Referat stiintific

3 mai 2010

Universitatea din Craiova, Facultatea de Matematica˘ si Informatica˘ , Master II,2009-

2010
Titlu Proiect
Sisteme criptografice hibride

Coordonator Stiintific
Lector Univ.Dr. N. Constantinescu

Student

Bar (Petrescu) Mary

Cuprins

I Introducere 1

1 Generalitati 3
1.1 Despre securitatea informationala . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2 Sisteme criptografice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3 Scopul de baza al criptografiei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3.1 Algoritmi criptografici cu cheie secreta(simetrici) . . . . . . . . . . . . . . . . . . . 6
1.3.2 Algoritmi criptografici cu chei publice(asimetrice) . . . . . . . . . . . . . . . . . . . 7
1.3.3 Functii dispersive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.3.4 Semnatura digitala . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

II Descriere 11

2 Definirea conceptului si aplicabilitate 13

2.1 Realizarea eficienta a sistemelor criptografice . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.1.1 Definirea infrastructurii sistemelor criptografice hibride . . . . . . . . . . . . . . . 13
2.1.2 Domeniile cu necesitati de securitate . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.2 Solutii tehnice existente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.2.1 Securitatea serviciului e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.2.2 Securitatea comertului electronic(e-commerce) . . . . . . . . . . . . . . . . . . . . 15
2.2.3 Retele virtuale private(VPNs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.3 Elaborarea sistemului criptografic hibrid de transfer instant de fisiere si mesaje . . . . . . 16

III Concluzii 19

3 Tendinte in lume 21
iv CUPRINS
 Partea I

Introducere
Capitolul 1

Generalitati

1.1 Despre securitatea informationala

Societatea umana cunoaste in momentul de fata una din cele mai profunde transformari din intreaga
ei existenta si anume transferarea activitilor obisnuite in alt spatiu, asa numitul Cyberspace, care
inlatura frontierele, notiunea de distanta si aduce flexibilitate ,rapiditate si eficienta.
Astazi putem vorbi de accesul la distanta a resurselor informationale,de contracte încheiate între
persoane care nu se cunosc fata in fata, sisteme electronice de plati , sisteme de transfer de fonduri
si de comert electronic prin retele etc. Toate aceste servicii si inca alte sute de acest fel, au inceput sa
fie o realitate a celui mai mare si mai impresionant mediu de comunicatii intre oameni care a devenit
Internet-ul.
Internetul este o structura complexa de retele de calculatoare , la care se pot conecta un numar
mare si uneori necontrolat de calculatoare. Complexitatea arhitecturala si distributia topologica˘ a
retelelor conduc la o marire necontrolata˘ a multimii utilizatorilor cu acces nemijlocit la resursele
baze de date, rutere etc. de aceea putem vorbi de o vulnerabilitate a retelelor ce se manifesta˘ pe
variate
planuri.
De aceea un aspect crucial al retelelor de calculatoare, in special al comunicatilor pe Internet, il con-
stituie securitatea informatiilor. Apare deci necesitatea identificarii utilizatorilor situati la mari distante
si de asemenea nevoia de securitate si de autenticitate, la toate nivelele arhitecturale ale retelelor.
La nivel inalt, utilizatorii vor sa se asigure ca posta electronica, de exemplu, soseste chiar de la
persoana care pretinde a fi expeditorul. Uneori utilizatorii, mai ales cand actioneaza in numele unor
firme, doresc asigurarea caracterului confidential al mesajelor transmise.
In tranzactiile financiare, alaturi de autenticitate si confidentialitate, un loc de mare importanta il
are si integritatea mesajelor, ceea ce inseamna ca mesajul receptionat nu a fost alterat in timpul
tranzitiei
retelei - fisiere,
4 1. Generalitati

fie nu numai autentica, cu continut nemodificat, dar sa nu existe posibilitatea ca expeditorul sa nu o

mai recunoasca, adica sa se respecte proprietatea de nerepudiere.
Din problemele mentionate de asigurare a securitatii informatiei se poate de evidentiat si problema
de transfer instant de fisiere si mesaje in sisteme distribuite de informatii cu asigurarea securitatii.
In scopul rezolvarii acestei probleme in lucrarea data se analizeaza sistemele criptografice existente
si se propune un sistem criptografic hibrid care creaza canale criptografiate de comunicatie si imple-
menteaza o infrastructura locala(autonoma) de certificate digitale necesare protocolului de
autentificare a entitatilor si schimbului cheilor de criptare.

