Universitatea POLITEHNICA Bucureti Centrul pentru Pregtirea Resurselor Umane

Masterat Ingineria i Managementul Sistemelor de Afaceri

Criptarea datelor
Probleme i cerine de securitate Criptografie simetric Criptografie asimetric Algoritmi de criptare

Gabriel Neagu

Criptarea datelor

Cerinte de securitate
Exemple de aplicaii:
Acces la distan securizat E-mail securizat VPN securizat Web securizat Dial-up securizat Pli securizate

Cerine utilizator:
Confidenialitate Integritate Autentificare Nerepudiere

Gabriel Neagu

Criptarea datelor

Ingineria afacerilor n mediul electronic

Aprilie 2013

Universitatea POLITEHNICA Bucureti Centrul pentru Pregtirea Resurselor Umane

Masterat Ingineria i Managementul Sistemelor de Afaceri

Atacuri de securitate
Tipuri de atacuri:
active pasive

Exemple:
Substituire expeditor (loss of authenticity) Modificare continut (loss of integrity) Publicare mesaj (loss of confidentiality) Distrugere mesaj (loss of availability)

Solutii de aprare:
confidentialitate: criptare autentificare: semntur nerepudiere: semntur integritate: suma de control (hash)
Gabriel Neagu

Criptarea datelor

Criptografie
Criptologie: criptografie + criptanaliz Criptografie:
aplicarea unei funcii matematice C asupra unui mesaj M utiliznd o cheie K1, astfel nct decriptarea (utiliznd functia D i cheia K2) va genera mesajul original: D(K2, C(K1, M)) = M criptografie simetric: K1 = K2 criptografie asimetric: K1 K2 Criptanaliz: arta de a descifra solutiile de criptare prin alte ci dect ncercarea tuturor cheilor (atact de tip for brut) sarcina este facilitat de cunoaterea unei secvene din textul criptat sau de posibilitatea alegerii acestei secvene
Gabriel Neagu

Criptarea datelor

Ingineria afacerilor n mediul electronic

Aprilie 2013

Universitatea POLITEHNICA Bucureti Centrul pentru Pregtirea Resurselor Umane

Masterat Ingineria i Managementul Sistemelor de Afaceri

Terminologie
expeditor
K1 mesaj (text in clar)

destinatar
mesaj (text in clar) K2

criptare criptare

decriptare decriptare

mesaj (text criptat)

Gabriel Neagu

Criptarea datelor

Terminologie
Algoritm criptografic
o funcie matematic utilizat n procesul de criptare/decriptare. Un astfel de algoritm folosete o aa-numit cheie (un cuvnt, un numr, o fraz, etc.) pentru a cripta textul. Acelai text n clar va duce la versiuni criptate diferite dac se folosesc chei de criptare diferite.

Calitatea soluiei de criptare

resursele necesare pentru a determina textul n clar din textul criptat, n condiiile n care nu se cunoate cheia de decriptare. Calitatea soluiei de criptare depinde de calitatea algoritmului criptografic i de lungimea cheii.

Gabriel Neagu

Criptarea datelor

Ingineria afacerilor n mediul electronic

Aprilie 2013

Universitatea POLITEHNICA Bucureti Centrul pentru Pregtirea Resurselor Umane

Masterat Ingineria i Managementul Sistemelor de Afaceri

Criptografie simetric
Caracteristici:
cheie unic i secret cte o cheie pentru fiecare pereche de utilizatori necesit un canal separat, securizat, pentru schimbul cheii ntre utilizatori

X Kxy

Mesaj criptat X-Y

Y Kxy

Gabriel Neagu

Criptarea datelor

Criptografie simetric
Avantaje: viteza Dezavantaje canalul separat pentru schimbul cheii numrul de chei crete proporional cu numrul de utilizri nu poate fi utilizat pentru semntur

Gabriel Neagu

Criptarea datelor

Ingineria afacerilor n mediul electronic

Aprilie 2013

Universitatea POLITEHNICA Bucureti Centrul pentru Pregtirea Resurselor Umane

Masterat Ingineria i Managementul Sistemelor de Afaceri

Algoritmi de criptare simetric

DES (Data Encryption Standard)
propus de IBM n 1977, standardizat n 1979 de NIST (National Institute of Standards and Technology), SUA; cheie pe 56 biti; textul de intrare este mprtit n blocuri de 64 biti, asupra fiecrui bloc se efectueaz 19 operatii; NIST a propus n 2004 retragerea standardului DES.

