Guvernarea electronic. O introducere, 2007 Pagina 1 din 12 dr.ing. Dan Vasilache
ANEXA 1
Elemente de criptografie, autentificare i semnturi digitale
1. Tehnici de securitate criptare i autentificare 2. Elemente de criptografie a) Algoritmi simetrici b) Algoritmi asimetrici c) Algoritmi rezumat sau amprent (Hash Algorithms) d) Algoritmi care genereaz numere aleatoare 3. Semnturi digitale. Certificate de autenticitate i sisteme de chei publice Note i bibliografie
Elementele de securitate care sunt prezentate pe scurt n acest capitol vor avea probabil puterea de a convinge c aceast securitate este o problem serioas i complex, uneori implicnd costuri destul de mari, i creia i s-a dat mult atenie, cu scopul principal de a micora riscurile de fraud, obiectiv despre care se poate spune astzi c a fost atins n bun msur. Nu vom putea prezenta n aceast anex toate noiunile i tehnologiile de securitate din domeniul serviciilor electronice. Vom face ns o rapid trecere n revist a unora din cele mai importante noiuni teoretice, legate n special de criptografie, autentificare i semnturi digitale. Metodele de securitate actuale, destul de complexe, bazate n principal pe criptografie i autentificarea persoanelor, documentelor, aplicaiilor i sistemelor ofer o securitate a tranzaciilor (tranzacia este, ntr-un sens foarte general, Anexa 1 Guvernarea electronic. O introducere, 2007 Pagina 2 din 12 dr.ing. Dan Vasilache
operaia de apel i execuie a unui eServiciu) substanial crescut. Desigur, nici o tehnologie de securizare nu poate fi 100% sigur, dar gradul de securitate atins este considerat satisfctor sau chiar bun. Exist i posibilitatea de a asigura grade diferite de securitate (ca un compromis ntre cost i performan) funcie de natura serviciului furnizarea unor informaii generale (nu personale), de exemplu, nu necesit msuri de securitate speciale, n vreme ce obinerea unor beneficii sociale reclam identificarea fr greeal a beneficiarului.
1. Tehnici de securitate criptare i autentificare
Pentru a asigura securitatea unei tranzacii ce reprezint executarea unui eServiciu se folosesc trei procedee de baz criptarea informaiilor, autentificarea identitii entitilor care particip la tranzacie, i autentificarea documentelor. Criptarea informaiilor asigur c acestea nu pot fi citite dect de cel care deine secretul decriptrii (se asigur astfel confidenialitatea informaiilor). Autentificarea identitii urmrete s dovedeasc c o entitate participant la tranzacie (beneficiari, furnizori de eServicii, intermediari, aplicaii din sisteme informatice) este ntr-adevr entitatea care pretinde c este, i nu cumva una fals, cu intenii frauduloase, care se prezint drept una valid. Autentificarea unui document asigur c documentul este autentic conform legilor, i are valoare juridic, adic provine efectiv de la cine afirm c l-a emis, nu este alterat (integritate), iar emitentul documentului nu poate nega ulterior c este expeditorul acelui document (nonrepudiere), i se face prin semntura digital. Criptarea/decriptarea informaiilor se face prin algoritmi de criptare/decriptare al cror scop este transformarea la criptare a unei informaii lizibile ntr-una care nu poate fi citit, iar la decriptare, transformarea celei criptate, napoi n informaia lizibil iniial. Se presupune c informaia astfel criptat va circula pe drumul ntre participanii la tranzacie fr a exista riscul de a putea fi citit, n afar desigur de cei crora le este destinat i care dein secretul decriptrii. Exist dou clase mari de algoritmi criptografici care se utilizeaz curent algoritmi simetrici (sau cu o cheie secret) i algoritmi asimetrici (sau cu pereche de chei - secret i public). Cheia unui algoritm criptografic este, n esen, un numr care spune algoritmului cum anume s fac criptarea sau decriptarea. Cine deine Anexa 1 Guvernarea electronic. O introducere, 2007 Pagina 3 din 12 dr.ing. Dan Vasilache