1.2 Sisteme criptografice

Criptografia este un set de standarde si protocoale pentru codificarea datelor si mesajelor, astfel
incat acestea sa poata fi stocate si transmise mai sigur. Ea sta la baza multor servicii si mecanisme de
securi- tate folosite in INTERNET, folosind metode matematice pentru transformarea datelor, in
intentia de a ascunde continutul lor sau de a le proteja impotriva modificarii.
Criptografia va ajuta sa aveti comunicatii mai sigure, chiar si atunci cand mediul de transmitere (de
exemplu, Internetul) nu este de incredere.
De asemenea, se poate utiliza pentru criptarea fisierelor sensibile, astfel ca probabilitatea de a fi
intelese de intrusi sa fie mai mica si poate fi utilizata pentru a contribui la asigurarea integritatii
datelor, precum si la mentinerea lor ca secrete. Criptografia va ajuta sa verificati originea datelor si a
mesajelor prin utilizarea semnaturilor digitale si a certificatelor.
Cand utilizati metode criptografice, cheile criptografice trebuie sa ramana secrete. Algoritmii, di-
mensiunea cheilor si formatele de fisiere pot fi facute publice fara a compromite securitatea.

1.3 Scopul de baza al criptografiei

baze de date, rutere etc. de aceea putem vorbi de o vulnerabilitate a retelelor ce se manifesta˘ pe
variate
planuri.
De aceea un aspect crucial al retelelor de calculatoare, in special al comunicatilor pe Internet, il con-
stituie securitatea informatiilor. Apare deci necesitatea identificarii utilizatorilor situati la mari distante
si de asemenea nevoia de securitate si de autenticitate, la toate nivelele arhitecturale ale retelelor.
La nivel inalt, utilizatorii vor sa se asigure ca posta electronica, de exemplu, soseste chiar de la
persoana care pretinde a fi expeditorul. Uneori utilizatorii, mai ales cand actioneaza in numele unor
firme, doresc asigurarea caracterului confidential al mesajelor transmise.
In tranzactiile financiare, alaturi de autenticitate si confidentialitate, un loc de mare importanta il
are si integritatea mesajelor, ceea ce inseamna ca mesajul receptionat nu a fost alterat in timpul
tranzitiei
Din cele expuse mai sus se poate de evidentiat urmatoarele cerinte fata de criptografia moderna:

1. Confidentialitate - asigurarea ca nimeni nu poate citi mesajul cu exceptia destinatarului;

2. Integritatea datelor - realizeaza protejarea datelor la alterare sau manipularea de catre persoane
neautorizate. Prin manipularea datelor întelegem procese cum ar fi insertii,intarzieri sau substi-
tuiri;

3. Autentificarea - presupune posibilitatea de identificare a sursei informatiei si a entitatii (o per-

soana, un terminal de computer, o carte de credit);

4. Non-repudierea - care previne negarea unor angajamente sau actiuni anterioare.

1. Generalitati 5

Deci criptografia trebuie sa acopere in mod corespunzator aceste patru directii atat in teorie cat si in
practica. Ea trebuie sa previna si sa detecteze furtul si alte actiuni ilegale, fiind doar una din tehnicile
de asigurare a securitatii informatiei.
Exista doua tipuri de sisteme criptografice: o simetrice (cu cheie secreta) care folosesc aceeasi cheie,
atat la cifrarea cat si la descifrarea mesajelor; o asimetrice (cu chei publice) care folosesc chei distincte de
cifrare si descifrare (dar legate una de alta). Din punct de vedere algoritmic si al domeniului de aplicare
criptografia poate fi divizata in patru primitive criptografice:

• algoritmi criptografici cu cheie secreta;

• algoritmi criptografici cu chei publice;

• semnatura digitala;

• functii dispersive.

