Documente Academic
Documente Profesional
Documente Cultură
Curs Cieewewrwrwrw
Curs Cieewewrwrwrw
Modelul OSI
Modelul de referin OSI propune nite criterii generale pentru realizarea comunicaiei
sistemelor de calcul pentru c acestea s poat schimba informaii, indiferent de particularitile
constructive ale sistemelor (fabricant, sistem de operare, ar, etc). Modelul de referin OSI are
aplicaii n toate domeniile comunicaiilor de date, nu doar n cazul reelelor de calculatoare.
Modelul OSI divizeaz problema complex a comunicrii ntre dou sau mai multe sisteme n 7
nivele (layers) distincte ntr-o arhitectur ierarhic. Fiecare nivel are funcii bine determinate i
comunic doar cu nivele adiacente.
Acest model este conceput ca avnd apte nivele i fiecruia i se asociaz o anumit funcie
(mai exact un anumit set de funcii). Aceste apte nivele formeaz o ierarhie plecnd de la
nivelul superior 7 nivelul aplicaiilor i pn la ultimul din partea de jos a stivei nivelul 1, cel
fizic (Fig.1.1). Termenul de Open (deschis) din denumire semnific faptul c utilizarea
standardelor este public i gratuit, spre deosebire de sistemele proprietare" a cror folosire
trebuie liceniat de firma care le-a produs i distribuit.
Pentru a nelege mai bine modul de funcionare al modelului OSI, adesea se folosete
analogia cu modul de organizare al unei companii comerciale. Conducerea unei companii din
Romnia dorete s stabileasc o afacere cu o alt companie din strintate, de exemplu din
Japonia. Preedintele companiei redacteaz o scrisoare n limba romn ctre secretariat cu
specificaia c trebuie s ajung la compania japonez. De la secretariat se execut traducerea
ntr-o limb de circulaie internaional i se organizeaz ntr-un document scris. Acest
document este tiprit la imprimant. Paginile astfel organizate sunt transmise prin fax, care
convertete informaia scris n semnale electrice. La destinaie procesele sunt repetate n
ordine invers: faxul transform informaiile electrice n informaie scris, secretariatul
traduce din limba englez n limba japonez iar nivelul superior (conducerea) primete
mesajul.
Cnd o aplicaie de pe staia surs dorete s comunice cu o alt aplicaie de pe o staie
destinaie, stiva de protocoale OSI este parcurs de sus n jos, de la nivelul aplicaie spre
nivelul fizic. Informaia este ncapsulat n segmente, pachete, cadre i apoi trimis prin
intermediul nivelului fizic al staiei destinaie unde are loc procedeul invers, informaia fiind
dezncapsulat n timp ce trece de la nivelul fizic ctre nivelul aplicaie (Fig. 1.2).
1.5 TCP/IP
Data offset (4 bits) Acest cmp si ia numele de la faptul c este i offestul de la nceputul
pachetului de date.
Reserved (4 bits) este rezervat pentru o folosire viitoare i este setat pe 0.
TCP Header
Bit Bits
47 815 1631
offset 03
0 Port surs Port destinaie
32 Sequence number
64 Acknowledgment number
Data
96 Reserved CWR ECE URG ACK PSH RST SYN FIN Window Size
offset
160/192+ Date
Flags (8 bits) (aka Control bits) conine 8 indicatoare (flaguri) de lungime 1 bit:
CWR (1 bit) Congestion Window Reduced (CWR), este setat de ctre cel care trimite
pentru a indica c s-a primit un pachet cu indicatorul ECE setat (adaugat la antet de
standardul RFC 3168).
ECE (ECN-Echo) (1 bit) indic c linia este liber pentru trafic i semnalul de ecou a
fost recepionat (adugat la antet de standardul RFC 3168).
URG (1 bit) indic cmpul URGENT ca fiind semnificant.
ACK (1 bit) indic cmpul ACH ca fiind semnificant
PSH (1 bit) funcia de adugare n stiva
RST (1 bit) resetarea conexiunii
SYN (1 bit) sincronizarea secvenelor
FIN (1 bit) indic ca sursa nu mai trimite date.
Window (16 bits) marimea ferestrei de recepie ce specifica numarul de bytes ce
destinatarul e dispus s-i primeasc
Checksum (16 bits) suma de control pentru antet i date
Urgent pointer (16 bits) dac indicatorul URG este setat, atunci acest cmp va indica
ultima data urgent.
Opional (cmp de bii variabil) lungimea totala va trebui s fie un multiplu de 32 biti:
Funcionare
Comunicaia n Internet funcioneaz dup cum urmeaz: nivelul transport preia irurile
de date i le mparte n pachete de date denumite datagrame. Acestea pot avea capacitatea de
pn la 64 KB dar n practic ele nu depesc 1500 de octei pentru a putea fi incluse ntr-un
pachet ethernet. Fiecare datagram este transmis prin Internet, fiind eventual fragmentat n
uniti mai mici pe parcurs. Cnd toate aceste fragmente ajung la maina destinaie ele sunt
reasamblate de nivelul reea n datagrama original. Datagrama este transparent nivelului
transport care o insereaz n irul de intrare al procesului receptor.
Adresa IP reprezinta identificatorul unei statii de lucru n reea i este reprezentat pe 4
octei, fiecare avnd valori cuprinse ntre 0 i 255. Cea mai mic adres este 0.0.0.0 i reprezint
valoarea de iniializare n momentul pornirii staiei de lucru. Ultima adres IP este
255.255.255.255 i pachetul cu o asemenea adresa in cmpul de destinatie este interpretat drept
apel general ctre toate staiile. Toate adresele IP care au ultima cifr 0 sunt considerate din
punct de vedere logic ca fiind adrese fizice ale reelelor. Aceste adrese precum i 0.0.0.0 permit
ca staiile s acceseze propria reea fr a cunoate numrul de reea. Protocolul prin care un
calculator cu adresa iniial 0.0.0.0 primete automat o adres IP n reea se numete DHCP i
este folosit de ISP-uri.
Pentru reelele din componena internetului, toate numerele de reea sunt alocate de
autoritatea international de alocare a numerelor de internet (IANA), iar pentru retelele locale
adresele sunt definite de ctre administratorul de reea. Conform ISO, reelele locale de
calculatoare pot fi adresate cu un numr din clasa B (172.16.0.0/16) sau clas C
(192.168.*.0/24).
Toate adresele de forma 127.xx.yy.zz sunt rezervate pentru testri n bucl local.
Noiunea calculatorului despre sine este implementat din punct de vedere logic n adresa
loopback 127.0.0.1.[2] Pachetele cu aceast destinaie sunt folosite de ctre aplicaiile client-
server care ruleaz pe aceeai staie, iar dac lucreaz pe staii diferite sunt folositei adresele din
reeaua local sau de internet.
Antetul IP
Structura antetului IP este:
Version - versiunea pachetului IP (curent este 4)
IHL - lungimea antetului IP
Type of Service - permite gazdei s comunice ce tip de serviciu dorete
Total length - lungimea pachetului
Identification - identificarea pachetului
Flags - conine 1 bit nefolosit 1 bit DF (Dont Fragment) i unul MF (non-fragment)
Fragmentation offset - indic unde este locul fragmentului n datagram
Time to Live - timpul de via al pachetului (secunde), care se decrementeaza la fiecare
HOP (trecere dintr-un router n altul)
Protocol - indic crui proces de transport s-l predea (TCP, UDP, etc.)
Header Checksum - suma de control a antetului
Source Address - adresa surs a pachetului (de unde vine)
Destinaion Address - destinaia pachetului (unde trebuie s ajung)
Options - opiuni ale pachetului (securitate, dirijare strict pe baza sursei, dirijare
aproximativ pe baza sursei, nregistrare cale, amprenta de timp)
Niciunul dintre cmpurile IP nu sunt criptate i niciunul nu necesit autentificare.
n momentul de fat, OSI nu mai reprezint dect o unealt didactica, fiind nlocuit n
mare parte de stiva TCP/IP ce reprezint o viziune comprimat i mai eficient asupra
comunicrii ierarhice. Cu toate acestea principiile de baz rmn aceleai. Conform figurii 1.3,
nivelul fizic i nivelul legturi de date au fost concatenate ntr-un singur nivel TCP/IP numit
acces reea. Nivelul reea din OSI a fost pstrat n TCP/IP dar a fost redenumit Internet. Nivelul
transport n TCP/IP ramne n mare acelai ca n stiva OSI ns preia o parte din atribuiile
nivelului sesiune (iniierea i terminarea comunicaiilor). Al patrulea i ultimul nivel al TCP/IP
combin ultimele 3 nivele OSI: sesiune, prezentare i aplicaie.
