Sunteți pe pagina 1din 195

Cuvnt nainte

Securitatea datelor este un concept legat, de obicei, de reelele de calculatoare i, mai nou, de Internet i are trei aspecte distincte: protecia datelor, autentificarea datelor i identificarea utilizatorilor. Criptarea mesajelor este folosit ca mijloc de protecie mpotriva accesului neautorizat la date, dar i pentru a determina situaiile n care acest acces a avut loc. ezvoltarea te!nologic aduce sistemelor de protecie a datelor o nou provocare: viteza de lucru" #ste nevoie de te!nici de viteza mare at$t pentru protejarea datelor, c$t i pentru accesarea lor. e%a lungul timpului au fost dezvoltate o serie de te!nici, algoritmi, mijloace fizice i legale de protecie a informaiei. #poca modern a adus n discuie nu numai concepte de protecie strict a datelor ci i acelea de verificare a integritii &pentru a detecta eventuala alterare a datelor' i autentificare &verificarea sursei datelor dar i a entitii % persoana sau program soft(are % care acceseaza datele'. Cifrurile sunt te!nici de criptare care se aplic asupra unitilor de te)t &bii, caractere, blocuri de caractere', independent de semantica lor sau nelesul lingvistic. *ezultatul este un te)t cifrat. +rin contrast, codurile criptografice opereaz asupra unitilor lingvistice: cuvinte, grupuri de cuvinte, fraze substituindu%le &nlocuindu%le' cu cuvinte anume, grupuri de litere sau numere numite grupuri de cod. , c!eie este un grup de bii, caractere, numere utilizate pentru criptarea-decriptarea unui mesaj. +oate fi, de asemenea i o carte de coduri utilizat n .

acelai scop, de codificare-decodificare a unui mesaj. /n practic este acordata o atenie deosebit criptrii asimetrice, n care o c!eie este fcut public pentru criptarea oricrui mesaj i trimiterea lui la un destinatar 0, n timp ce numai 0 tie c!eia privat utilizat la decriptarea mesajului. 1a proiectarea unui algoritm de cifrare se dorete ca spargerea unui cod s devin cel putin o problem computaional. Spargerea algoritmului *S0 de criptare cu c!ei publice, se reduce la factorizarea unui numr n, numit modul, n timp ce n cazul criptarii *abin cu c!eie public, operaia este % fapt demonstrat % sigur.

Capitolul I. Sisteme criptografice


,biectivul principal al msurilor de protecie ntr%un sistem de calcul l constituie eliminarea posibilitilor de distrugere accidental sau voit a informaiilor, precum i de consultare neautorizat a acestora. 0ccesul neautorizat la informaii poate provoca serioase daune prin afectarea caracterului privat al transmisiilor, introducerea unor date false sau trunc!iate, falsificarea identitii unor calculatoare, terminale ori utilizatori. intre obiectivele importante care trebuie avute n vedere la proiectarea unor mecanisme !ard(are i soft(are pentru protecia informaiilor ntr%o reea le menionm pe cele de prevenire a dezvluirii coninutului n clar al mesajelor, a inserrii de mesaje false, a analizei traficului de mesaje, precum i pe cele de detectare a modificrii, tergerii sau nlocuirii coninutului mesajelor, a ncercrilor de conectare neautorizat n reea. ,biectivele de prevenire pot fi atinse prin cifrarea informaiilor, soluie eficient c$nd memorarea sau transmiterea de date se efectueaz pe medii nesigure. ,biectivele de detectare sunt realizate dac se folosesc protocoale specifice, coroborate cu metode criptografice, care asigur sc!imburile de mesaje ntre entitile reelei. Cifrarea confer protecia informaiei transmise pentru canalele ce sunt ascultate sau interceptate. /n acest scop, emitorul alege un algoritm de cifrare i o c!eie, pe care le comunic receptorului pe cale sigur, de e)emplu, prin curier. , alt modalitate este aceea prin care se folosesc dou c!ei diferite . una la criptare i alta la decriptare. Criptografia modern protejeaz datele transmise pe linii de mare vitez i memorate n calculatoare. #a urmrete dou obiective principale, i anume: 3

protecia sau confidenialitatea &prevenirea dezvluirii neautorizate a unor informaii transmise sau memorate' i autenticitatea sau integritatea &prevenirea unor modificri neautorizate ale datelor'.

4n sistem criptografic &criptosistem' are cinci componente: spaiul mesajelor n te)t clar, 5M67 spaiul mesajelor n te)t cifrat, 5C67 spaiul c!eilor, 5K67 familia transformrilor de cifrare, E8: 9 C, unde : 5:67 familia transformrilor de descifrare, D8: C 9, unde : 5:6. up modul de folosire a c!eilor se disting dou modaliti de criptare: criptarea cu cheie privat % n care se folosete aceeai c!eie at$t la criptare, c$t i la decriptare. Se mai numete i criptare simetric sau convenional datorit folosirii aceleiai c!ei. /n acest caz, transmiterea c!eii n siguran ctre destinatar trebuie s se fac pe un canal absolut sigur. criptarea cu chei publice % n care se folosesc c!ei diferite pentru criptare i decriptare. Se mai numete i criptare asimetric.

;<

1.1. Criptografia simetric


=iecare transformare de cifrare, #8, este definit de un algoritm de cifrare, # comun tuturor transformrilor familiei, i o c!eie, :, distinct de la o transformare la alta. /n mod similar, fiecare transformare de descifrare, 8, sunt definite de un algoritm de descifrare , i de c!eia :. +entru un : dat, 8 reprezint inversa lui #8, adic:
8

&#8&&9''>9, 9 596

Figura 1. Sistem criptografic /n figura ; este ilustrat modul n care transform rile de cifrare i descifrare sunt folosite pentru a se asigura protec ia unui transfer de informaii. atele trebuie astfel protejate nc$t utilizatorii neautorizai s nu poat reconstitui te)tul clar dintr%un te)t cifrat interceptat. /n acest sens, este necesar s se asigure: utilizatorul neautorizat s nu poat determina sistematic transformarea de descifrare, din te)tul cifrat 8, interceptat C, c!iar dac se cunoate te)tul clar, 9, corespondent7 utilizatorul neautorizat s nu poat reconstitui te)tul clar, 9, din te)tul cifrat, C, fr cunoaterea transformrii 8. ;;

+rotecia datelor &confidenialitatea' impune ca transformarea de cifrare 8 &respectiv c!eia' s fie protejat &figura ?'.

Figura 2. +rotecia datelor 0utentificarea datelor cere ca un utilizator neautorizat s nu fie capabil n mod obiectiv s substituie te)tul cifrat, C, cu un te)t cifrat fals, C@, fr ca acest lucru s fie detectat. Au trebuie s i se permit utilizatorului neautorizat: s determine sistematic transformarea #8, cunosc$nd pe C i te)tul clar corespunztor, 97 s gseasc n mod sistematic C., astfel ca 8&C.' s fie un te)t clar valid n 9. Cerinele de autentificare impun doar ca transformarea # 8 &c!eia de cifrare' s fie protejat &figura B'

Figura 3. 0utentificarea datelor. ;?

1.2. Criptosisteme cu chei publice


Conceptul de criptosistem cu dou c!ei &asimetric' a fost introdus de iffie i Cellman n anul ;3.D. #i propuneau o nou metod de cifrare, numit cifrare cu c!eie public, n cadrul creia doi utilizatori &procese' pot comunica cunosc$nd fiecare doar c!eia public a celuilalt. /n criptosistemele cu c!ei publice, fiecare utilizator 0 deine o transformare de cifrare public, #8, care poate fi memorat ntr%un registru &fiier' public i o transformare de descifrare secret, 8, ce nu este posibil s fie obinut din #0. C!eia de descifrare &secret' este derivat din c!eia de cifrare &public' printr%o transformare greu inversabil &one% (aE'. /n sistemele cu c!ei publice, protecia i autentificarea sunt realizate prin transformri distincte. S presupunem c utilizatorul &procesul' 0 dorete s emit un mesaj, 9, unui alt utilizator &proces' F. ac 0 cunoate transformarea public #F, atunci 0 poate transmite 9 la F sub forma C>#F&9', asigur$ndu% se astfel funcia de protecie &confidenialitate' &figura G'.

Figura 4. +rotecia n criptosistemele cu c!ei publice 1a recepie, F va descifra criptograma C utiliz$nd transformarea secret F, cunoscut doar de el: F&C'> F&#F&9''>9 ;B

Sc!ema nu furnizeaz faciliti de autentificare, deoarece orice utilizator &proces' are acces la transformarea public #F a lui F i i poate trimite mesaje false 9@ sub forma C@>#F&9@'. +entru autentificare, i se aplic lui 9 transformarea secret 0 lui 0. Ignor$nd protecia pentru moment, 0 va emite C> 0&9' la F, care la recepie va aplica transformarea public, #0 a lui 0: #0&C'>#0& 0&9''>9 &figura H'.

Figura 5. 0utentificarea n sistemele criptografice cu c!ei publice 0utentificarea este realizat deoarece numai 0 poate aplica transformarea 0. +rotecia nu este asigurat, ntruc$t este posibil ca 9 s fie obinut de oricine aplic$nd transformarea public #0. +entru a se realiza simultan protecia i autentificarea informaiilor spaiului 596 trebuie s fie ec!ivalent spaiului 5C6, aa nc$t orice perec!e &#0, 0' s fie n msur s opereze at$t asupra te)tului clar, c$t i asupra te)tului cifrat7 n plus se cere ca #0 i 0 s fie mutual inverse, adic: #0&
0

&9''>

&#0&9''>9.

#mitorul de mesaj 0 va aplica mai nt$i transformarea secret a sa, 0 mesajului 9. 0poi 0 va cifra rezultatul . utiliz$nd transformarea public a lui F, #F % i va emite ctre receptor criptograma: C>#F& 0&9''. ;G

*eceptorul F l obine pe 9 aplic$nd la nceput propria%i funcie de descifrare, F, iar apoi transformarea public a lui 0, #0, cea care furnizeaz autentificarea: #0& D'
F

&C''>#0&

&#F&

&9'''' >#0&

&9'' >9. &figura

Figura 6. +rotecia i autentificarea n criptosistemele cu c!ei publice

1.2.1 Criptografia simetric


1a baza criptrii convenionale stau dou modaliti de cifrare: transpoziia7 substituia. Cifrarea prin transpoziie realizeaz o permutare a caracterelor din te)tul clar prin modificarea poziiei caracterelor n mesaj. Cifrarea prin substituie presupune nlocuirea fiecrui caracter din te)tul clar cu un caracter din alfabetul criptogramelor. ;H

Cifrurile prin transpoziie se pot clasifica dup: numrul de aplicare al transpoziiei: monofazic &se aplic o singur dat'7 polifazic &se aplic de mai multe ori'. elementul unitate de transpoziie: monografic &se transpune o singur liter'7 poligrafic &se vor transpune grupuri de litere'.

1.2.1.1. Cifrarea prin transpo iie


Iranspoziia monofazic presupune aplicarea transformrii de cifrare o singur dat, n timp ce transpoziia polifazic presupune aplicarea transformrii de cifrare de mai multe ori. ac n procesul de cifrare elementul de coresponden n urma transpoziiei este o liter, atunci transformarea este monografic, iar dac se transpun grupuri de litere, transpozi ia se numete poligrafic. 4n e)emplu simplu de folosire a cifr rii prin transpoziie monofazic i monografic este urmtorul: S lum mesajul:

S mprim mesajul n dou blocuri orizontale n felul urmtor:

Citim mesajul pe coloane vom avea cifrarea:

;D

Sau acelai mesaj

/mprit n cinci blocuri verticale:

Citind mesajul pe linii vom avea cifrarea:

, alt modalitate este aceea prin care te)tul mesajului se scrie ntr%o matrice i se parcurge matricea pe linii sau coloane dac te)tul a fost scris pe coloane sau pe linii rezult$nd de fiecare dat un te)t cifrat. e asemenea, se poate face parcurgerea te)tului i n diagonal sau n zig zag, pornind dintr%unul din coluri. S lum te)tul clar: !EC"#$%&%E& D&%E'(#

=olosim o matrice G ) H pentru reprezentare i vom nlocui spaiile din te)t cu (.

;.

+rin citirea pe coloan a te)tului, av$nd n vedere c acesta a fost scris pe linie, va rezulta mesajul:

Sau prin citirea n zig zag pornind din col ul dreapta jos i apoi n sus:

Stabilirea traseelor de parcurgere a matricei se face n practic cu ajutorul unui cuv$nt c!eie. C!eia are un numr de litere egal cu numrul de coloane din matrice. 1iterele c!eii, numerotate n ordine alfabetic, se scriu deasupra matricei, n ordinea stabilit de c!eie, furnizat de te)tul cifrat. /n practica curent pentru protejarea datelor prin transpoziie se folosesc cutiile de transpoziie &figura .'.

Figura 7. Cutie folosit pentru transpoziii

;2

1.2.1.2 Cifrarea prin substituie


+rocedeul folosit la cifrurile substituie presupune nlocuirea fiecrui caracter din alfabetul mesajelor 0 cu un caracter din alfabetul criptogramelor C. ac 0>5a;, a?, aB,., an6, atunci C>5f&a;', f&a?', .., f&an'6, unde = : 0 C este funcia de substituie care constituie c!eia cifrului. Cifrarea unui mesaj 9>m;, m?, mB, ..., mn se face astfel: #8&9'>f&m;'=&m?'f&mB'.f&mn'. =olosindu%se de substituie, caractere ale alfabetului primar, sunt nlocuite cu caractere sau grupuri de caractere ale unui alfabet secundar. 0ceasta poate fi reprezentat prin formula: C > a9 J b&mod A'. /n acest mod se stabilete o coresponden biunivoc ntre literele alfabetului primar i numerele ntregi <, ;, ?, .., A%;.

1.2.1.) !ubstituii monoalfabetice


Substituia n care e)ist o singur lege de coresponden ntre literele alfabetului primar i cele ale alfabetului secundar se numete substituie monoalfabetic. Cea mai cunoscut substituie monoalfabetic este Cifrul lui Cezar. Se folosesc la cele dou alfabete, primar i secundar, ?D de litere. 1egtura ntre cele dou cifruri se obine prin deplasarea cu un numr stabilit al alfabetului secundar i stabilirea apoi a corespondenei. /n e)emplul urmtor se va folosi o deplasare de B caractere. Ci>#&9i'>9iJB

;3

/n acest fel te)tul clar:

+oate deveni:

=olosind o coresponden biunivoc ntre literele care formeaz mesajul &Mi', alfabetul latin de ?D de litere, i ec!ivalentul numeric &Ei' unde Ei 5*+ 1+ 2+ ..+ 2,6, Cifrul lui Cezar se mai poate scrie la forma general: C-Ei. / Ei 0 1i-mo2 23.. +rin particularizare, aleg$nd F > <, se ob ine o substituie de forma: C-e4. / a5e4-mo2 23.. Corespondena ejC&ej' este biunivoc dac numerele a i ?D sunt relativ prime, deci &a, A'>;, n caz contrar dou sau mai multe litere primare vor fi cifrate prin aceea i liter i funcia de cifrare nu admite o invers. Se alege a astfel nc$t s fie relativ prim cu A > ?D, n acest fel stabilindu%se o permutare a alfabetului primar. e e)emplu, lu$nd a > B, se obine urmtoarea coresponden: 1itere primare:

1iterele cifrului se pot obine din alfabetul primar i prin urmtorul proces de selectare: se alege prima litera 0 i apoi, n ?<

ordinea ciclic fiecare a treia liter7 deci , K, ..., L. up L irul cifrului se continu cu F, deoarece, n ordinea ciclic , a treia liter dup L n alfabetul primar este F .a.m.d., motiv pentru care factorul de amplificare a > B se mai nume te i factor 2e selectare. Se poate obine un alfabet de substituire prin compunerea operaiei 2e 2eplasare cu operaia 2e selectare. 0stfel, de e)emplu, aleg$nd b > G i a > B se obine cifrul: C-e4. / )-ei0 6. -mo2 23.+ ceea ce este ec!ivalent cu o transformare liniar general de forma: C-e4. / )e4 0 12-mo223.. Cifrul sau permutarea + a literelor alfabetului primar:

se poate caracteriza n mod univoc prin perec!ea de numere &B, G', n care B reprezint factorul de selectare, iar G coeficientul de deplasare. +erec!ea de numere &a, b' care definete n mod univoc o transformare liniar poart denumirea de cheia substituiei respective. 4n sistem de criptare bazat pe substituie se poate obine i prin folosirea unei chei mnemonice. Ca e)emplu lum c!eia literal C#$7%&#E, apoi scriem c!eia numeric, care se obine prin numrarea literelor cuv$ntului%c!eie, dup aezarea lor n ordinea alfabetic:

S%au numerotat literele din cuv$ntul C#$7%&#E n ordinea apariiei n alfabet. 1a dou apariii ale aceleiai litere n cuv$ntul%c!eie acestea se numeroteaz diferit. /n e)emplul de mai sus litera # a aprut n c!eia literar pe poziiile D i .. eci ?;

c!eia numeric va fi D i .. Se scriu literele alfabetului primar sub c!eia numeric sub forma:

Corespondena monoalfabetic, corespunztoare cuv$ntului%c!eie C#$7%&#E, se obine prin scrierea sub literele alfabetului primar a literelor coloanelor de mai sus n ordinea cresctoare, adic se obine permutarea 71 &C#$7%&#E':

Se observ n acest caz o coresponden biunivoc ntre alfabetul primar i cel secundar. Cu ajutorul acestei corespondene se poate cifra orice te)t clar, obin$nd te)tul cifrat. /n acest caz, numrul corespondenelor posibile crete de la ?D la ?D" i ca atare aceast metod de cifrare implic operaii criptanalitice de mare comple)itate. Se mai poate aplica nc o dat acest mod de criptare folosind cuv$ntul%c!eie C#$7%&#E obin$nd o nou permutare. Aoul tabel, pentru aceast substituie, va fi de forma:

??

de unde rezult permutarea 72 &C#$7%&#E':

4n cifru de substituie se poate obine i cu ajutorul unui tabel sub form 2e scar. +entru aceasta se scriu toate literele alfabetului, n ordinea alfabetic , sub literele c!eii, cu condi ia ca linia i s se completeze ncep$nd cu coloana i, pentru i > ;, ?, ... 0poi permutarea fi) sau alfabetul cifrat rezult din scrierea sub literele alfabetului primar a literelor coloanelor tabelului scar n ordinea cresctoare. 0stfel, de e)emplu, pentru c!eia mnemonic: &'8&1E%

Se obine tabelul sub form de scar:

de unde rezult permutarea 7 &&'8&1E%':

?B

4n alt procedeu de obinere a unui alfabet cifrat const n repetarea cuv$ntului%c!eie p$n rezult un numr de litere egal cu numrul literelor din alfabetul primar. 0cesta se scrie sub literele alfabetului primar i se numeroteaz n ordine alfabetic de la < p$n la ?H. 1itera 0 se cifreaz prin acea liter care este deasupra lui < .a.m.d.

1.2.1.6 !ubstituia omofonic


Cifrurile bazate pe substituie simpl sunt n general uor de spart prin atac cu te)t cifrat, utiliz$nd ns i frecvenele de apariie a caracterelor. , variant de substituie este cea omofonic prin care se nlocuiete fiecare caracter din 0 cu un caracter dintr%o mulime f&0'. =uncia f se definete astfel: f 9 & 2C. 4n mesaj clar 9 > m;m?...mn va fi cifrat sub forma C > c;c?...cn, unde fiecare ci este ales aleatoriu din mulimea f&mi'. Cifrurile omofonice sunt mult mai greu de spart dec$t cele bazate pe substituie simpl, n special atunci c$nd car2inalul mulimii f-mi. este proporional cu frecvena caracterului mi. /n acest fel, se realizeaz o aplatizare a frecvenelor de apariie a diferitelor caractere, ngreun$nd munca de criptoanaliz. /n cifrarea omofonic pentru caracterele cu o frecven de apariie mai mare se creeaz mai multe posibiliti de reprezentare n te)tul cifrat. e e)emplu, n urma unor analize statistice, numrul de apariie a literelor ntr%un te)t de limba englez de ;<<.<<< caractere este: E%;?D<G, %%3<G?, #% 2?HD, ...:%B;2, ;%;32, <%;<;. +entru literele E, % i #, av$nd un numr de apariii mai mare, n cifrarea omofonic se creeaz patru posibiliti de reprezentare. #vident, cu c$t alfabetul secundar este mai bogat n caractere, cu at$t este mai uoar mascarea caracteristicilor statistice ale te)tului clar. =iecare caracter al te)tului clar poate avea mai multe reprezentri n te)tul cifrat. +entru a ilustra acest ?G

lucru se consider cazul c$nd alfabetul te)tului clar este format din ?D de caractere, iar alfabetul secundar conine ?;< J ;<?G de caractere de ;< bii fiecare. Iniial se face ca pentru fiecare liter din alfabetul primar s corespund un numr de cifruri direct proporionale cu frecvena de apariie a literei respective n te)tul considerat. Aumrul cuvintelor de cod prin care sunt codificate literele alfabetului primar este: #%;BB, I%3B, *%2H, ..., M%?, N%?, O% ;. +rin acest sistem de cifrare se realizeaz ca frecvena de apariie a cuvintelor de cod s fie aproape constant. Cifrarea monoalfabetic poate fi uor de implementat. Iimpul de criptare a n caractere este proporional cu acestea. #)ist un numr de ?D" posibiliti de cifrare. ac se face o descifrare ntr%o milisecund, folosind un atac brut, este nevoie de ;<<< ani pentru a testa toate posibilitile. Cu toate acestea, frecvena literelor n te)t poate dezvlui mesajul.

1.2.1., !ubstituia polialfabetic


Cifrurile bazate pe substituie polialfabetic constau din utilizarea periodic a unor substituii simple diferite. =ie d alfabete de cifrare C;, C?, ., Cd i d funcii fi care realizeaz substituia de forma fi:0Ci, ; i d. 4n mesaj clar 9 > m;m?Pmdmd J ;Pm?dP va fi cifrat prin repetarea secvenelor de funcii f;, ..., fd la fiecare al d%lea caracter: #8&9' > f; &m;'...fd&md'fi &md J ;'. 4tilizarea unei secvene periodice de substituii ale alfabetului mrete n mod semnificativ securitatea criptogramei prin nivelarea caracteristicilor statistice ale limbii. ?H

0ceeai liter din te)tul cifrat poate reprezenta mai multe litere din te)tul clar, cu diverse frecvene de apariie. /n acest caz, numrul c!eilor posibile se mrete de la ?D", c$te erau la substituia monoalfabetic, la &?D"'n. /n substituia n%alfabetic caracterul m; al mesajului clar este nlocuit cu un caracter din alfabetul 0;, m? cu un caracter din alfabetul 0?, ., mn cu un caracter din alfabetul 0n, mn J ; din nou printr%un caracter n alfabetul 0; etc., conform tabelului: C0*0CI#* # IAI*0*#: m;, m?, mB, mG, mH, mD, m., m2, m3, . 01=0F#I S4FSIII4I#: 0;, 0?, 0B, 0G, 0;, 0?, 0B, 0G, 0;. , versiune cunoscut de substituie polialfabetic o constituie cifrul =igenere &tabelul ;', c$nd c!eia : este o secven de litere de forma: : > 8;8?...8d. =unciile fi de substituie se definesc astfel: fi&a' > &a J 8i' &mod n', unde n este lungimea alfabetului.

?D

Tabelul 1. Cifrul lui Qigenere

Se parcurg urmtorii pai: ?.

;. Se alege un cuv$nt%c!eie. ?. Se mparte te)tul n grupuri de H caractere. B. Se scrie cuv$ntul c!eie n fiecare din csuele atribuite. G. Se folosete cuv$ntul c!eie pentru a stabili coloana din tabel. H. Se folosete te)tul clar pentru a stabili r$ndul din tabel. D. Se cripteaz te)tul folosind corespondena dintre linie i coloan unde se va gsi simbolul folosit pentru cifrare. #)emplu: =olosim mesajul clar Mi pe care dorim s%l criptm folosind c!eia K>.

Corespondenta dintre K> i Mi va avea ca rezultat Ci. *ezultatul este evideniat pe cifrul lui Qigenere n tabelul ?. 9atematic se obine acelai lucru n felul urmtor: ;. Se consider aceiai c!eie de cifrare &K>. !EC#E%. ?. Ie)tul clar &Mi' va fi C#$7%&#E& C" C?E$ 7#$=&%E. B. =olosind o coresponden biunivoc ntre literele alfabetului i elementele inelului claselor de resturi modulo?D &0 > <, F > ;, ..., O > ?H', substitu ia alfabetic conduce la urmtorul te)t cifrat:

?2

Tabelul 2. Kenerarea rezultatului folosind cifrul lui Qigenere.

?3

Ie)tul clar este &Mi' este C#$7%&#E& C" C?E$ 7#$=&%E: C!eie de cifrare &K>. este !EC#E%. C J ! > & ? J ;2'&mod?D' > ?<&mod?D' > ?< > " # J E > &;. J G'&mod?D' > ?;&mod?D' > ?; > = B<

$ J C > & 2 J ?'&mod?D' > ;<&mod?D' > ;< > K @@@@@@@@@@@@@@@@@@@. % J C > &;3 J ?'&mod?D' > ?;&mod?D' > ?; > = E J # > & G J ;.'&mod?D' > ?;&mod?D' > ?; > = 4n cifru Qigenere cu o perioada n, dei mult mai puternic dec$t un cifru bazat pe substitu ia monoalfabetic, poate fi spart dac criptanalistul dispune de cel puin 2n caractere din te)tul cifrat. , variant mai nou a acestui cifru peste un alfabet binar este cifrul =ernam, care se difereniaz prin c!eia de cifrare care este reprezentat de o secven de caractere aleatorii care nu se repet. =ie 9 > m;m?... un mesaj clar binar i : > 8;8?... un ir binar care reprezint c!eia. Criptograma C > #:&9' > C;C?... se obine determin$nd fiecare caracter ci astfel: ci > &mi J 8i' &mod n', i > ;, ?, ... "tili area o singur 2at a cheii -.one time pa2.. face ca mesajul s fie foarte rezistent la criptoanaliz, practic imposibil de spart7 aceste cifruri au o larg utilizare n comunicaiile diplomatice i militare.

1.2.1.3 !ubstituia poligramic


Cifrurile bazate pe substituie poligramic realizeaz substituirea unor blocuri de caractere &poligrame' din te)tul clar, distrug$nd astfel semnificaia, at$t de util n criptoanaliz, a frecvenelor diferitelor caractere. Qom consider un mesaj 9 > m;m?...mdmd J ;... i un cifru care prelucreaz poligrame de lungime d. Criptograma rezultat este C > c;...cdcd J ;...cd J d. =iecare poligram mid J ;J...mid J d va fi prelucrat n poligrama cid J ;...cid J d prin funcia de substituie astfel: B;

cid J j > fj&mid J ;, ., mid J d' /n cazul cifrrii literelor singulare, frecvena de apariie a literelor n te)tul cifrat este aceeai cu frecvena de apariie a literelor corespunztoare din te)tul clar. 0ceast invarian a frecvenelor furnizeaz o cantitate de informaie suficient criptoanalistului pentru spargerea sistemului de secretizare. +entru minimizarea informaiei colaterale furnizate de frecvena de apariie a literelor s%a procedat la cifrarea grupurilor 2e n litere -nAgrame.. /n cazul c$nd un grup de n litere este substituit printr%un alt grup de n%litere, substituia se numete poligramic. Substituia poligramic cea mai simpl se obine pentru n > ? c$nd digrama m;m? din te)tul clar se substituie cu digrama c;c? din te)tul cifrat. Corespondena biunivoc dintre digramele m;m? i c;c? se poate stabili cu ajutorul unui tabel de form ptratic. 1iterele din coloan din st$nga ptratului i din r$ndul dispus deasupra ptratului servesc drept coordonate pentru digrama m ;m? din te)tul clar, iar digrama cifrat corespunztoare se scrie la intersecia liniei m; cu coloana m? sub forma:

+entru simplificarea operaiei de descifrare se poate ntocmi Rptratul inversS care n punctul de coordonate c; c? ine digrama clar m; m?. 4n e)emplu clasic pentru sustituia digramelor este cifrul lui 7'&B8&$#. 9etoda const n dispunerea literelor alfabetului latin de ?H de litere &I N' ntr%un ptrat de cinci linii i cinci coloane de forma:

B?

e regul, n prima linie a ptratului se scrie un cuv$nt c!eie, i apoi se completeaz celelalte linii cu literele alfabetului, fr repetarea literelor. Cifrarea se e)ecut dup urmtoarele reguli: dac m;m? sunt dispuse n v$rfurile opuse ale unui dreptung!i, atunci c;c? sunt caracterele din celelalte v$rfuri ale dreptung!iului, c? fiind n aceeai linie cu m;. e e)emplu KS devine 9A, deci KS9A7 dac m; i m? se gsesc ntr%o linie, atunci c; i c? se obin printr%o deplasare ciclic spre dreapta a literelor m; i m?. e e)emplu, 0 F= sau C= 0 etc.7 dac m;m? se afl n aceeai coloan, atunci c; i c? se obin printr%o deplasare ciclic a lui m;, m? de sus n jos. e e)emplu, 4,FT sau #O=# etc.7 pentru separarea liniilor identice alturate se introduc nite caractere de separare care, de regul, au frecven de apariie redus, cum sunt de e)emplu literele U, M n limba rom$n. escifrarea se e)ecut dup reguli asemntoare cu cele de cifrare. , substituie poligramic interesant este meto2a algebric 2e cifrare care se bazeaz pe utilizarea unei transformri liniare de forma: f-M. / 7MI, unde + este o matrice ptratic cu n linii i n coloane, iar 9 este un vector coloan cu n elemente. #lementele matricei transformrii + aparin inelului O?D, iar elementele lui 9 sunt ec!ivalente numerice ale n%gramei 9 > e;, e?, ..., en. BB

/n mod analog cu cifrarea i descifrarea digramelor se pot prelucra trigramele, tetragramele sau pentagramele, obin$nd un spor de securitate prin creterea rangului matricei de cifrare. 0plic$nd n mod repetat operaia de transformare liniar se obine un cifru%produs definit prin produsul matriceal de forma: C > +;&+?& ...&+89I'.', unde matricele +i, i > ;, ?, ..., 8 sunt matrice inversabile de tipul n)n, iar 9 > e;, e?, ..., en este ec!ivalentul numeric al n%gramei. Cele n litere ale n%gramei%te)t clar depind de n%grama% cifru, dar dac dou n%grame din te)tul clar au o liter comun, de aici nu se poate deduce c n%gramele%cifru corespunztoare au o liter comun i invers, ceea ce conduce la mascarea caracteristicilor statistice ale te)tului clar. /n cadrul cifrurilor computaionale, folosite n sistemele de securitate ale calculatoarelor, substituia simpl se realizeaz prin aa%numitele cutii ! &figura 2'.

