce privește cheia publică, se pot face nenumărate copii, care
pot fi distribuite oriunde, însă semnatarul are nevoie de amândouă, ele fiind puternic legate un a de alta.
Algoritmii de criptare cu cheie publică prezintă o cripto -complexitate foarte mare, bazându -se în general
pe operații matematice complexe, cu numere întregi foarte mari (sute de cifre zecimale sau mii de biți),
ceea ce conferă o tărie deosebită acestor metode de cifrare.

Protocolul de semnătură electronică satisface mai bine condițiile prezentate anterior:
1. semnătura este autentică , deoarece se verifică numai cu cheia publică a emițătorului;
2. semnătura este nefalsificabilă , deoarece numai emițător ul cunoaște cheia secretă proprie;
3. semnătura este nereutilizabilă , deoarece ea este funcție de conținutul
documentului, cel care este criptat;
4. semnătura este nealterabilă , deoarece orice alterare a conținutului documentului face ca
semnătura să nu mai fie verificabilă cu cheia publică a emițătorului;
5. semnătura este nerepudiabilă , deoarece receptorul documentului nu are nevoie de ajutorul
emițătorului pentru verificarea semnăturii.

În concluzie, semnătura digitală (electronică) reprezintă un atribut al un ei persoane, fiind
folosită pentru recunoașterea acesteia . Semnătura digitală rezolvă atât problema autentificării
emițătorului , cât și pe cea a autentificării documentului (numită și integritate).

4.Semnarea electronică a primului tratat internațional

La 4 februarie 1998 a avut loc la Dublin, Irlanda, Ceremonia semnării electronice (digitale) a primului
comunicat internațional dintre doi șefi de stat . Bill Clinton, președintele SUA și Bertie Ahern, primul
ministru al Irlandei, au semnat digital Comunicatul asupra comerțului electronic . Ceremonia specială ce
a avut loc la Dublin a marcat astfel două evenimente istorice:
 începutul erei comerțului electronic;
 acceptarea, la un nivel înalt de șefi de state, a semnăturii digitale ca element de autentificare în
documentele electronice.

Ceremonia de semnare a folosit sistemul de semnătură digitală al firmei irlandeze Baltimore
Technologies, lider mondial în ceea ce privește sistemele de securitate pentru comerțul electronic.
Semnătura digitală furnizează metode electronice pentru semnarea și verificarea documentelor
electronice într -o manieră sigură și rezolvă problema autentificării persoanelor care doresc să
desfășoare afaceri electronice sigure pe Internet.
Evenimentul de la Dublin marchează prima dată când s emnăturile digitale au fost folosite pentru
autentificarea unor documente interguvemamentale. In loc să folosească hârtia și stiloul, cei doi lideri s –
au așezat la două PC -uri și au semnat documentul folosind niște card-uri inteligente ce conțineau
certifi catul digital propriu, echivalentul ID -ului digital în lumea e-commerce .

Dar iată cum a decurs evenimentul semnăturii digitale.
 Înaintea ceremoniei, cei doi lideri au primit card -uri personale (smart cards) care conțineau codul
unic pentru semnătură și certificatul digital propriu. Ele au fost emise de Autoritatea de Certificare
UniCERF a lui Baltimore Technologies.
 Pentru a semna documentul, fiecare lider a inserat card -ul într -un cititor atașat la PC- ul său și a tastat
codul personal secret.
 Documentul a fost apoi semnat pe cardul fiecăruia, prin prelucrare criptografică, iar semnătura a fost
atașată la documentul electronic.

Comunicatul americano -iralandez asupra comerțului electronic este deosebit de important, deoarece
statuează, pentru prima oară î ntr-un document internațional dedicat, importanța comerțului electronic
global , un adevărat motor al secolului 21. Efectele sale vor fi multilaterale: revigorarea economiilor,
creșterea productivității, îmbunătățirea distribuirii și remodelarea structu rii companiilor. Comerțul
electronic va contribui la creșterea nivelului de trai în lume, prin crearea unor noi locuri de muncă și
oportunități, întreprinderile mici și mijlocii, în particular, vor beneficia primele de aceste noi facilități,
putând accesa astfel o piață mondială.

