Introducere n

Criptografie

Prof. univ.dr. Constantin Popescu

Departamentul de Matematica si Informatica
http://webhost.uoradea.ro/cpopescu/

01/11/2007

Introducere in Criptografie

Agenda
1. Protocoale TCP/IP
2. Securitatea Web
3. Protocolul Secure Electronic Transaction (SET)
4. Cerine ale protocolului SET

Introducere in Criptografie

Protocoale TCP/IP
Protocolul IP asigur livrarea pachetelor numai dac n
funcionarea reelelor nu apar erori.

Dac un mesaj este prea lung, IP cere fragmentarea lui n mai

multe pachete.

Transmiterea pachetelor IP se face ntre calculatoare gazd i nu

direct ntre programele de aplicaie.

Din aceste motive, protocolul IP este completat cu un altul, numit

TCP (Transmission Control Protocol), care face fragmentarea i
asigur transmiterea corect a mesajelor ntre utilizatori.

Pachetele unui mesaj sunt numerotate, putndu-se verifica primirea

lor n forma n care au fost transmise i reconstituirea mesajelor
lungi, formate din mai multe pachete.

Introducere in Criptografie

Protocoale utilizate n suita TCP/IP

NIVEL
TELNET
APLICAIE
NIVEL
TRANSPORT
NIVEL
INTERNET

SMTP

FTP

TCP

DNS
UDP

IP
LLC 802.2

NIVEL
REEA

ETHERNET

MAC 802.3
ETHERNET
802.3

Introducere in Criptografie

MAC 802.4

MAC 802.5

TOKEN BUS TOKEN RING

802.4
802.5

Protocolul IP
ncepnd cu 1982, cel mai utilizat protocol Internet a fost IPv4
Din 1995, IETF (Internet Engineering Task Force), care dezvolt

protocoale standard pentru Internet, a emis o specificaie pentru

noua generaie de IP, numit IPng sau IPv6.

Datele sunt trimise sub forma unor blocuri de caractere, numite

datagrame sau pachete.

Fiecare pachet este prefaat de un mic ansamblu de octei, numit
header (antet), urmat de datele propriu-zise ce formeaz coninutul
pachetului.
Dup sosire la destinaie, datele transmise sub forma unor pachete
distincte sunt reasamblate n uniti logice de tip fiier, mesaj.

Internetul comut pachetele pe diferite rute de la surs la destinaie,

numindu-se reea cu comutare de pachete.

Introducere in Criptografie

Structura unui pachet IP

Bii
0
4
8
16
Versiune Lungime Tip serviciu
Identificare
Timp de via

19
Lungime total

Indicatori

Protocol

31

Offset fragment

Sum control antet

Adres IP surs
Adres IP destinaie
Opiuni IP

Nefolosii
Date

Introducere in Criptografie

Structura unui pachet IP

Cmpurile unui antet pentru IPv4 sunt:
Versiune (4 bii): Indic numrul versiunii. Valoarea este 4.
Lungime (4 bii): Specific lungimea antetului. Valoarea minim
este 5, pentru o lungime a antetului de minim 20 de octei.
Tip serviciu (8 bii): Specific rutele IP n termenii de prioritate a
pachetelor.
Lungimea total (16 bii): Specific lungimea total a pachetului
IP, n octei.
Identificare (16 bii): mpreun cu adresa sursei, adresa
destinaiei i cu protocolul utilizatorului, identific un pachet ntrun mod unic.
Indicatori (3 bii): Indic dac un pachet este fragmentat sau nu.
Introducere in Criptografie

Structura unui pachet IP

Offset fragment (13 bii): Indic cui i aparine pachetul
fragmentat.
Timp via (8 bii): Specific ct timp (n secunde) rmne un
pachet n Internet.
Protocol (8 bii): Indic protocolul de la nivelul imediat superior
care primete datele.
Sum control antet (16 bii): Este un cod de detectare a erorilor
aplicat numai antetului. Acesta se calculeaz i se verific la
fiecare rut.
Adresa IP surs (32 bii): Specific adresa surs a IP.
Adresa IP destinaie (32 bii): Specific adresa destinaie a IP.
Opiuni (variabil): Specific opiunile emitorului: eticheta de
securitate, cile de rutare.
Nefolosii (variabil): Utilizai pentru a se asigura c un antet este
un multiplu de 32 de bii n lungime.
Introducere in Criptografie

Securitatea Web
Sistemul World Wide Web a luat fiinta la nceputul anilor '90.
Sistemul Web nu este o reea, ci este un sistem de aplicaii.
Sistemul Web poate fi instalat pe diferite tipuri de reele, care nu

trebuie s fac parte din Internet, i poate fi folosit chiar pe

calculatoare neconectate la reea.
World Wide Web este un sistem de comunicare a informaiilor
hipertext folosit n general n reeaua Internet
Funcioneaz prin comunicare de date pe baza unui model clientserver.
Clienii, adic navigatoarele Web, au acces la informaiile
hipermedia i multiprotocol aflate pe un server Web.
Modelul client-server pentru calculatoarele conectate n reea
implic trei componente: clientul, serverul i reeaua.

Introducere in Criptografie

Securitatea Web
Clientul este o aplicaie care de obicei ruleaz pe calculatorul

utilizatorului final.
Serverul este o aplicaie care de obicei ruleaz pe calculatorul
furnizorului de informaii.
Programul client este adaptat sistemului hardware pe care ruleaz
i funcioneaz ca o interfa ntre sistemul respectiv i informaiile
furnizate de server.
Cererea este transportat prin reea, de la client la server.
Serverul analizeaz cererea i execut activitile corespunztoare.
Protocolul HTTP (Hyper Text Transfer Protocol) este un protocol
simplu, la nivel aplicaie, n modelul TCP/IP, ce descrie cererile de
la clieni i rspunsurile de la servere.
Protocolul HTTP folosete portul TCP 80.