Figura 8. Cutii de substituie.

BG

1.2.1.C Cifruri pro2us


4n algoritm pro2us &numit i cifru pro2us. reprezint o compoziie a t funcii &cifruri' f;, f?, ., ft, n care fiecare fi poate fi o substituie sau o permutare. S!annon a propus compunerea n diferite feluri a funciilor pentru crearea unor transformri mi)te care distribuie n mod uniform mulimea mesajelor 9 pe mulimea tuturor criptogramelor C. 0ceste categorii de cifruri%produs se bazeaz pe reele de cutii S%+, n care se obine criptograma C > #:&9' > St+t%;PS?+;S;&9', unde fiecare Si, este dependent de o c!eie 8, parte din c!eia cifrului :.

BH

1.2.2 Meto2e criptografice simetrice


1.2.2.1 Cifrul 'ucifer
4n e)emplu de criptare simetric l constituie cifrul 1ucifer. 0cesta realizeaz cifrarea- descifrarea mesajelor diviz$ndu%le n blocuri de ;?2 de bii. 9esajul poate fi de lungime oarecare, iar c!eia de cifrare este de ;?2 bii. +rincipiul este ilustrat n figura 3.

Figura 9. Sistemul de criptare 1ucifer. Sistemul de criptare 1ucifer a fost dezvoltat nc din anul ;3.G de ctre firma IF9. 4lterior, sistemul de criptare 1ucifer a fost denumit #0 . ata #ncrEption 0lgorit!m. 0cesta folose te o serie de cutii S i cutii mici +, cu n > G, prin care trec datele de intrare. Cutiile S vor implementa dou substituii posibile S< i S;, fcute publice, a cror alegere depinde de valoarea unui bit al c!eii. in$nd seama de faptul c sistemul implementeaz ;D iteraii identice, necesarul de c!eie fiind de H;? bii &; bit-cutie SVB? cutii S-iteraieV;D iteraii'. +entru a se reduce c!eia de BD

criptare de la H;? bii la ;?2 bii se utilizeaz un algoritm de e)pandare al ei, care repet fiecare bit al c!eii de patru ori. =iecare cutie S de n bii poate fi implementat ca o memorie de ?n cuvinte de n bii. +entru a se realiza un compromis ntre cost de implementare i securitate asigurat s%a ales n > G, ceea ce nseamn pentru fiecare cutie DG de bii. ispozitivul 1ucifer conine i un generator de cuvinte de trecere pentru transmisiile de date importante. 0cest generator opereaz la fiecare capt al liniei de comunicaii. 9esajele care urmeaz s fie transmise sunt divizate automat n blocuri de bii i combinate la fiecare impuls de tact al unui ceas, nainte de transmisie, cu un cuv$nt de trecere &CI' care corespunde ie irii ceasului n acel moment. *ezult un bloc de ? bii care este cifrat prin ansamblul cutiilor + i S. Cifrul 1ucifer trebuie s gestioneze corect, la descifrare, c!eia aplicat cutiilor S iar cuv$ntul de trecere cifrat recepionat trebuie s corespund cu cel generat local de ceasul binar care este sincronizat cu cel de transmisie. 9etoda numit i autentificarea prin nlnuirea blocurilor prezint urmtoarele avantaje: fiecare bloc de te)t clar i corespondentul sau cifrat sunt unice, ceea ce nseamn c acelai mesaj, repetat n transmisie, d criptograme diferite la timpi diferii7 erorile de transmisie sau utilizarea unei c!ei neadecvate vor fi sesizate imediat7 ncercrile de a transmite mesajele vec!i, nregistrate, sunt imediat detectate, deoarece cuvintele de trecere sunt diferite la momente diferite.

B.

1.2.2.2 &lgoritmul DE!


Sistemul #S & ata #ncrEption Standard' este primul standard dedicat proteciei criptografice a datelor din sistemele de calcul. ezvoltarea lui a nceput nc din ;3.?, dar a fost adoptat oficial n ;3.D, dup mbuntirea cifrului 1ucifer. Sistemul de cifrare #S este o combina ie ntre te!nica substituiei i te!nica transpoziiei. #S reprezint un cifru%bloc cu lungime de DG de bii. C!eia de criptare are lungimea de DG de bii, din care doar HD sunt efectiv folosi i, acetia fiind generai aleatoriu, ceilali 2 bii sunt folosii pentru a detecta erorile de transmisie, c$te un bit pentru fiecare bloc de 2 bii ai c!eii. /n acest fel, c!eia este e)pandat la lungimea blocului. C!eia este pstrat de ctre utilizatori i este folosit n procesul de cifrare-descifrare. Sistemul de cifrare #S const din patru moduri de prelucrri WCSSI3HX: EC1 % #lectronic Code Foo8 C1C % Cip!er Floc8 C!aining (81 % ,utput =eedbac8 C81 % Cip!er =eedbac8 Modul ECB (DES a!i"# atele de intrare sunt divizate n blocuri de DG de bi i &2 bEtes'. C!eia de criptare are de asemenea DG de bi i. in acetia sunt folosii efectiv HD, ceilali fiind folosii ca informaie de control. Se folosesc doi algoritmi distinci, i anume: algoritmi folosii pentru criptare7 algoritmi pentru planificarea c!eilor. Se efectueaz dou tipuri de criptri n aceast faz: B2

permutarea substituia.

+entru realizarea acestor dou operaii se folosesc cutii pentru permutri i substituii. 7ermutarea cu a4utorul cutiilor Qom e)emplifica o permutare care are ca date de intrare caracterul DEF &n #FC IC', cu forma binar 11111*11, care va fi transformat cu ajutorul cutiei n caracterul ./. &n E1CD$C', cu forma binar *111111* &figura ;<'.

Figura 1$. Cutie folosit la permutare. +rocesul de permutare realizat de cutie va disimula informaia. ac considerm cutia ca un algoritm de criptare, atunci c!eia va fi format din mac!eta de cone)iune realizat ntre cone)iunile interne. +rocesul de criptare este n acest caz reversibil, dac aplicm c!eia la datele de ieire vom obine datele de intrare. Se aplic n continuare o operaie de tip ,* e)clusiv &U,*'. 0ceasta poate fi vzut la r$ndul ei ca un nou algoritm B3

de criptare, sau ca un pas suplimentar n criptare &n literatura de specialitate mai poart denumirea de mo2ulul al 2oilea a2iional'. 0cest pas suplimentar este e)emplificat n tabelul B. Tabelul 3. 9odulul al doilea adiional.

Se observ c procesul este reversibil cu condiia ca c!eia de criptare s fie aceeai cu c!eia de decriptare. !ubstituia cu a4utorul cutiilor Substituia este folosit ca un proces de neliniarizare a informaiei menit s aduc confuzie unui eventual utilizator neavizat. +rocesul presupune nlocuirea unui numr cu un altul dintr%o tabel prestabilit. Informaia binar va fi nlocuit cu valori numerice din tabela. Iabela are valori de numere cuprinse ntre < &<<<<' i ;H &;;;;' &tabelul G'. Tabelul 4. Substituia cu ajutorul cutiilor.

,peraia de substituire are ca date de intrare D bi i i returneaz G bii. +rincipiul este e)emplificat n cele ce urmeaz &tabelul H'. +aii sunt urmtorii: G<

se aleg datele de intrare &binar % 1*1*11 care are corespondent zecimal % 6)'7 primul i ultimul bit din irul de intrare vor determina linia din tabel &;; % binar B % zecimal, r$ndul cu numrul B'7 cei G bii din mijlocul irului vor determina numrul coloanei &<;<; % binar H %zecimal, coloana cu numrul H'7 din tabel, la intersecia coloanei nr. , cu r$ndul nr. ) se gsete cifra zecimal E, adic binar 1**1. Tabelul 5. Substituia cu ajutorul cutiilor % rezultatul.

Sc!ema de prelucrare ntr%un singur ciclu a lui #CF &nativ #S' presupune parcurgerea urmtorilor . pai &figura ;;': 7asul 1 se introduc cei DG de bii ai mesajului de te)t clar &Mi'. 7asul 2 se rearanjeaz datele de intrare conform cu tabela de permutri iniiale &I+'. 7asul ) se mparte segmentul de date de intrare n dou segmente-jumti de c$te B? de bii care vor purta denumirea de 1 &left . st$nga' i respectiv * &rig!t . dreapta'7 se face o salvare de siguran a jumtii dreapta care se va numi #*7 se va opera n continuare numai cu jumtatea dreapt &*' ls$nd jumtatea st$ng &''. 7asul 6 G;

se aplic asupra jumtii * un set special de permut ri, numite permutri e)pandate &+#', care la un num r de B? de bii date de intrare vor genera G2 de bii date de ieire.

G?

Figura 11. Sc!ema de prelucrare ntr%un singur ciclu a lui #CF &nativ #S'. GB

7asul , celor G2 de bii rezultai, mpreun cu ali G2 de bii ai unei c!ei, li se aplic o operaie G(#. #ste singurul loc unde intervine c!eia de criptare. /n urma acestei operaii rezult un bloc care se numete 7re ! bloc>. 7asul 3 se mparte 7re ! bloc> n 2 segmente de c$te D bii7 fiecare segment este procesat de o caset individual !A 1oH &S;, S?, SB, ...S2'. +relucrarea se face n paralel cu a celor 2 segmente. =iecrui segment i se aplic o singur cutie S%Fo). n urma prelucrrii rezult B? de bii &G bii la ieire V 2 casete > B? bii'. Succesiunea de bii rezultat poart denumirea de 7ost ! bloc>. 7asul C 7ost ! bloc> este supus unei operaii finale de prelucrare% permutare7 +relucrarea presupune prelucrarea a B? de bii i are ca date de ieire B? de bii care formeaz rezultatul. +rocesul de prelucrare este e)emplificat n figura ;?.

GG

Figura 12. ,peraia final de prelucrare%permutare. GH

+aii de la G la . sunt adesea grupa i ntr%o diagram de funcii DE! f-#nA1+ Kn.. 7asul I se aplic funcia ,* e)clusiv &U,*' pentru jumtatea st$ng rmas de la pasul B mpreun cu f-#nA1+ Kn.. 0ceasta are ca rezultat un nou #. #* va deveni un nou '. +aii de la B la . se repet de ;D ori pentru fiecare bloc de DG de bii n vederea criptrii. +entru decriptare se folosete acelai algoritm cu sc!imbarea ordinii c!eilor. 4n rol important l are planificarea c!eilor. 0ceasta presupune e)isten a unui set de bii de deplasare i permutare care sunt total independeni de algoritmul de criptare. +lanificarea c!eilor de criptare se face nainte de criptarea propriu%zis. 0cest lucru este e)emplificat n figura ;B.

GD

Figura 13. +lanificarea c!eilor. Se parcurg urmtorii pai: 7asul 1 c!eia este supus unei permutri iniiale7 fiecare al optulea bit &2, ;D, B?, DG' este eliminat p$n va fi folosit ca bit de paritate7 rezult dou perec!i de c$te ?2 de bii care vor fi numite C< i respectiv <. 7asul 2 G.

blocurilor C i li se aplic o permutare &s!ift' circular conform unui tabel de permutri. 7asul ) blocurile C i rezultate sunt concatenate obin$ndu%se blocul C ;. 7asul 6 C ; este supus unei permutri7 up permutare sunt eliminai biii 3, ;2, ??, ?H, BH, B2 i HG. *ezult o c!eie de G2 de bii &:;'. 0ceast c!eie este folosit n pasul ; al algoritmului de criptare. +aii de la ? la G sunt repeta i de un numr de ;D ori. iferena dintre cicli este numrul de bii deplasai la fiecare deplasare circular. 9odul #CF are c$teva puncte slabe, i anume: se cripteaz blocuri de DG de bii independent de criptarea altor blocuri7 la aceleai c!ei de criptare, te)te identice se vor cifra identic7 probleme la complementaritatea blocurilor mai mici de DG de bii etc. Modul CBC 9odul CFC &figura ;G' este un mod de criptare prin nlnuirea blocurilor. Criptarea fiecrui bloc depinde de criptarea blocului anterior. C; > #&F;' C? > #&#&F;' F?' > #&C; F?' CB > #&#&#&F;' F?' FB' > #&C? FB' etc. +entru criptare se folosete un vector de iniializare &$=' care poate fi asimilat ca o c!eie de criptare secundar. G2

0cest mod prezint dezavantajul c, de vreme ce criptarea depinde de blocul anterior, o eroare aprut la unul dintre blocuri se va propaga la blocurile urm toare, gener$nd serioase probleme la decriptare.

Figura 14. 9odul CFC.

G3

1.2.2.) Mo2ul 8ee2bac> -(81. (utput 8ee2bac> Ji C81. Cipher 8ee2bac>.


Qom trata mpreun aceste dou moduri deoarece nu difer semnificativ. 9odul de funcionare este e)emplificat n figura ;H pentru ,=F % ,utput =eedbac8 i n figura ;D pentru C=F % Cip!er =eedbac8.

Figura 15. 9odul ,=F.

H<

Figura 16. 9odul C=F. Se observ ca te)tul clar este nlocuit de un bloc de :% bii. 9odul permite criptarea te)tului indiferent de lungimea acestuia. #)ist i critici la adresa algoritmului. , prim critic se refer la numrul de iteraii care se aplic. Sunt ;D iteraii de ajuns pentru a se asigura o bun criptareY , alt critic se refer la lungimea i numrul c!eilor. , alt critic se refer la posibilitatea de a iniia atacuri la adresa lui. #)ist dou tipuri de atacuri criptoanalitice la adresa #S: cutarea e)!austiv i folosirea de tabele. H;

Cutarea e)!austiv utilizeaz un atac cu te)t clar cunoscut. ac se tie te)tul cifrat C, te)tul clar este cifrat, ci o c!eie p$n c$nd #S:&9' > C. tiind c #S folosete efectiv HD de bii pentru c!eie, rezult c trebuie testate ?HD c!ei. =olosirea tabelelor realizeaz un atac cu te)t clar la alegere: pentru un mesaj 9o ales, se vor calcula n avans criptogramele Ci > #8i&9o' pentru i > ;, ?, B, ., n. Se caut , pentru un te)t interceptat, c!eia ntr%o tabel. /n ambele cazuri, dac se folosete te!nica procesrii paralele pentru reducerea timpului, decriptarea poate fi fcut sub o zi. , criptare dubl complic ns problemele de decriptare. intre slbiciuni se remarc din nou c!eile. ou c!ei diferite pot decripta acelai mesaj. , alt problem o reprezint faptul c aceste c!ei sunt folosite ntr%o ordine la criptare i ntr%o ordine invers la decriptare. in acest motiv, pentru transmisii de date n care este necesar o confidenialitate strict se utilizeaz c!ei de dimensiuni mult mai mari, c!iar pentru algoritmul #S &de ?HD, H;?, ;<?G i c!iar ?<G2 sau G<3D de bii', tiut fiind c timpul necesar decriptrii crete e)ponenial cu dimensiunea c!eii de criptare-decriptare.

1.2.2.6 $nternational &lgorithm -$DE&.

Data

EncrKption

#ste considerat de unii speciali ti ca fiind superior #S% ului. 0 fost inventat de ctre Uuejia 1ai i Names 9asseE. Caracteristici: lucreaz cu blocuri de DG de bii te)t7 folosete ;?2 de bii pentru c!eie7 folosete acelai algoritm pentru criptare i decriptare. Se observ la o prim privire c lungimea c!eii este dubl fa de #S & #S folosete efectiv HD de bii din cei DG alocai c!eii'. H?

9odul de funcionare este urmtorul: se divide blocul de intrare de DG de bi i n G blocuri de c$te ;D bii &U;, U?, UB, UG'7 cele G blocuri de c$te ;D bii &U;, U?, UB, UG' devin date de intrare pentru urmtorul pas al algoritmului7 fiecruia din blocurile U;, U?, UB, UG li se vor aplica operaii de tip U,*, adunare, multiplicare cu alte blocuri i cu o parte din c!eie format din ;D bii7 ntre paii algoritmului se face sc!imbarea ntre blocurile al doilea i al treilea7 numrul de pai este de 2. 0lgoritmul este implementat at$t soft(are, c$t i !ard(are. Implementarea soft(are are aceeai vitez ca la implementarea !ard(are a algoritmului #S. Implementarea !ard(are este semnificativ mai rapid dec$t #S. 0lgoritmul a fost dezvoltat pentru asigurarea comunicaiilor sigure n timp real.

1.2.2., &lgoritmul !>ip4ac>


0lgoritmul este dezvoltat de AS0 &Aational SecuritE 0gencE' nc din anul ;32H i finalizat n anul ;33<. #ste clasificat ca secret. #ste creat pentru utilizare cu Clipper &un cip de criptare dezvoltat de guvernul S40 ca parte a proiectului Capstone. =olosete conceptul de c!ei n custodie % Escrowed Key System' i Capstone &proiectul pe termen lung al guvernului american de dezvoltare a unui set de standarde pentru criptografia cu c!ei publice'. #ste un algoritm simetric &ca i #S i I #0'. 1ungimea c!eilor este de 2< de bii. +oate lucra n modurile #CF, C=F, ,=F i CFC. =olosete la criptare un numr superior de pai fa de ceilali algoritmi % B? de pai. +uterea algoritmului nu se bazeaz prea mult pe algoritmul de criptare n sine. HB

Criptarea cu c!ei private presupune ca un utilizator-destinatar s cunoasc c!eia privat a celuilalt utilizator-e)peditor. e aici apar probleme cu transmisia i pstrarea n sigurane a c!eilor de cifrare-descifrare, precum i cu numrul acestora. Irei utilizatori au nevoie de c!eile K0F, K0C i KFC. +atru utilizatori vor avea nevoie de c!eile K0F, K0C, KFC, K0 , KF , KC . e aici rezult c pentru n utilizatori este nevoie de n5-nA 1.L2 c!ei.

1.2.3 Criptografia asimetric


1.2.).1 Elemente 2e ba
Conceptul de criptarea asimetric - cu c!ei publice &cu dou c!ei' a fost introdus de iffie i Cellman. Se propune o nou metod de cifrare, numit cifrare cu c!eie public, n cadrul creia doi utilizatori pot comunica cunosc$nd fiecare doar c!eia public a celuilalt. /n criptosistemele cu c!ei publice fiecare utilizator 0 deine o transformare de cifrare public, #8, care poate fi nregistrat ntr%un registru public i o transformare de descifrare secret, 8, ce nu este posibil s fie obinut din #0 C!eia de descifrare &secret' este derivat din c!eia de cifrare &public' printr%o transformare greu inversabil &one% (aE'. /n sistemele cu c!ei publice, protecia i autentificarea sunt realizate prin transformri distincte. C!eia public a destinatarului, care se preia din registrul-fiierul public, va fi utilizat de ctre e)peditor pentru cifrarea mesajelor de la acesta ctre destinatar. estinatarul va putea, pe baza c!eii secrete pe care o de ine, s descifreze mesajul care%i este destinat. Serviciile asigurate de criptarea asimetric sunt: HG

secretizarea7 autenticitatea7 integritatea7 nerepudierea.

!ecreti area impune ca un utilizator neavizat s nu poat s determine, pe baza te)tului cifrat n posesia cruia a intrat, te)tul clar i s nu fie capabil s descopere c!eia de criptare &privat' pe baza analizei te)tului. &utenticitatea impune ca emitorul s valideze sursa mesajului % mesajul s fie transmis de proprietarul acestuia i nu de o alt persoan. e asemenea, mesajul nu trebuie s fie un mesaj mai vec!i retransmis. $ntegritatea impune ca un mesaj transmis s nu poat fi modificat accidental sau voit prin nlocuiri, inserri sau tergeri a unor poriuni de mesaj. Merepu2ierea impune o protecie mpotriva unui transmitor care poate nega o transmisie efectuat anterior ctre un destinatar. Criptarea cu c!ei publice este cu prec dere folosit n dou mari aplicaii: distribuia c!eilor secrete7 semntura digital. +rocesul de distribuire a c!eilor secrete presupune e)istena a doi sau mai mul i utilizatori care mpart c!ile de criptare &private ca n cazul folosirii algoritmului #S'. istribuia c!eilor trebuie fcut pe un canal sigur. =olosirea unui serviciu de curierat sau o alt autoritate pentru distribuie mrete riscul de aflare a c!eii. Iransmiterea c!eii private folosind transmiterea acesteia criptat , nemaie)ist$nd o a treia persoan care s tie de e)istena acesteia, precum i modul de transmitere, este destul de folosit.

HH

Semntura digital este similar cu semntura de m$n la autentificarea unui document. Semntura digital trebuie s ndeplineasc dou mari cerine: receptorul trebuie s fie capabil s autentifice semntura e)peditorului7 semntura s nu poat fi falsificat. #)ist dou importante variante de implementare: semntura e)act7 semntura arbitrar. /n cazul de implementare cu semntur e)act, mesajul este trimis direct de la emitor la receptor. /n cazul implementrii cu semntur arbitrar, e)ist un martor care poate fi uman sau proces automat, care valideaz semntura i apoi se nainteaz mesajul receptorului. Semntura digital trebuie s asigure autenticitate, integritate i nerepudiere. /n unele cazuri semntura digital este dezirabil at$ta timp c$t nu se cere secretizare. Criptarea asimetric permite comunicarea ntre persoane care nu au stabilit n prealabil nici o legtur. Comunicarea se va face pe baza celor dou c!ei, cea public a destinatarului i c!eia privat a acestuia cu care se va descifra mesajul criptat n prealabil cu c!eia public a acestuia. #lementele care particip la procesul de criptare i decriptare sunt: mesajul de te)t clar, 5M67 mesajul de te)t cifrat, 5C67 c!eile, 5K67 transformrile de cifrare, E8: 9 C, unde : 5 :67 transformrile de descifrare, D8: C 9, unde : 5: 6. 4n sistem de cifrare cu c!ei publice trebuie s satisfac urmtoarele cerine: dac C > E&M', atunci M > D&C' sau D&E&M'' > M, pentru M 5M67 HD

criptarea &E' i decriptarea &D' trebuie s fie uor implementabile &soft(are sau !ard(are'7 obinerea lui D dac se afl E trebuie s fie imposibil sau foarte greu de realizat.

Suplimentar fa de acestea, pentru a se asigura autenticitatea mesajului, s%a introdus i funcia de semntur digital &!'. Semntura digital reprezint o metod suplimentar de autentificare a mesajului. ! > D&M', atunci M > E&!' sau E&D&M'' > M pentru M 5M6. 0utentificarea mesajului acioneaz n ambele sensuri: receptorul va putea s fie sigur de proveniena mesajului de la e)peditor7 emitorul va putea s fie sigur de faptul c nimeni nu se va putea substitui lui. #mitorul &&' poate semna mesajul ctre destinatar &1' astfel: ! > D&&M' i apoi poate trimite mesajul cifrat C > E1&!'. Aumai destinatarul mesajului va putea s e)trag semntura &!. din mesajul criptat &C' calcul$nd D1&C' > D1&E1&!'' > !+ obin$nd n final mesajul de te)t clar E&&!' > E&&D&&M'' > M. Criptarea asimetric - cu c!ei publice % folosete metode matematice foarte comple)e, n aritmetica numerelor foarte mari, de ?HD%;<?G de bii, a cror implementare se face cu dificultate. 0lgoritmii folosii n criptarea asimetric sunt grupai ntr%o bibliotec de aritmetic criptografic. 0ceasta conine un ansamblu de funcii matematice necesare implementrii H.

algoritmilor at$t pentru criptarea simetric , c$t i pentru cea asimetric. =unciile cele mai utilizate sunt WCSSI3HX: sum - S497 diferen - I=7 comparare % C,9+7 modulo rapid % =0SI9, 7 nmulire modulo % 0941F7 nmulire modulo ?n%; % 0941FB7 nmulire modulo ?n % 0941FG7 funcia de e)poneniere ?n%; % #U+7 ridicarea rapid la putere % =0SI#U+7 invers multiplicativ % IAQ#*S7 aflarea celui mai mare divizor comun % C99 C7 calculul operatorilor Nacobi7 teste de primalitate. intre sistemele de criptare asimetrice cel mai des folosite sunt: o sisteme de criptare cu c!ei publice e)poneniale7 o sisteme de criptare de tip rucsac &8napsac8'7 o sisteme de criptare cu c!ei publice bazate pe ecuaii n c$mp finit.

1.2.).2 !isteme 2e criptare cu chei publice eHponeniale


Sc!ema propus are la baz algoritmi care se bazeaz pe imposibilitatea calculului logaritmilor modulo numr prim. =ie N un numr prim i un ntreg H, H W;, Z % ;X. Se poate calcula B > aH &mo2 N', unde a este un element primitiv al c$mpului Kalois K=&Z'. Clasele de resturi modulo Z vor forma un inel7 dac Z este un numr prim acesta formeaz H2

un c$mp Kalois K=&Z'. /ntr%un c$mp Kalois e)ist &NA1' numere a care sunt elemente primitive ale c$mpului Kalois. ac a, a2, a), ., a&N' &&Z' este indicatorul lui #uler, &Z' > Z%;' sunt puterile lui a, atunci acestea au ca resturi mo2 N pe 1, 2, ., &N', ceea ce nseamn c un element primitiv va genera prin ridicarea la putere toate elementele care sunt nenule ale c$mpului. 4tilizatorul & va alege n mod aleatoriu un numr G&, G& 5;, ?, ., Z%;6. Calculeaz B& / a X A -mo2 N.. G& devine c!eie privat i va fi inut strict secret. B& devine c!eie public i va fi pstrat ntr%un director sau fiier public. Comunicarea ntre doi utilizatori &&' i &1' se va face folosind c!eia de comunicaie de forma:

4n atac la mesajul criptat presupune s se afle c!eia K&1, adic s se caute . Sistemul va fi foarte greu de spart datorit imposibilitii calculrii logaritm mo2ulo N n timp util sau cu mijloacele e)istente. Sistemul este sigur i simplu. Criptarea se face pe baza c!eii publice a destinatarului &aflat ntr%un director sau fiier public', iar decriptarea se face pe baza c!eii private a destinatarului i nu pe baza c!eii publice. Criptarea cu c!ei publice e)poneniale a beneficiat n ultimul timp i de aportul unor funcii suplimentare care sporesc performanele. +rintre cele mai cunoscute cifruri care folosesc criptarea cu c!ei publice e)poneniale se numr cifrul *ivest%S!amir% 0dleman &*S0', cifrul #l Kamal, cifrul S0 & igital Signature 0lgorit!m', cifrul +o!ling%Cellman &+C'. H3

1.2.).) #ivestA!hamirA&2leman
Cifrul a fost conceput i realizat de trei cercettori, *onald *ivest, 0di S!amir i 1eonard 0delman, de la 9assac!usetts Institute of Iec!nologE &9II', i are la baz generalizarea lui #uler a teoremei lui =ermat. 0cest cifru este cel mai folosit pentru asigurarea confidenialitii mesajelor i autentificarea acestora cu ajutorul semnturii digitale. Se gsete implementat &!ard(are sau soft(are' n programele i ec!ipamentele unor firme de renume &1otus, Aovell, 9otorola, Foeing, STI=I Fan8' sau c!iar la nivelul ageniilor guvernamentale & o , A0'. Se va proceda la criptarea blocului de mesaj M, 9 &<, n%;', calcul$nd e)ponenialele: C > Me&mo2 n', unde n > pVN, cu p i N dou numere prime mari astfel nc$t s fie greu de determinat &Z' > &p%;'V&Z%;'. &indicatorul lui #uler'. Aumerele p i N rm$n secrete. 1a decriptare, M > C2&mo2 n'. parte dintre c!eile pentru criptare e i decriptare 2 sunt alese cu grij, n aa fel nc$t &D&M'' > D&E&M'' > M.