aceast cheie poate decripta orice informaie care a fost criptat de algoritmul care a folosit acea cheie. Evident cheile trebuie inute secrete. Autentificarea identitii este procedeul principal prin care se stabilete relaia de ncredere ntre dou entiti, care i dovedesc reciproc, una alteia, c sunt efectiv ceea ce par s fie, i declar c sunt, naintea autentificrii. Autentificarea urmrete micorarea riscului de a avea de-a face cu o identitate fals, nelegal, i care poate avea intenii frauduloase. Exist mai multe metode de autentificare a identitii, dintre care vom prezenta pe scurt doar metodele mai frecvente, numite autentificarea prin nume i parol (user name, password), i autentificarea prin certificate de autenticitate (authenticity certificates). Cea mai simpl form de autentificare a identitii, utilizat curent n mai multe domenii, inclusiv n plile electronice prin carduri financiare (unde este necesar un grad sporit de securitate), este autentificarea identitii unei entiti printr-un nume i o parol. Numele i parola sunt fie alese de entitate (de regul beneficiarul), apoi verificate i acceptate de ceallat entitate (de regul furnizorul eServiciului), fie i sunt alocate acelei entiti direct de ctre eServiciu, dup care sunt memorate de ambele entiti pentru a fi folosite la fiecare tranzacie n care sunt necesare. Autentificarea identitii entitilor prin metoda certificatelor de autenticitate presupune existena unei entiti speciale n care toate celelalte entiti decid c au deplin ncredere, numit Autoritatea de Certificare (CA, Certification Authority), i care, cunoscnd bine fiecare entitate din sistem, genereaz pentru fiecare entitate cte un certificat de autenticitate, unic i specific, care identific entitatea n mod complet i unic, i asumnd-i responsabilitatea garaniei de identitate pe care o ofer. Astfel, dac dou entiti doresc s stabileasc o relaie de ncredere, n care fiecare s fie sigur de autenticitatea celeilalte, atunci i vor trimite reciproc certificatele de autenticitate, iar fiecare entitate va putea verifica autenticitatea celeilalte. Certificatul de autenticitate al unei entiti este o informaie care conine datele de identificare ale acelei entiti (nume, cod, adres, etc.) i cheia public proprie entitii (care va servi n schimbul de date criptate ntre entiti), iar aceast informaie este la rndul ei criptat de ctre Autoritatea de Certificare cu cheia sa privat. Desigur cheia de criptare public a Autoritii de Certificare trebuie cunoscut de toate entitile, iar fiecare entitate va trebui s dispun de propria ei Anexa 1 Guvernarea electronic. O introducere, 2007 Pagina 4 din 12 dr.ing. Dan Vasilache
cheie. n acest protocol de autentificare se folosete de regul criptografia asimetric, cu pereche de chei public i secret. Practic, fiecare entitate va trimite celeilalte certificatul propriu de autenticitate. Fiecare entitate, cunoscnd cheia public de criptare a Autoritii de Certificare, va decripta certificatul de autenticitate al celeilalte entiti, va constata c este autentic, i va folosi cheia public a entitii aflat n certificat pentru a comunica confidenial cu respectiva entitate. n cazuri speciale verificarea autenticitii unei identiti se poate face verificnd i caracteristicile biometrice ale persoanei. Aceste caracteristici definesc o persoan fizic i pot fi caracteristici biometrice fizice ca de exemplu amprenta digital, nregistrarea imaginii palmei, a feei, a irisului sau retinei, i caracteristici biometrice comportamentale ca de exemplu vocea sau semntura. Caracteristicile biometrice sunt captate digital (de exemplu scanate) i memorate n cardul cu cip de identitate, de unde sunt apoi preluate de un terminal special care are capacitatea de a capta caracteristica biometric a deintorului de card n momentul n care acesta face o tranzacie, i de a o compara apoi cu cea memorat n cip. De exemplu, o nregistrare scanat a amprentei degetului mare are circa 1000 de octei, iar terminalul special care face autentificarea dispune de o mic fereastr pe care se lipete degetul pentru a face scanarea, care e urmat apoi de comparare. O imagine de retin sau de iris are cteva zeci de octei, dar terminalul cu facilitatea de captare a respectivei imagini este mult mai complicat. Nu vom intra n detalii, am semnalat doar aceast metod de autentificare pentru c este considerat cea mai sigur dintre toate metodele de autentificare a identitii (fr a fi absolut sigur) (1)(2). Probarea autenticitii unui document electronic se face prin semntura digital ataat documentului, aa cum se prezint pe scurt n capitolul 3.
