ACADEMIA DE STUDII ECONOMICE DIN MOLODVA

FACULTATEA CIBERNETIC, STATISTIC I INFORMATIC

ECONOMIC
CATEDRA CIBERNETIC I INFORMATIC ECONOMIC

CARACTERISTICA PROTOCOALELOR DE
SECURIZARE A TRANZACIILOR DE I-COMER
REFERAT
la disciplina
Afaceri electronice
Specialitatea 444.2 Management Informaional

Profesor

Autori:

prof. univ. Ion BOLUN

gr. MI - 121,
nvmnt cu frecven la zi
Andrei POGURSCHI,
Mihai RACU

Chiinu 2014

CUPRINS
LISTA ABREVIERILOR ........................................ ERROR! BOOKMARK NOT DEFINED.
INTRODUCERE ........................................................................................................................3
1. SERVICII SI MECANISME DE SECURITATE ...............................................................4
2. MECANISME (TEHNICI) DE SECURITATE ..................................................................6
3. PRINCIPALELE PROTOCOALE DE SECURIZARE A TRANZACIILOR .............7
3.1

Soluii de securitate la nivel de reea; ...........................................................................................7

3.2 Soluii de securitatea la nivel de sesiune ............................................................................................8

CONCLUZIE ............................................................................................................................10
BIBLIOGRAFIE ......................................................................................................................11

INTRODUCERE
Comerul electronic a atins un nivel de dezvoltare uria avnd o influen deosebit asupra
felului n care se fac afacerile, cu sau fr Internet.
Pe lng toate avantajele oferite de iComer exist ngrijorarea referitoare la fraude, ceea ce
reprezint un mare pericol pentru comerul electronic.
Riscurile de fraud n comerul electronic prin Internet sunt generate pe de o parte de reeaua
de telecomunicaii publice, inerent nesigur, a Internetului i pe de alt parte de faptul c
tranzacia se face n situaia cardul-nu-este-prezent n faa comerciantului n momentul
cumprrii. Riscul se definete ca posibilitatea apariiei unor pierderi sau unor daune. Pierderile
pot fi financiare sau de confidenialitate. Telecomunicaiile publice nesigure, accesibile oricui i
tuturor, ofer ansa unei interceptri frauduloase a mesajelor, din care se pot extrage date secrete
(de card, de identitate) care ar putea fi ulterior folosite n mod fraudulos, n dauna deintorului
de card cumprtor, sau a comerciantului.
Faptul c deintorul i cardul nu sunt prezeni n faa comerciantului ofer ansa prezentrii la
plat a unui card fraudulos, sau a unui cumprtor cu identitate frauduloas (card and cardholder
impersonation).
Asigurarea desfurrii iComerului n bune condiii de securitate presupune respectarea unei
serii de cerine precum :

Confidenialitatea protejeaz coninutul tranzaciilor mpotriva citirii neautorizate, de

ctre alte persoane dect receptorii specificai de emitor.

Autentificarea permite receptorului unui mesaj s determine n mod sigur identitatea

expeditorului.

Integritatea datelor n reea furnizeaz receptorului unei tranzacii sigurana c

mesajul primit este identic cu mesajul emis de expeditor.

Prevenirea nerecunoaterii tranzaciei de ctre expeditor (Non-Repudierea)

garanteaz integritatea i originea tranzaciilor din punctul de vedere al expeditorului i nu a

destinatarului.

Aplicarea selectiv a unor servicii de multe ori este necesar acoperirea unor pri ale

tranzaciilor, de exemplu cele coninnd numrul crii de credit al unui client. Aceasta nu trebuie
s fie n clar vnztorului, care poate abuza de utilizarea ei.

1. Servicii si mecanisme de securitate

Servicile de securitate reprezint reprezint nite funcii individuale determinate de politicile
de securitate care contribuie la creterea securitii sistemului.
Fiecare serviciu de securitate poate fi implementat prin diferite metode, numite mecanisme
de securitate (tehnici de securitate).
n documentele ISO, sunt specificate urmtoarele tipuri de servicii de securitate care pot apare
ntr-un sistem distribuit:

1.1

Servicii de securitate ale entitilor

Servicii de securitate pentru o singur entitate

Identificarea sigur a unei entiti are loc atunci cnd entitatea dorete s semneze

ntr-o reea;

Autentificarea entitii numit i verificarea identitii entitii const n stabilirea dac

entitatea legal este cea care pretinde c este;

Autorizarea entitii stabilirea scopului activitilor i resursele necesare.