Cele două guverne se arată dispuse să susțină comerțul electronic, prin promovarea următoarelor
direcții care să ghideze acțiunile celor două state, lucrările unor foruri internaționale și inițiativa
particulară în domeniu:
 Auten tificare/Semnătură electronică : Guvernele vor sprijini o tratare uniformă a comerțului
electronic în toată lumea. Există numeroase realizări ale sectorului privat în domeniul autentificării și
semnăturii digitale, precum și în crearea unor reguli și ghidur i unanim acceptate. Legislația
comercială va trebui să reflecte:
 acceptabilitatea semnăturii electronice pentru scopuri comerciale și legale;
 posibilitatea ca cele două părți implicate într -o tranzacție electronică să aleagă metodele de
autentificare potri vite;
 eliminarea discriminărilor și barierelor artificiale în fața metodelor de autentificare și de
semnătură digitală ale altor țări.

 Caracter privat : Asigurarea unei protecții efective a datelor cu caracter personal și a rețelelor globale
de calculatoa re.

 Combaterea folosirii ilegale : încurajarea cooperării internaționale între autoritățile statelor în
combaterea și prevenirea activităților ilegale pe Internet și exploatare și folosire ilegală a comerțului
electronic de către organizații teroriste și criminale.
 Filtrarea accesului : în cazul când anumite persoane, cum ar fi părinții, nu doresc să recepționeze
anumite tipuri de informații, trebuie să existe mijloace tehnice de filtrare a informațiilor furnizate
prin Internet. Guvernele nu trebuie, de as emenea, să limiteze accesul la anumite informații, numai
pentru că acestea sunt puse de alte state și în alte limbi. Tehnologiile informatice trebuie să fie
deschise, accesibile publicului larg.
 Sistemele de plăți electronice : Se încurajează dezvoltările și implementările generate de piață.
 Drepturile de proprietate intelectuală : Dezvoltarea comerțului electronic depinde mult de modul în
care poate fi protejată proprietatea intelectuala. Se așteaptă reglementări foarte rapide în acest
domeniu, făcute de c ătre W.I.P.O. Copyright Treaty.
 DNS : Sistemul de nume din Internet trebuie să fie global, orientat spre piața și să reflecte
funcționalitatea și dispersia geografică a Internetului.
 Protecția consumatorului : Comerțul electronic trebuie să furnizeze mijloac e de protecție a
consumatorilor cel puțin la același nivel ca în celelalte forme de comerț.
 Taxe: Trebuie elaborate rapid (în cadrul OECD) norme globale de taxare a comerțului electronic. De
asemenea, se impun măsuri eficiente de administrare a taxelor și de prevenire a evaziunii pe Internet.

Din punct de vedere tehnic, semnăturile s -au realizat folosind algoritmul RSA cu chei de 1024 de
biți, pre -generate, împreună cu certificatele lor, pe card -urile celor doi lideri de către Autoritatea de
Certificare UniCERF a lui Baltimore Technologie Algoritmul de hash folosit în crearea rezumatului
documentului a fost SHA -1. Semnătura s -a făcut cu cheia secretă memorată pe card, prin prelucrări
criptografice pe calculatorul conținut de card pentru a nu expune în ext erior cheia secretă a
proprietarului de card. Apoi șirul de biți ce reprezintă semnătura fiecărui lider s-a transferat către
calculator și a fost adăugat la comunicat.

5.Semnarea electronică pentru sisteme de plăți cu card

Card -ul (smart card) reprezintă un mic calculator, realizat sub forma unui dreptunghi de plastic și
care a cunoscut o dezvoltare deosebita în ultimul timp găsindu – și numeroase aplicații în sănătate,
controlul accesului, lanțuri de magazine și, nu în ultimul rând, în înlocuirea banilo r reali cu varianta lor
electronică. În cazul acestor sisteme electronice de plăți (EPS), semnăturile digitale sunt realizate după o
procedură puțin diferită.
În primul rând, dacă s -ar folosi un sistem criptografic simetric, ar exista riscul deconspirării cheii
secrete de verificare, care trebuie memorată în echipamentul vânzătorului. De aceea, acest echipament
trebuie protejat cu un modul de protecție a cheii, care să poată fi controlat doar de către furnizorul
echipamentului. De aceea, se preferă sistemel e cu chei publice , care trebuie să memoreze la terminal doar
cheia publică, însă aceste sisteme creează probleme în EPS, deoarece cer un volum de calcule destul de
mare, care se face lent pe un dispozitiv cu putere de calcul redusă, cum este cartela inte ligentă (smart
card-ul). În plus, cartela inteligentă expune riscului deconspirării cheii secrete pe care o are memorată.
Funcția de semnare – numită în acest caz transportul semnăturii – este împărțita în două sub-faze
(Figura 2):
 prima, pre-semnătura , partea intensivă a creării semnăturii, are loc o singură dată, în afara cartelei
inteligente; rezultatul acestei faze, specific pentru cartelă și proprietarul ei, este apoi transportat și
memorat în cartela inteligentă;
 a doua, completarea semnăturii , care cere resurse modeste, se face în cartela inteligentă și este
dependentă de mesajul semnat. Verificarea semnăturii se face în mod obișnuit, într -o singură fază.