Pentru a crea un sistem criptografic care va rezolva problemele securitatii informationale sigur si
eficient este nevoie de folosit primitivele criptografice în grup dupa cerinte.
Un sistem criptografic (criptosistem) este compus din:

• M-text clar;

• C-text cifrat;

• doua functii inverse E() si D();

• un algoritm care produce cheile Ke si Kd astfel incat M=DK d (C) si C=EK e

(M). Grafic functionarea unui sistem criptografic se poate de reprezentat astfel:

6 1. Generalitati

1.3.1 Algoritmi criptografici cu cheie secreta(simetrici)

Pentru asigurarea confidentialitatii datelor memorate in calculatoare sau transmise prin retele se
folosesc preponderent algoritmi criptografici cu cheie secreta (simetrici). Ei se caracterizeaza prin aceea
ca ambii utilizatori ai algoritmului impart aceeasi cheie secreta, folosita atat la cifrare cat si la
descifrare.
Cheia de criptare este necesar de pastrat in secret fata de utilizatorii neautorizati, pentru ca cel ce
are acces la aceasta cheie poate avea acces si la informatia secreta.
Algoritmii criptografici simetrici se caracterizeaza printr-o viteza de cifrare foarte mare, in compara-
tie cu algoritmii criptografici asimetrici si sunt comozi la cifrarea blocurilor mari de informatie.
Securitatea acestui tip de algoritm depinde in mare masura de lungimea cheii si posibilitatea de a o
pastra in secret. Problema principala ce apare la incercarea de a crea comunicatii secrete intre numerosi
utilizatori este manegementul cheilor; pentru n utilizatori sunt posibile n(n-1)/2 legaturi bidirectionale,
fiind necesare tot atatea chei.
Aceasta implica in general probleme dificile in generarea, distributia si memorarea cheilor.
Utilizarea calculatoarelor electronice a permis folosirea unor chei de dimensiuni mai mari,
sporindu-
se astfel rezistenta la atacuri criptoanalitice. Cand cheia secreta are o dimeniune convenabila si este
suficient de frecvent schimbata, devine practic imposibila spargerea cifrului, chiar daca se cunoaste
algoritmul de cifrare.
Securitatea criptarii simetrice depinde mult de protectia cheii
criptografice. Ca urmare, administrarea acestora este un factor esential si se
refera la:

• generarea cheilor, adica mijloacele (pseudo)aleatoare de creare a succesiunii de octeti (biti) ai cheii;

• distributia cheilor, adica modul in care se transmit si se fac cunoscute cheile tuturor utilizatorilor
cu drept de acces la informatiile criptate;

• memorarea cheilor, adica stocarea lor sigura pe un suport magnetic sau pe un card, de obicei
criptate sub o alta cheie de cifrare a cheilor, numita si cheie master.

Problema fundamentala a utilizarii criptografiei in retele este aceea a gasirii unor modalitati de dis-
tributie sigura si periodica a cheilor criptografice, fiind necesar ca acestea sa fie schimbate cat mai des.
In Internet, pentru aceasta, se utilizeaza tot serviciile retelei, folosind protocoale speciale sau sisteme
cu chei publice, asa numitele anvelope (plicuri) digitale.
Cei mai cunoscuti algoritmi criptografici simetrici sunt:

• cifruri bloc;
– DES (Data Encryption Standard), Triple DES;

– IDEA (International Data Encryption Algorithm)

– AES(Advanced Encryption Standard)

1. Generalitati 7

• cifruri secventiale;