Servicii de securitate ale unui grup de entiti;

Autentificare mutuala se verific canalul de comunicaie (asocierea), dup identificarea

entitilor;

Semntura digital receptorul de date trebuie s fie sigur de originea datelor, adic de

identitatea i autenticitatea emitorului;

Sigiliu digital receptorul trebuie sa fie sigur de coninutul original al datelor;

Pota certificat - emitorul va primi cte un mesaj de confirmare pentru fiecare mesaj

trimis (semntura i sigiliu digital cu confirmare); el trebuie s fie sigur c datele au fost livrate
la receptor;

Nerepudierea emitorul trebuie s fie sigur asupra recepionrii datelor cu coninutul

original, deci el nu poate nega emisia unui mesaj sau coninutul su original, iar receptorul nu
poate nega recepia unui mesaj sau coninutul su original.

Pota electronic sigur emitorul trimite un mesaj autentificat ctre receptor, acesta

nefiinf activ n momentul livrrii mesajului.

Teleconferina sigur un grup de utilizatori folosesc n comun aceeai cheie secret, la

acelai moment de timp, pentru comunicaiile mutuale.

Cooperarea entitilor mutual suspicioase se refer la cazul entitilor care se suspiciaz

reciproc;

Semnare de contract necesit ntotdeauna o informaie secret echivalent, de

reciprocitate.

Aruncarea monedei permite ca dou entiti s arunce o moned n reea, rezultatul

fiind aleatoriu i imposibil de influenat de ctre pri.

Schema prag(k,n) const ntr-un grup nchis de n utilizatori, care pot stabili comunicaii

mutuale, dac cel puin

1.2

Servicii de securitate ale comunicaiilor

Servicii de securitate mpotriva atacurilor pasive intrusul doar observ mesajele care

trec, protocolul, informaia aferent protocolului n mesaje etc., adic analiza traficului, violarea
securitii transmisiei;
o

Confidenialitatea mesajelor;

Prevenirea analizei traficului;

Pseudonime digitale utilizatorul folosete identiti diferite pentru fiecare asociaie pe

care o face, ascunznd adevrata identitate, att pentru intrui, ct i pentru partenerii cu care
comunic;

Servicii de securitate mpotriva atacurilor active constu n operaii ilegale asupra

mesajelor interceptate, cum ar fi modificarea, tergerea, ntrzierea, duplicarea, nserarea de

mesaje false, reordonarea;
Atacurile sunt de 3 tipuri: modificarea secvenei mesajelor, refuzul serviciilor, declanarea
iniierii unei asociaii;
o

Integritatea secvenei de mesaje const n totalitatea serviciilor destinate eliminrii

atacurilor asupra autenticitii, intergritii i ordinii;

o

Continuitatea comunicaiei asigur c mesajele nu pot disprea de pe o asociere sau c

asocierea nu poate fi ntrerupt n mod ilegal;

o

Autentificarea asocierilor verific integritatea asociaiei i elimin atacul cu o identitate

fals.

2. Mecanisme (tehnici) de securitate

Pentru implementarea serviciilor de securitate se identific urmtoarele mecanisme de
securitate:

cifrarea - furnizeaz confidenialitatea asupra datelor i asupra transmisiei datelor;

algoritmii de cifrare trebuie s fie reversibili i pot fi simetrici sau asimetrici;

semntura digital - const din dou etape:

semnarea datelor - implic datele i producerea unei valori rezumat (digest), ca urmare

a aciunii unei funcii de dispersie (hash); semnarea acestei informaii folosind cheia secret a
semnatarului;
-

verificarea semnturii - se realizeaz cu cheia public a emitorului i determin dac

semntura este autentic i a fost aplicat datelor originale;

controlul accesului - folosete identitatea entitii pentru a stabili drepturile de acces.

integritatea datelor - se refer la:

integritatea traficului (a irului de date) - se folosesc numere de secven, inlnuire

criptografic sau marcarea timpului.