10
O reea de calculatoare este o structur deschis la care se pot conecta permanent noi
utilizatori i noi tipuri de echipamente (terminale, calculatoare) ceea ce lrgete necontenit cercul
de utilizatori care au acces la resursele acesteia (programe, fiiere, baze de date).
Vulnerabilitatea se manifest pe dou planuri: atacul la integritatea fizic a informaiilor
(distrugere, modificare) i folosirea neautorizat a informaiilor (scurgerea de informaii).
Referitor la securitatea n informatic trebuie avute n vedere dou aspecte:
11
Securitatea i caracterul privat trebuie s fie obiectul unor analize atente i responsabile din
urmtoarele motive:
- reelele sunt sisteme mari sau foarte mari, de arie i complexitate considerabile.
Penetrarea reelelor i atacurile ruvoitoare se pot face n multe locuri i modaliti
nebnuite, greu depistabile.
- informaia este vulnerabil la atac n orice punct al reelei, de la introducerea sa pn
la utilizatorul final.
- reelele de calculatoare sunt o component tot mai prezent n viaa economic,
social, individual, de funcionarea lor corect depinznd activitatea guvernamental,
comercial, industrial i chiar individual.
- tot mai multe informaii memorate n fiiere separate pot fi corelate, sintesizate,
prelucrate prin intermediul reelelor sporind posibilele consecine nefate asupra
caracterului privat al acestora.
atacuri pasive;
atacuri active.
Atacurile pasive sunt acele atacuri n care intrusul observ informaia care trece prin mediul
de comunicare fr s interfereze cu fluxul sau coninutul mesajelor. Se face doar analiza
traficului, descoperirea identitii entitilor care comunic, descoper lungimea i frecvena
mesajelor chiar dac datele sunt criptate. Aceste atacuri nu cauzeauz pagube i nu ncalc
regulile de confidenialitate. Scopul lor este de a monitoriza datele care sunt vehiculate prin
reea.
Atacurile active reprezint cazurile cnd intrusul se angajeaz n furtul mesajelor,
modificarea lor, tergerea, rularea, schimbarea coninutului sau a adreselor, redirecionarea,
substituirea sau refuzul unui serviciu. Aceste atacuri cauzeaz prejudicii mari i consecine
juridice. Tot n categoria atacurilor active intr i programele create cu scop distructiv care
afecteaz serios, uneori catastrofal, securitatea calculatoarelor i a informaiilor. n aceast
categorie intr: viruii, bombele logice, viermii i programele tip cal troian.
12
Un prim nivel necesar este securitatea fizic care const n general n ncuierea
echipamentelor, plasarea lor n camere speciale ferite de foc, ntemperii, distrugere fizic fie
intenionat fie nu. Este o msur aplicabil tuturor sistemelor de calcul dar mai puin posibil n
cazul reelelor, mai ales cele de arie medie sau mare.
Cellalt nivel se refer la securitatea logic i cuprinde acele metode de control a accesului
la resursele i serviciile sistemului.
Au fost stabilite i unanim acceptate linii directoare i principii privind securitatea sistemelor
informatice care trebuiesc respectate de ctre toate entitile care produc, livreaz, instaleaz i
exploateaz sisteme informatice.
Principiul responsabilitii impune stabilirea clar a responsabilitilor referitoare
le securitate pe care le au proprietarii, furnizorii, administratorii i utilizatorii
sistemelor informatice.
Principiul sensibilizrii conform cruia toate persoanele interesate asupra acestui
aspect trebuiesc corect informate.
Principiul eticii impune elaborarea unor reguli de conduit n utilizarea sistemelor
informatice.
Principiul pluridisciplinaritii conform cruia metodele tehnice i organizatorice
care trebuie luate n vederea securitii sistemelor informatice au caracter
multidiscilpilinar i cooperant.
Principiul proporionalitii cere ca nivelul de securitate i msurile de protecie s
fie proporional cu importana informaiilor gestionate.
Principiul integrrii conform cruia securitatea este necesar n toate stadiile de
prelucrare a informaiilor (creare, colectare, prelucrare, stocare, transport, tergere).
Principiul oportunitii conform cruia mecanismele de securitate trebuie s
rspund prompt i s permit o colaborare rapid i eficient n caz de detectare a
tentativelor de corupere a mecanismelor de securitate.
Principiul reevalurii cere revizuirea periodic a cerinelor de securitate i a
mecanismelor de implementare a lor.
Principiul democraiei, conform cruia cerinele de protecie i securitate s nu
limiteze nejustificat libera circulaie a informaiilor, conform principiilor care
guverneaz societile democratice.
Mecanismele de securitate sunt folosite individual sau colectiv pentru construirea serviciilor
de securitate:
Criptarea transform datele de la entitatea surs ntr-o manier unic astfel nct s nu
poat fi cunoscut semnificaia lor dect n urma unei transformri inverse pereche,
numit decriptare. Este folosit n special pentru implementarea serviciului de
confidenialitate.
Semntura digital d sigurana c datele furnizate au fost produse chiar de ctre
semnatar. Mecanismul este folosit de ctre serviciul de integritate i nonrepudiere. La
rndul su se bazeaz pe dou proceduri:
- procedura semnrii unui bloc de date
- procedura verificrii semnturii.
Controlul accesului la resursele din Internet presupune recunoaterea identitii
solicitantului n baza unei nregistrri prealabile i posibilitea validrii sau invalidrii
cererii. Tentativele de acces neautorizat trebuie semnalale prin diverse modaliti. Ca
tehnici de control a accesului se pot folosi : liste de acces, parole, etichete de securitate,
limitarea timpului de acces, limitarea numrului de ncercri de acces, calea de acces etc.
Autentificarea permite identificarea reciproc a entitilor corespondente.
Notarizarea presupune folosirtea unei a treia entiti numit notar, n care toate prile au
incredere deplin, care ofer garanie privind originea, destinaia, integritatea i
confidenialitatea informaiilor.
14
Un sistem secret previne extragerea informaiei din mesajele transmise prin canale
publice nesigure de ctre o persoan neautorizat, asigurnd astfel pe transmitor c mesajul va
fi citit numai de ctre receptorul dorit. Sistemul de autentificare previne injecia neautorizat de
mesaje ntr-un canal public, asigurnd astfel pe receptorul mesajului de autenticitatea
transmitorului. De asemenea, se previne modificarea mesajelor astfel nct sensul lor s se
schimbe, asigurndu-se integritatea lor. Exist trei tipuri de sisteme secrete:
- sisteme de mascare care ascund mesajul sau faptul transmiterii lui: folosirea de cerneluri
speciale, prezentarea mesajului sub forma unui text fr importan, mascarea mesajului ntr-o
imagine (steganografie) sau coloan sonor;
- sisteme cu inversarea vorbirii care necesit echipamente speciale pentru restabilirea
mesajului;
- sisteme de ascundere a mesajului cu ajutorul unui cifru, cod etc., nsa existenta
mesajului c atare nu se ascunde, presupunndu-se c adversarul poate s intercepteze i s
nregistreze mesajele transmise.
Criptografia se ocupa numai de al treilea tip de sisteme secrete i anume de acelea care
folosesc informaie discret pentru mesaj (litere, cuvinte, nivele de amplitudine ale unui limbaj
cuantificat sau ale unui semnal video, etc.).
Un cifru se definete ca transformarea unui mesaj clar (text clar) n mesaj
cifrat(criptogram). Procesul de transformare a textului clar n text cifrat se numete cifrare
(criptare), iar transformarea inversa se numete descifrare (decriptare). Criptanaliza studiaz
metodele de spargere a cifrurilor, adic determinarea textului clar (sau cheii de cifrare) din
criptogram. Un sistem criptografic (criptosistem) este compus din:
M textul clar;
C text cifrat;
dou funcii inverse E(criptare) i D(decriptare);
un algoritm care produce cheile Ke i Kd astfel nct: C=EKe(M) i M=DKd(C).