D<

c!eile pentru criptare sunt de forma perec!ilor & e, n' % entru criptare, i &2, n' [ pentru decriptate. Aumrul e este relativ prim fa de produsul &pA1' V &NA1'. Aumrul 2 se alege astfel nc$t s fie cuprins n intervalul WmaH-p+ N. 0 1+ nA1X i: 2 / eA1 &mo2 &pA1' 5 &NA1'' 7 e V 2 / 1 mo2 &pA1' V &NA1'. Cu 2 ales se va calcula e. C!eia 2 va fi inut secret. +entru o bun secretizare autorii recomand folosirea a unor numere p i N de ;<< de cifre, ceea ce face ca n s fie de apro)imativ ?<< cifre, fc$nd imposibil factorizarea. Se observ c cifrarea i descifrarea sunt funcii inverse. Se poate folosi cifrul *S0 at$t pentru cifrare, c$t i pentru autentificare. 4tilizatorul 0 &e)peditor%surs' va obine modulul n&, precum i e)ponenii e& i 2&. Se va nscrie n fiierul public c!eia public &n&, e&'. Se pstreaz secret 2&. 4n utilizator &e)peditor%surs' va emite un mesaj secret utiliz$nd transformarea: 1a destinaie se va obine mesajul clar aplic$nd transformarea: Se poate ca utilizatorul 0 s poat semna un mesaj ctre F calcul$nd: F va autentifica acest mesaj, utiliz$nd c!eia public a lui 0 astfel: +roblemele apar atunci c$nd se dore te transmiterea unui mesaj criptat i n acelai timp i autentificarea acestuia. /n acest caz se vor aplica transformri succesive cu module diferite. D;

9esajul transmis de ctre 0 &e)peditor%surs' lui F &destinaie', se va calcula: C > E1&D&&M''. 1a destinaie se va calcula: E&&D1&C'' > M.

EHemplu: Criptarea
9esajul clar este M > &!EC#E%.. p > ,) N > 31, p i N rm$n secrete. Se obine: n > p V N / ,)V31 > )2)) &pA1' V &NA1' / ,253* / )12*. 0legem c!eia privat: 2 / CE1. Calculm c!eia public: 2 / eA1 &mo2 &pA1' 5 &NA1'' 7 e V 2 / 1 mo2 &pA1' V &NA1' CE1 / eA1 &mo2 &)12*'' e / C1. /mprim mesajul M > &!EC#E%. n blocuri de c$te dou caractere: &!EC#E%' &!E C# E%' 0tribuim fiecrui grup valorile corespunztoare poziiei n alfabetul cu ?D de semne &din tabloul lui Qigenere': ! E C # E % 1I *6 *2 *C *6 1E &!EC#E%' &!E C# E%' &1I*6 *21C *61E' Se cripteaz fiecare bloc cu formula C > Me&mo2 n': CO > 1I*6C1&mo2 )2))' > 2,*) COO > *21CC1&mo2 )2))' > 12,6 COOO > *61EC1&mo2 )2))' > 2,*E Qa rezulta mesajul criptat C / &CO, COO, COOO' > &2,*) 12,6 2,*E' Decriptarea D?

0vem mesajul criptat: C / &2,*) 12,6 2,*E' =olosim transformarea: M > C2&mo2 n'. Qom obine folosind decriptatea pentru fiecare bloc component i realiz$nd corespondena cu alfabetul: MO > 2,*)CE1&mo2 )2))' > 1I*6 &1I *6' & ! E ' MOO > 12,6CE1&mo2 )2))' > *21C &*2 1C' & C # ' MOOO > 2,*ECE1&mo2 )2))' > *61E &*6 1E' & E % '. *egrup$nd te)tul vom avea: M > &!EC#E%..

Qom folosi datele anterioare, unde: p > ,) N > 31 e > C1 2 > CE1 i rezumatul mesajului criptat calculat cu funcia de hash (funcia de !as! realizeaz un rezumat al mesajului care este trimis destinatarului) ? &C &<, n%;': ? / &2,*)12,62,*E' &n cazul nostru identic cu M pentru uurarea calculelor'. Se mparte mesajul n trei blocuri distincte care s nu depeasc valoarea lui n: ? / &2,*) 12,6 2,*E'. #)peditorul &0' va semna blocurile separat cu c!eia s secret &e > C1' i formula: !O > 2,*)C1 mo2 )2)) / 11)) !OO > 12,6C1 mo2 )2)) / 16EI DB

!OOO > 2,*EC1 mo2 )2)) / 2)C1. Se obine n final semntura: ! > &11)) 16EI 2)C1'. estinatarul &F' va autentifica acest mesaj, utiliz$nd c!eia public a lui 0 &2 > CE1' i formula astfel: . !2O / 11))CE1 mo2 )2)) / 2,*) !2OO/ 16EICE1 mo2 )2)) / 12,6 !2OOO / 2)C1CE1 mo2 )2)) / 2,*E. 0sambl$nd se obine: !2 / &2,*)12,62,*E' ?. eci semntura este autentic.

1.2.).6 Cifrul El Pamal -EP.


#ste derivat din sc!ema de distribuie a c!eilor a lui iffie i Cellman. /i bazeaz tria criptrii pe dificultatea calculrii logaritmilor n c$mpuri Kalois mari. #ste folosit doar pentru implementarea semnturii electronice. =iecare utilizator va dispune de o c!eie privat K&&priv' care este un numr natural aleatoriu i de o c!eie public K&&publ'. C!eia public se obine din c!eia privat n felul urmtor: , unde a este o constant a sistemului cunoscut de toi partenerii, iar n este un numr prim mare cu sute de cifre zecimale. M este un document electronic ce urmeaz s fie semnat electronic. ?&M' este rezumatul documentului calculat cu funcia de hash ? &C &<, n%;'.

DG

!emnarea 2ocumentului Semnarea unui document se face de ctre utilizator &e)peditor' cu c!eia sa secret K&&priv'. ,rice utilizator va putea s verifice semntura pe baza c!eii publice a e)peditorului. Semnarea unui document M se face n modul urmtor: se calculeaz rezumatul documentului cu ajutorul funciei de hash ?+ ?&M'7 se genereaz aleator K&&priv. n intervalul W<, n%;X, a. . cmm2c &K&&priv., nA1' > 17 se calculeaz 7 se calculeaz, cu ajutorul c!eii secrete a e)peditorului, valoarea lui s din ecuaia ?&M' > K&&priv. V r V s &mo2 &nA1''. Semntura mesajului M va fi reprezentat de perec!ea ! > &r, s'. =erificarea semnturii estinatarul va primi la recepie at$t mesajul M, c$t i semntura electronic ! > &r, s' a acestuia i trebuie s verifice autenticitatea semnturii. +entru verificare trebuie calculate urmtoarele: a?&M' mo2 n i &K&&priv..r 5 rs mo2 n. ac aceste dou valori sunt egale, atunci semntura este veridic i deci mesajul este autentic. EHemplu

DH

0legem n > 63C i a > 2. C!eia privat a e)peditorului va fi K&&priv. / 12C. Calculm c!eia public a e)peditorului 9esajul transmis M va avea rezumatul ?&M' > ;<<. #)peditorul alege un K > 21), aleator astfel nc$t cmm2c &21), 633' i KA1 mo2 633 > 6)1. Se calculeaz semntura electronic a documentului cu ajutorul c!eii secrete a e)peditorului: r > aK &mo2 n' > 221) mo2 63C > 2E i s > &?&M' % K&&priv. V r' V KA1 &mo2 nA1' > &1**% 12CV2E'V6)1V&mo2 633' > ,1. 1a recepie se verifica semntura ! / &r+ s'. Qom calcula a?&M' mo2 n i &K&&priv..r 5 rs mo2 n. a?&M' mo2 n / 21** -mo2 63C. / 1IE &K&&priv..r 5 rs mo2 n / 1)22E2E,1 -mo2 63C. / 1IE. Cum cele dou numere sunt egale, semntura este valid.

1.2.)., Cifrul Digital !ignature !tan2ar2 -D!!.


igital Signature 0lgorit!m reprezint standardul de semntur digital al cifrului SS. 0 fost elaborat de AISI &Aational Institute of Standard \ Iec!nologE' n anul ;33;. =olosete metoda #l Kamal i aceasta i bazeaz tria pe imposibilitatea calculrii logaritmilor n c$mp finit. Se ncearc impunerea standardului n locul celui *S0, construindu%se c!iar un c!ip care implementeaz algoritmul. Se dispune de un set de parametri globali i de un set de parametri privai. +arametrii globali sunt: p A un numr prim cuprins n intervalul &?H;;7?H;?'%H;? bii7 N A un divizor al lui &p%;' %;D< bii, Z n &?;H3, ?;D<'7 DD

g A un numr ntreg cu proprietatea c g > !&p%;'-Z mod p, n care ! este un ntreg relativ prim cu p, ! n &<, p' astfel nc$t ! &p%;'-Z mod p];7 ? A funcia !as! de calcul al rezumatului unui mesaj. +arametrii specifici fiecrui utilizator sunt: K&&priv. A c!eia privat a utilizatorului 0, un ntreg n &<7Z'7 K&&publ' % c!eia public, numr ntreg, obinut astfel: . +e l$ng mesajul semnat M, care va fi transmis, ca o particularitate avem un numr 8, ntreg aleatoriu, cuprins n intervalul &<7Z' care se modific la fiecare semntur. !emnarea 2ocumentului Semnarea documentului presupune determinarea perec!ii ! / &r+ s'. 0ceasta se face folosind c!eia secret a emitentului K&&priv. . Se alege un ntreg > n intervalul &<, Z' prim cu Z. Se va calcula7 r > &g> mo2 p' mo2 N. s > &&>A1' &?&M' J K&&priv. 5r.. mo2 N. =erificarea semnturii *eceptorul documentului electronic primit, nsoit de semntur, va efectua urmtoarele operaii: va calcula Q > sA1 mo2 N &s trebuie s fie inversabil'7 va calcula rO > g&?&M' V Q V K&&publ'r5Q mo2 p' mo2 N. ac rO > r, atunci semntura este valid i deci documentul este autentic.

D.

EHemplu 0legem N / 1*1 i p > CIN J 1 > CICE. /ntruc$t B este rdcina primitiv a lui <CICE, se calculeaz: g > )CI mo2 CICE > 1C* K&&priv. / C3. Se calculeaz c!eia public . #)peditorul &0' va semna un document, care are rezumatul C&9' > ;?BG, pe care%l va trimite ctre destinaie &F'. 0lege o constant 8 > H< drept parametru al semnturii i calculeaz urmtoarele: >A1 mo2 1*1 > EE 0cum va calcula cele dou elemente ale semnturii &r, s': r > &g> mo2 p' mo2 N / &1C*,* mo2 CICE' mo2 1*1 > 2,1I mo2 1*1 > E6. s > &&>A1' &?&M' J K&&priv. 5r.. mo2 N / &12)6 0 C, 5 E6. mo2 1*1 / EC. 1a destinaie se va verifica perec!ea &r, s' de ctre destinatar n felul urmtor cu ajutorul c!eii publice a e)peditorului: Q > sA1 mo2 N / ECA1 mo2 1*1 / 2, rO > g&?&M' V Q V K&&publ'V rVQ mo2 p' mo2 N ?&M' V Q mo2 N / 12)6 5 2, mo2 1*1 / 6, rVQ mo2 p / E6 5 2, mo2 1*1 / 2C rO > &1C*6, 5 6,3C2C mo2 CICE' mo2 1*1 > 2,1I mo2 1*1 > E6. Cum rO > r, semntura este valid. Implementarea !ard(are a fost fcut cu ajutorul cipului C1I++#*. Cipul este produs de ctre 0I\I, ar!itectura este proiectat de 9L:,I*,AIU, iar specificaiile sunt dictate de D2

AS0 &Aational SecuritE 0gencE'. #ste un c!ip care poate rezista cu succes tentativelor de decodare. +oate procesa ;H%?<9F-s at$t la criptare, c$t i la decriptare o dat ce a fost stabilit sincronizarea cu receptorul-emitorul.

1.2.6 !isteme 2e criptare 2e tip rucsac ->napsac>.


in aceast categorie de sisteme de criptate fac parte cifrurile 9er8le%Cellman, Cifrul Kra!am%S!amir i Cifrul S!amir.

1.2.6.1 Cifrul Mer>leA?ellman -M?.


Cunosc$nd greutile elementelor componente care se afl ntr%un rucsac i greutatea rucsacului nc!is, s se determine setul de elemente fr a se proceda la desc!iderea rucsacului &rucsac > 8napsac8'. 0cesta ar fi enunul problemei. =iind dat un ntreg pozitiv % i un vector & > &a1, a2, a), ., an' de numere ntregi pozitive, trebuie gsit un subset al lui & &=' a crui sum s fie egal cu %. % > aivi, unde = > &v1, v2, v), ., vn' de numere binare. EHemplu: S lum & > &1C, )I, C), 6, 11, 1' i % > ,). Se caut un element al vectorului = la care aivi > HB. S ncercm cu primul element ;. &a;' &HB%;.' > BD. B2 &a?' este mai mare dec$t BD i ; J G J ;;^BD. D3

S ncercm cu al doilea element B2 &a?' &HB%B2' > ;H. G J ;; > ;H. aivi > &;VB2' J &;VG' J &;V;;' > HB. eci vectorul cutat este = > &*, 1, *, 1, 1, *'. Cutarea va fi ngreunat dac & are un numr mare de elemente i dac elementele ai au de asemenea valori mari. , alt rezolvare se poate face n felul urmtor parcurg$nd paii: se ordoneaz cresctor elementele vectorului &7 se alege I i se testeaz dac ai &i > n...;' se potrivete7 dac se potrivete, atunci i se va asigna n vectorul = valoarea vi / 1, iar dac nu se asigneaz, valoarea vi / *7 se nlocuiete an cu anA17 se continu operaia p$n ce toate elementele au fost testate. EHemplu9 & > &1C, )I, C), 6, 11, 1', se ordoneaz i rezult 6, 11, 1C, )I, C)'. % / ,) Au se potrivete 0signm &n / C) % / %AanA1 / 1, 0signm &nA1 / )I Au se potrivete 0signm &nA2 / 1C % / %AanA) / 1, 0signm &nA) / 11 % / %AanA6 / 1, 0signm &nA6 / 6 Au se potrivete 0signm &nA, / 1 & > &1, * 1 * 1 1 *

Qectorul cutat va fi = > &*, 1, *, 1, 1, *' &similar cu rezultatul anterior'. Cifrarea 9er8le%Cellman folosete i aritmetica modular alturi de teorema lui =ermat pentru rezolvarea problemei. e asemenea, cifrarea 9er8le%Cellman poate fi fcut la modul simplu &anterior' sau variante mai comple)e, .<

cum ar fi cifrarea 9er8le%Cellman cu trap a2itiv sau cu trap multiplicativ. Conform Ieoremei lui =ermat: +entru orice numr prim p i orice element a^p, atunci: &;' ap mo2 p / a sau apA1 mo2 p / 1 pentru p prim i a^p, numrul ) este inversul lui a dac: &?' aH mo2 p / 1. Combin$nd &;' i &?', rezult &B' aH mo2 p / 1 / apA1 mo2 p sau H / a pA2 mo2 p. EHemplu9 H / a pA2 mo2 p / ),A2 mo2 ,/ )) mo2 ,/ 2C mo2 ,/ 2. Secvena de transformare pentru algoritmul 9er8le% Cellman mbuntit este urmtoarea: se alege un .rucsac. simplu &e)emplu 0 > &;, ?, G, 3''7 se alege un multiplicator ( i modulul n &unde n]sm'7 se nlocuiete orice ntreg ai din algoritmul simplu cu valoarea hi / Q5ai mo2 n. EHemplu9 & / -1+ 2+ 6+ E. i Q > ;H h1 / 151, / 1, mo2 1C / 1, h2 / 251, / )* mo2 1C / 1) h) / 651, / 3* mo2 1C / E h6 / E51, / 1), mo2 1C / 13. Qa rezulta vectorul ? / -h1, h2, h), h6. / -1,+ 1)+ E+ 13.. #)emplificarea criptrii i decriptrii folosind algoritmul 9er8le%Cellman mbuntit este prezentat n cele ce urmeaz. Se divide mesajul M n blocuri de m bii &at$ia bii c$te elemente are vectorul &'. Se utilizeaz algoritmul mbuntit pentru crearea ntregilor pozitivi % pentru fiecare grup de m bii. .;

EHemplu9 Criptarea Mer>leA?ellman ->napsac>. ! > & 1, 2, 6, E' &c!eie privat' ? > &1,, 1), E, 13' &c!eie public'. 0legem: Q > 1, QA1 > I n > 1C m > 6. 9esajul de criptat este: 7 > *1** 1*11 1*1* *1*1 W*, 1, *, *X V W1,, 1), E, 13X > 1) W1, *, 1, 1X V W1,, 1), E, 13X > 6* W1, *, 1, *X V W1,, 1), E, 13X > 26 W*, 1, *, 1X V W1,, 1), E, 13X > 2E. 9esajul criptat va fi E-7. / 1)+ 6*+ 26+ 2E. Decriptarea Mer>leA?ellman ->napsac>. ! > & 1, 2, 6, E' &c!eie privat' ? > &1,, 1), E, 13' &c!eie public'. 9esajul pentru decriptat va fi E-7. / 1)+ 6*+ 26+ 2E. Se apeleaz ? > Q V ! mod n. Ie)tul cifrat este de forma: C > ? V 7 > Q V ! V 7 mod n. Irebuie gsit: QA1 5 C > &Q A1 V Q' V ! V 7 > ! V 7 mod n. 1) 5 I / 1*6 mo2 1C / 2 / W*1**X 6* 5 I / )2* mo2 1C / 16 / W1*11X 26 5 I / 1E2 mo2 1C / , / W1*1*X 2E 5 I / 2)2 mo2 1C / 11 / W*1*1X. .?

1.2.6.2 Cifrul PrahamA!hamir -P!.


Cifrul Kra!am%S!amir vine cu mbuntiri menite s ascund aa%numitele proprieti de dominan ale cifrului 9er8le%Cellman. Cifrul este mai sigur dec$t 9er8le%Cellman, dar are dezavantajul c nu poate fi folosit dec$t pentru cifrarea datelor, nu i n autentificare.

1.2.6.) Cifrul !hamir -!?.


Se poate spune c acest tip de cifru este complementar cifrului Kra!am%S!amir. #l realizeaz doar procesul de autentificare neasigur$nd i protecia prin criptare. #ste folosit doar n implementarea semnturii digitale.

1.2., !isteme 2e criptare cu chei publice ba ate pe ecuaii n cmp finit


in aceast categorie fac parte sistemele de criptare Fr_ndstorm cu inele polinomiale, sistemele +ieprzE8 cu inele polinomiale i sistemele cu registre de deplasare. Criptarea Fr_ndstorm este similar cu criptarea *S0, numai c aici, n loc de numerele foarte mari folosite, avem polinoame n c$mp finit &cu coeficieni binari n c$mp finit'. Criptarea +ieprzE8 folosete o sc!em 9er8le%Cellman modificat utiliz$nd inele polinomiale, plec$nd de la premisa c operaiile definite n aceste inele sunt mai accesibile dec$t cele din inelul ntregilor. Sistemele cu registre de deplasare au fost propuse de Aiederreiter i utilizeaz un registru de deplasare cu reacie .B

&=eedbac8 S!ift *egister . =SF' care genereaz o secven ntr% un c$mp finit, ceea ce l face uor de implementat.

1.3 !emntura 2igital


Semntura digital reprezint un atribut al unui utilizator sau proces, fiind folosit pentru recunoaterea acestuia. =ie F un receptor de mesaj semnat de 0. Semntura lui 0 trebuie s satisfac urmtoarele proprieti: F s fie capabil s valideze semntura lui 07 s fie imposibil pentru oricine, inclusiv F, s falsifice semntura lui 07 n cazul n care 0 nu recunoate semnarea unui mesaj 9, trebuie s e)iste un RjudectorS care s poat rezolva disputa dintre 0 i F. Semntura digital rezolv at$t problema autentificrii emitorului, c$t i pe cea a autentificrii datelor. Sistemele de autentificare cu c!ei publice permit o implementare simpl a semnturilor digitale. eoarece este deinut doar de 0, transformarea 0 poate servi ca semn tur digital pentru 0. *eceptorul F al mesajului 9 semnat &transformat prin 0' este sigur at$t de autenticitatea emitorului, c$t i de aceea a datelor. eoarece transformarea invers este public, receptorul F va putea valida semntura. +rocesele se desfoar astfel: 0 semneaz pe 9 calcul$nd S > 0&9'7 F valideaz semntura lui 0, verific$nd dac #0&S' > 97 4n .judector. rezolv eventuala disput dintre 0 i F control$nd dac #0&S' conduce la 9, n aceeai manier ca i F. +entru crearea i utilizarea unei semnturi digitale se parcurg urmtorii pai: ;. Crearea perec!ii de c!eie public i c!eie privat pentru e)peditorul 0. .G

?. Irimiterea c!eii publice ctre receptorul F. B. #)peditorul 0 creeaz un mesaj pentru destinatarul F i folosete documentul ca dat de intrare pentru funcia R!as!S. G. #)peditorul cripteaz rezultatul prelucrrii documentului cu funcia !as! cu c!eia proprie. *ezultatul este semn tura digital. =uncionarea sc!ematic este e)emplificat n figura urmtoare &figura ;.'.

Figura 17. Crearea unei semnturi digitale 9esajul este trimis la destinaie nsoit de semntura digital. Semntura digital trebuie s ateste c acesta este trimis de cel care pretinde. H. estinatarul va separa mesajul original de semntura digital. .H

D. Semntura digital este decriptat cu ajutorul c!eii publice a e)peditorului. .. ocumentului original i se aplic aceiai funcie !as! ca la e)pediie. 2. Se compar dac cele dou rezultate, de la decriptarea semnturii digitale cu c!eia public i de la aplicarea funciei !as! mesajului, sunt identice. ac se confirm atunci mesajul este trimis de cel care pretinde. 4tilizarea semnturii digitale este e)emplificata n figura urmtoare &figura ;2'.

Figura 18. 4tilizarea semnturii digitale. Semntura digital nu confer confidenialitate coninutului mesajului. #a doar autentific c e)peditorul este cel care pretinde c este. Semntura digital este diferit de semntura electronic. Semntura digital reprezint o prelucrare a unui mesaj, n timp ce semntura electronic este o reprezentare electronic a semnturii clasice.

.D

1.6

Modalitii criptografiei informatice

de

utilizare a n sistemele

` Toate noile faciliti implementate de ctre Microsoft n sistemele de operare !indows "###$"##% se &a'ea' pe metode cripto(rafice pentru a asi(ura de la criptarea fi)ierelor )i p*n la securi'area informaiilor transmise. Sistemele de operare !indows +T foloseau cripto(rafia doar pentru criptarea parolelor. ,ersiunile ulterioare- ncep*nd cu !indows +T.- au adu(at noi faciliti cripto(rafice la sistemul de operare. Acti/e 0irectory din !indows "###$"##% repre'int ultimele implementri menite s asi(ure o securitate sporit impus de aplicarea politicilor de securitate la ni/el de firm. 1e l*n( acestea mai e2ist )i pro(rame sau dispo'iti/e hardware care implementea' criptarea n sistemele de calcul. ` 3n cadrul sistemelor informatice economice cripto(rafia se face simit la urmtoarele ni/eluri4 hardware5 aplicaie5 transmisie de date5 fi)iere )i foldere. ` Cri%!area &ard'are este foarte costisitoare- din care cau' este cu precdere folosit de marile firme. 6riptarea )i decriptarea datelor de pe suporturile de memorie tre&uie s se fac n timp real. 0in aceast cau'- componentele care fac ca preul acestor dispo'iti/e s fie ridicat sunt create cu a7utorul noilor tehnolo(ii de fa&ricaie. Aceste dispo'iti/e speciale- de re(ul ata)ate suporturilor de memorie- fac criptarea la ni/el de sector de pe disc. ..

0ispo'iti/ele de criptare din aceast cate(orie folosesc implementri hardware de al(oritmi complec)i de criptare- cu chei de criptare care dep)esc 8"9 de &ii. 3n ultimul timp se o&ser/ un transfer de tehnolo(ie de criptare hardware )i ctre piaa medie. 6a e2emplu- firma taiwane' A&it (www.a&it.com.tw) li/rea' pe pia- alturi de placa de &a' A&it :6;<MAX%- )i un dispo'iti/ hardware de criptare a datelor de pe discul dur. Acesta se interpune pe pan(lica :0E (:ntelli(ent 0ri/e Electronics sau :nte(rated 0ri/e Electronics . Standard de conectare a suporturilor de memorie magnetic) ntre discul dur )i placa de &a'. 6odarea )i decodificarea datelor la scriere )i la citire este fcut de ctre a treia (eneraie de cipuri de tipul X< !all =X<222 &numrul de bii folosii la criptare7 valorile sunt G<, DG, ;?2 i ;3? de bii) AS:6 (Application Specific :nte(rated 6ircuit) produs de e+o/a Technolo(y (www.eno/atech.net). Aceste cipuri criptea' )i decriptea' n timp real ntrea(a informaie de pe discul dur- inclu'*nd sectorul de &oot- fi)ierele temporare- fi)ierele swap )i fi)ierele sistem- utili'*nd al(oritmi de criptare 0ES (0at Encription Standard) )i T0ES (Triple 0ES) certificai de ctre +:ST (+ational :nstitute of Standard and Technolo(y). 6riptarea poate fi e2tins )i asupra altor suporturi de memoriefirma e+o/a Technolo(y produc*nd )i dispo'iti/e similare pentru unitile de disc fle2i&il. Schema de funcionare a unui astfel de dispo'iti/ este urmtoarea &figura ;3':

.2

Figura 19. Sc!ema de funcionare a dispozitivului U%Tall 1U%))). 6heia de securitate- de tipul unei memorii stic>- este folosit doar la pornirea calculatorului- put*nd apoi fi scoas p*n la o nou pornire- c*nd se cere introducerea acesteia ntr< un local special de tip ?S@ &?ni/ersal Serial @us'. Aceast cheie conine codul 0ES$T0ES folosit la criptare. 3n funcie de lun(imea cheii de criptare- )i e/ident de arhitectura intern )i /ite'a de lucru a chipului- se pot distin(e cinci tipuri de modele constructi/e ale acestuia &tabelul H'. Tabelul 5. Iipuri de modele constructive de c!ip U%Tall 1U.

A/anta7ele folosirii acestor dispo'iti/e sunt4 sunt compati&ile cu toate sistemele de operare5 nu necesit instalare de pro(rame suplimentare5 nu ncrca microprocesorul sau memoria intern5 .3

compati&il cu toate discurile :0E care au capaciti p*n la 89#A@5 permite rate de transfer real de 8-B A&$sec. se poate folosi )i pe matrice CA:0 (Cedundant Array of :ndependent (or :ne2pensi/e) 0is>s, categorie de interfee i drivere de disc ce permite conectarea a dou sau mai multe discuri pentru reducerea erorilor de stocare i sporirea performanelor) #-8 sau # D 8. 0e'a/anta7ele folosirii unui astfel de dispo'iti/ sunt4 la instalare se cere efectuarea operaiilor de E0:SK )i EFCMAT asupra discului dur- datele e2istente tre&uind s fie sal/ate (&ac>up)5 se poate cripta doar un sin(ur disc dur5 sistemul dispune de &ac>doors ( n ca' c se pierde cheia de criptare). :nterfeele de criptare care folosesc al(oritmi T0ES folosesc chei de criptare comple2e- performanele fiind mult mai ridicate fa de modelele comerciale. ` Cri%!area la i"el de a%li(a)ie este folosit n pachetele de pro(rame produse )i li/rate de marile firme productoare de software din domeniu. 6riptarea datelor poate fi fcut implicit de ctre aplicaia respecti/ sau se poate acti/a aceast facilitate de ctre utili'ator. ?n e2emplu este oferit de aplicaia 6iel 6onta&- care permite criptarea fi)ierelor de date specifice pro(ramului. Acti/area opiunii de criptare se face de ctre superutili'ator (Superutilizatorul n aceast accepiune este persoana care are drept de administrare i configurare a programului) din meniul de confi(urare al pro(ramului &Configurare ` (piuni 2e utili are ` Diverse ` Criptare fiJiere' pe societatea (firma) respecti/ &figura ?<'. Ei)ierele de date criptate sunt XE6C8.0@E )i XE6C".0@E. Acestea sunt de fapt fi)ierele care conin datele sen'iti/e ale firmei. 6riptarea re'ist doar la aciunea cu SA@0<uri mai /echi 2<

asupra fi)ierelor. 1entru SA@0<urile mai noi criptarea este inutil.