2. Elemente de criptografie
n acest capitol se face o foarte sumar prezentare a unor noiuni de criptografie, suficiente totui pentru nelegerea ideilor principale pe care se bazeaz securitatea tranzaciilor (3). Scopul principal al criptografiei este de a face documentele (informaia n general, indiferent de forma de prezentare, inclusiv informaia aflat sub form binar, de ir de bii) neinteligibile dect de ctre entitile crora le este adresat, pentru a asigura confidenialitatea corespondenei. Anexa 1 Guvernarea electronic. O introducere, 2007 Pagina 5 din 12 dr.ing. Dan Vasilache
Criptarea se face cu un algoritm i cu o cheie. Textul CARD, de exemplu, poate fi criptat n ECTF, dac algoritmul de criptare const n schimbarea fiecrei litere cu cea de a doua urmtoare n alfabet. n acest exemplu simplu algoritmul const n deplasarea fiecrei litere a textului clar (lizibil) cu dou poziii mai jos n alfabet, iar cheia algoritmului este numrul doi, care spune cu cte poziii se deplaseaz litera n alfabet. Algoritmul de decriptare folosete aceeai cheie i se aplic n sens invers asupra textului criptat. Cheia spune algoritmului cum trebuie s fac criptarea sau decriptarea. Acelai algoritm aplicat asupra aceluiai text cu chei diferite va produce texte criptate diferit. Evident algoritmul i cheia trebuie cunoscute de ambele pri, iar ambele trebuie inute secret. (Se pare c acest algoritm de criptare a fost folosit pentru prima oar de Cezar n vremea rzboaielor din Galia pentru a comunica cu partizanii lui din Roma, cheia fiind trimis separat de textul criptat). Algoritmii criptografici care se folosesc n domeniu se mpart n dou categorii algoritmi simetrici (sau cu o cheie secret) i algoritmi asimetrici (sau cu pereche de chei cheie privat, sau secret, i cheie public). Ali algoritmi utilizai frecvent sunt algoritmii cu funcie de rezumat (hash), sau amprent, care servesc n construirea semnturilor digitale utilizate n procedurile de autentificare a documentelor, precum i algoritmii care genereaz numere aleatoare. ntruct algoritmii trebuie cunoscui de prea multe pri (beneficiari persoane fizice i juridice, funcionari publici, intermediari) ei nu mai sunt pstrai secrei, ci sunt publici i standardizai, iar secretul se pstreaz numai prin pstrarea secret a cheilor. Algoritmii simetrici folosesc o singur cheie, care trebuie cunoscut de toate prile implicate, i trebuie pstrat secret. Cheia secret e folosit att la criptare ct i la decriptare. Algoritmii asimetrici folosesc dou chei, o cheie secret, sau privat, i o cheie public, formnd o pereche n care cele dou chei sunt legate ntre ele printr-o relaie matematic specific algoritmului. Aceast relaie ntre chei este de o asemenea natur nct dac se cunoate o cheie (cea public) nu este practic fezabil (chiar cu calculatoare puternice), n prezent, s se obin cealalt cheie (cea secret), dei, teoretic vorbind, acest lucru este posibil. O informaie criptat cu una din chei poate fi decriptat numai cu ceallalt cheie. Cheia privat e inut secret de fiecare entitate expeditoare i este folosit pentru a cripta mesajele pe care le expediaz ctre celelalte entiti receptoare din sistem. Entitile receptoare pot decripta mesajul criptat dac au cheia public a entitii expeditoare. Desigur entitatea expeditoare trebuie s distribuie cheia sa Anexa 1 Guvernarea electronic. O introducere, 2007 Pagina 6 din 12 dr.ing. Dan Vasilache