– RC4

1.3.2 Algoritmi criptografici cu chei publice(asimetrice)

O noua privire asupra sistemelor criptografice a adus-o algoritmii criptografici asimetrici(cu chei pub-
lice). Acesti algoritmi se caracterizeaza prin aceea, ca la criptare si decriptare se folosesc chei diferite,
legate intre ele printr-o relatie matematica.
Acest tip de relatie este de o asa natura, ca cunoscand o cheie sa o determini pe cealalta, din punct
de vedere computational, este foarte greu.
Astfel daca criptam cu prima cheie vom putea decripta doar cu cea de a doua si invers. In acest fel
pentru transmitere de informatii secrete una dintre chei(de exemplu cea de criptare) se poate sa fie
facut publica, pe cand cealalta sa fie tinuta in secret.
Daca avem cheia de descifrare publica, atunci pe baza acestui sistem se poate sa fie creat un sistem
de autentificare.
Din cele expuse aici se pot evidentia doua directii de utilizare a criptosistemelor asimetrice:

• de confidentialitate, se face publica cheia publica si astfel cel care doreste sa trimita date confiden-
tiale proprietarului cheii publice va cripta aceste date cu aceasta cheie, stiind ca doar proprietarul
le va putea decripta;

• de autentificare atat a emitatorului cat si a datelor, emitatorul cripteaza datele cu cheia sa secreta,
iar cel ce va dori sa autentifice datele va folosi la decriptare cheia pereche(cea facuta publica);

Chiar daca criptosistemul asimetric este destul de puternic, vom avea nevoie ca lungimea cheii sa
fie de minimum 2304 biti pentru a oferi un nivel de securitate comparabil cu cel oferit de o cheie
de 128 biti in criptosistemul simetric.

Criptosistemele asimetrice sunt cu mult mai lente la criptare/decriptare si sunt nepractice la

criptarea volumelor mari de informatii.

Criptosistemele simetrice sunt de aproximativ 1000 de ori mai rapide ca cele asimetrice, de aceea
criptosistemele asimetrice cel mai des se folosesc in urmatoarele scopuri de baza:

• la distributia cheilor, care se folosesc la algoritmii simetrici de criptare

• semnatura digitala, un atribut al unui utilizator, folosita pentru recunoasterea

acestuia. Cele mai intrebuintate criptosisteme asimetrice sunt urmatoarele:

• RSA(Rivest-Shamir-Adleman)

• EG(El Gamal)
8 1. Generalitati

• ECC(Elliptical Curve Cryptography)

1.3.3 Functii dispersive

Fuctia dispersiva se aplica unui mesaj de oarecare lungime M si intoarce o valoare de lungime fixa h:
h=H(M), unde h are lungimea m.
Exista multe astfel de functii, dar functiile dispersive mai au unele proprietati suplimentare, care le
fac unidirectionale:

• stiind M este usor de calculat h;

• stiind H si h este greu de calculat M, pentru care H(M)=h

• stiind M, este greu de gasit alt mesaj M1 pentru care H(M)=H(M1)

Functiile de dispersie (hash functii) joaca un rol important in autentificarea continutului unui mesaj
transmis in retelele de calculatoare. Rolul lor nu este de a asigura secretul transmisiilor, ci de a crea o
valoare h=H(M), numita si rezumat (digest), cu rol in procedura de semnatura digitala, foarte greu de
falsificat.
Una din cerintele fundamentale pentru o astfel de functie este ca, modificand un singur bit la intrare,
se produc avalanse de modificari in bitii de la iesire.
Exista mai multe scheme de calcul a rezumatului unui mesaj, cele mai folosite sunt:

• MD5 - este vorba de un algoritm care primeste la intrare un mesaj de lungime arbitrara di
produce la ie?ire un rezumat de 128 de biti.

• SHA1 - NIST împreuna cu NSA au proiectat un algoritm pentru calculului functiei hash numit
Secure Hash Algorithm (SHA), standardul numindu-se SHS. El este destinat sa fie folosit
impreuna cu sistemul de semnatura digitala DSS. SHA produce un rezumat de 160 de biti, mai
mare decat MD5.