Introducere in Criptografie

10

Securitatea Web
O modalitate de a furniza securitatea Web este utilizarea securitii

la nivel IP (IPSec).
Avantajul utilizrii IPSec este acela c este transparent pentru
utilizatorii finali i pentru aplicaii.
Mai mult, securitatea la nivel IP include posibiliti de filtrare aa
nct numai mesajele selectate circul n reea (Figura 1).
HTTP

FTP

SMTP

TCP
IP/IPSec
Figura 1. Securitatea la nivel IP
Introducere in Criptografie

11

Securitatea Web
O alt soluie de a furniza securitatea Web este aceea de a
implementa o securitate deasupra protocolului TCP (Figura 2).

Cel mai cunoscut exemplu este folosirea protocolului

Secure Sockets Layer (SSL) i a urmaului lui SSL, numit

Transport Layer Security (TLS).

Browserele Netscape i Microsoft Explorer au ncorporate

protocolul SSL i cele mai multe servere Web au implementat

acest protocol.
HTTP

FTP
SMTP
SSL sau TLS
TCP
IP

Figura 2. Securitatea la nivel SSL

Introducere in Criptografie

12

Securitatea Web
A treia soluie pentru securitatea Web este folosirea unor aplicaii
cum ar fi (figura 3):
o Kerberos
o S/MIME
o PGP
o SET (Secure Electronic Transaction).
S/MIME
KERBEROS

PGP

SMTP

UDP

SET
HTTP

TCP
IP
Figura 3. Securitatea la nivel aplicaie

Introducere in Criptografie

13

Ameninri Web
Ameninri

Modificare date
utilizator
Modificarea
memoriei
Modificarea
traficului de mesaje
n tranzit
Confidenialitate Ascultarea
traficului n reea
Furtul de informaii
din server
Furtul de informaii
de la client
Informaii despre
configurarea reelei
Integritate

Introducere in Criptografie

Urmri

Pierderea
informaiilor
Compromiterea
calculatorului
Vulnerabilitate
la alte
ameninri
Pierderea
informaiilor
Pierderea
datelor secrete

Contramsuri
Sume de verificare
criptografic

Criptare
Folosirea proxiurilor Web

14

Ameninri Web
Ameninri

Refuzul de
Umplerea discului
servicii (denial of
sau a memoriei
service)
Umplerea
calculatorului cu
cereri false
Izolarea
calculatorului de
atacurile DNS
Autenticitate
Date false
Utilizatori care
pretind c sunt
legitimi

Introducere in Criptografie

Urmri

Imposibilitatea
de a lucra la
calculatorul
respectiv

Se crede c
informaia fals e
valid

Contramsuri
Greu de prevenit

Tehnici
criptografice

15

Protocolul Secure Electronic Transaction (SET)

Protocolul SET este o specificaie deschis de criptare i de

securitate proiectat s protejeze tranzaciile cu cri de credit n

Internet.

Versiunea curent, SET v1, a fost proiectat din necesitatea celor

dou companii Master Card i Visa de a realiza un standard de

securitate, n anul 1996.

Un numr nsemnat de companii au fost implicate n dezvoltarea

SET: IBM, Microsoft, Netscape, RSA, Terisa i Verisign.

SET nu este un sistem de plat.

SET este un set de protocoale de securitate ce permite utilizatorilor
s foloseasc infrastructura de pli cu cri de credit ntr-o reea
deschis, cum este Internet, ntr-un mod sigur.

Introducere in Criptografie

16

Protocolul SET
n esen, protocolul SET furnizeaz trei servicii:
Un canal sigur de comunicare ntre toate prile implicate ntr-o
tranzacie.
Furnizeaz ncredere n utilizarea certificatelor digitale X.509v3.
Asigur secretizarea informaiilor, astfel nct acestea s fie
disponibile doar prilor implicate n tranzacie.

Introducere in Criptografie

17

Cerine ale protocolului SET

S furnizeze confidenialitatea plilor. SET utilizeaz criptarea
pentru a realiza confidenialitatea.
S asigure integritatea tuturor datelor transmise. Semnturile
digitale sunt utilizate pentru a realiza integritatea.
S furnizeze autenticitatea astfel nct un deintor de carte de
credit este utilizatorul legitim al contului crii de credit respective.
Acest mecanism reduce frauda. Semnturile digitale i certificatele
sunt utilizate pentru a verifica dac un deintor de carte de credit
este utilizatorul legitim al contului crii de credit respective.
S furnizeze autenticitatea astfel nct un comerciant s poat s
accepte tranzaciile cu cri de credit cu instituia financiar
(banca). Pentru aceasta se folosesc semnturile digitale i
certificatele.
Introducere in Criptografie

18

Cerine ale protocolului SET

S asigure utilizarea celor mai buni algoritmi criptografici i tehnici
de proiectare a sistemelor pentru a proteja toate prile legitime n
tranzaciile comerului electronic.
S creeze un protocol care s nu depind de alte mecanisme de
securitate a transportului i s nu mpiedice utilizarea lor:
o SET poate opera sigur deasupra protocolului TCP/IP
o SET nu interfereaz cu protocoale ca IPSec sau SSL/TLS.
S faciliteze i s ncurajeze interoperabilitatea ntre furnizorii de
software i de reele:
o Protocolul SET este independent de platforma hardware
o Este idependent de sist. de operare sau de software-ul Web.
Introducere in Criptografie

19