Figura 2 – Semnătura digitală prin conceptul de transport al semnăturii

Dar iată, în context ul EPS, care este cadrul practic de utilizare a semnăturilor digitale. O variantă
de folosire a conceptului de transport al semnăturii , în cazul EPS, este explicată în Figura 3.

Figura 3 – Utilizarea conceptului de transport al semnăturii cu chei pub lice la cecuri

Furnizorul cartelei inteligente, de obicei banca , creează pre -semnătura specifică unei persoane ,
printr -un proces off-line. Este ca și când banca ar da niște cecuri electronice în alb persoanei. Pentru
crearea lor, banca folosește cheia sa secretă și apoi le memorează pe cartelă, în timpul unei tranzacții de
plată, cartela transformă cecul într – unul completat cu valoarea plății. Apoi vânzătorul, la terminalul său,
verifică semnătura cecului cu cheia publică a băncii, cheie care este memor ată pe terminalul său. Firma
DigiCash ( www.digicash.com ) a dezvoltat o tehnică de compactare prin care se pot memora în memoria
nevolatilă a cartelei (1K EEPROM) sute sau chiar mii de cecuri.

O altă variantă de folosire a card -urilor inteligente în plăți electronice se bazează pe conceptul de
transport de monedă (Figura 4). În cadrul cartelei este un contor balanță, care poate fi incrementat de
bancă. Atunci când cumpărătorul face o plată cu cartela, se va semna suma (monedele) cu cheia secretă
existentă pe cartelă. Deoarece cartela deține două informații senzitive, valoarea balanței și cheia secretă,
ea trebuie să fie rezistentă la deschidere. Vânzătorul, prin terminalul POS existent în magazin, va verifica
autenticitatea monedelor, folosind cheia publică . Mai sigure, sistemele de plăți bazate pe transportul de
monedă electronică au un mare viitor.

Figura 4 – conceptului de transport al semnăturii cu chei publice la monede

6.Utilizarea certificatelor digitale

În funcționarea sistemelor cu chei publice est e necesar un sistem de generare , circulație și
autentificare a cheilor folosite de utilizatori. Să ne imaginăm situația când o persoană, să zicem Vlad,
dorește să se dea drept altcineva, Dan, și vrea să semneze în fals în numele lui Dan; falsificatorul ( Vlad)
poate face acest lucru ușor, generându -și propria sa pereche de chei și punând -o pe cea publică în fișierul
public, în locul celei autentice a lui Dan. Documentele semnate de Vlad cu cheia sa secretă vor fi
verificate cu cheia publică ce pare a fi a lui Dan și orice persoană se va înșela de autenticitatea
documentelor semnate în numele lui Dan.
Problema fundamentală este deci aceea a încrederii absolute în cheile publice , cele cu care se
face verificarea semnăturilor digitale . Acestea trebuie să fie disponibile în rețea, astfel ca orice client
să poată obține cheia publică a unui emitent de document semnat, în acest context, soluția tehnică există:
crearea unei infrastructuri internaționale, bazată pe Autorități de Certificare – AC (Certificatio n
Authority) , care să permită obținerea cu ușurință și într-o manieră sigură a cheilor publice ale
persoanelor cu care se dorește să se comunice prin Internet. Aceste autorități urmează să distribuie, la
cerere, certificate de chei autentificate.
Cel mai larg recunoscut și utilizat format pentru certificatele de chei publice este acela definit în
standardul X.509 de către ISO/IEC/ITU. Formatul X.509 pentru certificate a evoluat de -a lungul a trei
versiuni. Versiunea 3 (care a fost adoptată în 1996) a introdus câteva caracteristici noi. În timp ce
versiunile anterioare asigurau suport numai pentru sistemul de nume X.500, versiunea 3 suportă o mare
varietate de forme pentru nume, incluzând adrese de e -mail și URL -uri. Versiunea 3 introduce niște
extensii pentru certificate incluzând în acestea extensiile standard, private sau cele definite la nivel de
comunitate. Figura 5 ilustrează formatul certificatului X. 509 v3.