Figura 2$. Configurare program Ciel Contab & ,S' pentru opiunea de criptare fiiere ` Cri%!area la i"elul !ra *mi*iei de da!e poate fi fcut prin criptarea le(turii sau prin criptarea datelor. 6riptarea le(turii este asi(urat implicit de protocoalele de comunicare n reea sau de cele din :nternet. Secure Soc>et =ayer (SS=) repre'int un protocol !e& securi'at de'/oltat de firma +etscape 6ommunications care asi(ur criptarea pentru comunicrile reali'ate ntre oricare dou calculatoare din :nternet prin intermediul protocolului uni/ersal folosit . T61$:1. SS= se &a'ea' pe criptarea cu cheie pu&lic (1K:) )i funcionea' n dou etape4 ntr<o prim etap se sta&ile)te o cheie special de sesiune (transmis ntr<o form criptat folosind cheia pu&lic)5 aceast cheie /a fi utili'at n cea de a doua fa' pentru o criptare rapid a datelor. SS= asi(ur4 2;

autentificarea ser/erului pe &a'a certificatelor di(itale (care descura7ea' impostorii)5 confidenialitatea transmisiilor (prin criptare)5 inte(ritatea datelor transmise (prin coduri de /erificare). ?n alt protocol de transmitere securi'at a datelor este SGTT1 < Secured GyperTe2t Transfer 1rotocol <- care constituie o /ariant Hsi(urI a protocolului nati/ de transfer al pa(inilor we& < GTT1. SGTT1 a fost de'/oltat de asociaia 6ommerce+et )i asi(ur criptarea documentelor we& transmise- utili'area semnturilor di(itale )i a unui cod de autentificare pentru inte(ritatea mesa7elor. 3n mod e/ident- transferul prote7at al datelor n procesul de na/i(are pe we& este de mare interes n comerul electronic )i permite reali'area de tran'acii financiare confideniale )i operaii comerciale pe cale electronic. :mplementri similare au fost de'/oltate )i pentru sistemele de po)t electronic4 S$M:ME sau 1A1$M:ME . Ma7oritatea aplicaiilor de po)t electronic folosesc criptarea pentru asi(urarea confidenialitii. ?n e2emplu eloc/ent este Futloo><Futloo> E2press- care folose)te at*t criptarea- c*t )i semntura di(ital ca modaliti de securi'are )i autentificare a informaiei &figura ?;'.

Figura 2$. ,piunile de semntur digital i criptare la ,utloo8 #)press. 1entru a folosi ns aceste faciliti este ne/oie de e2istena unei identificri di(itale (0i(ital :0). Aceasta poate fi 2?

o&inut de la una din firmele speciali'ate- cum ar fi4 ,eriSi(nAlo&alSi(n- @T sau Thawte6ertification ` 1A1 < 1retty Aood 1ri/acy este creat de 1hil Jimmerman (a fost pu&licat n 8KKL) ca un pachet complet de securitate pentru criptare fi)iere )i po)t electronic- ce ofer mecanisme de confidenialitate- autentificare- semnturi di(itale )i compresientr<o form u)or de utili'at. 1A1 folose)te ca al(oritm de criptare CSA )i este distri&uit (ratuit prin :nternet- sisteme de informare n reele )i reele comerciale- fiind utili'a&il pe platformele MS< 0FS$!indows- ?+:X )i Macintosh. ,ersiunile comerciale ale pro(ramului asi(ur pe l*n( criptare fi)iere )i securi'are po)t electronic )i criptarea discurilor. ,ersiunea (ratuit a pro(ramului poate fi descrcat de la adresa4 http4$$www.p(p.com$products$freeware.html. 3n mod intenionat- 1A1 se &a'ea' pe al(oritmi de criptare e2isteni. Sistemul folose)te amprente locale de timp (preia din sistem anumite caracteristici !ard(are i soft(are la un anumit moment pe care le folosete ca date de intrare pentru crearea c!eilor)- iar n procesul de criptare se aplic )i al(oritmul de compresie al cunoscutului pro(ram J:1 (creat de Ji/ )i =empel- 8K;;). 1entru asi(urarea unei securiti adec/ateutili'atorul poate ale(e lun(imea cheii de criptare o&i)nuit (%9.&ii M .9@)- comercial (L8" &ii M B.@)- militar (8#". &ii M 8"9@). 3n a&ordarea iniial- o cheie de "#.9 &ii M "LB@ era considerat ine2pu(na&il- dar a'i se discut )i despre chei de .#KB de &ii )i este foarte pro&a&il ca resursele de calcul ale /iitorului s poat HdescifraI )i cifruri cu asemenea chei &figura ??'.

2B

Figura 22. ,piuni n criptarea +K+ 7EM % +rivacE #n!anced 9ail &pot cu confidenialitate sporit' este un standard oficial Internet care asigur secretul i autentificarea sistemelor de mail bazate pe standardul uzual. #)ist c$teva diferene ntre modurile de abordare i te!nologiile pac!etului +K+, respectiv ale lui +#9. /n procesul de codificare se folosete i algoritmul #S, ceea ce este considerat RsuspectS de specialitii n codificare, in$nd cont de lungimea mic a c!eii #S &HD de bii'. C!eile folosite de +#9 sunt certificate de o autoritate de certificare, fiind valabile pentru o anumit perioad, un utilizator i o c!eie public. +ractic, fiecare utilizator va folosi o asemenea c!eie privat, specific i confidenial, acordat i validat dup reguli riguroase de certificare7 aceast c!eie va fi folosit n paralel cu c!eia public. +olitica autoritilor de certificare este destul de comple), e)ist$nd o organizaie ierar!ic &cu trei niveluri'. 0stfel, administrarea c!eilor este structurat dup principii mai comple)e dec$t n +K+. #vident, e)ist i un mecanism de revocare a c!eilor &de e)emplu, n cazul compromiterii lor', ceea ce face ca trimiterea unui mesaj s fie n mod necesar precedat de verificarea automat a celei mai recente liste de revocri. 2G

/n +#9, autentificarea este obligatorie, pe c$nd n +K+ este opional. +arado)al este ns faptul c +K+, care nu este un standard oficial, are acumulrile Internet%ului, corespunz$nd principiilor nescrise care au dus la e)pansiunea acestuia, pe c$nd standardul oficial +#9 . mai puin. +rogramul lui Oimmerman s%a dovedit a fi o soluie foarte performant i, n plus, a fost distribuit gratuit, pe c$nd +#9 s%a dezvoltat n etape, folosind mai multe standarde Internet pentru diverse componente i o structur organizaional rigid, pe cele trei niveluri, cu tipuri diferite de autoriti de certificare i completat cu reglementri oficiale de certificare. Implementrile +#9 au aprut mai t$rziu dec$t +K+ i s%au dovedit ceva mai puin inspirate &din punct de vedere calitativ, cantitativ i al disponibilitii pe diverse platforme'. e aceea, +K+ a devenit un pac!et tipic pentru Internet, mult mai larg folosit dec$t +#9. Morton Bour EKes (nlK este un program performant, care permite criptarea fiierelor i controlul accesului la fiierele dintr%un calculator individual sau cuplat n reea. =olosete un sistem de criptare cu c!ei de p$n la H;? bii &versiunea pentru #uropa' i ?<G2 &versiunea pentru Statele 4nite'. +ermite criptarea cu c!ei private sau c!ei publice folosind algoritmi de tip #S sau *CG. +rogramul mai ofer i blocarea ecranului atunci c$nd utilizatorul nu folosete calculatorul, prin opiunea Screen1oc8, precum i posibilitatea de a se face ncrcarea sistemului de operare de pe disc!et sau de pe alt disc, prin opiunea Foot1oc8. 1oca A Data !ecure este un program folosit pentru controlul accesului i criptare. 9etodele de criptare folosite sunt: #S, A#+; &metod de criptare foarte rapid', A#+G i Flo(=is!. Mail!afe al firmei *S0 ata SecuritE faciliteaz transmisia n siguran a datelor ntre dou modemuri incluz$nd programe i ec!ipamente integrate. eoarece la date trebuie s aib acces mai mult de un utilizator, 9ailSafe folosete un sistem de c!ei publice i private. 2H

4tilizatorii care vor trimite date folosesc c!ei publice pentru a verifica semntura digital a destinatarului i pentru cifrarea traficul pentru transmisie. estinatarul folosete o c!eie privat pentru a semna fiierele emise i pentru a descifra mesajele primite. 9ailSafe folosete un sistem de meniuri pentru a selecta fiierele de transmis. #)peditorul creeaz c!ei publice i private folosind utilitarul :eEKen. 0cest proces instaleaz i parolele utilizatorilor care pot avea p$n la 2< de caractere lungime. 9ailSafe nu poate folosi parola pentru a genera o c!eie. /n sc!imb, utilitarul :eEKen creeaz c!ei noi, n orice moment n care este apelat. 9ailSafe creeaz semnturile digitale. Ca particularitate, 9ailSafe permite i folosirea comun a c!eilor publice. ac doi utilizatori doresc s cifreze fiiere pentru uz comun, ei pot ndeplini aceasta certific$nd c!eile publice unul altuia. /n consecin, cu toate c nici unul nu tie parola celuilalt, mesajul poate trece nainte sau napoi ntre cei doi utilizatori. 9ailSafe poate fi utilizat pe maini folosite n comun de ctre mai muli utilizatori, fr compromiterea datelor utilizatorilor individuali. ` Cri%!area +i,ierelor de da!e (documente<te2t- &a'e de date )i spreadsheet<uri) este cea mai simpl modalitate de ascundere a coninutului real al fi)ierelor. +u tre&uie fcut ns confu'ie ntre criptarea propriu<'is a unui fi)ier )i ascunderea coninutului acestuia. Da(- (o )i u!ul u ui +i,ier u %oa!e +i (i!i! a!u (i (. d *e / (ear(- de*(&iderea a(e*!uia u / *eam (- a(e*! +i,ier (o )i e da!e (ri%!a!e. Aceast confu'ie este deseori nt*lnit la aplicaiile de &irou MS !ord )i MS E2cel. S lum ca e2emplu urmtorul te2t scris n MS !ord4 &cesta este un mesa4 criptat. Ei)ierul cu acest coninut a fost sal/at cu opiunile de restricionare prin parol la deschidere )i modificare. Eolosind 2D

un utilitar pentru /i'uali'area coninutului fi)ierului /om putea s /edem te2tul ascuns &figura ?B'.

Figura 23. #videnierea coninutului fiierului 9S Tord. 4nul dintre cele mai rapide i ieftine e)emple de cifrare a fiierelor este 8ile EncrKpt al firmei Tisdom Soft(are. 0cesta folosete ata #ncrEption Standard & #S' pentru a cifra fiiere, simplu i rapid. =ile #ncrEpt este un criptosistem convenional cu o singur c!eie, scris n limbaj de asamblare. !ecretADis>A$$ al firmei 1attice, pe l$ng cifrarea datelor selectate, creeaz i un disc invizibil unic unde memoreaz fiierele criptate. +utei cripta fiiere folosind ori algoritmul #S ori algoritmul =0SI ale firmei 1attice. 0vantajul lui =0SI este, evident, viteza sa. iscurile logice invizibile ale lui Secret% is8%II conin doar datele cifrate n fiierele ascunse. , singur parol este folosit pentru blocarea i deblocarea discurilor secrete. C!iar dac un intrus descoper e)istena i zona discurilor secrete cu un utilitar de lucru cu discul, fiierele sunt criptate. ezactivarea comenzii #1#I# face imposibil tergerea accidental a fiierelor. 2.

` E2ist )i pro(rame de criptare care (arantea' o securitate prin criptare care re'ist la un atac de decriptare un numr de 8#%"ani. Este /or&a de pro(ramul C0%&eri1 SEC23E4T 2$$$ al firmei Secure Soft (:ndia) 1/t. =td &(((.cEp!eri).com'. 1ro(ramul folose)te pentru criptare ..9 de &ii. :nterfaa de lucru cu utili'atorul este foarte prietenoas &figura ?G'. Ei)ierele criptate o /or a/ea adu(at la e2tensia iniial )i pe aceea de .!$% &!ecure $%'.

Figura 24. +rogramul de criptare CEp!eri) &interfaa'. ` ?nitile de &and ma(netic folosite pentru operaiile de sal/ri periodice de si(uran ofer posi&ilitatea utili'atorului de a cripta datele care se /or sal/a. ` F pro&lem care a aprut n cadrul firmei a fost aceea c an(a7aii )i criptau fi)ierele de lucru- iar atunci c*nd era ne/oie de datele din acestea- iar an(a7atul nu era la ser/iciu din diferite moti/e- era imposi&il s se accese'e datele. Situaia a fost re'ol/at prin comunicarea acestora ctre conducere- care le folosea atunci c*nd era ne/oie (lucru destul de rar).

22

Capitolul $$. Mo2aliti 2e utili are a programelor antivirus n ca2rul firmei


23

2.1. Detectarea viruJilor


Ce mai simpl i mai la ndem$n modalitate de a ne proteja mpotriva programelor maliioase este aceea de a folosi un program antivirus. 4n program antivirus este un utilitar care detecteaz i ani!ileaz aciunea programelor maliioase. +rogramul antivirus va sesiza e)istena unui cod maliios &virus' n calculator folosindu%se de amprenta &semntura' lsat de fiecare program maliios &virus'. , dat sesizat e)istena unui virus, programul antivirus va lansa n e)ecuie o subrutin, vaccinul, care va ani!ila aciunea virusului. ` ?n pro(ram anti/irus nu /a putea detecta dec*t /iru)ii a cror semntur sunt n &a'a lui de semnturi. Tre&uie inut cont de faptul c / !.i a%are "iru*ul ,i a%oi a !i"iru*ul. ` 1roductorii de pro(rame anti/irus li/rea' periodic- la inter/al de c*te/a 'ile- noile semnturi de /iru)i. Actuali'area cu noile semnturi este u)or de fcut dac e2ist o cone2iune internet. Sunt )i productori care li/rea' actuali'rile folosind suporturi de memorie de tip disc fle2i&il sau compact disc. Este ca'ul firmei Kaspers>y. ` Teama de aciunea /iru)ilor este a)a de mare nc*t- uneorianumite su&rutine de testare a autenticitii unui pro(ram sunt luate drept /iru)i. Este ca'ul procedurii de /erificare de la pro(ramul 6iel 6onta&. ?lterior- acest nea7uns a fost remediat. ` Aciunea pro(ramelor anti/irus poate fi confi(urat de ctre utili'ator de la stadiul de ma2im protecie (real time protection) p*n la stadiul de inacti/ (disa&le). E/ident c ultima stare este cea mai nefericit- aceasta este similar cu ine2istena pro(ramului anti/irus. E2istenta acti/itii sau inacti/itii pro(ramului anti/irus poate fi e/ideniat prin icon<urile care apar n &ara de .tray. la sistemele de operare de tip !indows.

3<

2.2. &legerea Ji configurarea programului antivirus pentru firme


0legerea unui program antivirus este uneori dificil datorit e)istenei mai multor programe pe pia, dar i datorit cerinelor care trebuie ndeplinite de acestea. ` 1entru ale(erea unui pro(ram anti/irus tre&uie s inem cont de urmtoarele criterii de ale(ere4 platforma de lucru5 numrul de /iru)i care pot fi detectai5 timpul de rspuns la un /irus5 e2istena opiunilor de scanare n reea5 e2istena opiunilor de scanare n e<mail5 protecia mpotri/a scripturilor5 scanarea n fi)iere comprimate5 e2istena suportului tehnic5 perioada de timp pentru care se li/rea' actuali'ri (ratuite5 renumele firmei5 locali'area firmei productoare sau a distri&uitorului5 preul. Este cunoscut faptul c pro(ramele anti/irus sunt fcute s funcione'e pe mai multe sisteme de operare. ?nele firme productoare li/rea' pro(rame anti/irus care funcionea' doar pe anume sisteme de operare- dar sunt )i pro(rame anti/irus care funcionea' pe mai multe platforme. E2ist mai multe re/iste de specialitate care efectuea' periodic un audit al acestor pro(rame anti/irus. ?na dintre cele mai cunoscute este ,irus @ulletin (www./irus&tn.com). Ce'ultatele testelor efectuate de ctre speciali)tii acestei re/iste pe diferite platforme sunt e2emplificate n ta&elul urmtor &tabelul D': Mai multe date despre compati&ilitate )i modul de efectuare a testelor se pot (si la adresa: !ttp:--(((.virusbtn.com-vb;<<-about-;<<procedure.)ml. 3;

+umrul de /iru)i care pot fi detectai de un pro(ram anti/irus are cea mai mare (reutate n ale(ere. 6u c*t acest numr este mai mare- cu at*t posi&ilitile de detectare )i anihilare cresc. 1ro(ramele anti/irus pot detecta peste B;.### de /iru)i )i /ariante ale acestora &conform cu Aorton 0ntivirus'. Timpul de rspuns necesar pentru crearea unui antidot mpotri/a unui /irus este (reu de estimat. Acesta poate fi aflat doar n ca'ul unor /iru)i care au a/ut efecte ma7ore. Timpul de rspuns depinde n foarte mare msur de e2periena firmei. E2istena opiunilor de scanare n reea este foarte important at*t din punct de /edere al si(uranei )i actuali'riic*t )i al costului. ,om trata acest aspect puin mai t*r'iu. 0ac calculatorul sau reeaua au acces la :nternet- posi&ilitatea de a scana e<mail<uri este foarte important- &ine cunoscut fiind rsp*ndirea /iru)ilor cu a7utorul :nternetului. Similar )i opiunea de protecie mpotri/a /iru)ilor de script.

Tabelul 6. Ieste comparative de funcionare programe antivirus pe diferite platforme 3?

3B

1entru ca un fi)ier de dimensiune mare s a7un( c*t mai repede la destinaie se recur(e la comprimarea acestuia. 0imensiunea unui fi)ier comprimat este sensi&il mai mic fa de a celui iniial (depinde de tipul de fiier. /n anumite cazuri, poate s fie c!iar mai mare). 0ac fi)ierul surs conine un /irus- atunci )i fi)ierul re'ultat /a conine )i el /irusul. 0in aceast cau'- e2istena acestei opiuni este important. E2istena suportului tehnic- telefon sau e<mail- este necesar atunci c*nd se nt*mpin pro&leme la instalare )i confi(urare. Este important atunci c*nd instalarea este fcut de o persoan fr cuno)tine n domeniu. 0e re(ul- perioada de timp pentru care se li/rea' actuali'ri (ratuite de ctre firma productoare este de un an. Aceast perioad poate fi prelun(it prin semnarea unui contract de a&onament. Cenumele firmei tre&uie luat serios n considerare atunci c*nd se achi'iionea' un pro(ram anti/irus. Cenumele firmei ine at*t de lon(e/itatea acesteia pe pia- c*t )i de clasamentele ntocmite de firmele de specialitate. =ocali'area firmei productoare sau a distri&uitorului tre&uie luat n considerare dac se dore)te o cola&orare str*ns atunci c*nd pot s apar incidente le(ate de aciunea /iru)ilor )i c*nd sin(ura posi&ilitate de remediere este contactul direct ntre cele dou pri. 0e asemenea- locali'area firmei are un rol important n anumite situaii particulare. 6a e2emplu poate fi dat acela n care un /irus este produs local- de an(a7at sau de ctre o alt persoan la ni/el de 7ude sau de ar. F firm local /a putea s descopere )i s anihile'e mai rapid /irusul dec*t o firm aflat la mii de >ilometri distan. 1reul este foarte important atunci c*nd numrul de calculatoare este mare. 0in ta&elul urmtor se o&ser/ c preurile sunt compara&il e(ale &tabelul .'.

3G

Tabelul 7. +rincipalele programe antivirus &comparaii'.

Sursa: (((.antiviruseboo8.com-antiviruscomparison.!tm ` S anali'm acum cheltuielile necesare achi'iionrii de pro(rame anti/irus. Eirma pe care am fcut testele este o firm de mrime medie care are o reea cu "" de calculatoare cuplate n reea ("# staii de lucru )i " ser/ere < !indows +T )i =inu2). Achi'iionarea de pro(rame anti/irus pentru toate calculatoarele ar duce la un cost cuprins ntre 9.# ?S0 )i 8.#L# ?S0 ("8 &uc. X .# ?S0 )i "8 &uc. X L# ?S0- pe unul dintre ser/ere rulea' =inu2 < ser/er de :nternet). Suma este accepta&il pentru aceast firm. Achi'iionarea /a fi fcut )i pro(ramele /or fi instalate pe cele "8 de calculatoare. 3n anumite situaii- la achi'iionarea unui nou sistem de calcul- se li/rea' (ratuit )i pro(ramele anti/irus pentru ne/oile locale. 3n ultimul timp- tot mai muli productori de plci de &a' (sau de calculatoare) li/rea' )i pro(rame anti/irus o dat cu produsul. Este ca'ul pro(ramelor anti/irus +orton Anti/irus (li/rat separat sau inte(rat n +orton :nternet Security) )i 16<cillin. 3n situaia n care se folosesc pro(rame anti/irus care funcionea' separat pe fiecare calculator- atunci pot s apar disfuncionaliti n funcionarea ntre(ului mecanism de protecie anti/irus- )i anume4 actuali'area )i scanarea periodic de /iru)i este lsat la latitudinea an(a7atului5 este (reu de urmrit aciunea fiecrui pro(ram anti/irus pe staiile de lucru. 3H

Este necesar s e2iste un pro(ram anti/irus care s ofere un control centrali'at- repararea fi)ierelor infectate- capaciti de carantin pentru acestea )i posi&ilitatea de actuali'are din :nternet. 3n aceast situaie- achi'iion*nd un pro(ram anti/irus care s ofere aceste faciliti+orton Anti/irus Enterprise$6orporate Edition- preul total este de 8.#L# ?S0 (care include "8 de licene )i suportul de pro(ram pe compact disc). Suma este compara&il cu cea anterioar- numai c n acest ca' facilitile sunt multiple4 protecia )i monitori'area de la o sin(ur consol5 scanea' mesa7ele de e<mail at*t la recepionare- c*t )i la transmisie5 recunoa)te aplicaiile nesolicitate ca spyware )i adware5 identific sursa n ca'ul anumitor atacuri5 alertea' n ca'ul n care anumite calculatoare nu sunt conectate la reea5 scanea' n memorie )i opre)te procesele suspecte nainte ca acestea s cau'e'e daune5 permite o detectare centrali'at a nodurilor neprote7ate din reea. Achi'iionarea de ctre firm a pro(ramului anti/irus +orton Anti/irus Enterprise$6orporate Edition a permis un mai &un control al /iru)ilor. Anterior acestei achi'iii- c*nd se lucra cu diferite pro(rame anti/irus pe di/erse calculatoare sau c*nd actuali'rile nu erau fcute la 'i- pro&lemele (enerate de /iru)i erau multiple. =a o testare anti/irus iniial fcut cu +orton Anti/irus am descoperit 8# calculatoare /irusate dintr<un total de "". +umrul de fi)iere /irusate era de ordinul sutelor la fiecare calculator. 0in aceast cau' a tre&uit s efectue' operaia n dou etape . pe (rupuri de calculatoare. 0up terminarea complet a operaiei am constatat c situaia era identic cu cea iniial. Aceast situaie s<a datorat n mare parte strate(iei de lucru folosite la de/irusare. E2istena resurselor parta7ate n reea fcea ca dup de/irusare calculatoarele curate s se 3D

reinfecte'e la accesarea acestor resurse- n mare parte cu acordul utili'atorului. F alt cau' o repre'enta aciunea utili'atorului neinstruit. 1entru a nu mai a/ea astfel de pro&leme am procedat la o scanare n afara orelor de pro(ram- la anularea resurselor parta7ate )i la anularea accesului la :nternet. F dat cu instalarea unor sisteme de operare !indows X1 care nu mai ddeau utili'atorului drepturi de parta7are foldere sau fi)iere- a folosirii noului pachet de pro(ram anti/irus corect confi(urat )i a anulrii cone2iunii la :nternet pro&lemele datorate /iru)ilor s<au diminuat. 6hiar )i /iru)ii de pe dischetele mai /echi nu mai constituiau o pro&lem deoarece pro(ramul a fost confi(urat pe aciunea automat de de/irusare (autorepair).

2.). #eguli Ji restricii


` 1entru a se e/ita o infecie cu /iru)i este necesar s fie impuse o serie de re(uli )i restricii n utili'area calculatorului. 6a prim msur se impune informarea )i instruirea personalului asupra msurilor care tre&uie luate. A doua msur care se impune este confi(urarea corecthardware )i software- a calculatorului )i a reelei. ?n calculator corect confi(urat este /ulnera&il dac factorul uman nu este &ine instruit )i con)tient de consecinele unei infecii cu /iru)i. 0e asemenea- personalul &ine instruit nu poate s acopere (olurile de securitate hardware )i software lsate. ` 1rincipalele re(uli )i restricii care consider c se impun pentru a se e/ita o infectare cu /iru)i sunt4 1# :nstalarea )i rularea unui pro(ram anti/irus foarte &un. 6e nseamn aceastaN ?n pro(ram anti/irus &un sau foarte &un este acela care satisface cerinele de securitate impuse. 0ac pro(ramul anti/irus se instalea' local )i dac pe acel calculator nu se rulea' pro(rame de po)t electronic- atunci nu tre&uie luat n considerare facilitatea de scanare e<mail. 0ac n 3.

schim& calculatorul respecti/ este conectat la :nternet )i se face &rowsin(- atunci cerinele sunt foarte mari. +u este suficient ca un pro(ram anti/irus s detecte'e foarte muli /iru)i. Este important s detecte'e )i s anihile'e /irusul care ncearc s infecte'e acel sistem. 2# Actuali'area periodic a pro(ramului anti/irus cu noile faciliti- dar mai ales cu noile semnturi de /iru)i. Actuali'area poate fi fcut manual- periodic de ctre utili'ator sau poate fi confi(urat pe opiunea automat 3# Actuali'area pro(ramelor de e<mail )i a we& &rowserelor cu noile HpatchI<ur (patch < petic. /mbuntire ulterioar adus unui program care prezin goluri de securitate n funcionare) sau .fi2.<uri (Ei2 < reparaie ) Este &ine cunoscut e2ploatarea (olurilor de securitate din aceste pro(rame de ctre /iru)ii care se folosesc de :nternet pentru a se propa(a. Actuali'area acestor pro(rame mic)orea' posi&ilitatea de infectare. 4# 6onfi(urarea optim a pro(ramelor de e<mail )i a we& &rowserelor. 6a ni/el de securitate- acestea sunt confi(urate implicit pe opiunea Medium (mediu)- dar pot fi confi(urate pe ni/eluri mult mai ridicate. 0e asemenea- se poate confi(ura )i restricionarea anumitor site<uri. Aceste opiuni pot fi confi(urate- la sistemele de operare !indows- din Control 7anel ` $nternet (ption ` !ecuritK+ 7rivacK i &2vance2 &figura ?H'.

32

Figura 25. Configurarea opiunilor de securitate n Tindo(s. 5# +u se fac descrcri (download) de pro(rame din surse du&ioase. Actuali'rile de pro(rame tre&uie s se fac numai de pe site<ul productorului )i nu din alte surse. 6# +u se deschid fi)ierele ata)ate la e<mail dac acestea nu pro/in de la o surs de ncredere. Ce(ula de &a' este4 .nu deschide un attachement care /ine de la o persoan pe care nu o cuno)ti.. 1ro(ramele de po)t electronic au posi&ilitatea de a &loca accesul la e<mail<uri care par Hdu&ioaseI. 3n pro(ramul Futloo> E2press B acest lucru poate fi fcut din opiunile4 33

%ools ` (ption ` !ecuritK+ unde tre&uie &ifat opiunea Do not alloQ attachements to be save2 or opene2 that coul2 potentiallK be a virus (@lochea' deschiderea sau sal/area fi)ierelor ata)ate care pot fi$conine /iru)i) &figura ?D'.