1.3.4 Semnatura digitala

Semnatura digitala a cheilor pentru aceste dispozitive este in general sigura, desi sunt tot atatea scheme
cati producatori sunt.
O semnatura digitala reprezinta o informatie care il identifica pe expeditorul unui document. Sem-
natura digitala se realizeaza folosind un sistem criptografic cu chei publice si o functie de dispersie.
Astfel în procedura de semnare sunt implicate 3 entitati:

• M - mesajul de semnat;

• h=H(M) - amprenta digitala a mesajului (rezumatul calculat prin hash);

1. Generalitati 9

• S=Signk (H(M)) - semnatura digitala.

Aceasta face ca semnatura sa fie unica atat pentru un fisier cat si pentru detinatorul cheii. Orice
mod- ificari aduse documentului afecteaza semnatura, oferindu-se astfel atat integritate cat si
autentificare.
Semnaturile digitale utilizeaza criptarea asimetrica, in care se foloseste o cheie (secreta) pentru a
crea semnatura si o alta cheie(publica), legata de prima, pentru a o verifica.
Cheia publica este raspîndita si identificata de catre certificatele digitale. Un certificat de cheie pub-
lica este o structura de date folosita pentru a se putea asocia, in mod sigur, o cheie publica cu niste
atribute de utilizator.
Certificatele sunt emise de terti de incredere, cunoscuti sub numele de autoritati de certificare (AC),
care isi asuma responsabilitatea pentru identificarea utilizatorilor si pentru acordarea cheilor.
In mod asemanator, companiile mari pot folosi AC-uri interne organizationale pentru a identifica
personalul si functia fiecaruia, in scopul autentificarii tranzactiilor de comert electronic.
10 1. Generalitati
 Partea II

Descriere
Capitolul 2

Definirea conceptului si aplicabilitate

2.1 Realizarea eficienta a sistemelor criptografice

Revenind la scopul de baza a criptografiei putem observa ca nici un sistem criptgrafic nu poate realiza
eficient toate obiectivele ei principale.
De acea în practica sistemele criptografice apar ca sisteme hibride, primitivele criptografice lucrand
impreuna pentru realizarea efectiva a problemelor securitatii informationale.
Astfel se poate de precizat:

• confidentialitatea, este realizata cel mai eficient de catre algoritmii criptografici simetrici;

• integritatea datelor - de catre functiile dispersive;

• autentificarea, de catre algoritmii asimetrici(semnatura digitala)

• non-repudierea, în comun de catre functiile dispersive si semnatura digitala(certificate digitale)

Deci apare problema definirii unei infrastructuri criptgrafice eficiente.

2.1.1 Definirea infrastructurii sistemelor criptografice hibride

Pentru definirea infrastructurii sistemelor criptografice ma voi axa pe problema, care apare la schimbul
unor informatii confidentiale printr-o retea vulnerabila, cum este Internetul.
Deci, de ce anume avem nevoie: ca informatiile sa nu le poata citi nimeni altcineva decat
destinatarul, sa se poata identifica sursa informatiilor, sa se poata detecta o eventuala alterare a
informatiilor.
Componentele necesare pentru a satisface cerintele de mai sus sunt:

• algoritm criptografic simetric(de exemplu AES), pentru criptarea fluxului de informatii;

• infrastructura cheilor folosite(creare, organizare, pastrare, distribuire, mentinere chei):

14 2. Definirea conceptului si aplicabilitate

– chei sesiune, cheile folosite de catre algoritmii criptografici simetrici;

– chei terminal, folosite pentru criptarea cheilor de sesiune(se foloseste infrastructura cheilor
publice - PKI);

– chei master, necesare pentru criptarea cheilor secrete terminal ;

• algoritm criptografic asimetric(pentru schimbul cheilor de sesiune);

• functii rezumat, pentru validarea integritatii datelor sau autentificarea continutului lor;

• semnatura digitala, pentru autentificarea sursei datelor.

