SECURITATEA INFORMATIEI

Prof. univ.dr. Constantin Popescu

Departamentul de Matematica si Informatica
http://webhost.uoradea.ro/cpopescu/

01/11/2007

Introducere in Criptografie

Agenda
1. Servere de autentificare Kerberos
2. Certificate de cheie public
3. Securitatea potei electronice - Sistemul PGP
4. Prelucrarea unui mesaj e-mail
5. Standardul S/MIME

Introducere in Criptografie

Servere de autentificare Kerberos

Problema autentificrii utilizatorilor i programelor n reelele de

calculatoare devine tot mai critic datorit numeroaselor posibiliti

de ocolire a mecanismelor clasice bazate pe parole.
Un utilizator care are acces la un sistem multiuser sau la un
serviciu Internet va trebui s se autentifice folosind o parol.
Sistemele bazate pe parole sunt vulnerabile la atacuri prin ncercri
repetate sau la ascultarea conexiunilor pe care se transmit parolele.
De aceea, ultimii ani au dus la implementarea unor servicii de
autentificare bazate pe protocoale criptografice.
Astfel a fost creat cel mai puternic i mai utilizat serviciu de
autentificare din lume care se numete:
Kerberos Authentication Server.

Introducere in Criptografie

Servere de autentificare Kerberos

Kerberos a fost creat n cadrul proiectului Athena, la MIT

(Massachusets Institute of Tehnology) din SUA.

Permite utilizatorilor s comunice n reea pentru a-i dezvlui
identitatea i pentru a se autentifica, prevenind situaiile de
ascultare a liniilor.
Kerberos realizeaz secretizarea datelor prin criptare.
Mai mult, Kerberos furnizeaz autentificarea n timp real ntr-un
mediu distribuit nesecurizat.
Din cauza restriciilor la export, Kerberos nu este disponibil n
afara SUA.
Pentru a rezolva aceast problem i pentru a furniza companiilor
europene un produs compatibil, un alt proiect a fost dezvoltat n
Europa, numit SESAME i este perfect compatibil cu Kerberos
versiunea 5.

Introducere in Criptografie

Servere de autentificare Kerberos

Cele mai multe implementari de Kerberos folosesc protocolul
TCP/IP (Transmission Control Protocol / Internet Protocol).

Kerberos este folosit n protocoale la nivel aplicaie, precum Telnet

sau FTP, pentru a asigura securitatea comunicaiilor cu host-ul.

Kerberos furnizeaz urmtoarele servicii:

1. Autentificare mutual i comunicaie sigur ntre dou entiti ale
unei reele deschise.
2. Distribuie chei secrete, oferind mecanisme pentru propagarea
sigur a acestor chei secrete prin reea.
3. Furnizeaz diferitelor servicii de pe calculatoare
posibilitatea identificrii sigure a utilizatorilor individuali.
Introducere in Criptografie

host
5

Certificate de cheie public

Abordarea sistemelor cu chei publice se face utiliznd conceptul de
certificat, necesar pentru a exista certitudine asupra autenticitii
cheilor publice.

Altfel, ar fi posibile anumite substituii de persoane.

Un certificat de cheie public e o structur de date folosit pentru
a se putea asocia, n mod sigur, o cheie public cu nite atribute de
utilizator.
Atributele pot fi, de exemplu, informaii de autentificare (nume,
adres) sau informaii de autorizare (de acces la o surs).

Certificatul face legtura ntre o cheie public i un nume.

Introducere in Criptografie

Certificate de cheie public

n structura certificatului exist urmtoarele cmpuri:
Versiunea permite s se fac distincie ntre versiuni succesive ale
formatelor de certificat.
Seria identific n mod unic certificatul, ntre cele emise de aceeai
entitate.
Algoritmul de semntur identific algoritmul folosit pentru
calcularea semnturii digitale la acel certificat.
Emitent conine numele distinct al entitii care a creat certificatul
i garanteaz pentru legtura corect ntre cheie public i subiect
(numele autorului certificatului).
Subiect conine numele distinct al entitii care reprezint subiectul
certificrii i proprietarul cheii publice cuprinse n certificat.
Introducere in Criptografie

Certificate de cheie public

Valabilitatea cuprinde intervalul de timp, data de nceput i cea de
sfrit, n care certificatul e valabil.
Cheia public subiect conine un identificator al algoritmului
folosit, precum i parametrii cerui de algoritm, care constituie
cheia public a subiectului proprietar al certificatului.
Semntura conine semntura digital a certificatului i este
adaugat celorlalte cmpuri ale acestuia. Semntura se aplic de
ctre autoritatea emitent folosind cheia sa privat i poate fi
verificat oriunde, folosind cheia public a Emitentului.
Dintre autoritile de certificare folosite n Internet, cea mai
cunoscut este VeriSign

Introducere in Criptografie

Securitatea potei electronice - Sistemul PGP

Cerinele de securitate n pota electronic au condus la realizarea
mai multor pachete de programe destinate proteciei criptografice a
mesajelor trimise prin reea.