Figura 26. Flocarea opiunilor de desc!idere automat a fiierelor ataate. 7# Atenie la e<mail<urile )i site<urile de tip pcleal. +u se /a da curs ferestrelor aprute n timp ce faci &rowsin( )i care<i propun un c*)ti( n &ani sau &unuri dac e2ecui clic> pe 56 7 8e* sau care conin mesa7e alarmiste referitoare la securitatea ;<<

calculatorului tu. +u se /or retrimite e<mail<uri primite ctre cunoscui cu urarea c /ei a/ea noroc dac faci asta. 8# Scanarea de /iru)i. Aceast aciune poate fi fcut manual sau poate fi fcut automat de ctre pro(ram prin confi(urarea acestuia ca la pornire sau la o anumit dat- periodic- s fac acest lucru. Frice nou suport de memorie accesat (disc fle2i&il- 60< CFM- pendri/e etc.) tre&uie s fie scanat. =a ma7oritatea pro(ramelor anti/irus o%)iu ea este automat. 9# 0e'acti/area lui Acti/eX din opiunile &rowserului de :nternet &figura ?.'.

Figura 27. ezactivarea lui 0ctiveU din opiunile bro(serului de Internet. 1$# 0e'acti/area lui !indows Script Gost (!SG) pentru a se pre nt*mpina infectarea cu /iru)i de script (e2tensia .,@S) 11# Acti/area opiunii de protecie la /iru)i de macro (Macro ,irus 1rotection) n Microsoft Fffice &figura ?2'.

;<;

Figura 28. 0ctivarea opiunii de protecie la virui de macro. 12# Achi'iionarea unui firewall. 13# Sal/area periodic a datelor (&ac>up). 14# :nformarea permanent asupra aciunii /iru)ilor. Acest lucru poate fi fcut din pu&licaiile de specialitate sau din atenionrile periodice trimise de firmele din domeniu.

;<?

Capitolul $$$. 8olosirea 2ispo itivelor fireQall n ca2rul firmei


).1. 7rincipii
Implementarea unui sistem fire(all reprezint msura de securitate cea mai avansat care poate fi implementat. 4n fire(al este considerat ca fiind prima linie de protejare a informaiilor private. Iermenul de fire(all &zid de foc' este folosit pentru prima dat la nceputul anilor ;.<< de ctre muncitorii forestieri pentru a proteja pdurile de propagarea incendiilor. 0cetia efectuau o degajare n masa copacilor i n acest fel focul nu mai putea s se propage. 0celai termen este folosit n industrie, n construcia de locuine, !ale industriale, depozite i este folosit i n industria II\C. "n fireQall este un sistem folosit pentru implementarea politicii 2e control a accesului ntrAo organi aie sau ntre organi aii. 0cesta va proteja un calculator sau o reea mpotriva accesului neautorizat. =ire(all%ul va crea un singur punct de legtur cu o reea care va putea s fie nesigur. /n acest fel se vor concentra toate resursele spre aprarea acelui punct de trecere &gate(aE'. 4n fire(all este constituit dintr%un calculator sau din mai multe calculatoare, mpreun cu programele asociate, care vor asigura politica de control a accesului. =ire(all%ul va permite sau va interzice traficul dintr%o parte n alta a sa. Iraficul care poate s treac sau s nu treac prin fire(all poate fi ntre dou sau mai multe reele sau ntre dou sau mai multe calculatoare. =ire(all%ul va putea s separe traficul dintre diferitele compartimente ale firmei sau s separe traficul din interiorul firmei de Internet. 4n singur dispozitiv fire(all poate fi folosit ;<B

pentru a se crea partiii logice la nivelul firmei. /n aceast situaie se impune ca tot traficul, inclusiv cel de Internet, s treac printr% un singur server. e regul, acel server este serverul central &figura ?3'.

Figura 29. 9odul de aciune al unui dispozitiv fire(all +olitica de securitate poate fi implementat cu ajutorul fire(all%ului folosind una dintre cele dou metode fundamentale: ce nu este n mod e)pres specificat ca fiind permis este interzis7 ce nu este n mod e)pres specificat ca fiind interzis este permis. +rima strategie este cea mai sigur, aceasta asigur$nd doar trecerea pac!etelor care sunt specificate. 0 doua strategie este mai permisiv, dar i mai nesigur. +roteciile asigurate de un fire(all sunt urmtoarele: protejarea mpotriva serviciilor i protocoalelor nesigure7 ;<G

protejarea informaiilor despre utilizatori prin ascunderea adreselor de reea7 creeaz fiiere jurnal care vor asigura auditarea reelei7 permite avertizarea n cazul unor tentative de intruziune7 n cazul n care sunt mai multe dispozitive fire(all ntr%o reea care are acces la internet, se poate permite o eviden centralizat a reelei fa de e)terior. Aici o reea de firm ataat la Internet nu va putea s fie n totalitate sigur. /ntotdeauna vor e)ista goluri care vor fi e)ploatate de !ac8eri. /n aceste situaii, un fire(all nu poate s fac fa urmtoarelor tipuri de atacuri: o provenite din interiorul firmei. 4n angajat din firm va putea s atace reeaua local cunosc$nd caracteristicile acesteia7 o anumite categorii de virui, cai Iroieni, Fac8doors7 o dezvluiri de conturi i parole prin metoda .social engineering.7 o atacuri folosind cone)iunile prin modem. , cone)iune modem este bidirecional, lucru care uureaz mult munca unui !ac8er.

;<H

).2. %ipuri 2e 2ispo itive fireQall


+e pia e)ist mai multe variante de dispozitive fire(all comerciale. /n esen acestea se pot clasifica n dispozitive fire(all: o de nivel reea7 o de aplicaie7 o !ibride. /n literatura de specialitate aceste te!nologii mai sunt cunoscute i sub numele de filtrarea pac!etelor &pac!et filters', pori de aplicaii &applications gate(aEs' i inspectarea complet a pac!etelor &stateful pac!et inspection'. Dispo itivele fireQall 2e nivel reea sau cu filtrarea pac!etelor folosesc ca component !ard(are router%ele. *egulile referitoare la acces vor fi definite la nivel de router. /n funcie de politica implementat de fire(all, unele pac!ete &numite i datagrame' vor fi admise, iar altele vor fi respinse n funcie de setul de reguli codificate de soft(are%ul care ruleaz pe fire(all &figura B<'

Figura 3$. ispozitivele fire(all de nivel reea. ;<D

=itrarea se va face in$nd cont de urmtoarele criterii: adresa I+ a sursei7 adresa I+ a destinaiei7 numrul portului IC+ sau 4 + &?ser 0ata(ram 1rotocol . protocol de comunicaie similar cu IC+-I+' al sursei7 numrul portului IC+ sau 4 + al destinaiei7 identificatorul de protocol care se gsete rezident n !eader%ul I+. 4n e)emplu de regul fire(all poate fi urmtorul:

Au toate router%ele pot s filtreze anumite porturi, dei majoritatea fac acest lucru. 4neori aceasta filtrare este dependent de sistemul de operare care ruleaz pe router. Dispo itivele fireQall 2e nivel aplicaie folosesc te!nica de substituire sau intermediere a aplicaiilor sau pro)E &application%pro)E fire(all', denumit uneori i poart de aplicaie &application gate(aE'. 0cest tip de fire(all are funcionare diferit fa de tipul bazat pe router i filtrarea de pac!ete. +orile de aplicaie sunt bazate pe componente soft(are. /ncercarea de cone)iune de la distan a unui utilizator va fi blocat i se vor e)amina diferitele c$mpuri ale cererii. ac se ndeplinesc un set de reguli predefinite, poarta creeaz o punte &bridge' ntre gazd de la distan i cea intern. /ntr%o sc!em care folosete o aplicaie gate(aE, pac!etele I+ nu sunt transferate mai departe n reeaua intern, ci sunt translatate av$nd poarta ca interpretor. 0ceast configuraie mai este denumit i configuraie cu intermediar &man%in%t!e%middle configuration' &figura ?;'.

;<.

Figura 21. ispozitivele fire(all de nivel aplicaie. 0vantajul modelului pro)E, cu poarta de aplicaie, este lipsa transferului de pac!ete I+ &for(arding'. 0vantajul important este acela c pe cone)iunea astfel intermediat se pot folosi mai multe tipuri de controale. 4n alt avantaj este acela c astfel de instrumente ofer opiuni i posibiliti de nregistrare foarte avansate ale traficului. ezavantajul modelului pro)E se reflect n viteza reelei. eoarece fiecare cone)iune i tot traficul de pac!ete sunt acceptate, negociate, translatate i transmise mai departe, aceast implementare poate fi mai lent dec$t filtrarea de pac!ete bazat pe router. 4n transfer de I+ &I+ for(arding' poate fi periculos deoarece permite unui crac8er e)perimentat s aib acces la staiile de lucru din reeaua intern a firmei. 4n alt dezavantaj al acestei sc!eme este acela c pentru aplicarea tuturor regulilor de filtrare pe un singur fire(all va putea s genereze o ncetinire a traficului i va presupune o munc laborioas pentru implementare. in aceast cauz, trebuie creat un pro)E &intermediar' pentru fiecare serviciu de reea. 0ceasta presupune e)istena unui pro)E pentru =I+, pentru Ielnet, pentru CII+ etc. e aceea se prefer ca uneori s fie mai ;<2

mult de un fire(all care s mpart i s preia o parte din sarcinile primului. Dispo itivele fireQall hibri2e combin funciile de la dispozitivele fire(all de nivel reea cu cele de la dispozitivele fire(all de nivel aplicaie. 0cestea funcioneaz ca un fire(all care va monitoriza sesiunea i informaiile despre aceasta, va filtra pac!etele, dar nu este un pro)E. Informaiile despre sesiune vor include I+%ul sursei i al destinaiei, informaii despre porturi i un jurnal al autentificrilor. =ire(all%urile !ibride asigur o securitate foarte bun. Sunt mai rapide ca fire(all%urile de aplicaie, dar mai lente dec$t fire(all%urile bazate pe filtrarea pac!etelor. , comparaie ntre modul de funcionare al celor trei modele de fire(all%uri folosind modelul de reea ,SI este e)emplificat n tabelul urmtor &tabelul 2' Tabelul 8. 0ciunea tipurilor de fire(all asupra nivelurilor de reea ,SI.

Ca metod de securizare a reelei interne mpotriva atacurilor din e)terior majoritatea dispozitivelor fire(all se folosesc translarea adreselor de reea &A0I % +etwor> Address Translation < translarea adreselor de reea'. 0ceasta presupune ascunderea identitii &I+ locale' a calculatoarelor locale pentru reeaua public. Sistemele de operare Tindo(s ?<<<-?<<B Server, U+, 1inu) i majoritatea sistemelor de operare 4AIU moderne dispun ;<3

de aceasta facilitate. Tindo(s AI nu beneficiaz de aceast facilitate. A0I ascunde adresele I+ locale prin convertirea lor la adresele fire(all. /n Internet tot traficul care provine de la calculatoarele reelei locale va fi vzut c provine de la un singur calculator-server al crui I+ va fi singurul cunoscut. 4n atacator nu va putea vedea dec$t I+%ul dispozitivului A0I i nu pe cele interne. Iranslarea adreselor permite de asemenea folosirea oricrui I+ n reeaua local, c!iar dac acestea sunt folosite oriunde altundeva n Internet. Singurele probleme pot s apar atunci c$nd se acceseaz din Internet o locaie care are acelai I+ cu cel al calculatorului local. in aceast cauz, este de preferat s se foloseasc pentru calculatoarele din reeaua local I+%urile rezervate 1E2.13I.*.* sau 1*.*.*.*. 0ceste clase nu se regsesc n adresele de !ost%uri din Internet. A0I permite i multiple)area unei singure adrese I+ publice ctre toat reeaua local. 0cest lucru este benefic pentru firmele mici deoarece fr aceast multiple)are posibilitile de adresare sunt relativ reduse. Iranslarea adreselor are i dezavantaje. 4nul dintre ele este acela n care un administrator al reelei interne vrea s se conecteze din afar la un calculator local n vederea depanrii. Sau situaia n care se dorete aflarea I+%ului unui calculator local de la care s%a trimis un mesaj senzitiv ctre e)terior. A0I ine la distan atacatorii, dar la fel de bine limiteaz accesul din afar al utilizatorilor legitimi &administratori' la resursele reelei interne n vederea depanrii. ispozitivele A0I moderne au implementat opiunea de portAforQar2ing care permite accesul utilizatorilor legitimi la reeaua intern. 9odul de funcionare al unui proces A0I este e)emplificat n figura B? .

;;<

Figura 32. =uncionarea unui proces A0I.

;;;

).). fireQall

&legerea+

instalarea

Ji

configurarea

` 1rima deci'ie n achi'iionarea unui dispo'iti/ firewall este dac ale(em unul hardware- software sau o com&inaie a celor dou. F dat ales dispo'iti/ul firewall- acesta /a tre&ui s fac in/i'i&il reeaua firmei pentru un neautori'at )i s o prote7e'e mpotri/a atacurilor. ` 1entru ale(erea unui firewall tre&uie s se in cont de urmtoarele criterii4 (radul de securitate5 sistemul de operare5 administrarea. Aradul de securitate asi(urat de un dispo'iti/ firewall este uneori (reu de cuantificat. Este &ine )tiut c un firewall hardware produs de firma 6isco repre'int topul /*n'rilor. 0ar tot la fel de &ine se )tie )i c acele firewall<uri sunt )i cele mai scumpe. 1:X (1:X < 1ri/ate :nternet E2chan(e.) Eirewall produs de firma 6isco este considerat ca fiind unul dintre cele mai &une dispo'iti/e de acest fel- asi(ur*nd o securitate ridicat )i un ni/el crescut de performan. Sistemul de operare /a at*rna n deci'ia de ale(ere a unui firewall n dou moduri. ?nul ar fi acela c productorii de firewall sunt de prere c firewall<urile &a'ate pe sisteme de operare care au mai puine &u(<uri sunt mai si(ure. Al doilea moti/ ar fi acela c &u(<urile aprute n folosirea unui firewall care rulea' pe un sistem de operare lar( rsp*ndit /or putea fi raportate de un numr mai mare de utili'atori. E2ist ns )i re/ersul la folosirea unui sistem de operare lar( rsp*ndit. Sistemul de operare !indows- care este cel mai rsp*ndit- e cel mai atacat deoarece este un sistem de operare comun- are suficiente (oluri de securitate )i pentru c muli hac>eri ursc firma Microsoft datorit politicii sale. ;;?

Atunci c*nd se ale(e un firewall software este o&li(atoriu ca acesta s fie suportat de sistemul de operare. Administrarea unui firewall tre&uie s fie familiar. Este &ine cunoscut c firewall<urile !indows sunt mai u)or de administrat dec*t cele ?+:X (sau =inu2). E2istena unei interfee (reoaie /a face ca firewall<ul s nu fie confi(urat optim- mai ales dac persoana care<l confi(urea' nu are e2perien. 0ispo'iti/ele firewall comerciale sunt disponi&ile n dou cate(orii4 Sin(le (ateway- care are suport pentru un numr specific de utili'atori )i consola de mana(ement instalat pe un sin(ur calculator. Se pretea' foarte &ine la firmele mici. Eirewall Enterprise- care permit prote7area unui numr specificat de calculatoare din reeaua intern. Adu(area de module suplimentare mre)te numrul acestora. Achi'iionarea unui dispo'iti/ firewall de firm- ca e2emplu 1:X Eirewall- produs de 6isco- pentru prote7area la atacuri din e2terior- este de preferat n locul achi'iionrii unui produs software. 1reul de achi'iie )i cheltuielile de implementare fac ca aceast soluie s nu fie aleas dec*t de firmele mari- care<)i pot permite preul. Eirewall<ul produs de firma 6hec>point cost pentru un modul cu L utili'atori %## ?S0- iar pentru un modul de "L# de utili'atori cost B.### ?S0. Asistena tehnic este asi(urat telefonic pentru suma de .## ?S0 pentru incident. Symantec Enterprise Eirewall (care este un pro2y) cost (cu suport de ,1+) ..### ?S0 pentru un numr de p*n la 8## de utili'atori )i 8".L## ?S0 pentru un numr nelimitat de utili'atori. Suportul tehnic este asi(urat pentru sume cuprinse ntre .## ?S0 (p*n n 8## utili'atori) )i 8.9;L ?S0 (pentru un numr nelimitat de utili'atori). Symantec Enterprise Eirewall rulea' pe platforme !indows +T . S1 Ba- !indows "###$"##%precum )i pe platforme Sun Solaris (S1AC6)- )i este multithread (Multithread . capacitatea mai multor microprocesoare de a ;;B

funciona ca i cum ar fi unul singur) pentru a putea s foloseasc facilitile sistemelor multiprocesor. Eirmele mici /or opta pentru soluii firewall n(lo&atelucru nt*lnit la ser/erele :nternet &a'ate pe sistemele de operare =inu2. 3n ca'ul n care ser/erul respecti/ are ca sistem de operare !indows- se indic folosirea pachetului +orton :nternet Security "##. (1rofessional) la preul de ;# (8##) ?S0. 0ac se dore)te )i prote7area staiilor de lucru din interiorul firmei mpotri/a atacurilor din interior- se poate opta ntre produsele e2istente pe pia4 +orton Eirewall (+orton :nternet Security)Jone Alarm 1ro- 6hec>1oint Eirewall. 1reurile la aceste produse /aria' n 7urul /alorii de L# ?S0. ?nele dintre aceste produse se li/rea' (ratuit la achi'iionarea unui sistem de calcul. Este ca'ul produselor +orton :nternet Security )i +orton Anti/irus (uneori sunt inte(rate ntr<un sin(ur pro(ram . +orton :nternet Security .- dar opional se poate instala )i +orton Anti/irus). Suportul tehnic pentru actuali'ri (ratuite este de un an. :nstalarea )i confi(urarea /or fi fcute n urmtorii pa)i4 instalare )i confi(urare platform sistem de operare5 instalare )i confi(urare module firewall5 instalare )i confi(urare ser/er mana(ement5 instalare )i confi(urare console de administrare5 instalare ser/icii suplimentare (anti/irus- antispam)5 confi(urare politici de securitate5 confi(urare translatare adrese (+AT)5 implementare metode de autentificare. ` 6onform celor e2puse- n cadrul firmei- am optat pentru o soluie de compromis financiar. 6erinele au fost ca s fie prote7ate calculatoarele care au acces la :nternet )i de asemenea s fie prote7ate )i cele neconectate. 1entru prima cate(orie am ales /arianta de e2ternali'are a ser/iciului de securitate. Ser/erul de :nternet- pe care rula =inu2- s fie dat n administrarea distri&uitorului local C0S$C6S (* S-*CS . Krup de firme ;;G

&consoriu' specializate n distribuia de televiziune prin cablu i distribuie Internet. ). Acesta- de comun acord cu conducerea firmei- a instalat )i confi(urat firewall<ul =inu2 cu restriciile impuse- urm*nd ca periodic s trimit la sediul firmei liste cu atacurile asupra ser/erului. Totodat- firma C0S$C6S se o&li(a s monitori'e'e permanent acti/itatea de pe acest ser/er. 1entru calculatoarele neconectate la :nternet /arianta aleas a fost aceea a pro(ramelor firewall +orton 1ersonal Eirewall$+orton :nternet Security. S<a ales aceast soluie deoarece o parte din calculatoarele nou<achi'iionate a/eau preinstalat acest pro(ram. Administrarea calculatoarelor din reeaua neconectat /a fi fcut de ctre un an(a7at al firmei care /a actuali'a permanent pro(ramele )i /a monitori'a re'ultatele statistice (enerate de firewall.

).6. &2ministrarea fireQall


0dministrarea unui fire(all poate fi o activitate care poate s ocupe foarte mult timp. 0ceasta depinde i de mrimea firmei, n cazul firmelor mari administrarea put$nd fi o operaie permanent. /n esen, administrarea unui fire(all presupune: monitorizarea performantei fire(all%ului7 monitorizarea log%urilor de securitate7 mentenana securitii prin aplicarea de patc!%uri i !otfi)% uri i actualizri7 intervenia n caz de nevoie. 1a nivelul firmei un fire(all este acel produs care mparte o singur politic centralizat peste multiple fire(all%uri. =ire(all%urile la nivel de firm permit un control centralizat al politicii de securitate. +olitica de securitate, definit la nivel de staie de lucru, este apoi replicat peste celelalte puncte de lucru. ;;H

` =a firma studiat o mare parte dintre pro&leme se datorau cone2iunii la :nternet. +u am contori'at pierderile de producti/itate datorate cone2iunii la :nternet- dar mai toi an(a7aii firmei pierdeau n fiecare diminea- uneori 'eci de minute- ca s citeasc presa prin :nternet sau pentru alte acti/iti care nu a/eau nici o le(tur cu acti/itatea firmei. F mare parte dintre /irusrile calculatoarelor se datorau cone2iunii la :nternet. Am decis c (ea mai *igur- (ale de a limi!a a!a(urile di 4 !er e! ,i de a u mai a"ea %ierderi de %rodu(!i"i!a!e e*!e a(eea de a *e%ara re)eaua. Aceasta /a presupune o cone2iune la :nternet numai a staiilor care au ntr< ade/r ne/oie de asta. Accesul pu&licului la ser/erele de we&ET1- email se /a face doar pe o poriune mic din reea. Staiile de lucru de aici /or conine toate datele necesare pu&licului- dar nu date sen'iti/e. 3n acest fel- se asi(ur urmtoarele &eneficii4 poriunea de reea neconectat la :nternet este a&solut si(ur. Transferul de date din reeaua conectat la :ntenet n cea neconectat se /a face folosind suporturi de memorie de capacitate mare care )i acestea /or fi scanate de /iru)i. 0ar acest transfer se face doar atunci c*nd este a&solut necesar5 soluia este foarte simpl )i nu necesit echipamente speciale5 reduce riscurile de atac )i infectare cu /iru)i5 reduce timpul pe care an(a7aii l pierd na/i(*nd pe we& sau descrc*nd pro(rame care nu au nici o le(tur cu acti/itatea firmei5 reducerea traficului n cele dou reele a crescut performanele n am&ele. ` 0up reali'area separrii reelei pro&lemele (enerate de /iru)i aproape c au disprut n reeaua neconectat. 1eriodic- )i n afara orelor de pro(ram- se conectau cele dou reele pentru a se face actuali'rile de semnturi de /iru)i- actuali'rile de pro(rame firewall )i alte (hot)fi2<uri de pro(rame. Au rmas ;;D

conectate la :nternet numai calculatoarele la care acest lucru era a&solut necesar (L la numr). Ec*nd un calcul apro2imati/- au re'ultat c*)ti(uri de producti/itate de 8;."L#.### lei (8L calculatoare neconectate 2 8 or c*)ti(at n fiecare 'i 2 L#.### lei media tarifar orar 2 "% de 'ile). Aceast nou confi(urare nu a fost pe placul an(a7ailor. Ace)tia au fost nemulumii de acest lucru n primele 'ile- situaia intr*nd apoi n normalitate.

;;.

Capitolul $=. !canere 2e vulnerabilitate


6.1. %ipuri 2e scanere
4n scaner este o component soft(are care va analiza o reea i va detecta eventualele slbiciuni ale acesteia, precum i golurile de securitate. 4n scaner va lansa atacuri secveniale asupra calculatoarelor din reea. e aceast dat, atacul nu este unul maliios. ac un atac a fost nsoit de succes, atunci scanerul va crea o not ntr%un raport i apoi va continua procesul. 1a sf$ritul procesului de scanare se va afia un raport referitor la aciunile scanerului i la calculatoarele vulnerabile. 0cest raport va putea fi folosit pentru a nelege care calculator din reea are nevoie de o mare atenie pentru a mbunti securitatea a lui i a ntregii reele. ei aciunea unui scaner este nsoit de termeni ca gol de securitate etc., succes &al atacului', vulnerabilitate, de aceast dat aceti termeni au o cu totul alt conotaie. S nu uitm c aceast scanare este folosit nu pentru iniierea unui atac, ci tocmai pentru ca atacurile maliioase s nu poat fi ncununate de succes. 4n gol de securitate nu va fi e)ploatat, cum fac !ac8erii, ci va fi umplut cu ajutorul patc!%urilor, al fi)%urilor sau prin modificarea configuraiei. 0tacul va fi e)ecutat doar pentru a se determina vulnerabilitile i nu pentru a le e)ploata. Succesul unui atac nu va fi o victorie ca n cazul unui atac real, ci va fi un motiv de ngrijorare i un obiectiv. Qulnerabilitatea zero sau redus va reprezenta de aceast dat un lucru bun. , vulnerabilitate ridicat va reprezenta un motiv de ngrijorare care va necesita msuri urgente. 9ajoritatea scanerelor testeaz calculatorul%gazd i informeaz asupra ;;2

serviciilor de reea care funcioneaz pe acel calculator. /n plus, un scaner va spune i unde acele servicii sunt susceptibile de o vulnerabilitate cunoscut sau sunt greit configurate. e e)emplu, pentru o ar!itectur Tindo(s, testele care se vor efectua sunt urmtoarele: scanarea porturilor de reea care utilizeaz 4 +7 scanarea porturilor de reea care utilizeaz pac!ete IC+ SLA, 0C:, =IA7 scanarea lui Aet(or8 Aeig!bor!ood7 testarea vulnerabilitilor AS i SA9+7 scanarea pentru detectarea cailor troieni i a bac8doors% urilor cunoscute7 Server 9essage Floc8 MuerEing7 testarea 0ctive Services7 verificarea protocoalelor de transport i sesiune7 posibilitatea de a stabili sesiunile A411 I+Ca locale7 verificarea Service pac8 i Cotfi)7 verificarea opiunilor s!are &0dmin&S''7 verificarea abilitailor de ZuerrE registrE7 verificarea vulnerabilitilor cunoscute 4*1 i CKI7 verificarea vulnerabilitilor cunoscute la atacuri oS7 verificarea vulnerabilitilor 9S SM1 Server7 testarea vulnerabilitilor S9I+, =I+, +,+B. Iipurile cele mai cunoscute de scanere sunt: scanere de reea &net(or8%based scanners' scanere de staie &!ost%based scanners' scanere de porturi &port scanners'.

!canerele 2e reea sunt unelte soft(are care lanseaz dintr%o locaie central RatacuriS asupra reelei n vederea testrii vulnerabilitilor. , consol central va fi folosit pentru maparea ntregii reele i pentru trimiterea de pac!ete ctre calculatoarele care vor fi scanate pentru a culege informaii. e la aceast ;;3

consol se vor direciona diferitele .atacuri. care vor scana un anume calculator din reea. Scanerele de reea sunt uor de implementat i de utilizat. +rogramul de scanare va fi ncrcat pe un calculator din reea i de aici se va testa reeaua &figura BB'.

Figura 33. Interfa scaner de reea. Scanerele de reea au i neajunsuri. +rintre acestea se pot enumera: ncetinesc traficul n reea. 4n scaner de reea va putea s foloseasc pentru lansarea RatacurilorS foarte mult band7 pot duce la blocarea unor calculatoare. 0numite teste pot s bloc!eze calculatoarele supuse procesului de scanare7 durata de timp pentru efectuarea unei operaii de scanare poate s fie considerabil i poate folosi resurse mari din reea7 aciunea de scanare va putea s fie folosit de alte persoane &!ac8eri sau angajai ruvoitori' pentru descoperirea vulnerabilitilor reelei. ;?<

!canerele 2e staie difer de scanerele de reea n primul r$nd prin ar!itectur. +ac!etele de testare de la consol vor fi trimise ctre un calculator din reea i nu ctre toat reeaua &figura BG'. Iot traficul se desfoar ntre aceste dou puncte. 0 dou diferen este aceea c aciunea de testare se face pentru testarea unei configurri locale defectuoase fr s se ncerce e)ploatarea unor goluri de securitate. Scanerele de staie au c$teva avantaje n fa scanerelor de reea. 4nul dintre avantaje este acela c traficul din reea e sensibil diminuat, int nefiind reeaua, ci numai un calculator din reea. in aceast cauz, un scaner de staie este de preferat n locul unuia de reea deoarece nu folosete resurse mari de reea n care ar avea repercusiuni asupra traficului prin scderea acestuia. Calculatoarele testate nu mai sunt n pericol de a cdea, ca la un atac cu scaner de reea, deoarece se testeaz doar vulnerabilitatea i nu posibilitatea de e)ploatare a acesteia. Scanerul de staie nu va mai putea fi folosit de o alt persoan pentru scanarea reelei deoarece scanarea de la consol la calculatorul supus testului se face pe un canal securizat care nu poate fi folosit dec$t de o singur persoan.

Figura 34. Scaner de staie. !canerele 2e porturi reprezint o categorie aparte de scanere folosite pentru maparea calculatoarelor din reea i ;?;

testarea porturilor pe care acestea le folosesc. 4n port este o adres a calculatorului folosit pentru comunicare. ,ricare din cele peste ;<.<<< de posibile porturi pot fi folosite, dac sunt desc!ise, pentru iniierea unui atac &figura BH'.

Figura 35. Scaner de porturi. 9ultitudinea de scanere e)istente ca programe gratuite n Internet face ca acestea s constituie un pericol la adresa calculatoarelor din reeaua firmei. C!iar dac nu au succes n descoperirea golurilor de securitate, un scaner ngreuneaz traficul n reea atunci c$nd este n lucru. 0cesta poate s fie unul din semnalele c se face o scanare a reelei locale.