3DES (Triple DES)

o variant DES care presupune aplicarea cifrului de 3 ori pe acelai text n clar (a doua oar n mod decriptare), folosind chei diferite. Lungimea cheii este de 3 x 56 = 168 bii, echivalent ca putere efectiv cu o cheie de aprox. 112 bii.
Criptarea datelor 9

Gabriel Neagu

Algoritmi de criptare simetric

CAST-128 Blowfish
algoritm asemntor cu DES, suport chei de lungime variabil, pn la 128 bii.

algoritm dezvoltat de Bruce Schneier. Folosete chei de lungime variabil, pn la 448 bii. algoritm dezvoltat la ETH Zurich, de ctre Xuejia Lai. Folosete o cheie de 128 bii i este considerat un algoritm foarte sigur. A fost unul din cei mai buni algoritmi cunoscui pn la apariia AES. Cele mai bune atacuri la adresa lui au atacat doar 4,5 din cele 8,5 runde de criptare utilizate de IDEA.

IDEA (International Data Encryption Algorithm)

Gabriel Neagu

Criptarea datelor

10

Ingineria afacerilor n mediul electronic

Aprilie 2013

Universitatea POLITEHNICA Bucureti Centrul pentru Pregtirea Resurselor Umane

Masterat Ingineria i Managementul Sistemelor de Afaceri

Algoritmi de criptare simetric

RC4
Algoritm de criptare realizat de Ron Rivest, de la RSA Data Security, Inc. Este un algoritm foarte rapid. Se bazeaz pe un generator de numere pseudoaleatoare, al crui rezultat este utilizat n operatorul XOR mpreun cu textul n clar.

SEED
Algoritm dezvoltat de Agenia pentru Securitatea Informaiei din Korea, din 1998. Folosete o cheie de 128 bii. A fost adoptat ca standard ISO/IEC (ISO/IEC 18033-3) i ca document RFC IETF (RFC 4269).

AES
Ca urmare a vulnerabilitilor DES, NIST a lansat un concurs pentru alegerea unui successor oficial, care a fost denumit AES (Advanced Encryption Standard). n finala seleciei au intrat cinci algoritmi, dintre care ctigtor a fost ales Rijndael. Toi finalitii folosesc chei de lungime variabil: 128, 192, sau 256 bii.
Gabriel Neagu

Criptarea datelor

11

Criptografie asimetric / cu cheie public

Initiatori:
Whitfield Diffie si Martin Hellman, 1976 Rivest, Shamir si Adleman (MIT), in 1977

Caracteristici:
cheile sunt generate n pereche: public (Kpub) i privat (Kpri) datele criptate cu o cheie pot fi decriptate numai cu cheia pereche cheile sunt dependente matematic (prin metoda de generare): pentru fiecare cheie exist o singur cheie pereche o cheie nu poate fi dedus din cheia pereche viteza de lucru este semnificativ inferioar criptrii simetrice

Gabriel Neagu

Criptarea datelor

12

Ingineria afacerilor n mediul electronic

Aprilie 2013

Universitatea POLITEHNICA Bucureti Centrul pentru Pregtirea Resurselor Umane

Masterat Ingineria i Managementul Sistemelor de Afaceri

Criptografie asimetric / cu cheie public

Avantaje:
se poate asigura managementul cheilor (numrul de chei este mai mic) poate fi utilizat pentru semntur

Dezavantaj: viteza sczut Kpri hello! C q #%3& Kpub D hello!

Kpub hello!
Gabriel Neagu

Kpri Y?2gs3
Criptarea datelor

hello!
13

Transmitere mesaj confidential

pentru criptare se utilizeaz cheia public a destinatarului pentru decriptare destinatarul utilizeaz cheia sa privat