public, care nu este secret, ctre toate entitile receptoare din sistem cu care dorete s schimbe informaii confideniale. n acest fel fiecare entitate dispune de o pereche de chei, din care pe cea privat o ine secret, iar pe cea public o distribuie tuturor celorlalte entiti. La rndul lor entitile receptoare pot folosi cheia public a entitii expeditoare pentru a cripta mesaje pe care le trimit entitii expeditoare i care nu pot fi decriptate dect cu cheia privat perechea celei publice, i aflat numai la entitate expeditoare. n acest fel ambele chei, cea privat i cea public, servesc att la criptare ct i la decriptare. De remarcat acum c aceast modalitate de criptare-decriptare asimetric poate servi i la autentificarea identitii entitii expeditoare, deoarece numai aceasta deine cheia privat, iar o decriptare corect cu cheia sa public poate servi ca dovad de autenticitate a entitii expeditoare, singura care deine cheia privat cu care s-a fcut criptarea. Algoritmii asimetrici prezint o serie de avantaje fa de algoritmii simetrici (se evit de exemplu procedura potenial periculoas de a distribui unica cheie secret multelor entiti participante), i asigur i un grad mai mare de siguran (dar implementarea lor e mai complicat i cost mai mult). n figura A1-1 se prezint schematic procesul de criptare-decriptare i algoritmii simetrici i asimetrici.
a) Algoritmi simetrici Algoritmii simetrici cei mai folosii n domeniu sunt algoritmul DES (Data Encription Standard), i varianta sa mai nou 3DES (Triple DES). Algoritmul DES folosete o cheie secret de 56 bii iar algoritmul 3DES este o variant a sa mult mai sigur, pentru c poate folosi pn la 3 chei diferite de 56 bii fiecare. Evident toate cele 3 chei trebuie distribuite tuturor participanilor la sistem i trebuie pstrate secrete (ceea ce constituie o problem practic uneori dificil). Algoritmul DES a fost proiectat de compania american IBM n 1972 i a fost adoptat ca standard naional american n 1977. n 1998 un text criptat cu DES a fost Anexa 1 Guvernarea electronic. O introducere, 2007 Pagina 7 din 12 dr.ing. Dan Vasilache
spart de un echipament special care a lucrat 4,5 zile continuu. Ca urmare algoritmul a fost nlocuit cu o variant a sa, 3DES, de pn la trei ori mai lent, dar de cteva miliarde de ori mai sigur, ntruct lucreaz cu trei chei de cte 56 bii fiecare. Algoritmul 3DES se descrie simplu prin: C = E K3 (D K2 (E K1 (L))), unde L e textul lizibil, C este textul criptat care rezult, E este procedura de criptare obinuit DES, D este procedura de decriptare DES, iar K 1,2,3 sunt trei chei de 56 bii fiecare. Pentru a obine textul criptat C se cripteaz mai nti cu K 1 textul L, apoi rezultatul se decripteaz cu K 2 , iar acest rezultat se cripteaz din nou cu K 3 . Decriptarea se face invers: L=D K1 (E K2 (D K3 (C))). Pentru a mai reduce din volumul de memorie necesar pentru chei, se poate lucra numai cu dou chei diferite (caz n care K 3 = K 1 ), sau chiar cu o singur cheie (K 3 = K 2 = K 1 ). De remarcat c dac un numr binar are o lungime de n bii atunci numrul zecimal care i corespunde are aproximativ n/3,3 cifre zecimale, deci o cheie binar de 512 bii este un numr zecimal cu 155 de cifre zecimale, adic ceva de forma 10 155 (a se compara cu numrul total de atomi din univers, estimat la 10 77 ), iar descoperirea prin ncercri a unei astfel de chei necesit o enorm putere de calcul, indisponibil n prezent. Ali algoritmi simetrici sunt AES (adoptat recent de guvernul american pentru a nlocui DES; folosete chei de pn la 256 bii), IDEA (cu cheie de 128 bii), CAST128, RC6 i Twofish.