;??

6.2. !canere comerciale


9ajoritatea scanerelor au abilitatea de scanare de porturi pentru gsirea unui calculator n reea. #)ist ns unelte specializate n scanarea de porturi. MM&7 &Aet(or890+er' i A90+=# sunt unele dintre cele mai folosite unelte n acest scop. A90+ este un utilitar care e)ploreaz ar!itectura reelei foarte rapid. 0cesta folosete pac!ete I+ pe care le trimite n reea pentru a determina care calculator este disponibil, serviciile &asigurate de porturi' care sunt desc!ise, sistemele de operare i versiunile acestora care ruleaz pe acel calculator, precum i fire(all%urile active. 9ai multe date, documentaii, precum i programul n format comprimat sau codul sursa vor putea fi gsite la adresa !ttp:--(((.insecure.org-nmap- . PM$% este un scaner pentru platforme Tindo(s AI i Tindo(s ?<<<. 0cesta va face o verificare amnunit a reelei, va furniza detalii despre fiecare cont, precum i o list cu cone)iunile i serviciile care ruleaz. 9ai multe detalii se pot gsi la adresa !ttp:--securitE.ellicit.org-. Rinfingerprint scaneaz calculatoarele i culege informaii referitoare la AetFI,S, utilizatori, grupuri, protocoale de transport, servicii etc. +rogramul va scana calculatoarele e)istente n Aet(or8 Aeig!bor!ood oferind un raport n format CI91 % !ttp:--(infingerprint.sourceforge.net!ecuritK &2ministratorOs $ntegrate2 MetQor> %ools &S0IAI' este folosit pentru a testa i evalua reele. Qersiunea gratuit poate fi descrcat de la adresa ftp:--ciac.llnl.gov-pub-ciac-sectools-uni)-satanCerberus $nformation !canner &CIS' scaneaz reeaua pentru a determina serviciile care ruleaz. +rogramul funcioneaz pe platforme Tindo(s AI i ?<<< i determin dac conturile ;?B

utilizatorilor, informaiile partajate, grupurile i anumite servicii pot fi accesate de ctre intruderi. /n plus, se mai poate face o scanare pentru a se determina vulnerabilitile SM1 Server. Qersiunea gratuit poate fi descrcat de la adresa (((.cerberusinfosec.co.u8-cis.s!tml. +e l$ng aceste site%uri mai e)ist n Internet foarte multe alte site%uri care pot da informaii despre securitate i cum poate fi aceasta mbuntit. Informaiile de aici includ descrieri despre vulnerabiliti, platformele care sunt afectate, precum i msurile care trebuie luate pentru remedierea acestor vulnerabiliti. Cele mai importante biblioteci cu baze de date despre vulnerabilitate se pot gsi la urmtoarele adrese: 1ug%raN &(((.securitEfocus.com-bid'. #ste cea mai mare i mai important baz de date care cuprinde informaii legate de vulnerabiliti, descrierea acestora, detalii despre e)ploatarea acestora i procedurile de eliminare. CE#% &(((.cert.org'. Computer #mergencE *esponse Ieam &C#*I' este un centru federal de cercetare i dezvoltare n domeniu localizat la Carnegie 9ellon 4niversitE. GA8orce &)force.iss.net'. Internet SecuritE SEstems &ISS' este un scaner de firm care are posibilitatea de a asigura securitatea asupra unor grupuri. C$&C &(((.ciac.org'. Computer Incident 0dvisorE Center &CI0C' este sponsorizat de 4.S. epartment of #nergE i include tiri, avertizri despre virui, precum i o baz de date e)tins referitoare la vulnerabiliti. Mt1ug%raN &(((.ntbugtraZ.com'. 0ceast baz de date aparine unei persoane private, *uss Cooper, i conine informaii referitoare la vulnerabilitile 9icrosoft.

;?G

6.). 7roce2urile 2e scanare la nivel 2e firm


Scanerele trebuie folosite n str$ns legtur cu procesele i procedurile aplicate pentru asigurarea politicii de securitate impuse la nivel de firm. +rocedurile de scanare n vederea detectrii vulnerabilitilor sunt mari consumatoare de timp. in acesta cauz, operaiile incluse n procesul de scanare trebuie s se fac n afara orelor de program. ` 6onsider c operaiile de scanare la ni/elul firmei- n /ederea testrii /ulnera&ilitilor- tre&uie s se fac in*nd cont de mrimea firmei. 0e asemenea- aceast operaie tre&uie s se fac o&li(atoriu de oric*te ori se modific arhitectura reelei din firm. ` =a ni/elul firmelor mici- procedura de scanare se /a efectua de cel puin dou ori pe an- n condiiile n care nu se face nici o modificare n arhitectura reelei. 0ac se fac modificri n arhitectura reelei- atunci dup fiecare modificare se /a face o nou /erificare a /ulnera&ilitilor folosind scanarea. 3n funcie de numrul de calculatoare e2istente n firm- operaia de scanare poate s dure'e de la c*te/a ore p*n la c*te/a 'ile. 0ac numrul de calculatoare este mic- atunci operaia /a putea fi fcut n afara orelor de pro(ram- n 'ilele lucrtoare. 0ac numrul de calculatoare este relati/ mare- p*n la 8##- atunci procesul de scanare se /a face n 'ilele nelucrtoare. ` =a ni/elul firmelor medii- operaia de scanare se /a efectua n mod re(ulat. 3n acest ca'- operaia este mult mai la&orioasdeoarece poate e2ista un numr de ser/ere mult mai mare ca la firmele mici- acestea necesit*nd un timp mai ndelun(at de scanare. 0in aceast cau'- procesul de scanare poate fi fcut pe ;?H

seciuni ale reelei. 0e asemenea- n funcie de anumite criterii de politic sau de arhitectur- anumite poriuni de reea pot fi scanate mai des- n timp ce altele mai rar. ` =a ni/elul firmelor mari- operaia de scanare repre'int o prioritate. Fperaia este e2trem de la&orioas )i de aceea tre&uie s e2iste personal e2trem de &ine pre(tit )i responsa&il. Fperaia de scanare poate s nu re'ol/e n totalitate anumite pro&leme le(ate de securitate- dar poate ateniona asupra punctelor /ulnera&ile n care tre&uie concentrat atenia. ` 3n situaia n care firma- indiferent de mrime- nu are personal calificat pentru aceast operaie- se poate apela la firme speciali'ate care s preia aceast sarcin.

;?D

Capitolul =. Controlul accesului Ji 2etectoare 2e intru iune


,.1. Mo2aliti 2e control al accesului
4n proces de asigurare complet a securitii presupune protecia, detectarea i rspunsul la atacuri. etectarea intruilor reprezint miezul problemei pentru a monitoriza calculatorul sau reeaua de calculatoare n vederea detectrii golurilor de securitate, a !ac8erilor i a abuzurilor angajailor. 9ajoritatea detectoarelor de intruziune au n componen i mecanisme de limitare a pierderilor. 9ecanismele folosite pentru interzicerea accesului persoanelor neautorizate la datele stocate n calculator poarta denumirea de funcii de control al accesului. +$n unde trebuie mers ns cu limitarea i controlul accesuluiY 1imitarea e)cesiv de acces a clientului la anumite informaii poate s nu fie benefic n afaceri. 9surile de securitate e)cesive impuse partenerilor de afaceri s%ar putea s fie suprtoare pentru acetia. 0ccesul la anumite date, restricionat de o mulime de parole de acces, va putea s fie enervant pentru partenerul de afaceri care poate n final s renune. +arado)ul securitii este acela c poi avea o securitate e)cesiv n detrimentul afacerilor sau o securitate rezonabil i afacerile s fie prospere. 0dic .Cine nu risc nu c$tig.. Irebuie gsit o cale de mijloc ntre circulaia liber a informaiilor i nevoia de securitate. 0ccesul la informaiile stocate ntr%un calculator reprezint un risc de luat n seam, dar dezvluirea informaiilor ctre un competitor n afaceri poate avea efecte dezastruoase asupra firmei. /n funcie de c$t de multe i de caracterul datelor intrate n posesia competitorului, se poate ajunge c!iar n situaii de blocare a activitilor pentru o perioad de timp sau c!iar ;?.

faliment. 0cesta este principalul motiv pentru care firmele trebuie s se preocupe de securitatea datelor din propriile calculatoare. 0tunci c$nd se pune problema asigurrii securitii, oricine se g$ndete c prima msur este asigurarea unui control al accesului. bi pe bun dreptate. Controlul accesului reprezint o serie de msuri menite s interzic accesul persoanelor neautorizate la date. Controlul accesului la date se va face prin luarea de msuri a2ministrative Ji msuri har2Qare. Msurile a2ministrative vor constitui prima linie de aprare mpotriva persoanelor neautorizate. #)istena acestor msuri vizeaz angajaii firmei, persoanele care au contact fizic cu firma, clienii direci, precum i intruderii care vor s ptrund fizic n firm pentru a avea acces la date. 0ceste msuri nu se aplic i nici nu au cum s se aplice mpotriva unor atacuri de la distan. 9surile administrative vor presupune montarea unor serii de dispozitive fizice menite s limiteze i s supraveg!eze accesul ntr%o anumit zon. 0ceste dispozitive pot fi: perimetre de protecie7 c!ei de acces n anumite zone7 carduri pentru acces la anumite zone7 alte modaliti de restricionare7 modaliti de supraveg!ere. +erimetrele de protecie sunt constituite de gruparea calculatoarelor n anumite zone unde accesul s poat fi supraveg!eat. 0ceste perimetre pot fi anumite cldiri sau, ntr%o anumit cldire, anumite birouri. /n anumite situaii, c$nd o anumit ncpere are o suprafa foarte mare, se folosesc perei despritori. 0ccesul n anumite ncperi se va putea face doar dac persoana respectiv are c!eia sau cardul care s%i permit accesul n acea zon. ;?2

1a categoria alte modaliti de restricionare pot fi incluse modalitile biometrice de control. Cele mai folosite modaliti de identificare a unei persoane sunt: o semntura7 o amprenta digital7 o amprenta palmar7 o scanarea retinei7 o timbrul vocal7 o modul de tastare. Ca modalitate de supraveg!ere destul de folosit n ultimul timp este utilizarea camerelor video de supraveg!ere. Camerele video de supraveg!ere nu au un rol preventiv n ceea ce privete accesul persoanelor ntr%o anumit zon, dar pot fi folosite n procesul de identificare a intruderilor, de localizare a calculatoarelor i ec!ipamentelor supuse atacului, precum i ca prob n eventualitatea c se iau msuri judiciare mpotriva unei anumite persoane. 4n mecanism comple) de control al accesului, n care se regsesc i camere video de supraveg!ere este e)emplificat n figura urmtoare &figura BD'.

;?3

Figura 36. 9ecanisme de control al accesului. , dat trecut cu bine prima linie de securitate se ajunge la cea de%a doua care, o dat trecut, presupune accesul direct la date. 0ici se vor implementa o serie de mecanisme care s interzic accesul persoanelor neautorizate. Controlul accesul la datele din calculatoare trebuie s se fac numai dup ce se parcurg urmtoarele etape, cunoscute i sub denumirea de &&& &0utentificare, 0utorizare, 0cces' &figura B.': identificare7 autentificare7 autorizare.

;B<

Figura 37. Controlul accesului. , dat ajuns n faa calculatorului, utilizatorul trebuie s se identifice. 0ceasta va presupune tastarea unui cont de identificare i a unei parole. +e baza unui mecanism de autentificare e)istent pe calculator se va confirma sau se va infirma veridicitatea celor tastate anterior. ac aceast etap este trecut cu bine, atunci se primete o autorizare care%i va permite utilizatorului s acceseze resursele calculatorului sau ale reelei. 0cesta este de fapt un mecanism de control al accesului. Iermenii de autentificare i i2entificare sunt str$ns folosii n literatura de specialitate. Identificarea i autentificarea unui utilizator nu trebuie lsat numai pe seama unui cont i a unei parole. =irmele trebuie s se concentreze foarte atent asupra metodelor de identificare i autentificare. #)ist dou cazuri care impun ca acest lucru s fie fcut temeinic: senzitivitatea crescut a anumitor date7 lucrul din afar. 4nele date din calculator pot fi de o foarte mare importan pentru firm, dar de o i mai mare importan pentru concuren. Simpla identificare i autentificare nu sunt suficiente. 4nele firme folosesc ca modalitate de lucru cu angajaii lucrul de acas. +entru acesta folosesc Internetul. ,ri, un simplu cont i o parol trimise n Internet devin vulnerabile. 0cesta este doar un e)emplu care impune folosirea unor te!nologii performante de autentificare. Se folosesc cu precdere patru tipuri de te!nologii: :erberos7 ;B;

to8en%uri7 biometric7 certificate7 smart carduri.

Ie!nologia :erberos se folosete atunci c$nd contul i parola sunt trimise n reea i n acest fel pot deveni vulnerabile, put$nd s fie folosite de o alt persoan care s se substituie posesorului legal. e asemenea, te!nologia rezolv situaia n care un utilizator poate avea acces la mai multe calculatoare i s nu fie nevoit de fiecare dat c$nd reacceseaz un calculator s introduc contul i parola. 0ceast te!nologie a fost dezvoltat de ctre 9assac!usetts Institute of Iec!nologE &9II', care folosete algoritmi de criptare i autentificare ata #ncrEption Standard & #S'. Qersiunea H a te!nologiei :erberos reprezint un standard Internet specificat n *=C ;H;< &CE6 < CeOuest for 6omments, o serie de notaii referitoare la Internet, ncep$nd cu anul ;3D3 &c$nd Internetul era 0*+0A#I'. 4n document Internet &Internet ocument' poate fi trimis ctre I#I= de ctre orice persoan, dar I#I= decide care document devine *=C. /n eventualitatea n care acel document prezint suficient de mult interes, acesta poate s devin un standard Internet'. Ie!nologia :erberos se bazeaz pe conceptul de a treia parte 2e ncre2ere care permite o verificare sigur a utilizatorului i serviciilor. 0ceast a treia parte poart denumirea de Server de 0utentificare &0ut!entfication Server' sau Centru de istribuie a C!eilor &:eE istribution Center . : C'. +rima operaie efectuat de :erberos este de a verifica dac utilizatorii i serviciile pe care acetia le folosesc sunt cei care pretind a fi. +entru a realiza aceasta : C trimite ctre utilizator un Rtic8etS care va fi folosit de ctre utilizator. Iniial se creeaz o c!eie de legtur ntre client i : C, numita :client, i o alt c!eie ntre : C i serverul de aplicaii, numit :server &figura B2'. ;B?

Figura 38. Krupul de c!ei :erberos. C$nd un client vrea s creeze o asociere pe un server de aplicaii, clientul folosete o cerere de autentificare i rspuns pentru a obine un tic8et i o c!eie de sesiune de la : C &figura B3'.

Figura 39. 0utentificarea :erberos.

+aii sunt urmtorii: 7asul 1. Clientul trimite o cerere de autentificare ctre : C. 0ceast cerere conine urmtoarele informaii: declararea identitii7 numele serverului de aplicaii7 ;BB

cerere de validitate n timp pentru tic8et7 un numr aleator folosit pentru autentificare. 7asul 2. : C verific drepturile de acces ale clientului i creeaz o autentificare de rspuns. 7asul ). : C trimite rspunsul de autentificare ctre client. 0cesta conine urmtoarele informaii: c!eia de sesiune, : session7 timpul de e)pirare al c!eii7 un numr aleatoriu folosit pentru autentificare7 numele serverului de aplicaie7 alte informaii. 7asul 6. C$nd clientul primete rspunsul de autentificare, Clientul introduce numele de utilizator pentru a obine parola, :client, folosit pentru a decripta c!eia de sesiune de lucru :session. , dat obinute acestea, clientul este abilitat s comunice cu serverul de aplicaii. 0cest lucru se va face conform figurii urmtoare &figura G<'.

;BG

Figura 4$. Cererea i rspunsul la aplicaie. +aii sunt urmtorii: 7asul 1. Clientul va trimite ctre server dou informaii importante: :erberos tic8et7 4n 0utentificator, care conine: c timpul curent7 c sum de control7 c c!eie de criptare opional. 0cestea sunt criptate cu c!eia de sesiune, : session, cu ajutorul tic8et%ului. 7asul 2. 1a primirea cererii de aplicaie, serverul decripteaz tic8et%ul cu ajutorul c!eii de server, :server, e)trage c!eia de sesiune, :session, i folosete c!eia de sesiune pentru a decripta 0utentificatorul. ;BH

ac aceeai c!eie este folosit at$t pentru criptarea, c$t i pentru decriptarea 0utentificatorului, suma de control este corect i se concluzioneaz c 0utentificatorul este cel generat de ctre clientul respectiv cruia i aparine c!eia de sesiune. +entru ca un atacator s nu poat s intercepteze 0utentificatorul i s%l foloseasc mai t$rziu, se verific i timpul. 7asul ). Identitatea clientului este, n majoritatea cazurilor, verificat de ctre server. Sunt ns situaii n care clientul vrea s fie sigur de autenticitatea serverului. /n acest caz, serverul genereaz un rspuns prin e)tragerea timpului clientului din 0utentificator i returnarea acestuia ctre client mpreun cu alte informaii, toate criptate cu c!eia de sesiune, :session. Ie!nologia :erberos a fost adoptat de ctre 9icrosoft atunci c$nd a creat Single Sign ,n &SS,'. Io8en%urile vor s rezolve problema furtului de parole i este de fapt un complement al acestora. einerea unui cont i a unei parole a unui utilizator nu nseamn c eti acel utilizator. 9ajoritatea to8en%urilor arat ca o carte de credit i au pe una dintre fee un dispozitiv de afiare cu 1C &=iOuid 6rystal 0isplay < #cran cu cristale lic!ide'. =olosire to8en%ului poate fi fcut n urmtoarele moduri: dup introducerea contului i a parolei se cere i introducerea unui numr afiat pe ecran. ac toate trei sunt valide, accesul este garantat. Aumerele de pe ecranul to8en%ului se sc!imb la fiecare minut. dup introducerea contului i a parolei, calculatorul va rspunde cu un numr care va trebui s fie introdus n to8en%ul special de la o mic tastatur ncorporat n acesta. up introducerea numrului se va genera de ctre to8en un altul care va fi introdus n calculator. ac acesta este un numr valid, accesul este garantat. Io8en%ul este introdus ntr%un cititor special ataat la calculator. Se introduc contul i parola, iar calculatorul va ;BD

prelua din to8en informaia necesar pentru identificare i autentificare. Ie!nologia biometric, dei folosit i n alte domenii sau niveluri de securitate, este folosit i aici. 0ceasta presupune identificarea i autentificarea utilizatorului dup caracteristicile individuale ale fiecrui utilizator. 0cestea au fost enumerate anterior. Ie!nologia biometric este implementat centralizat n majoritatea firmelor care o folosesc. 4nele firme nu accept ns aceast te!nologie din cauza imaturitii controlului centralizat. Certificatele sunt folosite n autentificarea +ublic :eE Infrastructure &+:I'. Ie!nologia +:I este folosit n Secure Soc8ets 1aEer i Qirtual +rivate Aet(or8 &Q+A'. 4n certificat reprezint de fapt un set de nregistrri stocate pe calculator. 0cest set de nregistrri formeaz c!eia privat care va fi folosit n comunicarea cu un server. Stocarea certificatului pe disc creeaz dou dezavantaje. 4nul ar fi acela c acesta poate fi sustras. 0l doilea dezavantaj este acela c folosirea certificatului este posibil doar de la acel calculator. 0cest ultim dezavantaj a fost remediat prin folosirea smart cardurilor. Smart cardurile arat ca o carte de credit, numai c au ncorporate un mic calculator care stoc!eaz c!eia privat. Calculatorul care se dorete s fie accesat sau de la care se dorete accesarea reelei va trebui s aib un cititor de smart carduri ataat. Se vor introduce contul i parola i se va citi de pe smart card c!eia privat. Contul i parola nu vor fi trimise ctre calculator, ci ctre smart card. 0cestea, mpreun cu c!eia privat, nu vor prsi niciodat smart cardul. 0utorizarea, dup ce se trece de autentificare i identificare, va da drepturi de acces la anumite resurse locale sau din reea. +entru a autoriza un utilizator se folosesc dou metode. +rima, i cea mai comun, este de a pstra cile de autentificare pentru fiecare utilizator ntr%un director i apoi de a lista n directorul lui fiecare intrare &calculator sau program' la ;B.

care are acces. Soluia este eficient pentru grupuri reduse de calculatoare i programe. 1a grupuri mari este greu de gestionat. 0 doua soluie se numete regul 2e ba a autori rii &*F0 % Cole<@ased Authori'ation' sau regul 2e ba a controlului accesului &*FC0 % Cole<@ased Acces 6ontrol'. Construirea unei liste cu reguli standard pentru firm i asignarea autorizaiilor la aceste reguli vor simplifica foarte mult procedeele de autorizare. 0utorizarea este o problem complicat la nivelul oricrei firme deoarece trebuie gestionat un foarte mare numr de reguli i sarcini. 9ajoritatea sistemelor de operare au ncorporate ca funcie controlul accesului. =unciile de control al accesului sunt unele dintre cele mai comple)e funcii pe care un sistem de operare trebuie s le implementeze. Se estimeaz c aceste funcii au nevoie de foarte muli ani pentru a fi .mature.. , mbuntire sau mai multe aduse unui sistem de operare la care sau descoperit goluri de securitate va avea ca efect apariia pe pia a aceluiai sistem de operare, cu golurile de securitate acoperite, dar cu alt nume. Cazurile cele mai elocvente sunt cele ale firmei 9icrosoft cu sistemele de operare Tindo(s 3). /n unele cazuri, dac sistemul de operare este nesigur sau se dorete o mbuntire a securitii, se poate apela la alte produse care s completeze sau s sporeasc facilitile sistemului de operare. /n alte cazuri, la sistemele de operare mai noi, productorul ofer opiuni de configurare sporite care vor ridica gradul de control al accesului. Ca e)emplu putem da sistemul de operare Tindo(s U+ &+ro', destul de des folosit n firmele mici i medii. ,piunile de configurare sunt e)emplificate n figura urmtoare &figura G;'.

;B2

Figura 41. ,piuni de configurare Tindo(s U+ &+ro' *adicalizarea peste un anume prag a msurilor de control al accesului va putea s duc la stopri ale folosirii anumitor programe. 4n puternic control al accesului va reduce riscul unei folosiri neautorizate a calculatorului, dar va face ca folosirea acestuia s fie foarte dificil. ac se folosete un sistem de operare .matur. i se configureaz bine opiunile de control al accesului, atunci nu vor fi probleme de e)ploatare. Sarcina de control a accesului poate fi mprit sau atribuit unui Sistem de Kestiune a Fazelor de ate &SKF '. 0cesta va conine propriile funcii de control al accesului. ` +u este ns suficient s se )tie cine are acces )i cine nu. ?neori este necesar ca s fie monitori'ate )i aciunile )i operaiile pe care le e2ecut un utili'ator cu drept de acces la nre(istrrile dintr<un fi)ier &a' de date. Este )tiut faptul c este mai simplu de implementat un pro(ram care s monitori'e'e ;B3

accesul la fi)iere dec*t unul care s monitori'e'e accesul la nre(istrrile dintr<un fi)ier. Situaia este cu at*t mai complicat cu c*t fiecare SA@0 are dri/ere )i funcii specifice care monitori'ea' aceste operaii. 6u toate acestea- un astfel de pro(ram poate fi reali'at. Se poate concepet un astfel de pro(ram care<)i propune s reali'e'e urmtoarele operaii de monitori'are4 indicarea locaiei de unde se face accesul5 fi)ierul accesat5 tipul de operaiile efectuate pe acesta5 afi)area instruciunii tastate de utili'ator5 data )i ora la care au fost efectuate5 afi)area de 7urnale de lo( pentru fiecare utili'ator5 afi)area pe di/erse criterii a 7urnalelor de acces (nume utili'ator- data )i ora- fi)iere).

5.2. S!abilirea lu gimii %arolelor de a((e*


0legerea unei parole care s reziste un timp predefinit la atacuri de g!icire trebuie s fie principala directiv atunci c$nd se aleg i se distribuie parolele pentru angajaii firmei. #ste lesne de neles c o parol cu c$t este mai lung i este compus dintr%un numr mai mare de caractere cu at$t va fi mai greu de g!icit. C$t de lung trebuie s fie ns parolaY , parol lung i greu de reinut l va determina pe proprietar s o scrie undeva la ndem$n sau s o tasteze aa de ncet nc$t s poat fi citit de o persoan care se uit la tastatur. Stabilirea lungimii parolei se face in$nd cont de urmtoarele date de intrare: I % timpul n care o parol va fi utilizat n sistem ;G<

+ % probabilitatea ca o parol s poat fi g!icit n perioada ei de funcionare I % numrul de ncercri de descoperire a parolei n unitatea de timp S % spaiul parolelor &numrul total de parole unice care pot fi generate' ! / &', unde 0 A numrul simbolurilor din alfabet 1 % lungimea parolei EHemplu9 ac numrul de simboluri este format din cifre &< % 3', iar lungimea parolei este de cinci &H' caractere, atunci S > ;<H > ;<<.<<< parole. EHemplu9 ac numrul de simboluri este format din caracterele alfabetului &?D', iar lungimea parolei este de apte &.' caractere, atunci S > ?D. > 2.<B;.2;<.;.D parole. C$t de repede se poate g!ici o parolY + % probabilitatea ca o parol s poat fi g!icit n perioada ei de funcionare va fi:

Aumrul total de cazuri-ncercri de g!icire K a unei parole din spaiul S este:

Aumrul de cazuri-ncercari favorabile K de g!icire a unei parole este: ;G;

din$nd cont de faptul c: Qa rezulta n final:

eci probabilitatea &+' de a g!ici o parol n perioada ei de funcionare este dat de formula:

1>

A S

bi in$nd cont de faptul c numrul total de g!iciri &K' care pot fi fcute pe perioada c$nd o parol este activ e K > I ) I, va rezulta n final c probabilitatea &+' de a g!ici o parol pe parcursul funcionarii acesteia este:

1>

T : S

EHemplu9 S se gseasc lungimea unei parole &1' care s reziste la ncercri de g!icire cu o probabilitate &+' de unu la un milion pentru o perioad &I' de D luni i respectiv ;? luni. Ca ul 1. S consideram c: I > H<<, numrul de ncercri de g!icire este de H<< pe minut 0 > ?D, numrul de caractere folosite &0%O' I > H<< H<< ) D< ) ?G > .?<.<<< de ncercri pe zi ;G?

+entru D luni vom avea: I > B<, H zile ) D luni > ;2B zile

din$nd cont de faptul ca S > 01, vom avea:

Se aleg ;< caractere pentru parol. +entru ;? luni vom avea: I > BDH zile

Se aleg ;; caractere pentru parol. Ca ul 2 S consideram c: I > H<<, numrul de ncercri de g!icire este de H<< pe minut 0 > BD, numrul de caractere folosite &0%O, <%3'. +entru D luni vom avea:

;GB

Se aleg 3 caractere pentru parol. +entru ;? luni vom avea:

Se aleg ;< caractere pentru parol. ac se ine cont c se pot folosi, n afara de literele alfabetului &0 la O', i cifrele &< la 3', i simbolurile suplimentare &e, f, ", g, h, a, i, j, \, V, &, ', k, J , %, > , W, X, l, 5, 6, m, 7, f, :, ., , , ., -, ^, ], Y', se ajunge ca numrul de simboluri folosite s fie de D2 &0 > D2'. Aumrul total de parole, formate din apte caractere, care va putea s fie generat cu acestea va fi S > 01> D2. > D, .???V;<;?. /n acest caz, pentru a rezista D luni, cu o probabilitate de g!icire de unu la un milion i H<< de ncercri de g!icire pe minut, o parol va trebui s aib minimum

iar pentru ;? luni va trebui s aib minimum

ac aplicaia permite diferenierea ntre caractere mari i mici ale alfabetului &case sensitive', atunci se ajunge la un numr de 3G de simboluri care pot fi folosite n alctuirea parolei.