-

integritatea unei singure uniti de date - la emisie se adaug o sum de control

criptografic BCC (Block Check Code), iar la recepie se genereaz valoarea corespunztoare
mesajului recepionat i se compar cu cea primit.

autentificarea schimbului - mecanismul const din utilizarea unor informaii de

autentificare, parole, furnizate de emitor i verificate la recepie, a unor protocoale

criptografice sau entiti hardware.

protecia traficului - are ca scop analiza traficului; informaia de protecie a traficului

este protejat printr-un serviciu de confidenialitate.

3. Principalele protocoale de securizare a tranzaciilor

Pentru furnizarea unor servicii care s asigure un nivel nalt de securitate au fost propuse mai
multe protocoale criptografice. Dac majoritatea acestor protocoale sunt similare n ceea ce
privete serviciile oferite i algoritmii criptografici folositi, ele difera prin maniera de furnizare a
serviciilor si prin situarea lor n raport cu ierarhia de protocoale TCP/IP. O serie de initiative
ncearc implementarea securitii la nivelul IP; altele peste TCP, la nivel sesiune; altele ncearc
extinderea unor protocoale la nivel aplicaie (Ftp, HTTP, Telnet, e-mail) cu facilitati
suplimentare de securitate.
De asemenea, o serie de initiative propun solutii de securizare a continutului unor documente,
independent si mai presus de protocoalele existente la nivel de aplicatie, prin intermediul unor
utilitare separate.

3.1

Soluii de securitate la nivel de reea;

ncepnd cu anul 1993 s-au facut eforturi pentru dezvoltarea unei arhitecturi de securitate la
nivel IP, care sa furnizeze protectia criptografica a traficului n retea. Internetul poate fi defenit
ca o retea de retele, care utilizeaza suita de protocoale TCP/IP. Din 1982, cel mai folosit protocol
Internet a fost IPv4. n momentul de fata deja e pe larg folosit noua generaie de protocoale IP,
numite si IPv6 sau IPng (Internet Protocol New Generation). Principiul de lucru al acestei familii
de protocoale este simplu: datele sunt trimise sub forma unor blocuri de caractere, numite
7

datagrame sau pachete. Fiecare pachet este prefatat de un mic ansamblu de octeti, numit header
(antet), urmat de datele propriu-zise, ce formeaza continutul pachetului. Dupa sosirea la
destinatie, datele transmise sub forma de pachete distincte sunt reasamblate n unitati logice de
tip fisier, mesaj etc. Internetul comut pachetele pe diferite rute de la surs la destinaie,
numindu-se de aceea reea cu comutare de pachete. Dezvoltrile privind securitatea IP, n special
n cazul noului IPv6, includ doua mecanisme care furnizeaza aceste servicii:
Antetul de autentificare (Authentication Header-AH), care realizeaza autentificarea si
controlul integritii pachetelor, folosind algoritmul de hash MD5.
ncapsularea criptografica (Encapsulated Security Payload-ESP, care realizeaza asigurarea
confidenialitii pachetelor, folosind algoritmul DES.

3.2

Soluii de securitatea la nivel de sesiune

Evident, cel mai folosit protocol la acest nivel este SSL (Secure Sockets Layer), introdus de
Netscape n anul 1994. n 1995, Microsoft a introdus si un protocol numit PCT (Private
Communication Technology), n multe privinte similar cu SSL i complet interoperabil cu
acesta.
SSL ofer servicii de securitate chiar deasupra nivelului TCP, folosind o combinaie de
criptosisteme cu chei publice si simetrice, care asigur implementarea confidenialitii,
integritii datelor i a autentificrii serverului i /sau a clientului. Autentificarea clientului
presupune c fiecare dintre acetia s posede o pereche de chei criptografice: una public i alta
secret. Cerinele de autentificare a clienilor implic necesitatea distribuirii certificatelor de chei
publice ale tuturor utilizatorilor de navigatoare pe Internet. Deoarece numrul serverelor pe
Internet este mult mai mic dect cel al clienilor, este mult mai practic sa se echipeze serverele cu
mecanismele criptografice cu chei publice pentru gestiunea semnturilor digitale si distribuia
cheilor.
SSL foloseste sisteme bazate pe chei publice pentru a schimba cheia de sesiune. O dat
obinut o cheie de sesiune, se poate folosi o varietate de algoritmi cu cheie secret. Securitatea
conexiunii realizata de SSL are urmatoarele proprietati:

conexiunea este privat: cifrarea este prefatata de protocolul de initiere (hand-shake),

care are rolul de a stabili o cheie simetrica de sesiune;

autentificare foloseste sisteme criptografice asimetrice;

conexiunea este sigur: transportul mesajelor include verificarea integritii, folosind

funcii de semnatur digital cu chei publice (RSA, DSA, .) si functii de rezumare-hash
(MD5, SHA, .).