Fluxul informaiei ntr-un sistem criptografic convenional este prezentat n figura 2.1.
37
Fig. 2.1 Sistem criptografic convenional
n figura 2.1 se observ c prin canalul public (neprotejat) se transmite mesajul criptat C.
Ajuns la destinaie, el este decriptat (descifrat), obinndu-se mesajul clar M. Cheile se numesc:
Ke= cheie de cifrare, Kd= cheie de descifrare.
Metodele cunoscute (figura 2.2) folosite n cifrarea mesajelor sunt de o mare diversitate,
dar, din punctul de vedere al evoluiei lor, pot fi clasificate astfel:
- clasice:
- substituia monoalfabetic, poligrafic, polialfabetic;
- transpoziia;
- computaionale:
- simetrice;
- cu chei publice;
- cu coduri redundante.
Substituia monoalfabetic: pentru substituire folosete acelai alfabet cu cel al textului clar
(exemplu: cifrul lui Cezar).
38
Substituia polialfabetic: folosete, prin rotaie, mai multe alfabete de cifrare (exemplu: cifrul
Vigenre2).
Substituia poligrafic: un grup de n litere este nlocuit cu un alt grup de n litere; corespondena
ntre unitile de text clar i unitile de text cifrat este descris n cri de cod voluminoase.
Cifrurile se refer la uniti de text de lungime fix. Codurile se refer la uniti de text de
lungime variabil (uniti lingvistice: cuvinte, propoziii, fraze).
Transpoziia: se modific ordinea caracterelor din textul clar, obinndu-se astfel textul cifrat;
uzual, textul cifrat se obine prin dispunerea caracterelor textului clar n liniile succesive ale unei
matrice i parcurgerea acesteia dup o anumit regul..
- simetrice (cu chei secrete): folosesc aceeai cheie la cifrare i descifrare (cunoscut numai de
surs i receptor) Ke = Kd;
- asimetrice (cu chei publice): folosesc chei distincte la cifrare i descifrare (dar legate una de
alta) Ke <> Kd; una din chei este inut secret de ctre proprietarul ei, iar cealalt cheie este
fcut publica ctre cei interesai.
Spre deosebire de sistemele de criptare bazate pe chei secrete, care presupun o singur
cheie cunoscut de emitor i receptor, sistemele bazate pe chei publice folosesc dou chei: una
public i alta privat (figura 2.3).
Cheia public este pus la dispoziia oricrei persoane care dorete s transmit un mesaj criptat.
Cheia privat este utilizat pentru decriptarea mesajului, iar nevoia de a face schimb de chei
secrete este eliminat. Pentru nelegerea sistemului, sunt necesare urmtoarele lmuriri:
39
cheie public nu poate decripta un mesaj criptat;
se recomand ca o cheie privat s nu derive dintr-o cheie public;
un mesaj care a fost criptat printr-o anumit cheie poate fi decriptat cu alt cheie;
cheia privat nu este fcut public.
Dac notm cu C un text criptat i cu P un text clar (P este notaia consacrat pentru plain
text), iar Kp este cheia public i Ks cheia privat (secret), procesul este ilustrat astfel: C =
Kp(P) i P = Ks(C). i invers este adevrat: C = Ks(P) i P = Kp(C).
Criptografia prin chei publice este posibil n aplicaiile care funcioneaz ntr-un singur
sens. O funcie n sens unic este aceea care este uor de calculat ntr-o direcie, dar este dificil de
calculat n sens invers. Pentru o astfel de funcie, dac y = f(x), este simplu de determinat
valoarea lui y dac se cunoate x, dar este foarte dificil s-l determini pe x cunoscndu-l pe y.
ntr-o astfel de situaie se afl cutrile telefonice. Este uor s gseti numrul cuiva dac tii
numele i adresa, dar este foarte dificil s gseti pe cineva ntr-o carte de telefon cunoscndu-i
doar numrul de telefon. Pentru c funciile cu sens unic s fie utile n contextul criptografiei
bazate pe chei publice ele trebuie s aib o trap, adic un mecanism secret care s permit
realizarea cu uurin a funciei inverse funciei n sens unic. Printr-o astfel de modalitate se
poate obine x dac se d y.
De-a lungul anilor s-au dezvoltat mai muli algoritmi pentru cheile publice.Unii dintre ei
se folosesc pentru semntura digital, pentru criptare sau n ambele scopuri. Din cauza calculelor
numeroase solicitate de criptarea prin chei publice, aceasta este de la 1.000 la 10.000 de ori mai
nceat dect criptografia prin chei secrete. Astfel, au aprut sistemele hibride care folosesc
criptografia prin chei publice pentru transmiterea sigur a cheilor secrete utilizate n criptografia
prin chei simetrice.
Dintre algoritmii importani ai cheilor publice, pot fi amintiti Diffie-Hellman, RSA, El
Gamal Knapsak i curba eliptic, foarte utilizai fiind primii doi algoritmi.
Algoritmul RSA
La scurt timp dup ce Diffie i Hellman au lansat ideea revoluionar a criptografierii prin
chei publice, trei profesori de la MIT (Massachusetts Institute of Technology), Ronald Rivest,
Adi Shamir i Leonard Adleman, au venit cu soluia implementrii ei. Varianta propus se
numea RSA. Concomitent, Hellman i Merkle au inventat o alt metod, numit trapdoor
knapsacks, bazat pe alt model matematic. Oricum, modelul lor a fost spart la nceputul anilor
1980.
Pentru a transmite un mesaj cu text clar ctre Bob, folosind sistemul cheilor publice, gen
RSA, Alice genereaz cheia K a mesajului i o folosete prin intermediul criptosistemului
convenional, cum ar fi DES, pentru criptarea mesajului. Utiliznd criptografia prin chei publice,
ea, de asemenea, cripteaz K, sub cheia public a lui B, denumit KBobpub. Apoi, ea transmite
att cheia criptat, ct i mesajul criptat ctre Bob. Bob, la rndul su, apeleaz la propria lui
cheie privat, denumit KBobpriv, pentru a decripta cheia K a mesajului, apoi el folosete cheia
K pentru decriptarea mesajului. Teoretic, Alice poate s transmit textul ctre Bob folosind doar
40
criptarea prin cheia public a lui Bob, apelnd doar la criptografia prin cheie public.
(exemplificat in fig. 2.4)
Fig. 2.4 Transmiterea mesajelor cu ajutorul cheilor secrete
O astfel de criptografie, dup cum sugereaz i numele din parantez, apeleaz la o singur cheie
la ambele capete ale comunicrii: emitorul i receptorul.
Emitorul sau expeditorul cripteaz textul clar cu ajutorul unei chei secrete, iar receptorul sau
destinatarul va decripta mesajul criptat folosind aceeai cheie, firesc, reuita este asigurat de
secretizarea cheii. Succesul cheilor simetrice este i mai mare dac ele se schimb mai des. Ideal
ar fi c o cheie simetric s fie folosit o singur dat.
41
Fig. 2.5 Schema de aplicare a unui algoritm simetric
Un sistem de criptare prin cheie secret are n structura sa informaie public i privat.
Informaia public, de regul, const n:
un algoritm folosit pentru criptarea textului clar n mesaj criptat;
posibil, un exemplar al textului clar i textului criptat corespunztor;
posibil, o variant criptat a textului clar care a fost aleas de ctre un receptor neintenionat.
Informaiile private sunt:
cheia sau variabila de criptare;
o anumit transformare criptografic dintr-o mulime de transformri posibile.
Succesul sistemului se bazeaz pe dimensiunea cheii. Dac ea are mai mult de 128 bii
este una destul de sigur, ceea ce nseamn siguran n exploatare. Ea se adaug rapiditii cu
care se efectueaz criptarea i volumului mare de date asupra crora poate opera. Iat trei
caracteristici eseniale ale sistemelor bazate pe chei simetrice: siguran, rapiditate, volum mare
de date criptate, ctre emitor i receptor, ceea ce nseamn c emitorul trebuie s foloseasc o
palet larg de chei pentru o mare diversitate a utilizatorilor. Cel mai cunoscut sistem bazat pe
chei simetrice este Data Encryption Standard (DES), dezvoltat din sistemul criptografic Lucifer
al firmei IBM.