X
KXpri Mesaj confidenial pentru X
Gabriel Neagu

oricine KXpub

Criptarea datelor

14

Ingineria afacerilor n mediul electronic

Aprilie 2013

Universitatea POLITEHNICA Bucureti Centrul pentru Pregtirea Resurselor Umane

Masterat Ingineria i Managementul Sistemelor de Afaceri

Autentificare utilizator
utilizatorul trimite username serverul utilizeaz cheia public a utilizatorului pentru a trimite o provocare criptat utilizatorul returneaz provocarea decriptat serverul recunoate autenticitatea cererii de acces pentru c numai respectivul utilizator avea posibilitatea s decripteze provocarea

server

username provocare = C (P) raspuns = P

utilizator

cheie public
Gabriel Neagu

cheie privat
15

Criptarea datelor

Schimb cheie secret (simetric)

pentru criptare se utilizeaz cheia public a destinatarului pentru decriptare destinatarul utilizeaz cheia sa privat schimbul cheii simetrice are loc dup secvena de autentificare i poate fi repetat pe parcursul sesiunii
Transmitere cheie simetric

hello!

hello!

X
K
Gabriel Neagu

KYpub C Y?2gs3
Criptarea datelor

KYpri D K

16

Ingineria afacerilor n mediul electronic

Aprilie 2013

Universitatea POLITEHNICA Bucureti Centrul pentru Pregtirea Resurselor Umane

Masterat Ingineria i Managementul Sistemelor de Afaceri

Algoritmul RSA
Propus in 1978, de Rivest, Shamir, Adleman Destinaie: criptare, semntur digital, schimbul cheii simetrice Suportul matematic: dificultatea factorizrii numerelor foarte mari (de ordinul 10100) Paii algoritmului:
Se aleg dou numere a si b (> 10100) Se calculeaz n = a x b si p = (a-1) x (b-1) Se alege un numr prim cu p, notat cu d Se determin c astfel nct c x d = 1 (mod p) Textul de criptat este mprtit n blocuri B de cte k biti, 2k < B c Se genereaz textul criptat TC = B (mod n) Se decripteaz conform formulei: B = (TC)d (mod n)
Criptarea datelor

Gabriel Neagu

17

Algoritmul RSA
Exemplu: a = 3, b = 11 rezult: n = 33, p = 20 se alege d = 7 (numr prim cu p) rezult c = 3 (7 x c = 1 (mod 20)) pentru blocuri de 2 cifre (B = 2) rezult k = 1, conform (2k < B) Se alege textul T = 13 textul criptat este TC = 133 (mod 33) = 2.197 (mod 33) = 19 decriptarea: T = 197 (mod 33) = 893871739 (mod 33) = 13

Gabriel Neagu

Criptarea datelor

18

Ingineria afacerilor n mediul electronic

Aprilie 2013

Universitatea POLITEHNICA Bucureti Centrul pentru Pregtirea Resurselor Umane

Masterat Ingineria i Managementul Sistemelor de Afaceri

Alti algoritmi pentru criptografia asimetric

Diffie-Hellman
frecvent folosit pentru schimbul de chei; vulnerabil la atacuri de tip man-in-the-middle, motiv pentru care n general este combinat cu o metod de autentificare a prilor (de tip pre-shared key sau semntur digital).

DSA (Digital Signature Algorithm)

folosit pentru semntur digital standard NIST (FIPS-186)

ECC (Elliptic Curve Cryptography)

utilizeaz chei de criptare relativ mici, iar textele criptate sau semnturile generate sunt de asemenea de dimensiuni mici.

Gabriel Neagu

Criptarea datelor

19

Lungimea cheilor
simetric asimetric 40 256 64 512 128 1024
ridicat

... ...

Nivel de securitate: redus

pentru acelai nivel de securitate, lungimea cheii n criptarea asimetric este de un ordin de mrime mai mare dect n cea simetric; consecin: raport invers ntre eficiena celor dou clase de algoritmi de criptare (vitez, resurse necesare).
Gabriel Neagu

Criptarea datelor

20

Ingineria afacerilor n mediul electronic

Aprilie 2013

Universitatea POLITEHNICA Bucureti Centrul pentru Pregtirea Resurselor Umane

Masterat Ingineria i Managementul Sistemelor de Afaceri

Referinte
A. Konheim, Computer Security and Cryptography, John Wiley&Sons, 2007. W. Stallings, Cryptography and Network Security, 4th Edition, Prentice Hall, 2005. Workshop Security support for network applications, proiectul european NASTEC, CPRU, oct. 2001. B. Sass, Securitatea informaiei n sisteme de comer electronic. Lucrare de dizertaie, CPRU, 2007.

Gabriel Neagu

Criptarea datelor

21

Ingineria afacerilor n mediul electronic

Aprilie 2013