SSL furnizeaza urmatoarele servicii: autentificare server, cifrarea datelor i integritatea

mesajelor. Protocolul SSL este construit pe niveluri: nivel articol, nivel de schimb al
specificatiilor criptografice, nivel de initiere (handshake) etc.
Organismul de coordonare tehnica a Internetului, IETF (Internet Engineering Task Force), a
propus modificarea unor protocoale la nivel sesiune, pentru a se permite distribuia de chei
criptografice ce vor fi utilizate n aplicatiile TCP/IP. Acest lucru d posibilitatea stabilirii unor
asociaii sigure ntre dou sisteme sau doi utilizatori. Dei mai sunt nc pai de fcut pentru a se
crea un standard n acest context, se profileaz deja cteva soluii interesante:
Protocolul SKIP (Simple Key Exchange for Internet Protocols) utilizeaza certificatele
de chei publice pentru schimbul unor chei criptografice simetrice, de lunga folosinta,
ntre doua parti comunicante. Aceste certificate sunt obtinute prin utilizarea unui
protocol separat, executat deasupra protocolului UDP (User Data Protocol).
Protocolul Photuris. Principalul dezavantaj al protocolului SKIP consta n faptul ca,
daca o persoana (proces) obtine o cheie SKIP pe termen lung, acesta poate decripta
toate mesajele generate anterior cu aceasta cheie. Photuris reprezinta o alternativa care
ncearca nlaturarea acestui dezavantaj. Se folosesc chei de lunga durata doar pentru
autentificarea cheilor de sesiune (de scurta durata, o singura cheie pe sesiune).
Protocolul ISAKMP (Internet Security Association and Key Management Protocol)
ofera un sistem generic de gestiune a cheilor si nu unul specific, ca la SKIP sau
Photuris. Prin faptul ca nu specific n mod explicit un anumit algoritm criptografic sau
protocol, ISAKMP se dovedeste o soluie mai flexibil.

CONCLUZIE
Este greu de prezis care va fi viitorul securitatii la nivel sesiune. O buna parte din specialisti
considera ca SSL ofera o buna solutie pe termen scurt, deoarece nu impune o modificare a
protocoalelor la nivel aplicatie. Este nsa necesara construirea, n viitor, a unei ntregi arhitecturi
de securitate Internet, proiectata si implementata n mod unitar.
Deoarece cel mai serios impediment n dezvoltarea comertului electronic si n special a celui
pe Internet l constituie securitatea, ultimii ani au fost martorii unor numeroase propuneri privind
securizarea comunicatiilor de date n Internet. Este nsa greu de prezis care va fi viitorul n acest
domeniu. n plus fata de cerintele de securitate, trebuie avuta n vedere si utilizabilitatea
sistemelor si a programelor create, adica posibilitatea de a fi folosite de persoane cu pregatire
medie, fara eforturi deosebite de adaptare. De asemenea, pentru a folosi sistemele criptografice
cu chei publice n toata lumea, este necesar sa se creeze un sistem eficient si total transparent
pentru utilizator de regasire si distribuire a cheilor si o infrastructura de certificare. Exista un
grup de lucru al IETF - Public Key Infrastructure Working Group (PKIX) - dedicat tocmai
studierii posibilitatilor de realizare a unei astfel de infrastructuri globale de certificare a cheilor
publice. De asemenea, unele tari (n special SUA) trebuie sa renunte la barierele privind exportul
produselor criptografice. Cert este acum ca asistam la o raspndire deosebita a utilizarii
protocoalelor SSL si S-HTTP, precum si a sistemelor de plati electronice compatibile SET.

10

BIBLIOGRAFIE

1.

BOLUN I., COSTA I., GAMECHI A., ZACON T., DELIMARSCHI B.,

Elaborarea tezelor de licen la specialitatea Cibernetic i informatic economic, Chiinu,

ASEM, 2009.
2. http://www.securitatea-informatica.ro/securitatea-informatica/securitatearetelelor/securitatea-tranzactiilor-in-comertul-electronic/#top
3. http://www.danvasilache.info/ePCap6.pdf

11