42
- tiind un bloc de bii ai textului criptat i cheia de criptare/decriptare, sistemul s poat
genera rapid un bloc al textului n clar;
- tiind blocurile textului n clar i ale textului criptat, sistemului s-i fie dificil s genereze
cheia.
Acest tip de algoritmi este foarte folosit n criptografia modern; de aceea n acest capitol
vom prezenta civa algoritmi care au fcut carier, dup prezentarea modurilor criptografice
care stau la baza funcionrii algoritmilor de tip bloc.
Algoritmul DES
Algoritmul DES (Data Encryption Standard) a fost dezvoltat pentru guvernul Statelor
Unite i pentru folosin public. El a fost dezvoltat plecnd de la algoritmul Lucifer conceput
n Laboratoarele IBM.
DES a fost oficial adoptat ca standard federal n 23 noiembrie 1976, iar n 1977
specificaiile sale au fost fcute publice.
43
Intrare
permutare iniial
Substituie Cheia
Permutare
Ciclul 1
Substituie Cheia
Permutare
Ciclul 2
Substituie Cheia
Permutare
Ciclul 16
Ieire
.
Fig 2.6 Detalii pentru folosirea algoritmului DES
44
La intrarea datele sunt mprite n blocuri de 64 bii, care sunt transformate folosind cheia
de 64 de bii. Cei 64 de bii sunt permutai prin permutarea iniial. n continuare, urmeaz
operaiile ce constituie un ciclu. Blocul de 64 de bii este separat n dou, jumtatea stng i
jumtatea dreapt, fiecare de 32 de bii. Cheia este deplasat la stnga cu un numr de bii i
permutat: ea se combin cu partea dreapt care apoi se combin cu partea stng; rezultatul
devine noua parte dreapt; vechea parte dreapt devine noua parte stng ( figura 2.7).
Datepermutate
Cheie
Nouajumtatea
Nouajumtatea
stng(vechea
dreapt
jumtatedreapt)
45
n fiecare ciclu practic au loc patru operaii separate. nti partea dreapt este expandat de
la 32 la 48 bii; apoi este combinat cu o form a cheii; rezultatul este substituit i condensat n
32 bii, cei 32 bii sunt permutai i apoi combinai cu partea stng pentru a da o nou parte
dreapt (figura 2.9).
D S Cheia
32 bii 32 bii 28 bii 28 bii
Permutare Deplasare Deplasare
expandat
permutare aleasa de
58 bii
48 bii
Fig 2.9 Ciclul n algoritmul DES
Bit 1 2 3 4 5 6 7 8
se mut la 2,48 3 4 5,7 6,8 9 10 11,13
Bit 9 10 11 12 13 14 15 16
se mut la 12,14 15 16 17,19 18,20 21 22 23,25
Bit 17 18 19 20 21 22 23 24
se mut la 24,26 27 28 29,31 30,32 33 34 35,37
Bit 25 26 27 28 29 30 31 32
se mut la 36,38 39 40 41,43 42,44 45 46 47,1
Tabelul 2.1. Definirea permutrii expandate n DES
46
Permutarea expandat este definit n tabelul 2.1.
Cheia este mprit cu dou pri de 28 bii deplasate la stnga cu un numr de bii apoi
reunite i 48 din cei 56 de bii sunt permutai i folosii ca o cheie de 48 de bii de-a lungul
ciclului.
Cheia dintr-un ciclu este combinat printr-o funcie sau exclusiv cu partea dreapt
expandat. Rezultatul este operat n 8 cutii-S care efectueaz substituia. O cutie-S este o
tabel n care 6 bii de date sunt nlocuii de 4 bii.
S j Dj 1 (2.1)
D j S j 1 () f ( D j 1 ,k j ) (2.2)
unde (+) este operaia sau exclusiv, f este funcia rezultat din operaiile dintr-un ciclu.
Aceste ecuaii arat c rezultatul fiecrui ciclu depinde numai de ciclul precedent.
Descriind ecuaiile pentru D j-1 i S j-1 avem :
Dj 1 S j (2.3)
i S j 1 D j () f ( D j 1 ,k j ) (2.4)
Ecuaiile (3) i (5) arat c aceleai valori pot fi obinute n cicluri ulterioare. Aceast
proprietate face algoritmul DES reversibil. Deci, pot fi facute codificarea unor date i
decodificarea lor folosind acelai algoritm, cu observaia c la decodificare cheia se ia n ordine
invers.
Datorit lungimii cheii de lucru i a operaiilor elementare pe care le folosete algoritmul,
nu se ridic probleme deosebite ntr-o implementare software; singura observaie este c, datorit
modulului de lucru (cu secvene de date, cu tabele) practic algoritmul este lent ntr-o
implementare software. Modul de concepere l face ns perfect implementabil hard (ntr-un cip)
ceea ce s-a i realizat, existnd multiple variante de maini hard de codificare.
47
Criptanaliza. Variante de DES
Triplu DES
Deoarece algoritmul DES se aplic asupra unor blocuri de 64 de bii este denumit generic
algoritm de tip ECB (Electronic Code Book). Exist de asemeni dou variante ale DES: CBC
(Chain Block Coding) i CFB (Cipher Feedback) n care fiecare pachet depinde ntr-un mod sau
altul de pachetul (pachetele) anterior criptat printr-o operaie de tip XOR. Deoarece este un
algoritm ECB, putem imagina algoritmi ce funcioneaz pe 128 sau 256 de bii ce folosesc ntr-
un mod sau altul criptarea sau decriptarea DES. Una dintre aceste modaliti de criptare des
folosit n industre este i Triple DES.
n ultimii ani, pentru a crete securitatea algoritmului DES, se folosete o alt variant a
sa denumit generic Triple-DES ce folosete dou chei, dup cum urmeaz (figura 2.10):
mesajul astfel modificat este apoi criptat din nou folosindu-se prima cheie.
48
astfel o singur criptare DES cu cheia k poate fi reprezentat ca triplu-DES-EDE cu cheile k1 =
k2 = k3 = k. Alegerea decriptrii pentru pasul al doilea nu afecteaz securitatea algoritmului.
Cel mai eficient atac asupra triplu-DES cu trei chei necesit aproximativ 232 texte clare
cunoscute, 2113 pai, 290 criptri DES individuale, i 288 locuri de stocare. Acesta este un
volum nepractic i NIST consider criptarea triplu-DES cu 3 chei utilizabil pn n 2030. Dac
atacatorul caut s descopere oricare din multiplele chei criptografice, exist un atac eficient din
punct de vedere spaial care descoper una din 228 chei, dac se dau cteva texte clare alese
pentru fiecare cheie, efectund 284 operaiuni de criptare.[f]
Aceast variant poate fi analizat folosind criptanaliza diferenial i poate fi spart cu 261
texte n clar date. Se pare c nici o modificare n planificarea cheilor nu conduce la ntrirea
semnificativ a algoritmului DES.
DESX
DESX este o variant DES dezvoltat de RSA Data Security, care a fost inclus nc din
1968 n programul de securitate pentru pot electronic MailSafe. DESX folosete o tehnic
numit albire, pentru a ascunde intrrile i ieirile DES. n plus fa de cheia DES de 56 de bii,
DESX are o cheie suplimentar de albire de 64 de bii. Aceti 64 de bii sunt operai XOR cu
textul n clar nainte de prima trecere DES. 64 de bii suplimentari, calculai ca o funcie bijectiv
de toi cei 120 de bii ai cheii DES, sunt operai XOR cu textul cifrat naintea ultimei treceri.
Albirea l face pe DESX mult mai puternic dect DES fa de un atac n for; atacul necesit
(2120)/n operaii cu n texte n clar cunoscute. De asemenea se mbuntete securitatea mpotriva
criptanalizei liniare i difereniale; atacul necesit 261 texte n clar date i 260 de texte n clar
cunoscute.