b) Algoritmi asimetrici Cei mai folosii algoritmi asimetrici, cu pereche de chei secret-public, sunt algoritmii RSA i ECC. Cheile, secret i public, sunt de lungime egal, iar cu ct o cheie e mai lung cu att e mai greu de decriptat, n mod fraudulos, un ir de bii criptat cu acea cheie. Algoritmul RSA (numit dup numele inventatorilor Rivest, Shamir, Adleman) folosete chei secrete i publice de 1024 de bii fiecare i, pentru o securitate deosebit, chiar chei de 2048 de bii. Algoritmul ECC (Elliptic Curve Cryptosystem) pare a fi succesorul lui RSA prin faptul c este de circa 10 ori mai rapid, este mult mai sigur, i folosete chei mai scurte, de 160 de bii. Ali algoritmi asimetrici sunt algoritmii Diffie-Hellman, Elgamal, Fortezza i DSA (Digital Signature Algorithm) (1).
c) Algoritmi rezumat sau amprent (Hash Algorithms) Anexa 1 Guvernarea electronic. O introducere, 2007 Pagina 8 din 12 dr.ing. Dan Vasilache
Algoritmii rezumat (Hash Algorithms) sunt proceduri (fr cheie) care se aplic unui text (informaie) de orice lungime, pentru a produce la ieire un rezumat (digest) al textului, de lungime fix, care reprezint textul, fiind un fel de amprent (thumbprint, fingerprint) a acestuia. Algoritmul este de tipul muli- ctre-unul (many-to-one) ceea ce nseamn c pot exista mai multe texte care conduc la acelai rezumat. Rezumatul, sau amprenta, are proprietile c orice modificare n textul iniial produce un alt rezumat, i, dat fiind un rezumat, este imposibil reconstituirea textului iniial care l-a generat, i este practic imposibil (computaional nefezabil) gsirea unui alt text, diferit de cel iniial, care s produc acelai rezumat. Evident acest rezumat va putea fi folosit pentru a depista schimbri n textul iniial. Algoritmii rezumat produc de regul rezumate de 128 bii sau 160 de bii, rezumate care sunt folosite n semnturile digitale din procedeele de autentificare. Rezumatul servete la a proba c textul este integru, adic nu a fost alterat. Cei mai rspndii algoritmi rezumat sunt MD5 i SHA-1. MD5 (Message Digest, version 5) produce un rezumat de 128 bii pentru un text (informaie binar) la intrare de orice lungime. SHA-1 (Secure Hash Algorithm, version 1) produce un rezumat de 160 de bii, i pare a urma s-l nlocuiasc pe MD5 pentru c este considerat mai sigur.
d) Algoritmi care genereaz numere aleatoare Numerele aleatoare sunt necesare n procedurile de securitate deoarece pot fi folosite n calitate de chei (de regul de unic folosin) pentru diveri algoritmi de criptare/decriptare (de exemplu n telecomunicaii protocoalele SSL i TLS), precum i n alte situaii. Algoritmii care genereaz numerele aleatoare folosite n sistemele criptografice utilizate n asigurarea securitii sunt algoritmi pseudo-aleatori, realizai printr-un program care genereaz un ir de bii (16 - 48 de bii, de regul, dar pot fi de practic orice lungime dorit) ce reprezint numrul aleator. Exist muli astfel de algoritmi i fiecare sistem folosete de regul proprii lui algoritmi. Standardul american ANSI X9.17, de exemplu, reglementeaz metodologia de generare a numerelor aleatoare i pseudo-aleatoare.