Dintre acestea, cel mai popular este PGP (Pretty Good Privacy)
dezvoltat de Philip Zimmerman n SUA.

PGP este un pachet de programe destinat proteciei potei

electronice i a fiierelor, prin cifrare clasic i cu chei publice.

Cu ajutorul su se pot stabili modaliti sigure de comunicaie ntre

persoane, nefiind necesar schimbarea prealabil a unor chei de
cifrare.

PGP-ul nclude un sistem sigur de gestiune a cheilor, autentificarea

datelor prin semntur digital i compresia datelor.
Introducere in Criptografie

Securitatea potei electronice - Sistemul PGP

PGP satisface trei cerine eseniale:
1. Caracterul privat al potei electronice, ceea ce nseamn c doar
destinatarul desemnat al scrisorii poate citi coninutul acesteia.
2. Autentificarea emitorului mesajului.
3. Autentificarea mesajelor, adic certitudinea c mesajele nu au fost
modificate de alte persoane.

Serviciile oferite de sistemul PGP sunt:

o Autenticitatea
o Confidenialitatea
o Compresia
o Compatibilitatea e-mail
o Segmentarea.
Introducere in Criptografie

10

Securitatea potei electronice - Sistemul PGP

Sistemul PGP poate executa urmtoarele operaii:
criptarea fiierelor: se pot cripta fiiere proprii, folosind algoritmi
de criptare cu chei secrete IDEA. Fiierul poate fi descifrat doar de
entitatea care cunoate cheia de criptare a fiierului.
crearea de chei secrete i publice: acestea sunt utile pentru a cripta
i semna mesajele care se trimit sau pentru decriptare.
gestionarea cheilor: PGP-ul creaz i deine o baz de date care s
conin cheile publice ale persoanelor cu care se dorete
corespondena.
transmiterea i recepionarea de mesaje e-mail criptate: cu ajutorul
PGP-ului se pot trimite scrisori criptate i se pot decripta scrisorile
recepionate.
Introducere in Criptografie

11

Securitatea potei electronice - Sistemul PGP

folosirea semnturilor digitale: PGP-ul poate face o semnare
electronic a documentelor sau poate verifica semntura oricrei
persoane.
certificarea cheilor: PGP-ul asigur aceasta prin semntura digital
a cheilor publice.
revocarea, dezactivarea i custodia cheilor: dac anumite chei ale
utilizatorilor sunt compromise, ele se pot revoca sau dezactiva.
Cheile se pot pune la loc sigur, folosind facilitile de custodie.
configurarea dup necesiti a PGP-ului: se pot schimba setrile
variabilelor din fiierul de configurare a PGP-ului.
folosirea serverelor de chei PGP de pe Internet: se poate adauga
cheia public la o baza de date de pe server sau se pot obine alte
chei publice care se afl pe server.
Introducere in Criptografie

12

Securitatea potei electronice - Sistemul PGP

Criptarea folosit de PGP
PGP folosete o combinaie a sistemelor criptografice simetrice i cu
chei publice:

sistem simetric, bazat pe cifrul IDEA cu o singur cheie pentru

cifrarea coninutului mesajelor e-mail sau fiierelor.

sistem asimetric RSA pentru protecia i distribuia cheii de unic

ntrebuinare (cheie de sesiune) cu care se face cifrarea simetric a
mesajului e-mail, precum i pentru autentificarea prin semntura
digital a mesajului i a emitorului.

Introducere in Criptografie

13

Servicii oferite de PGP

Servicii

Algoritmi
Descriere
utilizai
Semntura DSS/SHA Este creat un cod hash al mesajului
folosind SHA-1. Acest rezumat este
digital
sau
RSA/SHA criptat folosind DSS sau RSA cu cheia
privat a emitorului.
Criptarea CAST sau Un mesaj este criptat cu CAST-128 sau
mesajului IDEA sau IDEA sau TDES cu o cheie de sesiune
Triple DES generat de emitor. Cheia de sesiune
cu Diffie- este criptat cu Diffie-Hellman sau RSA
cu cheia public a recipientului.
Hellman
sau RSA
Compresia ZIP
Un mesaj poate fi compresat pt. stocare
sau pentru transmisie folosind ZIP.
Introducere in Criptografie

14

Servicii oferite de PGP

Servicii
Compatibilitate
e-mail
Segmentarea

Algoritmi
Descriere
utilizai
Conversie Pentru a furniza transparena
Radix-64 aplicaiilor e-mail, un mesaj criptat
poate fi convertit la un ir ASCII
folosind conversia Radix-64.
--- Pentru a se ncadra n limitrile
maxime ale mesajului, PGP face
segmentarea
i
reasamblarea
mesajului.