CRYPT(3)
CRYPT(3) este o variant de DES ntlnit n sistemele UNIX. Este folosit n mod
obinuit pentru parole, dar uneori i pentru criptare. Diferena ntre CRYPT(3) i DES este c
CRYPT(3) are o permutare de chei cu 212 posibiliti, astfel nct s nu permit folosirea
cipurilor DES la construcia unui dispozitiv hardware de spart parole.
DES generalizat
DES-ul generalizat (GDES) a fost proiectat s mreasc viteza DES-ului i s ntreasc
algoritmul. Mrimea total a blocului crete, n timp ce suma calculelor rmne constant.
49
GDES opereaz pe blocuri de text n clar de lungime variabil. Blocurile criptate sunt
mprite n q sub-blocuri; numrul exact depinde de mrimea total a blocului. n general q este
egal cu lungimea blocului mprit la 32.
Funcia f este calculat o dat la fiecare trecere, pe ultimul bloc din dreapta. Rezultatul este
operat XOR cu toate celelalte pri, care sunt apoi rotite spre dreapta. GDES are un numr
variabil de treceri, n. Exista o mic modificare la ultima trecere, astfel nct procesele de criptare
i decriptare difer doar prin ordinea sub-cheilor. De fapt, pentru q=2 i n=16 se obine
algoritmul DES.
Biham i Shamir arat c, folosind criptanaliza diferenial, GDES cu q=8 i n=16 este
vulnerabil cu doar ase texte n clar date. Dac se folosesc i sub-chei independente, sunt
necesare 16 texte n clar date. Pentru q=8 i n=64, GDES e mai slab dect DES; sunt necesare 249
texte n clar date pentru a-l sparge. De fapt, orice schem GDES este mai rapid dect DES, dar
este de asemenea mai puin sigur.
RDES
RDES este o variant care nlocuiete schimbarea stnga-dreapta de la sfritul fiecrei
treceri cu o schimbare dependent de cheie. Schimbrile sunt fixe, depinznd doar de cheie.
Aceasta nseamn c cele 15 schimbri dependente de cheie se petrec cu 215 posibiliti i
c aceast variant nu rezist la criptanaliza diferenial.
O idee mai bun este ca schimbarea s aib loc doar n partea dreapt, la nceputul fiecrei
treceri, iar schimbarea s depind de datele de intrare i nu de cheie. n RDES-1 se practic o
schimbare dependent de date de cuvinte pe 16 bii la nceputul fiecrei treceri. n RDES-2 exist
o schimbare de octei dependent de date la nceputul fiecrei treceri, dup o schimbare ca n
RDES-1. Se poate continua n acelai mod pn la RDES-4. RDES-1 este sigur att fa de
criptanaliza liniar ct i fa de cea diferenial.
50
uniforme (uniform nseamn c fiecare bit din State irul de bii preluai de algoritm, sau irul
de bii ca rezultat intermediar al prelucrrilor este tratat n mod similar) i inversabile,
transformri numite straturi (layers) , conform prezentarii din figura 2.11..
- Stratul aplicrii cheii (The key addition layer): se execut xor pe bii ntre cheia dintr-o rund
(generat din cheia original a utilizatorului) i bii din State. Acest strat este realizat prin funcia
AddRoundKey. O rund este redat n figura 3.10.
Cifrul Rijndael va putea s fie implementat n realizarea chip-urilor de mare vitez,
indiferent de domeniul utilizrii, sau c un co-procesor compact pe cartelele inteligente.[g]
Proiectarea AES
51
- rezistena mpotriva tuturor atacurilor cunoscute;
- viteza i compactitatea codului pe un mare numr de platforme;
- simplicitatea proiectrii.
Ca i DES, AES folosete substituie i permutri, ca i runde multiple. Numrul de runde
depinde de mrimea cheii i de mrimea blocului, fiind 10 n cazul 128/128 i mrindu-se pn
la 14 pentru cazul 256/128. Spre deosebire de DES, toate operaiile sunt la nivel de octet, pentru
a permite implementri eficient hardware i software.
Descrierea AES
n algoritmul AES rezultatul cifrat intermediar este numit vector state, care poate fi
reprezentat ca un tabel cu patru linii i patru coloane, acestea fiind numerotate ncepnd de la 0.
Vectorul state se iniializeaz cu blocul de 128 bii de text n clar (n ordinea coloanelor, cu
primii patru octei n coloana 0) i va fi modificat la fiecare pas al calculului, prin substituii,
permutri i alte transformri, rezultnd n final blocul de 128 bii de text cifrat.
Cheia de 128 de bii este expandat n 11 tabele 4x4 notate rk(0), rk(1),...., rk(10).
Expandarea este realizat prin rotiri repetate i operaii XOR asupra unor grupuri de bii din
cheia original. nainte de a ncepe cele 10 runde, cheia rk(0) se opereaz XOR cu vectorul state.
Calculul principal const n execuia a 10 runde, folosind cheia rk(i) la iteraia i. Fiecare
rund const n patru pai.
Pasul 1 realizeaz o substituie octet cu octet asupra vectorului state folosind o cutie S.
Pasul 2 rotete la stnga fiecare din cele 4 rnduri ale vectorului state: rndul 0 este rotit cu
0 octei, rndul 1 este rotit cu 1 octet, rndul 2 este rotit cu 2 octei i rndul 3 este rotit cu 3
octei, realiznd difuzia datelor.
Pasul 3 amestec fiecare coloan din vectorul state independent de celelalte, prin
nmulirea coloanei cu o matrice constant, multiplicarea fiind realizat folosind cmpul finit
Galois GF(28).n fine, pasul 4 opereaz XOR cheia rk din runda respectiv cu vectorul state.
Deoarece fiecare pas este reversibil, decriptarea se poate realiza prin rularea algoritmului
de la coad la cap, sau prin rularea algoritmului de criptare nemodificat, dar folosind tabele
diferite.
Avantajele AES relativ la implementare sunt:
- AES se poate implementa pe un procesor Pentium Pro i va rula cu o vitez mai
mare dect orice alt cifru bloc;
- AES se poate implementa pe un dispozitiv Smart Card, folosind un spaiu redus
de memorie RAM i un numr redus de cicluri;
- transformarea din cadrul unei runde este paralel prin proiectare, ceea ce
constituie un avantaj pentru viitoarele procesoare;
- AES nu folosete operaiuni aritmetice, ci doar operaii la nivel de iruri de bii.
Simplitatea proiectrii AES:
52
- AES nu folosete componente criptografice externe, cum ar fi cutii S, bii
aleatori sau iruri de cifre din dezvoltarea numrului ;
- AES nu i bazeaz securitatea pe interaciuni obscure sau greu de neles ntre
operaiuni aritmetice;
- proiectarea clar a AES nu permite ascunderea unei trape.
- lungimea variabil a blocului
- lungimile de bloc de 192 i 256 bii permit construirea unei funcii hash iterative
folosind AES ca funcie de compresie.
Extensii
53
3. Pentru o comunicaie ntre dou pri, practica criptografic impune schimbul
cheilor frecvent, uneori chiar la fiecare sesiune, ceea ce n condiiile unui canal
nesigur de comunicaie este o alt problem.
(iii) Avantajele criptografiei cu chei publice
1. Dintre cele dou chei folosite n algoritmii cu chei publice doar una trebuie inut
secret.
2. Administrarea cheilor ntr-o reea poate fi fcut cu un singur administrator de
ncredere.
3. n general perechile de chei publice/secrete pot fi folosite pe o perioada lung de
timp fr a fi schimbate.
4. ntr-o reea de dimensiuni mari numrul de chei necesare este considerabil mai mic
dect n cazul criptografiei simetrice.
(iv) Dezavantajele criptografiei cu chei publice
1. Viteza algoritmilor cu chei publice (chiar i a celor mai performani) este de cteva
ori mai mic dect a celor cu chei secrete.
2. Dimensiunea cheilor folosite este mai mare (1024 pentru RSA n comparaie cu 64
sau 128 n cazul algorimilor de tip bloc).
3. Pentru nici un algoritm cu chei publice nu s-a demonstrat c ar fi sigur;
securitatea lor se bazeaz prezumia de dificultate a unui set de probleme de teoria
numerelor.