;GG

,.). Detectoare 2e intru iune


4n detector de intruziune este un proces de detectare i rspuns la folosirea abuziv a calculatorului. =olosirea unui detector de intruziune va crea beneficii pentru firm n ce privete detectarea, stoparea, rspunsul la atacuri, suport n evaluarea pagubelor produse, precum i ca dovad care poate fi folosit n justiie mpotriva persoanelor bnuite de folosirea abuziva a calculatorului. /n funcie de specificul i mrimea firmei, se poate opta pentru un anume tip de detector de intruziune. 1a nivelul firmelor mici aceste detectoare de intruziune se gsesc ncorporate n dispozitivele fire(all e)istente. 0naliza jurnalelor de fire(all sau router va putea s evidenieze ncercri de intruziune. e asemenea, sistemele de operare au ca facilitate detectarea intruziunilor. Iipurile de detectoare de intruziune se pot clasifica n: locale &!ost%based' sau de staie7 reea &net(or8%based'7 !ibride. +rincipiile sunt asemntoare la aceste tipuri numai ca aciunea acestora este diferit. +rincipul de baz n funcionarea unui detector de intruziune l constituie analizarea pe o anume perioad de timp a unui set discret de evenimente pentru a se descoperi eventualele folosiri abuzive. /nregistrrile secveniale din diferitele puncte ale reelei vor fi analizate i se va determina comportamentul unui potenial intruder. etectoarele de intruziune de tip local &!ost%based' vor e)amina toate aciunile care au fost efectuate pe acel calculator &staie de lucru'. 0ceasta presupune analiza fiierelor care i de unde au fost accesate, precum i a aplicaiilor care au fost e)ecutate din acel punct. ;GH

etectoarele de intruziune de reea &net(or8%based' vor analiza traficul de reea ntre punctele acesteia. 0ceste detectoare folosesc dou tipuri de te!nologii. 4na presupune folosirea modului promiscuos al reelei. /n acest mod este suficient s se monteze un singur senzor pentru a se analiza tot traficul din reea. 0 doua te!nologie se folosete de modul nonpromiscuous al reelei i presupune montarea unui senzor pentru fiecare cone)iune care se dorete analizat. 0ceti senzori vor fi montai n punctele strategice ale reelei. #vident c dac se dorete analiza mai multor cone)iuni aceasta poate fi fcut cu mai muli senzori sau pe o perioad de timp mai ndelungat prin aplicarea senzorilor n punctele necesare. Senzorii sunt programe care ruleaz n punctele critice ale reelei % calculatoare, servere, router%e, fire(all%uri. etectoarele de intruziune !ibride combin avantajele celor dou, dar sunt i mai costisitoare. Cu toate acestea, ele sunt folosite deoarece asigur date complete at$t asupra reelei, c$t i asupra calculatoarelor n sine. etectoarele de intruziune comerciale ofer, pe l$ng capabilitile standard de a detecta i rspunde la atacuri, i alte capabiliti suplimentare. +rintre acestea se pot enumera: analiza evenimentelor pentru a se detecta atacurile din interior7 analiza traficului din reea pentru a se detecta atacurile ntr%o anumit zon a reelei7 management al configuraiei pentru asigurarea securitii7 verificarea integritii fiierelor. 9ajoritatea detectoarelor de intruziune de tip !ibrid ofer o parte dintre aceste capabiliti. 0r!itectura unui sistem !ibrid de detectare a intruziunilor este prezentat n figura urmtoare &figura G?'.

;GD

Figura 42. 0r!itectura unui sistem !ibrid de detectare a intruziunilor. ;G.

/ntr%un sistem de detectare a intruziunilor, consola reprezint elementul central. 0ceasta reprezint un calculator dedicat care dispune de un set de dispozitive necesare pentru configurarea politicii de securitate i procesarea mesajelor de avertizare. +entru ca s nu e)iste posibilitatea de scurgere de informaii pe traseul consola i obiectiv, legtura ntre acestea este criptat. =irme consacrate n domeniu livreaz at$t calculatorul dedicat, c$t i restul de ec!ipamente necesare testrii i criptrii comunicaiilor ntre consol i punctele testate. 0ceste ec!ipamente sunt ns scumpe i de aceea se opteaz pentru produse soft(are mai ieftine sau gratis. 4nul dintre aceste produse este SA,*I. Sursa poate fi descrcat gratuit de la adresa: !ttp:--(((.snort.org-dl-, iar manualul de utilizare de la adresa !ttp:--(((.snort.org-docs-snortkmanual-. C!iar dac nu se compar ca performane cu unul comercial, rezultatele pot fi comparabile. Consola efectueaz anumite funcii de baz, i anume: management evaluare, management obiectiv i management alerte. =uncia de management evaluare colecteaz informaiile statice referitoare la configurarea calculatorului obiectiv. =uncia de management obiectiv va ine o legtur permanent ntre consol i obiectiv, iar funcia de management alerte va colecta i va administra alertele. Consola dispune, de asemenea, de un serviciu de detectare intrui, ar!ivare i generare rapoarte. 1a nivelul obiectivului testat se vor lansa procese care fac parte din procedurile de testare, cum ar fi sniffer%ele de pac!ete IC+-I+, procesarea jurnalelor de evenimente, centralizarea datelor, verificarea integritii fiierelor, verificarea configuraiei, e)ecutarea rspunsurilor. 0ceste procese ruleaz de regul n fundal &bac8ground', cum ar fi daemon%ii din 4AIU sau serviciile din Tindo(s ?<<<-U+ +ro. =uncionarea acestor procese nu trebuie s aib efecte negative asupra performanelor calculatorului sau a reelei. ;G2

1a apariia unei ncercri de intruziune detectorul va genera mesaje de avertizare ctre operatorul de consol &responsabil cu asigurarea securitii'. 9esajele de alert pot cpta diferite forme, de la alerte vizuale i sonore pe ecran i p$n la avertizare pe e%mail sau telefon. /ncercarea de intruziune, evideniat de alerte, va putea fi contracarat automat sau se va face manual de ctre operator. /n majoritatea cazurilor, aceste rspunsuri sunt o reconfigurare a router%ului sau fire(all%ului, izolarea i ntreruperea cone)iunii de unde se e)ecut atacul. Centralizarea tuturor evenimentelor i a ncercrilor de intruziune n baza de date va fi benefic pentru a efectua o statistic a ncercrilor de intruziune i a dezvolta msurile necesare de stopare. e asemenea, pot fi fcute calcule statistice privind incidena acestor evenimente. ispozitivele de supraveg!ere sunt menite s preia informaia din reea i s o analizeze pentru a se prent$mpina pierderea de date.

,.6. 7rocesul 2e 2etectare a intru iunii la nivelul firmei


+entru majoritatea firmelor, asigurarea securitii se limiteaz la programele antivirus. =olosirea de dispozitive fire(all reprezint pentru acestea un obiectiv prea greu de realizat. espre detectoare de vulnerabilitate i intruziune nici nu poate fi vorba. Sunt ns i firme, c!iar de mrime medie, care au implementate toate aceste msuri. Implementarea unor msuri de securitate minime este de preferat fa de absena acestora. 9surile de securitate trebuie ns s implementeze politica de securitate a firmei. /n absena acesteia, msurile de securitate vor fi !aotice.

;G3

+rima msur ar fi una administrativ care va presupune asigurarea unui perimetru de securitate pentru te!nica de calcul i restricii de acces la aceasta. 0poi se vor implementa msurile de acces care presupun controlul accesului propriu%zis la date. Se vor alege conturile i parolele pentru fiecare utilizator, precum i regulile de autorizare. ` 0le(erea )i folosirea parolelor tre&uie s fie fcut in*nd cont de urmtoarele re(uli4 nu /or e2ista conturi fr parole5 nu se /or lsa conturile )i parolele cu care /in o parte din calculatoare sau pro(rame. 0e e2emplu- contul !"7E# )i parola =&'$D la pro(ramele de conta&ilitate )i (estiune 6:E=- cele mai frec/ent folosite5 contul )i parola sunt indi/iduale )i /or fi folosite ca atare5 nu se scriu conturile )i parolele la /edere. Este de preferat ca acestea s se scrie n a(enda personal- s fie memorate )i apoi s fie )terse din a(end5 nu se /or introduce contul )i parola de la tastatur atunci c*nd cine/a se uit5 nu se /a trimite parola n reea sau prin e<mail5 nu se /or folosi su& nici o form ca parol numeleprenumele- diminuti/ul- data de na)tere a utili'atorului sau numele )i prenumele persoanelor din familia acestuia5 nu se /a folosi o parol mai mic de Jase caractere5 nu se /a folosi o parol care conine cu/inte dintr<un dicionar din lim&a respecti/ sau din orice alt lim&5 se /or folosi parole prin mi2area caracterelor mari )i mici. Anumite pro(rame sunt case sensiti/e .- fc*nd difereniere ntre caracterele mici )i mari ale alfa&etului5 schim&area parolei c*nd se suspectea' compromiterea acesteia5 schim&area acesteia re(ulat. ;H<

` 3n acest punct se poate spune c firma are asi(urat o minim securitate. Ma7oritatea firmelor fac aceste operaii )i se opresc. +u mer( cu asi(urarea securitii p*n la capt. 3n ca'ul firmelor medii sau mari- operaia este continuat )i se /or introduce dispo'iti/e firewall )i de detectare a intru'iunilor. 6e se face ns n ca'ul unei ncercri de intru'iuneN Toate intru'iunile sunt at*t de periculoase nc*t s &loche'e o parte a reelei sau un calculatorN 0e e2emplu- o comand %i g '''.+irma.ro .!- e2ecutat de un utili'ator cruia nu<i mer(e &ine cone2iunea de internet )i /rea s ai& acces la datele pu&lice din site<ul firmei- nu tre&uie s fie urmat de msuri dramatice. Sau acela)i lucru dac unui an(a7at nu<i funcionea' la parametri cone2iunea cu ser/erul )i folose)te o comand %i g n a)teptarea personalului de depanare. ` 0etectoarele de intru'iune sunt confi(urate- n ma7oritatea ca'urilor- s dea ele replica la o ncercare de intru'iune. Acest lucru este &enefic dac ncercarea este una cunoscut. E2perii recomand ca acest lucru s se fac totu)i manual- deoarece un rspuns automat poate fi folosit de un mecanism de inter'icere a ser/iciului (0oS). 0ar acest lucru presupune e2istena unui personal e2tracalificat n firma care s monitori'e'e traficul. Pi unele firme- cele mici- nu )i<l permit. ` 3n ca'ul unor ncercri de intru'iune din partea an(a7ailor firmei- inerea unor 7urnale de acti/iti la ni/el de reea este o&li(atorie )i &enefic pentru a se do/edi intenia. Aceste 7urnale pot fi folosite ca pro&e n acionarea n 7ustiie a /ino/ailor. 3n anumite situaii- an(a7aii folosesc ser/iciul de e<mail pentru diferite farse adresate cole(ilor de ser/iciu. F confi(urare static a adreselor :1 /a permite e2tra(erea cu u)urin din header<ul de e<mail a adresei calculatorului<surs )i pedepsirea /ino/atului. 0ac spre e2emplu mesa7ul primit are urmtoarea identitate (se afi)ea' din opiunile .1roperties.- .0etail. la Futloo> sau Futloo> E2press sau din .Geader 0etail. la Qahoo)4 ;H;

Messa(e<:04 **22*1c6C,E)Sa6fCc6c*S1e*baIc*THputem determina din ultimul (rup de cifre- cuprins ntre ultimul . R.)i .S.- :1<ul calculatorului de la care a fost trimis mesa7ul. Aruparea 1e*baIc* n he2a'ecimal citit in/ers n (rupuri de c*te dou cifre este 1E2.13I.11.)* n 'ecimal. Aflarea fpta)ului este uneori dificil atunci c*nd acesta folose)te tehnici de ascundere a identitii sau pro(rame de anonimi'are.

;H?

Capitolul =$. !ecuri area ba elor 2e 2ate


3.1. %ehnici 2e securi are
Sarcina de a se asigura securitatea bazelor de date este mprit ntre sistemul de gestiune al bazelor de date i sistemul de operare. 0cestea pot s asigure fiecare n totalitate o parte din funciile de asigurare a securitii sau pot s fie complementare n realizarea acestora. 0tribuiile n asigurarea securitii bazelor de date sunt e)emplificate n tabelul urmtor &tabelul 2': Tabelul 9. 0tribuii n asigurarea securitii bazelor de date.

Controlul asupra atacurilor


0nterior am vzut c, din date nesenzitive, prin diverse interogri ale bazei de date au rezultat date senzitive. +entru a se prent$mpina acest lucru se pot aplica urmtoarele metode: suprimarea cererilor cu rezultate senzitive7 apro)imarea rezultatelor7 limitarea rezultatelor unei cereri care dezvluie date senzitive7 ;HB

combinarea rezultatelor.

Cererile de acces la elementele bazei de date care au ca rezultat afiarea unor rezultate senzitive sunt rejectate fr nici un rspuns. atele senzitive nu vor fi afiate. *ezultatul unei astfel de interogri va fi corect, dar nu va fi afiat ctre utilizator. /n cazul unei astfel de cereri sistemul va putea s afieze rezultate apropiate de cele reale. 0curateea rezultatului la o interogare care poate dezvlui date senzitive trebuie s fie mic. 1imitarea rezultatului unei cereri, care dezvluie date senzitive se poate face n cazul n care acesta este ; &unu'. ac vom aplica pe r$nd atacuri &figura GB' cu funcii de forma e)emplificat n figura GG i vom centraliza rezultatele sub form de tabel &tabelul 3', vom vedea c avem rezultate dominante care trebuie suprimate.

Figura 43. Iabela supus atacului.

;HG

Figura 44. 0tacul indirect folosind funcia C,4AI condiionat. Tabelul 9. 6entrali'area re'ultatelor

/n aceast situaie trebuie s suprimm cererile care au ca rezultat valori dominante &;' sau s nu permitem afiarea rezultatelor c!iar dac cererea se e)ecut n aa fel nc$t rezultatele s fie afiate sub forma urmtoare &tabelul ;<': Tabelul 1$. 0fiarea cu suprimare a rezultatelor

Se observ c situaia nu este rezolvat, trebuind s modificm i sumele pe linii i pe coloane pentru a se crea confuzie i a nu se mai putea e)trage date senzitive. Combinarea rezultatelor se face prin afiarea acestora ntr% o plaj de valori care s nu permit e)tragerea datelor e)acte. =c$nd o contorizare pe tip de sanciuni i gruparea acestora pe se)e, vom avea situaii dominante &tabelul ;;': Tabelul 11. *ezultate contorizri

Soluia ar fi combinarea coloanelor pentru a nu se putea e)trage date e)acte. ;HH

Combinm coloanele cu R<Scu R;S i R?S cu RBS. *ezultatul este urmtorul &tabelul ;?': Tabelul 12. Combinarea rezultatelor

+entru a se prent$mpina atacurile este necesar s se in o eviden amnunit pentru fiecare utilizator, c!iar dac acest lucru presupune o activitate comple) i implic timp. e asemenea, trebuie fcut o analiz a cererilor care pot fi ru intenionate. ` 1entru a pre nt*mpina e2tra(erea datelor sen'iti/e din &a'ele de date am reali'at un pro(ram care monitori'ea' toate operaiile efectuate de utili'atori pe &a'ele de date. Fperaiile de monitori'are efectuate de acest pro(ram au fost pre'entate n acest capitol- para(raful L.8. =a acest punct suntem interesai doar de fi)ierul &a' de date accesat de utili'ator- tipul de operaii efectuate )i listarea acestora. 3n acest mod- toate operaiile efectuate de utili'atori pot fi anali'ate )i se pot tra(e conclu'ii pri/ind securitatea &a'elor de date ale firmei.

!ecuritatea ba elor 2e 2ate multinivel


Se disting trei caracteristici de baz ale securitii bazelor de date: ;. Securitatea unui singur element poate fi diferit de securitatea altui element din aceeai nregistrare sau de valoarea aceluiai atribut. 0ceasta implic implementarea securitii pentru fiecare element n parte. ;HD

Sunt necesare c$teva perimetre se securitate care vor reprezenta arii de acces la anumite date care uneori se pot suprapune. B. Securitatea unui ntreg poate fi diferit de securitatea unui element individual. 0ceasta poate fi mai mare sau mai mic. +entru a se asigura securitatea bazelor de date se pot aplica urmtoarele metode: partiionarea bazei de date7 criptarea7 blocarea integritii7 blocarea senzitivitii7 securitatea Rfront%endS7 filtru comutativ7 vederi ale bazei de date. 9ar!i)io area ba:ei de da!e Faza de date este mprit n baze de date separate, fiecare dintre acestea cu propriul ei nivel de securitate. ,peraia mai poart numele de atomizarea bazei de date. Ca efect secundar, aceast operaie va distruge avantajul principal al bazei de date dar mbuntete precizia. Cri%!area ac datele senzitive sunt criptate, un utilizator care ajunge din nt$mplare n posesia unor date senzitive nu va putea s le interpreteze i s se foloseasc. 0ceasta criptare este ns vulnerabil la atacuri cu te)t clar sau c$nd atacatorul substituie forma de criptare cu o alta. +entru a se prent$mpina aceasta se pot face urmtoarele: folosirea de criptri diferite pentru aceeai nregistrare i diferite c!ei pentru fiecare c$mp7 ;H.

?.

criptarea c$mpurilor nregistrrii folosind metoda bloc> chaining &CFC, C=F etc.'.

0ceste metode de criptare sunt e)emplificate n figura urmtoare &figura GH'.

Figura 45. Criptarea nregistrrii. ;H2

Blo(area i !egri!-)ii *eprezint o cale folosit at$t pentru blocarea integritii, c$t i pentru limitarea accesului la baza de date. 9etoda mai poart i denumirea de .spraE paint. deoarece fiecare element este colorat n funcie de senzitivitatea acestuia. Culoarea este meninut cu elementul pe care%l caracterizeaz i nu ntr%o baz de date separat. =iecare dat va conine trei elemente:

atele vor fi stocate n te)t clar pentru sporirea eficienei. *eferitor la clasificare, aceasta trebuie s fie: nefalsificabil % un utilizator ruvoitor nu va putea crea o nou dat senzitiv pentru un element7 unic % utilizatorul ruvoitor nu va putea s copieze un nivel de senzitivitate dintr%un alt element7 secret % utilizatorul ruvoitor nu va putea s determine senzitivitatea pentru un obiect oarecare.

Suma de control criptografic, pentru a putea s fie unic, trebuie s conin date despre: nregistrare7 c$mp7 date ale elementului &figura GD'. ;H3

Figura 46. Suma de control criptografic. Blo(area *e :i!i"i!-)ii Flocarea senzitivitii reprezint o combinaie a dou elemente: e)istena unui identificator unic &numrul de nregistrare'7 nivelul de securitate. Irebuie s nu se permit aflarea a dou elemente care au acelai nivel de securitate doar prin cutarea n poriunea de securitate a blocrii integritii. Ca rezultat al criptrii, coninutul blocrii, n special nivelul de securitate, este ascuns &figura G.'.

;D<

Figura 47. Flocarea senzitivitii. Se(uri!a!ea ;+ro !<e d= Securitatea front%end &cunoscut i sub denumirea de gard' este asigurat de un mecanism de tip monitor. Secvena de interaciuni ntre utilizator i mecanismul front%end este urmtoarea: utilizatorul se identific front%end7 utilizatorul transmite o cerere mecanismului front%end7 mecanismul front%end verific autorizaia utilizatorului de a acces la date7 mecanismul front%end trimite o cerere ctre sistemul de gestiune al bazei de date &SKF '7 sistemul de gestiune al bazei de date &SKF ' efectueaz o operaie de acces de tip I-,7 sistemul de gestiune al bazei de date &SKF ' trimite rezultatul interogrii ctre mecanismul front%end7 ;D;

mecanismul front%end verific validitatea datelor e)trase cu ajutorul sumelor de control i verific dac datele pot fi disponibile ctre utilizator conform nivelului de acces al utilizatorului7 mecanismul front%end va formata datele pentru utilizator7 se transmit datele ctre utilizator. Fil!ru (omu!a!i"

=iltrul comutativ interacioneaz at$t cu utilizatorul, c$t i cu sistemul de gestiune al bazei de date &SKF '. =iltrul comutativ va reformula cererile n felul urmtor: sistemul de gestiune al bazei de date &SKF ' va efectua c$t mai multe sarcini posibile reject$nd c$t mai multe cereri inacceptabile care dezvluie date senzitive7 selectarea datelor la care utilizatorul poate s aib acces. =iltrul comutativ poate fi folosit at$t asupra nregistrrilor, c$t i asupra atributelor sau elementelor. 1a nivelul nregistrrilor, filtrul cere datele dorite plus suma de control criptografic7 dac acestea verific acurateea i accesibilitatea datelor, atunci acestea pot fi transmise ctre utilizator. 1a nivel de atribut, filtrul verific dac toate atributele din cererea utilizatorului sunt accesibile acestuia, i dac da, transmite cererea ctre managerul bazei de date. 1a revenire va terge toate cererile la care utilizatorul nu poate s aib acces. 1a nivel de element, sistemul va cere datele solicitate i suma de control criptografic. C$nd sunt returnate, acestea verific apartenena la niveluri de securitate pentru fiecare element. >ederile

;D?

Qederile reprezint un subset al bazei de date la care utilizatorul poate avea acces. Qederile pot reprezenta un subset al bazei de date pentru un singur utilizator, n acest caz cererile celorlali utilizatori vor accesa acelai tip de date. atele care sunt accesibile unui utilizator se obin prin filtrarea coninutului bazei de date originale. 4tilizatorul nu este contient de e)istena tuplurilor care lipsesc din vederea respectiv. , vedere poate fi definit din mai multe tabele, pentru care utilizatorul deine privilegiul corespunztor de utilizare, dar nu i de folosire a tabelelor de baz. 4tilizarea, n acest caz a vederilor, este mai restrictiv dec$t simpla deinere a privilegiilor acordate utilizatorului asupra tabelelor de baz. SKF %ul stoc!eaz definiia vederii n baza de date. C$nd SKF %ul nt$lnete o referire la o vedere, caut aceast definiie i transform cererea respectiv ntr%o cerere ec!ivalent ctre tabelele care constituie sursa vederii, dup care efectueaz cererea. =olosirea vederilor pentru asigurarea securitii bazelor de date mai este nt$lnit n literatura de specialitate i sub denumirea de securitate discreionar i este caracteristic sistemelor bazate pe SM1. =olosirea vederilor bazelor de date are ca efect crearea unor faciliti n e)ploatare, dar poate aduce i dezavantaje &tabelul ;?'. Tabelul 12. 0vantajele i dezavantajele folosirii vederilor

;DB

Cu ajutorul instruciunilor SM1 se pot crea vederi orizontale i verticale. Sinta)a este urmtoarea:

#)emplificm pe tabela urmtoare &!&'&'&tabelul ;B'. Tabelul 13. Iabela !&'& &salariai'

Crearea vederii orizontale se face n felul urmtor: C*#0I# QI#T !(#%U( S#1#CI V =*,9 !&'& TC#*# !&'1 ]D<<<<<< *ezultatul va fi urmtorul: !(#% (

;DG

Crearea vederii verticale se face n felul urmtor: C*#0I# QI#T !(#%U= S#1#CI M"ME+ !&'1+ C(M7 =*,9 !&'& *ezultatul va fi urmtorul: !(#% =

Se pot aplica, de asemenea, i combinaii ale acestora7 n acest fel se creeaz vederi mi)te. Qom considera urmtorul scenariu &figura G2':

;DH

Figura 48. Scenariu de lucru pentru crearea vederilor mi)te. Structura bazelor de date pentru acest scenariu este e)emplificat n cele ce urmeaz. +entru personalul angajat vom avea urmtoarea structur &tabelul ;G': Tabelul 14. Structura personal angajat -!&'&..

+entru obiectivele pe care firma le are de e)ecutat vom avea urmtoarea structura &tabelul ;H': Tabelul 15. Structur proiecte firm -7#($.. ;DD

#A+ % denumire proiect, ,FI# % obiectiv, C1I# % client-beneficiar, 90A0 % responsabil proiect.

Iabela de legturi are urmtorul coninut &tabelul ;D': Tabelul 16. Iabela de legturi -'EP&..

0plicm vederile. C*#0I# QI#T !&'&U7#(D 0S S#1#CI CM7, M"ME, C(M7 =*,9 !&'& TC#*# C,9+ > + Cu rezultatul &tabelul ;.': Tabelul 17. Qedere !&'&U7#(D.

;D.

i C*#0I# QI#T C(M7U&M%# 0S S#1#CI DEM7, (1$E, C(M7 =*,9 7#($, 'EP&, &MP& TC#*# !&'&.CM7 > 'EP&.CM7 0A 'EP&.DEM7 > 7#($.DM7 Cu rezultatul &tabelul ;2': Tabelul 18. Qedere C(M7U&M%#.

0cest mecanism de securitate este aplicat n SM1. 1a definirea vederilor prin C*#0I# QI#T, se poate limita accesul numai la bazele de date al cror proprietar este utilizatorul respectiv, folosind o condiie selecie cu cuv$ntul c!eie 4S#*, prin care se d identificatorul utilizatorului. ,rice operaie din baza de date se face numai pe baza unei autorizri pentru acea operaie. Iniial, sistemul acord toate drepturile de operare pentru administratorul sistemului &SLS0 9' i nu acord nici un drept celorlali utilizatori. 4lterior, drepturile de operare pentru utilizatori sunt stabilite de ctre administratorul sistemului prin intermediul instruciunii K*0AI i revocate prin instruciunea ;D2

*#Q,:#. Sinta)a acestor comenzi este e)emplificat n figura G3.

Figura 49. Sinta)a comenzilor K*0AI i *#Q,:#.

;D3

3.2. &rhitecturi pentru asigurarea securitii ba elor 2e 2ate


1a ora actual e)ist dou abordri majore pentru asigurarea securitii bazelor de date. 0cestea au n vedere ncrederea care poate fi acordat celor dou elemente care vor interaciona cu bazele de date, i anume: sistemul de gestiune al bazelor de date &SKF ' i sistemul de operare &S, % ,perating SEstem'. din$nd cont de acestea, vom avea urmtoarele dou abordri: ar!itectur cu subieci siguri7 ar!itectur cu subieci nesiguri &ar!itectura Toods Cole'. &rhitectura cu subieci siguri pornete de la presupunerea c at$t SKF %ul, c$t i S, care vor interaciona cu bazele de date sunt sigure &de ncredere'. 0ceast abordare se nt$lnete la majoritatea SKF %urilor &SEbase, Informi), Ingres, ,racle, #C, *ubi)'. &rhitectura cu subieci nesiguri pornete de la presupunerea c S, este sigur, dar SKF %ul este nesigur. 0ceast ar!itectur este implementat n trei variante: ar!itectur cu blocarea integritii7 ar!itectur integrat7 ar!itectur replicat-distribuit. 0cest tip de ar!itectur se implementeaz la SKF %urile I*4# 0I0 i ,racle, precum i la altele mai puin cunoscute, aflate n faza de prototipuri, 9itre i SeaQie(. 0r!itectura cu subieci siguri este prezentat n figura H<.

;.<

Figura 5$. 0r!itectur cu subieci siguri. /ntruc$t se pleac de la presupunerea c at$t S F %ul, c$t i S, asigur o protecie suficient, mecanismele de securitate de tip .front end. nu sunt implementate n versiuni sofisticate. Se observ c at$t utilizatorii cu drepturi depline &superutilizatorii', c$t i utilizatorii cu restricii au acces la date beneficiind de securitatea asigurat de SKF i S,. 0r!itecturile cu subieci nesiguri merg pe presupunerea c S, asigur o protecie de nivel nalt, iar SKF %ul o protecie medie. /n acest caz, mecanismele de securitate de tip Rfront endS trebuie s asigure o securitate ridicat. ;.;

0r!itectura cu blocarea integritii este prezentat n figura H;.

Figura 51. 0r!itectur cu blocarea integritii

;.?

Figura 52. 0r!itectur integrat. Se observ c mecanismul de securitate Rfront endS dispune de o puternic unitate de criptare, care asigur accesul la date at$t pentru utilizatorul cu drepturi depline, c$t i pentru utilizatorul care are restricii la accesare. =iecare, ns, la datele pentru care are drepturi de accesare. ;.B

Figura 53. 0r!itectur replicat-distribuit. /n cazul ar!itecturii integrate &figura H?', accesul se face prin dou tipuri distincte de SKF %uri. Sistemul de operare, care este considerat sigur, va avea un rol important n asigurarea accesului la datele care sunt dispuse pe disc. in punct de vedere al accesului la date se observ o asemnare cu ar!itectura replicat-distribuit &figura HB'. ;.G

0r!itectura replicat-distribuit &figura HB' folosete un mecanism de replicare sigur care va canaliza cererile. 4tilizatorul cu drepturi depline &superutilizatorul' va avea acces, prin intermediul acestui mecanism, i la datele utilizatorului cu restricii &dac este specificat aceasta n drepturile de acces'.