2.1.2 Domeniile cu necesitati de securitate

Securitatea informationala este necesara in cele mai intrebuintate servicii disponibile pe Internet:

1. Serviciul e-mail, nu este un lucru nou ca interceptarea mesajelor e-mail se face destul de usor, de
acea este nevoie de folosit un sistem de securitate care ar permite criptarea mesajelor, verificarea
autorului si a integritatii datelor receptionate;

2. Comert electronic(e-commerce), securitatea datelor/tranzactiilor este foarte important? in orice

sistem financiar, indiferent ca se bazeaza pe tranzactii clasice sau electronice. Pentru a asigura un
nivel acceptabil de securitate se utilizeaza diferite tehnici de criptare pentru a furniza trei tipuri
de servicii: autentificare/autorizare, non-repudierea, confidentialitatea si integritatea datelor.

3. Retele virtuale private(VPNs), stabilesc o conexiune securizata intre doua retele printr-un mediu
public(ca de exemplu Internet-ul). Aceasta permite crearea unui tunel criptat de comunicare între
cele doua retele, care este transparent pentru utilizatori.

2.2 Solutii tehnice existente

Asupra solutiilor tehnice existente se poate de privit din doua puncte de vedere: eficacitatii lucrului
sistemului si al costului sistemului (implementare, sustinere).
In continuare voi prezenta cele mai cunoscute solutii tehnice.

2.2.1 Securitatea serviciului e-mail

Cele mai cunoscute metode de protectie criptografica a serviciului e-mail sunt:

• S/MIME (Secure/Multipurpose Internet Mail Extension);

• PGP (Pretty Good Privacy).

2. Definirea conceptului si aplicabilitate 15

MIME a fost creat ca standard de transfer si transport a diferitor tipuri de fisiere atasate la e-mail, ca
GIF, JPEG, DOC si altele.
Litera S in fata indica includerea unui standard de criptare în interiorul acestui protocol.
Dar deoarece fiecare sistem e-mail are o realizare proprie a protocolului S/MIME adesea apar
prob- leme cu interoperabilitatea dintre diferite sisteme de acest fel.
Acest protocol are avantajul ca este inclus in majoritatea sistemelor e-mail si e-mailul clientului(ca
Outlook si Eudora). Este solutia cea mai comoda si mai ieftina.
O alta solutie de securitate a serviciului e-mail este produsul soft PGP. PGP este un pachet de pro-
grame destinat protectiei postei electronice si a fisierelor, prin cifrare simetrica si cu chei publice.
Cu ajutorul sau se pot stabili modalitati sigure de comunicatie intre persoane, nefiind necesara
schimbarea prealabila a unor chei de cifrare.
PGP include un sistem sigur de gestiune a cheilor, autentificarea datelor prin semnatura digitala si
compresia datelor.
PGP satisface trei cerinte fundamentale:

• caracterul privat al postei electronice, ceea ce înseamna ca doar destinatarul desemnat al scrisorii
poate citi continutul acesteia;

• autentificarea emitatorului;

• autentificarea mesajelor, adica certitudinea ca mesajele nu au fost modificate de alte persoane.

2.2.2 Securitatea comertului electronic(e-commerce)

Orice Web server care colecteaza date personale de la clienti trebuie de considerat ca un e-commerce
server, si toate solutiile posibile de securitate trebuie implementate.
Traditional doar Web site-urile care conduc tranzactii comerciale si financiare sunt numite e-
commerce servere, dar este bine ca toate aceste solutii sa fie implementate, dupa posibilitate pe orice
Web site pentru al face mult mai sigur din punct de vedere al securitatii informationale.
Pentru asigurarea unui nivel acceptabil de securitate exista mai multe tehnici de criptare, similare
in ceea ce priveste algoritmii de criptare, dar diferind prin modul si locul de aplicare.
Astfel, daca ne referim la familia de protocoale TCP/IP, exista posibilitatea sa se aplice criptarea la
nivelul IP, la nivelul sesiune sau la nivelul aplicatie.
Pentru criptare la nivelul retea (IP) se utilizeaza doua mecanisme diferite:

• AH -Authentification Header care utilizeaz? pentru autentificare ?i pentru integritatea datelor

algoritmul MD 5 (message-digest)