4. Istoria criptografiei cu chei publice este relativ scurt (din 1970) .
54
Tabelul 2.3 Algoritmi de criptare utilizai n aplicaiile din Internet
Principalii
Nr. Sistem Caracteristici
algoritmi
PCT (Private
Protocol criptare transmisii RSA
Communications
1 TCP/IP RC4
Technology)
MD5
RSA
SET (Secure Electronic
Protocol criptare transmisii de instruciuni de plat
4 MD5
prin Internet
Transaction)
RC2
RSA
Protocol criptare transmisii
5 CyberCash MD5
instruciuni de plat prin Internet
RC2
DES
8 Kerberos Securitate n reea pentru aplicaiile de nivel nalt
55
RSA
Triple DES
Specificaii
S/MIME Secure Format pentru criptarea potei electronice
10 utilizator
Multipurpose Internet Mail Extension
MD5
PGP (Pretty Good Aplicaie pentru criptarea potei electronice
11 IDEA
Privacy)
RSA
Sistemele criptografice bune trebuie s fie astfel proiectate nct s fie aproape imposibil
de spart. n practic, este realizabil o astfel de performan fr eforturi prea mari, dar teoretic
orice sistem bazat pe metode criptografice poate fi spart prin ncercri succesive ale cheilor.
Dac se face uz de fora brut pentru a ncerca toate cheile, puterea calculatoarelor necesare
crete exponenial cu lungimea cheii. O cheie de 32 de bii presupune verificarea a 232
(aproximativ 109) pai, ceea ce se poate realiza i cu un calculator aflat la domiciliu.
Un sistem cu 56 de bii pentru cheie, cum este DES, necesit un efort mult mai mare. Cu
un numr mai mare de calculatoare personale, lucrnd n sistem distribuit, n cteva luni este
spart, iar cu echipamente speciale, ntr-un timp mult mai scurt.
Se spune c toate sistemele actuale cu chei de 64 de bii sunt vulnerabile n faa multor
tipuri de organizaii. Cele cu 80 de bii par asigurate pentru civa ani, iar cele de 128 de bii sunt
invulnerabile n faa atacurilor cu for brut pentru un numr nedefinit, nc, de ani.
Fora brut. Se ncearc orice combinaii posibile, de regul, secvenial, pentru aflarea
algoritmului. Cu ct cheia este mai lung, cu att este mai dificil aflarea ei.
Text clar cunoscut. Atacatorul cunoate sau poate ghici textul clar pentru o parte din
textul criptat. Important este s decripteze restul textului folosind aceste informaii, adic s afle
cheia folosit.
Text clar ales. Atacatorul este n msur s aib orice text dorete criptat cu cheie
necunoscut. Misiunea lui este s afle cheia folosit la criptare. Se recomand a se evita punerea
la dispoziia criptanalitilor a unui text clar i a variantei criptate.
Text clar cu selecie adaptat. Este o form a textului clar ales, numai c selecia textului
clar se schimb n funcie de rezultatele anterioare.
56
Numai text criptat. Aceasta este situaia n care atacatorul nu are nici o idee asupra
coninutului mesajului i trebuie s lucreze doar cu textul criptat. n practic este deseori
posibil s se intuiasc buci din textul criptat, n special pri din antetul documentelor sau
formule de final. Multe spargeri se bazeaz pe analiza frecvenei apariiei caracterelor, dar la
sistemele actuale de criptare rezultatele sunt aproape nule.
Text criptat selectat. Se selecteaz pri din textul criptat pentru a ncerca aflarea cheii,
avnd acces la aceleai buci de text clar.
Text criptat cu selecie adaptat. O form similar celei anterioare, dar selecia
poriunilor din textul criptat pentru tentativa de decriptare va ine cont de rezultatele anterioare.
Atacul zi-de-natere. De regul, se aplic probabilitii c dou mesaje diferite
folosind aceeai funcie de dispersie s produc un rezumat comun al mesajului. Termenul zi-
de-natere provine de la faptul c, statistic vorbind, ntr-o camer cu 23 de persoane exist o
probabilitate mai mare de 50% c dou persoane s aib aceeai zi de natere.
ntlnire-la-mijloc. Se aplic schemelor cu dubl criptare, prin criptarea unui text clar
cunoscut de la un anumit capt cu fiecare cheie, K, posibil i compararea rezultatului cu ceea ce
se obine la-mijlocul-textului prin decriptarea textului criptat, folosind orice cheie, K, posibil.
Om-la-mijloc. Un atacator care va exploata avantajul oferit de sistemul de lucru al celor
mai multe reele memoreaz i d mai departe va intercepta mesajele i versiunile modificate
ale mesajului original n timp ce se afl ntre dou pri n ateptarea comunicaiilor securizate.
Criptanaliza diferenial. Se aplic sistemelor criptografice bazate pe chei private, prin
urmrirea unei perechi de texte criptate care au fost obinute prin criptarea aceleiai perechi, dar
de text clar, cu diferenele de rigoare, iar din analiza acestora se ncearc a se afla sistemul de
criptare.
Criptanaliza liniar. Folosindu-se perechi de text clar cunoscut i textele criptate
corespunztoare, se ncearc aproximarea liniar a unei pri din cheie.
Criptanaliza diferenial liniar. Se folosesc cele dou metode descrise anterior.
Factorizarea. Se folosesc metode matematice pentru determinarea factorilor primi ai
numerelor mari.
Statistica. Se exploateaz slbiciunile funciilor de randomizare folosite la generarea
cheilor.
Atac mpotriva sau folosind anumite echipamente. n ultimii ani, au aprut tot mai multe
echipamente mobile de criptare i, odat cu ele, o nou categorie de atacuri ndreptate asupra
acestora. De regul, atacurile se bazeaz pe culegerea datelor rezultate din jurul echipamentelor
de criptat (c, de exemplu, radiaiile). Erori n sistemele de criptare. Uneori, existena unor erori
n sistemul de criptare poate s-i conduc pe criptanaliti la descoperirea cheilor de criptare.
Calculatoare cuantice. Calculatoarele pe baz de cuante se afl n atenia multor
cercettori, deoarece ele vor fi mult mai puternice dect actualele calculatoare seriale. Puterea se
obine prin paralelismul inerent al mecanicii cuantice. Aa c, n loc s se efectueze sarcinile cte
una pe unitate de timp, cum funcioneaz sistemele seriale, calculatoarele pe baz de cuante le
efectueaz simultan. Deocamdat, s-au realizat doar calculatoare mici, dar cnd se vor realiza
57
sisteme foarte mari actualii algoritmi de criptare vor fi ntr-un real pericol. n acelai timp,
optimitii vd partea frumoas a lucrurilor: sistemele de criptare vor fi mult mai performante,
dispunnd de astfel de calculatoare. Deja, teoretic, s-au realizat sisteme de criptare ntr-un astfel
de mediu.
Calculatoare bazate pe molecule DNA. Leonard Adleman, unul dintre inventatorii
sistemului de criptare RSA, a venit cu ideea folosirii DNA drept calculatoare. Moleculele de
DNA pot fi vzute c i calculatoare paralele foarte puternice. Practic, ideea este, deocamdat,
greu realizabil. Dac vor deveni realitate discuiile sunt aceleai c i la calculatoarele cuantice.
n practic, sunt multe alte tipuri de atacuri i tehnici de criptanaliz. Se consider c descrierile
anterioare ar fi suficiente pentru proiectanii sistemelor criptografice dac ar ine cont de ele n
totalitate, ceea ce este aproape imposibil.
58
3. Securitatea tranzaciilor de date
n comerul electronic
Comerul electronic este un concept integrat, creat pentru a unifica o mare varietate de servicii n
domeniul afacerilor, plecnd de la pota electronic transmis ntre diferite organizaii, registre
de adrese, sisteme electronice pentru efectuarea de pli la distan, informaii de ordin
managerial, rapoarte statistice etc.
Termenul mai larg de afaceri electronice (Electronic Business) desemneaz mulimea afacerilor
asistate i bazate pe telecomunicaii i informatic. n acest context, comerul electronic
(Electronic Commerce sau e-commerce) este definit ca mulimea activitilor de
18
1. Cumprturile majore. Constau din acel tip de procese practicat de (mari) firme atunci
cnd urmresc achiziii majore. Sunt bazate pe o succesiune de faze. n multe cazuri din
lumea real, aceste faze pot fi rapid identificate, ns n altele, unele dintre ele pot s
lipseasc sau presupun i alte secvene.