;.H

Capitolul =$$. !teganografia


C.1. $ntro2ucere
Steganografia, este tiina ascunderii datelor. Cuv$ntul steganografie, provine din limba greac i nseamn scris ascuns7 acest cuvant, a folosit pentru prima oara de un stare care a publicat n ;G33 o lucrare intitulat nSte(ano(raphian i care trata te!nici de scris ascuns. Steganografia, include o varietate mare de metode de comunicare secret. +rintre aceste metode, se numr: scrierea cu cerneal invizibila, microfotografii, aranjarea caracterelor &o alta aranjare dec$t cea obinut prin criptografiere', s.a. Steganografia, nu nlocuiete criptografia, ea oferind nc un strat de protecie dac acestea dou sunt folosite mpreun. Importana steganografiei, a fost evideniata mai ales n timpul razboaielor, ea fiind folosit de sute de ani, sub diferite forme. +rimul document care descrie folosirea steganografiei pentru ascunderea mesajelor transmise, este scris de Cerodot. /n Krecia antica, se scria pe tablie de lemn acoperite cu ceara. 0stfel, pentru a transmite mesaje care s nu dea de bnuit, ceara era dat jos de pe tblia de lemn, mesajul era ncrustat direct pe lemn, dup care era acoperit din nou cu cear. , alt metod era raderea n cap a unui mesager, tatuarea pe cap a unui mesaj, dup care se atepta creterea prului. , alt cale de transmitere a mesajelor, era scrierea cu substane invizibile. 0semenea substane au fost folosite cu mare succes n al doi%lea rzboi mondial. 0stfel, o scrisoare care prea banal, putea conine diferite mesaje scrise ntre r$nduri. 1a nceputurile celui de%al doi%lea rzboi mondial, te!nicile de steganografie, constau aproape n e)clusivitate din scrierea cu ;.D

substane invizibile. 0ceste substane puteau fi: lapte, oet, suc de fructe, urina, etc. Cu avansarea te!nologiei, aceste ncernelurin au fost nlocuite cu substane tot mai sofisticate, care reacionau la diferite substante c!imice, iar pentru obinerea mesajului, !$rtia era trecut prin bi cu diferite substane. , alta cale de transmitere a mesajelor, era nspargerean te)telor n litere i punerea lor ntr%o anumit poziie n cuvinte care formeaz un te)t care nu trezete nici o suspiciune. , astfel de te!nic, a fost folosit de un spion german n cel de%al doilea razboi mondial. 4nul din te)tele pe care le%a trimis, era urmtorul: nApparently neutralTs protest is thorou(hly discounted and i(nored. :sman hard hit. @loc>ade issue affects prete2t for em&ar(o on &y products- e7ectin( suets and /e(eta&le oils.n 0stfel, dac se ia a doua liter din fiecare cuv$nt, se obine mesajul: n1ershin( sails from +Q Uune 8n. Cu dezvoltarea te!nicilor de detectare a mesajelor, s%au dezvoltat i te!nicile de steganografie, invent$ndu%se noi metode care puteau s transmit mai mult informaie ntr%o form mai ascuns. Kermanii, au inventat microfotografiile, metod prin care se putea transmite printr%o fotografie de mrimea unui caracter, pagini de ziar cu o claritate uimitoare. +rima microfotografie, a fost descoperit pe un plic, care era dus de un agent german n ;3G;. ar, cu fiecare metod de steganografie care a fost descoperit, o alta a fost inventat. C!iar i aranjarea n pagin a unui document, poate ascunde un mesaj. e e)emplu, dac se ia te)tul : nTe e)plore ne( steganograp!ic and crEptograp!ic algorit!ms and tec!niZues t!roug!out t!e (orld to produce (ide varietE and securitE in t!e electronic ;..

(eb called t!e Internet.n i se muta cu c$teva spaii unele cuvinte din te)t, se obine te)tul: nTe e)plore ne( steganograp!ic and crEptograp!ic algorit!ms and tec!niZues t!roug!out t!e (orld to produce (ide varietE and securitE in t!e electronic (eb called t!e Internet.n ac cele dou te)te se suprapun, se obine: nTe eHplore ne( steganograp!ic and crEptograp!ic algorit!ms and tec!niZues t!roug!out the Qorl2 to produce Qi2e varietE and securitE in t!e electronic Qeb called t!e Internet.n 0ceasta, este obinut prin e)pandarea cu un spaiu nainte de ne)ploren, nt!en, n(iden i n(ebn n primul te)t i condensarea cu un spaiu dup ne)ploren, nt!en, n(iden i n(ebn n al doilea te)t.

C.2. !oftQare steganografic


Soft(are%ul steganografic, este nou i foarte eficace. 0semenea soft(are, permite ascunderea informaiilor n fiiere de sunet, imagini i pe medii care aparent par goale. , imagine, este reprezentat ca un ir de numere, care reprezint intensitile luminii n diferite puncte &pi)eli'. , rezolutie destul de folosit a unei imagini este cea de DG< pe G2< pi)eli, av$nd ?HD de culori &2 biti pe pi)el'. , astfel de imagine conine apro)imativ B<<: de date. ;.2

e obicei, sunt dou tipuri de fiiere folosite pentru a ascunde date ntr%o imagine: fiierul imagine iniial, numit container i mesajul care se dorete a se ascunde. 9esajul care se ascunde poate fi simplu te)t, un te)t criptat, o alt imagine sau orice altceva ce poate fi ascuns n biii cel mai puin semnificativi &ultimul bit al unui bEte'. e e)emplu, o imagine cu rezoluia de ;<?G).D2 pe ?G de biti &B bEtes sau octeti', poate produce un fiier de peste ?9F &;<?G).D2)?G-B'. Ioate variaiile de culori, sunt derivate din B culori principale: rou, verde i albastru. /n aceast imagine, fiecare culoare este reprezentat de B octei &fiecrei culori principale, i revine c$te un octet'. ac informaia este ascuns n fiecare cel mai puin semnificativ bit, B bii, pot fi ascuni n fiecare pi)el. Imaginea container, va arta e)act la fel cu imaginea n care au fost ascunse datele &deoarece oc!iul uman nu face distincie ntre ? culori at$t de apropiate' i va avea aceai mrime &deoarece doar se nlocuiete ceva cu altceva, neadug$ndu%se sau terg$ndu%se nimic'. =iierele imagine care sunt cele mai recomandate, sunt imaginile pe ?G de bii &alternativa puin acceptat deoarece ocup un spaiu mare' care pot ascunde mult informaie sau fiierele care conin imagini alb%negru, deoarece diferenele de culoare sunt foarte departate. 0stfel, imaginea din figura HG conine culorile posibile ale unei imagini alb%negru pe ; octet &? >?HD culori'.

;.3

Figura 54. culorile posibile ale unei imagini alb%negru pe ; octet ,rice culoare dintr%o astfel de imagine, poate fi nlocuit cu o alt culoare pe G bii, iar restul de patru s fie folosii pentru ascunderea datelor. #)emplu de paleta de culori pe G bii:

C.). EHemple
+entru a arta diferena dintre o imagine obinuit i o imagine steganografiat, am inclus nite teste &cam vec!i, de prin ;332' fcute cu diferite softuri steganografice. 9esajele care se doresc transmise, sunt un te)t n limba engleza i o imagine, astfel: 9esajul ;, notat cu 9;: nSte(ano(raphy is the art and science of communicatin( in a way which hides the e2istence of the communication. :n contrast to ;2<

crypto(raphy- where the VenemyV is allowed to detect- intercept and modify messa(es without &ein( a&le to /iolate certain security premises (uaranteed &y a cryptosystem- the (oal of ste(ano(raphy is to hide messa(es inside other VharmlessV messa(es in a way that does not allow any VenemyV to e/en detect that there is a second secret messa(e present WMar>us Kuhn 8KKL<#;<#%X.n. 9esajul ?, notat cu 9?, este o imagine din satelit a unei baze sovietice de bombardiere din olon, :aza8stan, fcut pe ?< 0ugust ;3DD i esste redat n figura HH.

;2;

Figura 55. Imaginea 9? din satelit a unei baze sovietice de bombardiere din olon, :aza8stan 0stfel de fotografii &din anii ;3D<', pot fi luate de pe site% ul !ttp:--edc(((.cr.usgs.gov-dclass. Imaginile container care vor fi folosite, sunt o poz a unui *enoir i un portret al lui Tilliam S!a8espeare. +rimul fiier container, notat cu C;, se poate gsi pe site% ul unui muzeu francez la !ttp:--(((.cnam.fr-(m-paint-aut!-renoir.

;2?

Figura 56. Imagine container C; repezent$nd o pictura de *enoir 0l doi%lea fiier container, notat cu C?, &portretul lui Tilliam S!a8espeare' poate fi luat de pe site%ul !ttp:--(((.culture(are.com-culture(are-s!a8espeare

;2B

Figura 57. Imagine container C? repezent$nd o portretul lui Tilliam S!a8espeare Imaginea lui S!a8espeare, este prea mic pentru a ascunde mesajul 9?, dar se poate ascunde mesajul 9;, fr s se observe aproape nici o diferen. in soft%urile testate, doar dou au reuit s ascund mesajul 9?, mesajul 9;, fiind ascuns de orice soft, n orice container. /n al doi%lea set de teste s%a incercat ascunderea ambelor mesaje &9; si 9?' ntr%un singur container &s%au folosit tot C; i C?, sau alte containere'. Soft%urile cu care s%au fcut testele, sunt: ?i2e an2 !ee>, !tegoDos, Rhite Moise !torm si !A%ools. Ioate aceste programe sunt s!are(are. 0proape fiecare autor al acestor soft%uri a recomandat criptarea mesajelor naintea steganografierii, unele c!iar folosind% o direct.

;2G

C.).1. ?i2e an2 !ee>


Au a reusit dec$t s ascund mesajul 9;. 0cesta este ascuns n containerul C?. Imaginea din st$nga este imaginea original, iar cea din dreapta, imaginea cu mesajul 9;.

C.).2. !tegoDos
#ste destul de dificil de folosit, at$t la npunerean te)tului, c$t i la nluarean lui. 1a fel, imaginea din st$nga reprezint imaginea original. Au s%a reuit dec$t includerea mesajului 9;.

;2H

;2D

C.).). Rhite Moise !torm


Cu acest soft, s%a reuit ascunderea i a mesajului 9?. #ste destul de usor de folosit i se obine o degradare foarte mic a containerului. Imaginea de mai jos, conine rezultatul nscrierii lui 9; n C?. 0cest soft, include i o rutina de criptare nainte de a ascunde mesajul n container.

*ezulatul includerii bazei aviatice n *enoir, este dat mai jos.

;2.

C.).6. !A%ools
#ste cel mai bun soft testat. Cuprinde mai multe aplicaii, printre care ascunderea de mesaje n fiiere .bmp, .gif, n fiiere .Qav i c!iar pe disc!ete goale. bi acest soft, cuprinde posibilitatea de criptare a mesajului, el folosind algoritmii $2ea+ M7;2+ DE!+ )DE! si M!E&. Imaginea de mai jos, cuprinde containerul C?, nainte &dreapta' i dup inscripionarea lui 9;.

;22

Imaginea de mai jos, cuprinde containerul C;, n care este mesajul 9?:

;23

Conclu ii Ste(ano(rafia- nu este facut pentru a nlocui criptarea- ea fiind un element suplimentar care spore)te posi&ilitatea transmiterii de mesa7e- fr a fi detectate. Astfel- dac se )tie c o ima(ine conine un mesa7- acel mesa7- /a tre&ui nt*i scos din container )i apoi decriptat (lucru nu tocmai u)or). A/anta7ul ste(ano(rafiei- este c nu tre'e)te nici o &nuiala- deoarece este un fi)ier te2t- (rafic- etc. care la prima /edere pare inofensi/. 0ar- dac un anumit mesa7- criptat )i apoi trimis- este /'ut de o a treia persoan- acesta poate atra(e suspiciuni.

C.6. Compresia
up partea de grafic, partea de compresie, este cea mai grea &datorit lipsei de documentaii'. /n aceast categorie, vom include informaii despre fractali i despre unele formate de fiiere. Cu toate c este vorba tot de compresie, aici nu vom include informaii despre fiierele imagine sau film, ls$ndu%le pentru partea de grafic. Compresia, este folosirea unor funcii recursive pentru a crea fiiere de dimensiuni mai mici prin eliminarea redundanei &a repetiiilor'. 4n ar!ivator, este un program care ia ca argumente unul sau mai multe fiiere, le comprim i produce un singur fiier ar!iv.

C.6.1. Compresia ?uffman


Compresia Cuffman, este o te!nic de compresie statistic, care d o reducere a codului folosit pentru reprezenta ;3<

simbolurilor alfabetului7 adica, cu biti mai putini sunt reprezentate caracterele care apar mai des, iar caracterele care apar mai rar, cu bii mai muli. 4n cod Cuffman, poate fi construit n felul urmtor: se or$nduiesc toate simbolurile n ordinea probabilitii de apariie succesiv, se combin dou simboluri cu probabilitate mic, pentru a crea un simbol compus nou7 eventual, se creaz arborele binar, unde fiecare nod, este probabilitatea tuturor nodurilor de la nivelele inferioare se caut un drum la fiecare frunz, observ$ndu%se direcia. +entru o frecven de distribuie dat, sunt mai multe coduri posibile Cuffman, dar lungimea fiierului comprimat, va fi aceai. , alt te!nic de compresie nrudit cu compresia Cuffman, este S!annon%=ano, care funcioneaza astfel: ;. se mparte mulimea de simboluri n dou submulimi egale sau cel puin egale ca mrime pe baza probabilitii de apariie a caracterelor din mulimea%mama. +rimei mulimi ii este asociat un zero binar, iar celei de%a doua un unu binar. ?. se repet pasul ; p$n c$nd toate submulimile au un singur element 0lgoritmul Cuffman, acioneaza de jos n sus, iar algoritmul S!annon%=ano, acioneaza de sus n jos7 cea mai bun compresie o d algoritmul Cuffman, algoritmul S!annon%=ano, d$nd c$teodat c$iva bii n plus. Cei doi algoritmi, dau o compresie bun dac probabilitatea apariiei simolurilor, sunt intregi, puteri ai lui o &care, de obicei, nu este aa'.

;3;

C.6.2. Co2area aritmetica


Codarea aritmetic, este folosit c$nd probabilitatea apariiei simbolurilor nu sunt ntregi, puteri ai lui ;-?7 aceast codare, obine acelai efect ca i codarea Cuffman, trat$nd mesajul ca un tot unitar, i, teoretic obine compresia ma)im pentru orice surs. Codarea aritmetic, funcioneaz prin reprezentarea unui numar, printr%un interval de numere reale ntre < i ;. Cu c$t mesajul devine mai lung, cu at$t intervalul folosit pentru a%l reprezenta devine tot mai mic i numrul de bii utilizai pentru a reprezenta respectivul interval devine tot mai mare. Simbolurile succesive din mesaj, reduc acest interval, n conformitate cu probabilitatea apariiei simbolului. 0ceasta, este una dintre cele mai bune te!nici de compresie, dar nu este prea folosit deoarece este o mare consumatoare de resurse &at$t de memorie, c$t i de procesor', folosindu%se alte alternative, cum ar fi compresia prin substituie.

C.6.). Compresia prin substitutie


Ideea de baz la aceast compresie, este nlocuirea apariiilor repetate a unei fraze sau a unui grup de simboluri &litere, cifre, etc.' cu o referin, care s indice prima apariie a frazei, grupului de simboluri, etc. 0ceast familie de compresoare, are dou clase, numite dup &iniialele numelor' Na8ob Oiv i 0bra!am 1empel, primii care le%au propus, n ;3.. i ;3.2. 8amilia '<CI 0ceast familie funcioneaza prin introducerea de fraze ntr%un dicionar, i c$nd este gsit o repetiie a acelei fraze, se nlocuiete fraza cu inde)ul din dicionar. #)ist mai muli ;3?

algoritmi care se bazeaz pe aceast idee, dar diferena principal, este modul n care lucreaz cu dicionarele. Cel mai cunoscut algoritm de acest tip, este 1OT, creat n ;32G de IerrE Telc!, care a fost implementat i n controller%ele de !ard dis8. 1OT ncepe cu un dicionar de G:, din care intrrile de la < la ?HH, fac referire la simboluri individuale, i intrrile ?HD% G<3H la subiruri. e fiecare dat c$nd un cod nou este generat, nseamn c un nou ir a fost analizat. Aoi iruri sunt generate, prin adugarea caracterului curent :, la sf$ritul unui sir deja e)istent, (. 0lgoritmul de compresie 1OT, este: repet5 citete caracterul : dac (: e)ist n dicionar, (>(: altfel5 adaug (: la tabela de iruri (>:6 6 4n e)emplu al algoritmului pe irul n-T# -T#-T##-T#Fn, este dat n tabelul ;3:

;3B

Caracterul de intrare -T # T# T## -T #F S=0*SII

Iabelul ;3. #)emplu de algoritm pe irul n-T# -T#-T##-T#Fn Codul de ieire Aoile valori i asocierile de iruri ?HD>-T T ?H.>T# # ?H2># ?H3> ?HD ?D<>-T# # ?D;>#?D< ?D?>-T## ?D; ?DB>#-T ?H. ?DG F

birul rezultat dup aplicarea algoritmului asupra codului de intrare, este n-T# ^?HD]#^?D<]^?D;]^?H.]Fn. ecompresia 1OT, ia ca intrare codul i l folosete pentru a crea e)act te)tul original. 1a fel ca i algoritmul de compresie, algoritmul de decompresie adaug un nou ir dicionarului de fiecare dat c$nd citeste un nou cod. 4n e)emplu de decompresie a irului n-T# ^?HD]#^?D<]^?D;]^?H.]Fn, este dat n tabelul ?<:

;3G

Caracterul de intrare T # ?HD # ?D< ?D; ?H. F

Iabelul ;3. #)emplu de decompresie Codul de ieire Aoile valori i asocierile de iruri T ?HD>-T # ?H.>T# ?H2># -T ?H3> # ?D<>-T# -T# ?D;>##?D?>-T## T# ?DB>#-T F ?DG>T#F

Cea mai remarcabil caracteristic a acestui tip de compresie este accea c ntreg dicionarul a fost transmis decompresorului fr ca dicionarul s fie transmis ca un pac!et suplimentar l$ng datele comprimate7 adic, el a putut fi recreat doar datorit datelor primite. eci, ntreg dicionarul va fi gata doar la terminarea procesului de decompresie. 8amilia '<CC 0ceast familie de compresoare, funcioneaz astfel: pstreaz ultimii n octei vzui i c$nd este gsit o fraz care a mai fost vzut, nlocuiete fraza gsit cu poziia frazei gsite prima oara i cu lungimea frazei. eci, compresorul mut o nfereastrn deasupra datelor, nfereastrn care conine pe l$ng fraz i o perec!e &poziie, lungime', care indic locul, respectiv lungimea frazei din fereastr. Cei mai folosii algoritmi, sunt cei derivai din algoritmul 1OSS, descris pentru prima oar n ;32?, de Names Storer i I!omas SzEmans8i. 0ceti algoritmi, in o ;3H

nfereastrn de A octei i un buffer de naintere, n al crui coninut ncearc s gseasc o npotriviren a nferestrein: 6*t timp (&uffer<ul de naintare nu este (ol)Y o&ine o pereche (po'iie- lun(ime) a celei mai lun(i potri/iri din VfereastrV- n &uffer<ul de naintare5 dac (=un(imeZ=un(imeaMinim0e1otri/ire)Y scrie perechea (po'iie- lun(ime)5 mut fereastra cu =un(ime caractere mai n fa5[ altfelY scrie primul caracter din &uffer<ul de naintare5 mut VfereastraV cu un caracter mai n fa5[ [ ecompresia, se face astfel: de c$te ori este gsit o perec!e &poziie, lungime', du%te la acea poziie i copiaz Rlungime octeiS n fiierul de ieire.

C.,. 8ractali. Dimensiunea fractala


=ractalii sunt forme geometrice, care pot fi mprite n buci, fiecare dintre ele, fiind o copie la scar redus a ntregului. =ractali pot fi considerai norii, muntii, copacii, malurile, etc. enumirea de nfractaln, a fost dat prima oar de Fenoit 9andelbrot &un matematician de la IF9' de la adjectivului latin nfractusn. Qerbul corespunzator, este nfr$ngeren, care nseamn na spargen. ,biectele geometrice, au o dimensiune topologic7 de e)emplu, liniile au dimensiunea ;, suprafeele plane &ptrate, cercuri, etc.' au dimensiunea ?, spatiul, dimensiunea B. ar, s%au construit figuri, care nu se puteau caracteriza prin nici una dintre dimensiunile cunoscute7 unei linii curbe care unete dou puncte, nu i se putea determina lungimea, iar dac se fceau detalieri succesive asupra fiecrui punct de pe dreapta, lungimea liniei ;3D

cretea &conturul unui munte se detaliaz cu c$t distana de la care este privit este mai mic'. 0stfel, n ;3;3, matematicianul Causdorff, a introdus o noua dimensiune, dimensiunea fractal sau dimensiunea Causdorff. 0ceast dimensiune, msoara numrul de mulimi de diametre mai mici, necesare pentru a acoperi o figur. ac acest numar este ntreg, atunci dimensiunea este topologic, altfel, dimensiunea este fractal. e e)emplu, o linie dreapt mrit de ? ori, este de dou ori mai mare decat linia iniial7 dimesniunea ei, este log?-log?>;. 4n ptrat mrit de ? ori, este de G ori mai mare dec$t ptratul iniial &aria sa cuprinde G arii a ptratului iniial', iar dimensiunea lui, este logG-log?>?. /ntr%un cub, mrit de ? ori, ncap 2 cuburi iniiale, iar dimensiunea lui este log2-log?>B. ac se ia o dreapt, n care se nlocuiete repetat UU cu ULVU, unde fiecare G linii sunt ;-B din lungimea vec!ii linii i se mrete de B ori, rezult o linie care este de G ori mai mare i care are dimensiunea logG-logB>;.?D;..., dimensiune care nu este o valoare ntreag, fiind deci o dimensiune fractal. =ractalii, sunt folosii mai ales la compresia imaginilor. #ste o te!nica relativ nou i care nu d rezultate destul de bune n comparaie cu alte te!nici de compresie a imaginilor. e e)emplu, dac se ia un portret alb%negru, cu culori pe 2 biti i se trece prin programul de compresie, se obine un fiier de ?H<< octei &se obine o compresie de ?H:;'. ac se mrete prul persoanei din portret de G%H ori, se va vedea o te)tur care seamn cu prul. ar, detaliile nu s%au artat, ci s%au generat7 deci, dac se va mri faa persoanei, nu se vor vedea porii pielii, ci aceai te)tur, ca i cum ar fi mrit cu lupa.

;3.

1ibliografie
IEEE Transactions on Computers, 1986 - 2004 C. Bacivarov, Securitatea sistemelor informatice - Rubrica permanent "Societatea informaional" - Calitatea, 2003 - 2004 R. upan! A !obi, " Roble#o, I. Bacivarov! ISO 9000:2000 Quality System Improvement Using the Si Sigma !ethology" #rocee$ings of the %r$ International Conference on the !anagement of &echnological Changes, "$ania, %reece, Au&ust 2003, pp 131 '13(

&n2reQ !. %anenbaum: Cetele de calculatoare (editia a treia), Computer +ress 0K,*0 &;332' =ictorA=aleriu 7atriciu+ Monica 7ietrosanuAEne+ $on 1ica+ Costel Cristea: Securitatea informatica in ?+:X si :+TEC+ET , #ditura te!nica &;332' Marshall Rilens>K W Can2ace 'ei2en , T61$:1 pentru toti, #ditura Ieora &;33D' $osif $gnat+ &2rian Kacso: ?ni2 < (estionarea proceselor, #ditura 0lbastra &;33H' =. Cristea+ &. 7aunoiu+ E. Kalis + $. &thanasiu+ '. Megreanu+ !. Calinoiu+ 8. 1aboescu : ?+:X, #ditura Ieora &;33B' =aler 1ocan [ Stadiul actual al de'/olt\rii sistemelor de securitate pentru re]ele de calculatoare de nalt\ si(uran]\, *eferat doctorat nr. ;, 4niversitatea p+olite!nicaS IimiGoara, =acultatea de 0utomatici Gi Calculatoare, ?<<; =aler 1ocan [ 0e/elopments in 0FS Cesearch and Miti(atin( Technolo(ies, +eriodica +olite!nica, Iransactions on 0utomatic Control and Computer Science, Qol. G3 &DB', C,AII ?<<G Qaler Focan [ Threshold 1u''les4 The E/olution of 0FS< resistant Authentication, +eriodica +olite!nica, Iransactions on 0utomatic Control and Computer Science, Qol. G3 &DB', C,AII ?<<G ;32

Computer EmergencK #esponse %eam % 6ECT ad/isory 6A<"###.#8 0enial of ser/ice de/elopments , ?<<< &!ttp:--(((.cert.org-advisories-C0%?<<<%<;.!tml' !cott &. CrosbK+ Dan !. Rallach [ 0enial of Ser/ice /ia Al(orithmic 6omple2ity Attac>s, +roceedings of t!e;?t! 4S#AIU SecuritE SEmposium, ?<<B DreQ Dean+ &2am !tubblefiel2 [ ?sin( 6lient 1u''les to 1rotect TS=, !ttp:--(((.csl.sri.com-users-ddean-papers-useni)<;b.pdf, +roceedings of t!e;<t! 4S#AIU SecuritE SEmposium, ?<<; Digital ENuipment Corporation [ 1erformance tunin( tips for 0i(ital ?ni2, iunie ;33D, !ttp:--(((.abdn.ac.u8-local-apac!e-manualk;.B.G-misc-perfdec.! tml 7rashant DeQan+ 7artha Dasgupta+ =i4aK Karamcheti [ 0efendin( A(ainst 0enial of Ser/ice Attac>s ?sin( +ame Secure Cesolution, I!e ?Brd International Conference on istributed Computing, ?<<B %he Distribute2.net (rgani ation, !ttp:--(((.distributed.net 7eter Druschel+ Paugrav 1anga [ =a'y recei/er processin( (=C1)4 a networ> su&system architecture for ser/er systems , +roceedings of t!e ?nd 4S#AIU SEmposium on ,S I, Seattle, ;33D CKnthia DQor>+ Moni Maor [ 1ricin( /ia 1rocessin( or 6om&atin( Uun> Mail, +roceedings of C*L+I, @3?, Springer Qerlag, ;33? 7. 8erguson+ D. !enie [ +etwor> :n(ress Eilterin(4 0efeatin( 0enial of Ser/ice Attac>s which employ :1 Source Address Spoofin(, *=C ??D., ;332 &lan (. 8reier+ 7hilip Karlton+ 7aul C. Kocher [ The SS= 1rotocol- ,ersion %.# (:nternet 0raft), Iransport 1aEer SecuritE Tor8ing Kroup, ;33D ;33

&ri ;uels+ ;ohn 1rainar2 [ 6lient pu''les4 A crypto(raphic defense a(ainst connection depletion attac>s, +roceedings of t!e A SS ;333 Charlie Kaufman+ #a2ia 7erlman+ Mi>e !peciner [ +etwor> Security. 1ri/ate 6ommunication in a 1u&lic !orld+rentice Call, ?<<? Catherine Mea2oQs [ A formal framewor> and e/aluation method for networ> denial of ser/ice, +roceeding of t!e ;333 I### Computer SecuritE =oundations Tor8s!op, 9ordano, ItalE, ;333 #. C. Mer>le [ Secure 6ommunications F/er :nsecure 6hannels, Communications of t!e 0C9, ;3.2 #olf (ppliger [ Authentication Systems for Secure +etwor>s, 0rtec! Couse, Inc., ;33D =ictorA=aleriu 7atriciu [ 6ripto(rafia )i securitatea reelelor de calculatoare, #ditura Ie!nic, ;33G 7ingA?erng DennK 'in [ Sur/ey of the 0enial of Ser/ice 6ountermeasures, California State 4niversitE, =ullerton, ?<<< =alentin #a mov [ 0enial of Ser/ice Attac>s and Gow to 0efend A(ainst Them, 4niversitE of Tas!ington, ?<<< #onal2 #. #ivest+ &2i !hamir+ Davi2 &. Ragner [ Time< loc> 1u''les and Timed<release 6rypto(raphy, ;33D, !ttp:--lcs.mit.edu-erivest-*ivestS!amirTagner%timeloc8.pdf !tefan !avage+ Davi2 Retherall+ &nna Karlin+ %om &n2erson [ 1ractical networ> support for :1 trace&ac>, tec!nical report 4T%CS#%<<-<?-<, SIKC,99 f<<, ?<<< 1ruce !chneier [ 0istri&uted denial of ser/ice attac>s, CrEpto%gram ne(sletter, ?<<< !E%$ Thome 7rogram, !ttp:--setiat!ome.ssl.ber8elE.edu !hon ?arris [ 0FS 0efense, Information SecuritE 9agazine, ?<<;

?<<

(liver !patschec>, 1arrE +eterson [ 0efendin( a(ainst denial of ser/ice in Scout, +roceedings of Brd 4S#AIU-0C9 SEmposium on ,S I, p. H3%.?, ;333 %uomas &ura+ 7e>>a Mi>an2er+ ;ussipe>>a 'eiQo [ 0FS< resistant authentication with client<pu''les, +roceeding of t!e Cambridge SecuritE +rotocols Tor8s!op ?<<<, 1ACS, Cambridge, 4:, ?<<<

?<;