Introducere in Criptografie

15

Prelucrarea unui mesaj e-mail

La emiterea unui mesaj e-mail, PGP execut urmtoarele prelucrri :
1.Folosindu-se algoritmul de hash MD5 (sau SHA-1), se creaz un
cod de autentificare MAC (Message Authentication Code) de 128
de bii (sau de 160 de bii), dependent de codul mesajului. Codul va
fi folosit n procesul de autentificare:
MAC = MD5 (mesaj).
2.Prin cifrare cu cheia secret Kprivata A a emitorului A al
mesajului e-mail, folosindu-se algoritmul cu chei publice RSA, se
creaz semntura digital pentru autentificarea mesajului i a
originii sale :
Semntura = RSA (MAC, Kprivata A ).
Introducere in Criptografie

16

Prelucrarea unui mesaj e-mail

3.Mesajul e-mail este comprimat, folosindu-se cunoscutul program
pkzip. Acest lucru asigur o reducere a volumului de date ce trebuie
cifrate i apoi transmise :
Mesaj comprimat = pkzip (mesaj).
4.Se genereaz aleator o cheie de cifrare K, folosit doar pentru acest
mesaj, numit cheie de sesiune. Ea reprezint un numar de 128 de
bii:
Cheie sesiune = random( ).
5.Mesajul comprimat anterior este apoi cifrat cu ajutorul algoritmului
IDEA, folosindu-se cheia generat n pasul precedent:
Mesaj cifrat = IDEA (Mesaj comprimat, Cheie sesiune).
Introducere in Criptografie

17

Prelucrarea unui mesaj e-mail

6.Folosind acelai sistem cu chei publice (cheia publica KpublicaB a
destinatarului B al mesajului e-mail), se cripteaz cheia de sesiune
pentru a putea fi trimis n mod sigur la receptor:
Cheie sesiune criptat = RSA (Cheie sesiune, KpublicaB ).
7.Se creaz mesajul e-mail protejat n vederea transmiterii lui la
destinaie folosind serviciile obinuite de e-mail:

Mesaj e-mail protejat = [Key-ID, Semntura, Data-Semntura,

Cheie sesiune criptat, Mesaj cifrat].

Introducere in Criptografie

18

Standardul S/MIME
S/MIME este un standard pentru asigurarea securitii mesajelor e

mail n Internet.
Formatul unui mesaj e-mail este numit MIME (Multipurpose
Internet Mail Extensions).
RFC 822 definete un format pentru mesajele de tip text care sunt
trimise prin pota electronic.
n contextul RFC 822, mesajele sunt vzute ca avnd o anvelop i
un coninut.
Anvelopa conine informaii ce sunt necesare pentru a realiza
transmisia.
Coninutul mesajului reprezint obiectul ce va fi transmis la
recipient.

Introducere in Criptografie

19

Standardul S/MIME
Standardul RFC 822 se aplic doar coninutului mesajului.
Coninutul mesajului include un set de cmpuri header ce sunt
utilizate de sistemul de pot electronic pentru a crea anvelopa.

Un mesaj, conform RFC 822, este constituit dintr-un numr de linii

header urmat de un text (the body corpul mesajului).

Header-ul este separat de corpul mesajului printr-o linie goala.

O linie header este constituit dintr-un cuvnt cheie (keyword),
urmat de caracterul dou puncte ( : ) i de argumentele cuvntului
cheie.

Formatul RFC 822 permite ca o linie prea lung s fie spart n mai
multe linii.

Cele mai utilizate cuvinte cheie sunt From, To, Subject i Date.
Introducere in Criptografie

20

Standardul S/MIME
Prezentm aici un exemplu de mesaj:
Date : Tue, 16 Jan 2001 10:37:17
From: Constantin Popescu cpopescu@uoradea.ro
Subject: Sintaxa in RFC 922
To: vip@mta.ro
Hello! Aici ncepe corpul mesajului.

S/MIME utilizeaz trei algoritmi cu cheie public:

o DSS pentru semnturi digitale
o EIGamal pentru criptarea cheilor de sesiune
o RSA pentru semnturi digitale i criptarea cheilor de sesiune.
Standardul S/MIME utilizeaz alg. hash SHA-1 de 160 de bii.
Introducere in Criptografie

21