Faza precontractual: Cumprtorul caut informaii despre vnztorii de bunuri
i serviciile pe care i le doresc i despre preuri, faciliti, termene i condiii
aplicabile n cazul cumprrii. Vnztorul caut informaii prospective despre
potenialii cumprtori ai bunurilor i serviciilor de care dispune. Aceasta este o
zona comun cu tiina marketingului, incluznd i reclama comercial.
Faza contractual: Pe parcursul acestei faze se stabilete o relaie formal ntre
cumprtor i vnztor, se includ termeni i condiii ce vor fi aplicate n
tranzacie, prin ncheierea unui contract.
Faza realizrii comenzii: Implic procesarea ordinelor de cumprare (n termeni
contractuali: oferta) i a rspunsurilor la acestea din partea vnztorului, care se
pregtete pentru livrare (n termeni contractuali acceptarea). Unele tranzacii pot
implica amendamente la ordinele de cumprare, renegocieri i anulri.
Faza logistic: n aceast faz a afacerii se livreaz bunurile sau se realizeaz
serviciile. n plus, pot fi implicate unele servicii post-livrare, cum ar fi inspecii
sau returnri.
Faza de achitare: n timpul acestei faze, bunul sau serviciul este pltit.
Tranzaciile relevante includ autorizri pentru efectuarea plii, plata i un rspuns
pentru confirmarea efecturii tranzaciei. Particulariti ntlnim n cazul
contractelor ce impun pli pariale, ce se succed la perioade definite de timp.
Asociat la aceast faz este instituia financiar a cumprtorului, pentru
confirmarea tranzaciei ce afecteaz contul su i pentru stabilirea tranzaciei i a
balanei.
Faza post-proces: Dup ce afacerea de baz a fost terminat, sunt necesare un
numr de activiti adiionale. Cea mai ntlnit este colectarea i raportarea
informaiilor manageriale. n unele cazuri, poate exista obligaia de a memora i
raporta aceste statistici la o asociaie industrial sau o autoritate statistic
naional. Adiional, vnzarea unui bun sau serviciu poate crea o relaie ntre
vnztor i cumprtor prin, service ntreinere, aducere la zi (upgrade) i,
eventual, nlocuirea cu un alt bun sau serviciu.
19
Acest model, compus din ase faze, are avantajul de a asigura procurarea raional i efectiv a
bunurilor i serviciilor importante. Modelul este abstract i necesit specializare atunci cnd se
dorete s fie aplicat ntr-o situaie particular.
2. Cumprturile spontane (directe). O mare parte din achiziiile efectuate de firme sau
persoane, implicnd sume relativ mici de bani, ce nu ofer pericolul plii unui pre prea
mare sau al cumprrii unui bun impropriu calitativ, poart denumirea de procurare
spontan de bunuri i servicii. Aceste cumprturi sunt practicate n general intuitiv sau
spontan, cu un minimum de decizii raionale.
Prin termenul de articole tranzacionate se neleg entitile vndute i cumprate. Ele sunt un
determinant major al formei mecanismului de tranzacionare. Articolele tranzacionate pot fi
clasificate avnd n vedere urmtoarele criterii:
Bunuri sau servicii: Bunul este o entitate ce poate fi identificat fizic i poate fi livrat, pe
cnd serviciul este o aciune ce poate fi ntreprins;
Articole tranzacionate digital sau fizic: Un articol digital este acela ce poate fi livrat
printr-o reea de telecomunicaii (de exemplu Internet). Pe de alt parte, livrarea unui
articol fizic implic activiti logistice, cum ar fi transportul bunului, sau faciliti, acolo
unde trebuie realizat serviciul.
Rangul de productivitate al articolelor tranzacionate: este important s distingem
articolele tranzacionate prin modul n care sunt produse. Un produs este o ofert a unui
vnztor, care poate fi comandat simplu sau printr-un identificator de produs.
Printr-o analiz a comerului, inclusiv cel electronic, se pot identifica urmtoarele patru categorii
de produse tranzacionate:
20
4. Produse configurabile: Exist multe cazuri n care produsele de baz sau specificaiile
standard trebuie modificate pentru a fi n acord cu nevoile unui anumit cumprtor.
Se obin astfel produse semispecializate. Configuraiile care pot fi realizate includ:
opiuni asupra produsului: culoare, dimensiune;
extensii opionale;
parametrizri;
specializri;
modificri opionale;
servicii suplimentare.
Conceptul EDI (Electronic Data Interchange) schimbul de date electronice, este uor de neles
ca un nlocuitor al ordinelor de plat bazate pe hrtie cu echivalentul lor electronic. n realitate
este un termen mult mai cuprinztor, impactul EDI asupra e-commerce-ului fiind foarte mare.
EDI ofer perspectiva unei comunicri uoare i ieftine a informaiei ntre firme i organizaii.
21
Altfel definit, EDI reprezint schimbul de documente n form electronic standardizat, ntre
firme i organizaii, ntr-o manier automatizat, direct de la o aplicaie pe calculatorul unei
organizaii/firme la o alt aplicaie pe calculatorul altei organizaii/firme (fig. 3.1)
EDI poate fi comparat prin difereniere cu pota electronic. Pota electronic cuprinde formate
libere, mesaje textuale care s fie transmise electronic de la o persoan la alta. n schimb, EDI
accept mesaje de afaceri structurate, care pot s gseasc sub diferite forme predefinite: copii
hard, forme preimprimate sau documente de afaceri, care sunt transmise electronic ntre aplicaii
de calculator.
un mediu de transmisie electronic (o reea local sau Internet), care este preferat
pentru a trimite depozite fizice de informaii;
o baz de mesaje formatate, structurate n acord cu standardele; aceste mesaje pot fi
translatate, interpretate i parcurse n conformitate cu nite reguli explicite;
o livrare rapid a documentelor electronice de la emitor la receptor;
o comunicare direct ntre aplicaii i nu ntre persoane.
22
Comunicaia ntre sisteme interconectate trebuie s adere la una sau mai multe politici de
securitate.Fiecare colecie de sisteme interconectate are o politic de securitate, care poate s fie
nul sau s aib un set extins de reguli pentru controlarea condiiilor de comunicaie. Politicile,
sistemele i mecanismele de securitate specific servicii de securitate i implementare.
23
Politica de securitate const n stabilirea ameninrilor care trebuie eliminate i care rmn, care
resurse trebuie protejate i la ce nivel, cu ce mijloace poate fi implementat securitatea, care este
preul msurilor de securitate.[5]
Dup stabilirea politicii de securitate se selecteaz serviciile de securitate. Acestea sunt funcii
individuale care contribuie la creterea securitii sistemului. Fiecare serviciu de securitate poate
fi implementat prin diferite metode, numite mecanisme de securitate (tehnici de securitate).
n documentele ISO, sunt specificate urmtoarele tipuri de servicii de securitate care pot apare
ntr-un sistem distribuit:
24
25
1. clasa D protecie minim acele sisteme care au fost evaluate, dar au renunat s
introduc echipamente pentru un nivel de securitate mai nalt;
2. clasa C1 protecie discreionar acele sisteme care introduc control exact de ct
au nevoie i susin separarea utilizatorilor de date;
26
Pentru furnizarea unor servicii care s asigure cerinele de securitate prezentate au fost propuse
mai multe protocoale criptografice. Dac majoritatea acestor protocoale sunt similare n ceea ce
privete serviciile oferite i algoritmii criptografici folosii, ele difer prin maniera de furnizare a
serviciilor i prin situarea lor n raport cu ierarhia de protocoale TCP/IP. O serie de iniiative
ncearc implementarea securitii la nivelul IP; altele peste TCP, la nivel sesiune; altele ncearc
extinderea unor protocoale la nivel aplicaie (Ftp, HTTP, Telnet, e-mail) cu faciliti
suplimentare de securitate. De asemenea, o serie de iniiative propun soluii de securizare a
coninutului unor documente, independent i mai presus de protocoalele existente la nivel de
aplicaie, prin intermediul unor utilitare separate (figura 2.3).