Un sistem bazat pe certificate de chei publice implică existența unei Autorități de Cert ificare ,
care emite certificate pentru un anumit grup de deținători de perechi de chei (publică și privată). Fiecare
certificat conține valoarea cheii publice și o informație care identifică în mod unic subiectul certificatului
(care este o persoană, o apl icație, un dispozitiv sau altă entitate ce deține cheia privată corespunzătoare
cheii publice incluse în certificat). Certificatul reprezintă o legătură imposibil de falsificat între o cheie
publică și un anumit atribut al posesorului său.
Certificatul est e semnat digital de o Autoritate de Certificare, care confirmă astfel identitatea
subiectului. O dată ce setul de certificate a fost stabilit, un utilizator al respectivei infrastructuri cu chei
publice poate obține cheia publică pentru orice utilizator c ertificat de respectiva Autoritate de

Certificare, obținând pur și simplu certificatul pentru utilizatorul respectiv și extrăgând din el cheia
publică dorită.

Sistemele de obținere a cheilor publice bazate pe certificate sunt simplu și economic de
impleme ntat, datorită unei importante caracteristici a certificatelor digitale: certificatele pot fi distribuite
fără a necesita protecție prin serviciile de securitate obișnuite (autentificare, integritate și
confidențialitate). Aceasta deoarece cheia public ă nu trebuie păstrată secretă; în consecință, nici
certificatul digital ce o conține nu este secret. Nu există cerințe de autentificare sau integritate, deoarece
certificatul se auto -protejează (semnătura digitală a AC din interiorul certificatului asigură atât
autentificarea, cât și integritatea acestuia).
Ca urmare, certificatele digitale pot fi distribuite și vehiculate prin legături de comunicație
nesigure: prin servere de fișiere nesigure, prin sisteme de directoare nesigure și/sau protocoale de
comu nicație ce nu asigură securitatea. Un prim avantaj al unui sistem de certificate este acela că orice
utilizator al său poate obține cheile publice pentru un număr mare de alte entități, cunoscând la început
doar cheia publică a unei Autorități de Certifica re. Certificatele permit deci scalabilitate, adică mărirea
numărului entităților pentru care se poate obține cheia publică.

Figura 5 – Formatul unui certificat X.509

7.Protocoale pentru managementul certificatelor

Interacțiunea dintre componentele unei infrastructuri de chei publice impune existența unor protocoale
pentru management. Elementele implicate în managementul PKI sunt:

 subiectul unui certificat, care poate fi o persoană sau o aplicație (de exemplu IP Security) și
reprezintă entitatea finală (End Entity – EE);
 autoritatea de certificare (Certification Authority – CA), care inițiază un certificat digital, asociind
identitatea unui utilizator cu cheia sa publică și autentifică această asociere;
 autoritatea de înregistrare (Registration Authori ty – RA), care poate îndeplini funcții de
autentificare a persoanelor, atribuirea de nume, generarea de chei, arhivarea perechilor de chei etc.
Ea se confundă de cele mai multe ori cu autoritatea de certificare.

În Figura 6 se arată relațiile dintre el ementele implicate în managementul PKI. Liniile indică
"protocoale", în sensul că setul de mesaje definit pentru managementul PKI se poate trimite de -a lungul
liniilor.

Figura 6 – Elementele managementului certificatelor

Aceste protocoale se pot grupa în funcție de scopul folosirii lor :
 Stabilirea CA – când se stabilește un nou CA, trebuie parcurși anumiți pași, cum ar fi generarea listei
inițiale de certificate revocate sau exportul cheii publice a CA-ului.
 Inițializarea entității finale – implică obți nerea cheii publice a CA -ului rădăcină și cererea de
informații despre managementul PKI la nivelul entității finale.
 Certificarea:
 înregistrarea/certificarea inițială – când o entitatea finală se face cunoscută unei autorități de
certificare (CA), în urma acestui proces, CA generează unul sau mai multe certificate pentru
entitatea finală respectivă;
 schimbarea unei perechi de chei – este necesar ca fiecare pereche de chei sa fie schimbată regulat
și să se genereze un nou certificat;