Anexa 1 Guvernarea electronic. O introducere, 2007 Pagina 9 din 12 dr.ing. Dan Vasilache
3. Semnturi digitale. Certificate de autenticitate i sisteme de chei publice
Semntura digital a unei entiti expeditoare, ataat unui document (ir de bii, numit i mesaj) trimis unei entiti receptoare, este un scurt bloc de date (ir de bii) expediat mpreun cu documentul, care dovedete c documentul este autentic, adic provine ntr-adevr de la entitatea expeditoare, este nealterat (integru), iar expeditorul nu poate contesta, ulterior expedierii, c a trimis efectiv documentul (nonrepudiere). Exist mai multe scheme de utilizare a semnturilor digitale. Dintre acestea vom prezenta pe scurt o schem care folosete criptografia asimetric i este folosit frecvent n domeniul plilor electronice, n cazul cardurilor inteligente, precum i n comerul electronic i n afacerile electronice. n acest caz entitile din sistem posed fiecare cte o pereche de chei una secret, i una public. Fiecare entitate cunoate de asemenea cheile publice ale entitilor cu care dorete s schimbe informaii sigure. Semntura digital se compune dintr-un rezumat, sau amprent, de exemplu de 160 bii, al documentului, obinut ca urmare a aplicrii unei funcii rezumat (de exemplu SHA-1), rezumat care este apoi criptat cu cheia secret a expeditorului, i trimis receptorului mpreun cu documentul (care poate fi i el criptat, sau nu) i cu cheia public. Receptorul decripteaz semntura digital cu cheia public a expeditorului, calculeaz el nsui (folosind desigur acelai algoritm SHA-1) rezumatul documentului primit, i-l compar cu rezumatul primit de la expeditor. Dac cele dou rezumate sunt egale aceasta nseamn c: a) documentul este autentic, adic a fost ntr-adevr expediat de expeditor pentru c numai el are cheia secret cu care a fost criptat rezumatul; b) documentul e integru (nu a fost alterat pe parcursul transmiterii) pentru c rezumatul calculat de receptor coincide cu rezumatul venit de la expeditor; c) expeditorul nu poate nega c a trimis documentul deoarece numai el dispunea de cheia cu care a fost criptat semntura primit de receptor. n figura A1-2 se prezint schema de principiu a semnrii digitale i a verificrii semnturii digitale.
Anexa 1 Guvernarea electronic. O introducere, 2007 Pagina 10 din 12 dr.ing. Dan Vasilache
ntruct funcia de amprentare nu este biunivoc, se poate gsi, teoretic vorbind, un alt document care s produc aceiai amprent, dar aceast cutare este practic nefezabil, chiar folosind calculatoare foarte puternice dac semntura are 160 de bii nseamn c exist circa 10 48 amprente diferite pe cel puin tot attea documente. Semntura digital trebuie asociat neaparat cu documentul semnat ntruct nu are sens dect mpreun cu acesta. Un dezavantaj al acestei metode de semnare a documentelor este faptul c fiecare entitate participant n sistem trebuie s dispun de cheile publice ale tuturor celorlalte entiti. Acest dezavantaj este eliminat prin schemele de autentificare care folosesc certificate de autenticitate emise de o Autoritate de Certificare (AC). n acest caz exist de asemeni mai multe scheme de autentificare. O Autoritate de Certificare, AC (CA, Certification Authority), este o entitate special i central, n care toate celelalte entiti decid c au complet ncredere. AC Anexa 1 Guvernarea electronic. O introducere, 2007 Pagina 11 din 12 dr.ing. Dan Vasilache
verific mai nti fiecare entitate, dup care i elibereaz (asumndu-i responsabilitatea) un certificat de autenticitate, pe care aceast entitate l va folosi n schimbul de informaii cu celelalte entiti pentru a-i dovedi autenticitatea, certificatul fiind fcut public. Certificatul de autenticitate este un bloc de date (ir de bii) criptat care cuprinde cel puin dou pri: datele de identitate ale entitii certificate (nume, cod, adres, etc.) i cheia public a entitii. Am putea scrie, simbolic, certificatul C AC