27
ncepnd cu anul 1993 s-au fcut eforturi pentru dezvoltarea unei arhitecturi de securitate la nivel
IP, care s furnizeze protecia criptografic a traficului n reea. Internetul poate fi defenit ca o
reea de reele, care utilizeaz suita de protocoale TCP/IP. Din 1982, cel mai folosit protocol
Internet a fost IPv4. n momentul de fa se lucreaz la noua generaie de protocoale IP, numite
i IPv6 sau IPng (Internet Protocol New Generation). Principiul de lucru al acestei familii de
protocoale este simplu: datele sunt trimise sub forma unor blocuri de caractere, numite
datagrame sau pachete. Fiecare pachet este prefaat de un mic ansamblu de octei, numit header
(antet), urmat de datele propriu-zise, ce formeaz coninutul pachetului. Dup sosirea la
destinaie, datele transmise sub form de pachete distincte sunt reasamblate n uniti logice de
tip fiier, mesaj etc. Internetul comut pachetele pe diferite rute de la surs la destinaie,
numindu-se de aceea reea cu comutare de pachete. Dezvoltrile privind securitatea IP, n special
n cazul noului IPv6, includ dou mecanisme care furnizeaz aceste servicii:
Antetul de autentificare (Authentication Header-AH), care realizeaz
autentificarea i controlul integritii pachetelor, folosind algoritmul de hash
MD5.
ncapsularea criptografic (Encapsulated Security Payload-ESP, care realizeaz
asigurarea confidenialitii pachetelor, folosind algoritmul DES.
Evident, cel mai folosit protocol la acest nivel este SSL (Secure Sockets Layer), introdus de
Netscape n anul 1994. n 1995, Microsoft a introdus i un protocol numit PCT (Private
Communication Technology), n multe privine similar cu SSL i complet interoperabil cu
acesta.
28
SSL ofer servicii de securitate chiar deasupra nivelului TCP, folosind o combinaie de
criptosisteme cu chei publice i simetrice, care asigur implementarea confidenialitii,
integritii datelor i a autentificrii serverului i /sau a clientului. Autentificarea clientului
presupune ca fiecare dintre acetia s posede o pereche de chei criptografice: una public i alta
secret. Deoarece suportul pentru SSL este la ora actual integrat n Netscape Navigator i n
Microsoft Internet Explorer, cele mai folosite navigatoare (browser-e) n Internet, cerinele de
autentificare a clienilor implic necesitatea distribuirii certificatelor de chei publice ale tuturor
utilizatorilor de astfel de navigatoare de pe Internet. Deoarece numrul serverelor pe Internet este
mult mai mic dect cel al clienilor, este mult mai practic s se echipeze serverele cu
mecanismele criptografice cu chei publice pentru gestiunea semnturilor digitale i distribuia
cheilor. Se observ n ultimul timp o cretere a folosirii autentificrii clienilor n versiunile
Netscape, dar i n cadrul altor implementri SSL, ale altor furnizori de servere i browser-e
Web.[6]
Protocolul SSL include dou sub-protocoale:
1. Protocolul SSL record care definete formatul utilizat pentru transmiterea
datelor.
2. Protocolul SSL handshake care implic utilizarea protocolului SSL record
pentru a schimba o serie de mesaje dintre serverul SSL i clientul SSL n
vederea stabilirii conexiunii iniiale. Acest schimb de mesaje are ca scop
urmtoarele aciuni:
a. Autentificarea serverului ctre client
b. Stabilirea de ctre server i client a algoritmilor criptografici pe care
ambele pri i suport
c. Opional autentificarea clientului de ctre server
d. Utilizarea tehnicilor de criptare cu chei publice pentru a genera cheile
de sesiune
e. Stabilirea unei conexiuni SSL criptate
TCP
IP
Fig.3.3 Stiva de protocol SSL
29
SSL folosete sisteme bazate pe chei publice pentru a schimba cheia de sesiune. O dat obinut
o cheie de sesiune, se poate folosi o varietate de algoritmi cu cheie secret. Securitatea
conexiunii realizat de SSL are urmtoarele proprieti:
conexiunea este privat: cifrarea este prefaat de protocolul de iniiere (hand-
shake), care are rolul de a stabili o cheie simetric de sesiune;
autentificare folosete sisteme criptografice asimetrice;
conexiunea este sigur: transportul mesajelor include verificarea integritii,
folosind funcii de semntur digital cu chei publice (RSA, DSA, ) i funcii
de rezumare-hash (MD5, SHA, ).
Deoarece cel mai serios impediment n dezvoltarea comerului electronic i n special a celui pe
Internet l constituie securitatea, ultimii ani au fost martorii unor numeroase propuneri privind
securizarea comunicaiilor de date n Internet. Este ns greu de prezis care va fi viitorul n acest
domeniu. n plus fa de cerinele de securitate, trebuie avut n vedere i utilizabilitatea
sistemelor i a programelor create, adic posibilitatea de a fi folosite de persoane cu pregtire
medie, fr eforturi deosebite de adaptare. De asemenea, pentru a folosi sistemele criptografice
30
cu chei publice n toat lumea, este necesar s se creeze un sistem eficient i total transparent
pentru utilizator de regsire i distribuire a cheilor i o infrastructur de certificare. Exist un
grup de lucru al IETF Public Key Infrastructure Working Group (PKIX) dedicat tocmai
studierii posibilitilor de realizare a unei astfel de infrastructuri globale de certificare a cheilor
publice. De asemenea, unele ri (n special SUA) trebuie s renune la barierele privind exportul
produselor criptografice. Cert este acum c asistm la o rspndire deosebit a utilizrii
protocoalelor SSL i S-HTTP, precum i a sistemelor de pli electronice compatibile SET.[d]
BRD-NET, serviciul tranzacional care va permite sa efectuai operaiuni bancare 24h/24, 7 zile
din 7 din orice locaie din lume, prin intermediul unui calculator conectat la Internet. Serviciul
BRD-Net va permite:
Securitatea informaiilor
Accesul pe site este protejat prin Codul de Utilizator si Parola pe care le introducei n ecranul
intitulat "Identificare" (introducerea acestor date se efectueaza n protocol securizat).(fig 3.4).
Codul de Utilizator si Parola sunt indispensabile utililizrii serviciului de Internet Banking si
trebuie sa fie cunoscute numai decvatre utilizator. Vor fi utilizate ori de cate ori se va face
conectarea la contul / conturile respective in vederea consultarii soldurilor sau efectuarii de
viramente.
BRD-Net prevede 80 conexiuni ce pot fi efectuate cu aceeasi Parola. Dupa atingerea acestei
limite, este recomandata schimbarea Parolei prin intermediul site-ului tranzacional accesand
pagina: "Schimbare Parola"
2. Tastatura virtuala
Este o fereastra noua ce apare pe ecran sub forma unei tastaturi cu caractere numerice, utilizat
pentru introducere parolei, nlocuind astfel tastatura standard. Tastatura virtuala va aparea pe
ecran de fiecare data cand vi se solicita introducerea parolei (Login sau confirmare transferuri).
31
Rolul acesteia este de a preveni interceptarea parolei dumneavoastra prin intermediul unor virui
ce pot copia datele introduse de la tastaura standard.
Pentru criptarea datelor transmise ntre BRD - Groupe Socit Gnrale i utilizatorii BRD-Net
folosim protocolul de securitate SSL 128biti. SSL 128 este in prezent cel mai puternic standard
de securitate, care asigura confidenialitatea i integritatea datelor vehiculate prin Internet.
4. Schimbare Parol
Aceasta funcie este luata n considerare n opiunile de securitate ale serviciului. Ea va permite
s v schimbai ori de cte ori dorii Parola, din motive de securitate. Datele care va sunt
solicitate se refera la introducerea Parolei actuale, a noii Parole i confirmarea noii Parole.
Schimbarea Parolei intra n vigoare imediat, parola fiind introdusa doar prin intermediul
tastaturii virtuale .(figura 3.5)
32
5. Sfarsit sesiune
Prin click pe aceasta functie se va reveni la prima pagina (home page) a BRD-Net. Pentru a
accesa paginile securizate trebuie sa se realizeze o identificare din nou pe baza Codului de
Utilizator i a Parolei
33