 reactualizarea unui cert ificat – când expiră un certificat el trebuie reactualizat;
 schimbarea perechii de chei a CA;
 cererea de certificate încrucișate – când o autoritate de certificare autentifică o altă autoritate de
certificare;
 actualizarea unor certificate încrucișate .
 Publicarea unui certificat sau a unei liste de certificate revocate – implică depozitarea unui
certificat sau a unei liste de certificate revocate de unde pot fi obținute de oricine (un exemplu de
astfel de protocol poate fi LDAP).
 Restaurarea unei perechi de chei – atunci când o entitate finală pierde cheia privată și dorește să o
restaureze, dacă în prealabil RA sau CA a salvat această cheie.
 Revocarea unui certificat – atunci când o entitate finală dorește revocarea
 (anularea) unui certificat, operație c e implică o cererea de revocare și implicit actualizarea listei de
certificate revocate (CRL – Certificate Revocation Lists).

Nu este necesar ca toate aceste operații să se execute on -line, existând și metode off -line de realizare a
lor.

8.Căi de certifica re

Este imposibil de găsit o Autoritate de Certificare care să emită certificate pentru toți deținătorii de
perechi de chei publică/privată din lume, deoarece nu este practic ca toți utilizatorii din lume să aibă
încredere într -o singură organizație sau companie în ceea ce privește comunicațiile lor secrete. De
aceea vom accepta pe parcursul acestui material ideea existenței Autorităților de Certificare multiple.
Mai mult, un singur utilizator poate avea certificate emise de diferite Autorități de Cert ificare,
pentru diferite tipuri de comunicații sigure pe care dorește să le stabilească. De asemenea, nu este posibil
din punct de vedere practic să presupunem că un utilizator al infrastructurii cu chei publice deține deja
cheia publică a unei anumite aut orități de certificare, AC 1, care a emis un certificat pentru o entitate cu
care utilizatorul respectiv dorește să comunice securizat.
Cu toate acestea, pentru a obține cheia publică a acelei AC 1, utilizatorul nostru poate găsi și folosi
un alt certificat, și anume un certificat pentru acea AC 1, emis de altă autoritate de certificare, AC 2, a cărei
cheie publică este deținută într -un mod sigur de către utilizator.

Astfel, procedeul se poate aplica recursiv și astfel un utilizator poate obține cheile publi ce pentru un
număr din ce în ce mai mare de Autorități de Certificare și, corespunzător, cheile publice pentru un
număr crescător de alți utilizatori. Acesta conduce la un model general, numit lanț de certificare sau cale
de certificare , pe care se bazea ză toate marile sistemele actuale de distribuire a cheilor publice. Modelul
construirii lanțului de certificare este ilustrat în Figura 7.
Menționăm că deocamdată nu am luat în considerare nici un fel de restricții asupra modului de
structurare al relați ilor dintre Autoritățile de Certificare, în cazul de față, o dată ce o cale de certificare
poate fi găsită, sistemul va funcționa, în secțiunile următoare vom lua în considerare aspectele legate de
relațiile între autoritățile de certificare și modelele de încredere asociate. Certificarea este deci absolut
necesară într -o infrastructură bazată pe criptografie cu chei publice . Odată cu aceasta apar însă alte
probleme ce trebuie rezolvate, cum ar fi: achiziția certificatului , recunoașterea acestuia , revocar ea,
distribuirea și validarea acestuia.

Figura 7 – Un lanț de certificare

9.Obținerea unui certificat

La prima vedere, procesul de înrolare pentru obținerea unui certificat (enrollment ) nu pare a fi un punct
care să implice prea multe puncte de vedere, dar realitatea este că sunt mai bine de doi ani de discuții în
grupurile de lucru din cadrul IETF pe această temă, fără să se ajungă încă la un standard.
La baza acestor controverse se găsesc diferitele optici asupra rolului pe care trebuie să -1 aibă o
Autoritate de Certificare . Pe de o parte, există o comunitate tehnică ce susține că Autoritățile de
Certificare trebuie să fie entități supuse unor reguli extrem de bine stabilite, ale căror acțiuni (procese)
trebuie să fie demonstrabil sigure (provably se cure) și supravegheabile (auditable) . De cealaltă parte,
există o comunitate care susține că procesul de înrolare pentru obținerea unui certificat trebuie să poată
lua toate formele: de la highly -secure până la personal și că procesul de înrolare trebuie lăsat Ia dispoziția
Autorităților de Certificare individuale, în loc de a fi codificat într -un standard Internet.