generat de AC pentru entitatea E, ca fiind C AC =S K-AC (ID E , K E ), unde ID i K sunt identitatea i cheia public ale lui E, S este semntura lui AC, iar K-AC este cheia secret a lui AC, cu care cripteaz certificatul. Certificatul de autenticitate, care e criptat cu cheia secret a Autoritii de Certificare, mai conine, printre altele, numrul certificatului, identitatea i semntura digital a AC care a dat certificatul, precum i perioada de valabilitate a certificatului. Semntura digital a AC, aflat ntr-un certificat, mai poate conine i o marc de timp (time stamp) care probeaz c certificatul a fost emis n perioada de valabilitate a certificatului. Certificatele acordate sunt apoi fcute publice pe Internet. Certificatul de autenticitate a unei identiti este, n esen, o legtur ntre acea identitate i cheia sa public (fie c aceast cheie este una de identitate, fie c este una folosit pentru semntura digital, cnd se mai numete i cheie de nonrepudiere, acestea dou putnd fi diferite). Certificatele de autenticitate internaionale sunt reglementate de standardul ISO/ITU X.509. Autoriti de Certificare mai cunoscute, cu acoperire global, sunt de exemplu companiile VeriSign i Thawte n SUA, i Globalsign n Belgia. n Romnia exist din 2004 compania e-Sign (www.e-sign.ro) care emite (n parteneriat cu VeriSign, care e autoritatea rdcin) semnturi digitale (i certificate de server) conform legii romne a semnturii electronice. Dac o AC este autorizat legal s emit certificate atunci aceste certificate au valabilitate juridic. Dac dou entiti din sistem doresc s comunice ntr-un mod sigur atunci vor cere fiecare n parte cte un certificat de autenticitate de la AC, pe care apoi i-l vor trimite una alteia. Cum toate entitile cunosc cheia public a AC, vor decripta certificatul de autenticitate i vor obine astfel identitatea autentic i cheia public a celeilalte entiti, cu care vor putea apoi comunica sigur, criptndu-i informaiile pe care le expediaz cu cheia public a receptorului. Acest sistem de autentificare, care presupune c exist o Autoritate de Certificare iar fiecare entitate din sistem dispune de una, sau mai multe, perechi de chei (secret, public) proprii, precum i de cheia public a AC, se numete un Anexa 1 Guvernarea electronic. O introducere, 2007 Pagina 12 din 12 dr.ing. Dan Vasilache
Sistem (sau o Infrastructur) de Chei Publice (PKI, Public Key Infrastructure; aceasta conine i alte elemente, cum ar fi Depozitul public de certificate, Lista certificatelor revocate, etc., dar nu mai intrm n detalii). ntr-un astfel de sistem este posibil existena unei ierarhii de Autoriti de Certificare, n care o AC principal, numit rdcin (Root Certification Authority), certific mai multe AC de nivel mai jos, care, la rndul lor, certific mai multe AC de nivel i mai jos, etc. La ultimul nivel de jos se afl AC care vnd efectiv certificatele de autenticitate. Cumprtorul unui astfel de certificat va verifica autenticitatea AC care i-a generat certificatul mergnd n sus pe ierarhia de AC, pn la AC rdcin, n care trebuie s aib ncrederea ultim. O variant de Sistem de Chei Publice este implementat pentru telefoane mobile (WPKI, Wireless PKI), servind n cazul n care certificatele de autenticitate de identitate i de semntur digital se afl n mobil (n cipul de SIM).
Note i bibliografie
1. Payment Technologies for E-Commerce, Weidong Kou, Editor, Springer Verlag, 2003. Cartea cuprinde cteva capitole interesante i utile de criptografie i biometric. 2. Caracteristicile biometrice se folosesc n special n cazul identificrii i controlului accesului (acces fizic prin ui, pori, puncte de trecere, i acces logic la calculatoare i reele, inclusiv Internet). ntr-o lucrare recent (Februarie 2004) a guvernului american se gsete o prezentare a problemelor de biometric, cu referire i la cardurile cu cip de identitate i control acces. Putei vedea raportul public US General Services Administration, Government Smart Card Handbook, February 2004, la adresa www.smartcardalliance.org/pdf/industry_info/ smatcardhandbook.pdf. 3. A se vedea de exemplu Introduction to Cryptography: Principles and Applications, Hans Delfs, Helmut Knebl, Springer, 2002. Este o prezentare a elementelor de criptografie utilizate n general n tehnologia calculatoarelor i telecomunicaiilor i utile n special n domeniul securitii.