• ESP - Encapsulating Security Payload care furnizeaz? confiden?ialitate folosind algoritmul DES -
Data Ecription Standard.
16 2. Definirea conceptului si aplicabilitate

Protocolul de criptare la nivelul de sesiune cel mai folosit este SSL (Secure Socket Layer )- server
securizat de date - in combinatie cu Certificatul Digital (Digital Certificate).
Certificatul Digital este cel care recunoaste standardul si confirma ca serverul pe care se afla web
site-ul utilizeaza intr-adevar criptarea SSL atunci cand primeste si transmite datele.
In momentul in care sunt accesate pagini in care se cer informatii de plata de la consumator, aces-
tea trebuie sa se afle pe un astfel de server securizat; la nivelul aplicatie exista doua tehnici diferite:
securizarea individuala a aplicatiilor (S/HTTP si S/MIME) sau prevederea unor tehnici de criptare ex-
terne, deasupra aplicatiilor predefinite cum sunt PGP (Pretty Good Privacy) sau SET (Secure Electronic
Transfer) .

2.2.3 Retele virtuale private(VPNs)

Sa presupunem ca avem o companie cu sedii aflate la distanta destul de mare ca sa ne permitem re-
alizarea unei retele personale, dar în acelasi timp avem nevoie de un nivel de securitate sporit, care
poate fi solutia acestei probleme. O solutie dintre cele mai rezonabile este crearea unei retele virtuale
private prin intermediul retelei Internet. VPNs este o colectie de tehnologii care permit crearea unui
tunel de comunicare securizat prin Internet cu ajutorul sistemelor criptografice. Acest tunnel poate fi
accesat doar de utilizatorii autorizati, pentru ceilalti fiind transparent. Inainte de a va conecta la acest
tunel de comunicare va trebui sa va identificati. Criptarea in retele VPNs poate fi efectuata pe doua
cai diferite: transport si tunelare.In primul tip se cifreaza doar datele propriu zise, insa header-ele pa-
chetelor de date raman neschimbate, ceea ce este uneori insuficient . Criptarea nivelului tunel duce
la criptarea atat a datelor cat si a headerelor pachetelor, acesta este foarte bine deoarece este putin sa
criptam doar datele si sa lasam adresele si continutul pachetelor vizibile.

2.3 Elaborarea sistemului criptografic hibrid de transfer instant de

fisiere si mesaje

Sistemul dat se refera la crearea unor canale criptografiate de comunicatii pe reteaua Internet, care per-
mite transferul instant de fisiere si mesaje. Acest sistem se poate de implementat pe diferite sisteme
distribuite de informatii. In lucrarea data se propune crearea unui sistem criptografic hibrid la nivelul
aplicatie din suita de protocoale TCP/IP. Aplicatia va defini un port pentru comunicare si va folosi
pro- tocolul TCP pentru transportul datelor. Acest sistem criptografic, este propus ca o solutie la
problemele de securitate informationala, si poate fi realizat atat pentru sistemele de calcul care au
conexiune la In- ternet cu adresa IP constanta cat si pentru cele la care IP-ul se genereaza odata cu
conexiunea. Sistemul criptografic hibrid contine urmatoarele componente: " algoritmul simetric de
criptare a fluxului de date; " algoritmul asimetric pentru schimbul periodic al cheilor de sesiune; "
semnatura digitala pentru au-
2. Definirea conceptului si aplicabilitate 17

tentificarea entitatilor la comunicare. Arhitectura generala a sistemului este compusa din urmatoarele
aplicatii:

• aplicatie server, cu functii de generare, semnare si gestiunea certificatelor pentru fiecare utilizator;

• aplicatii utilizator care vor comunica intre ele si cu aplicatia server.

Aplicatia server ofera urmatoarele servicii:

• generarea certificatelor digitale pentru fiecare utilizator;

• tine evidenta utilizatorilor carora li sau eliberat certificate;

• semneaza certificatele pentru a li se putea verifica validitatea;

• va urmari care certificate au fost anulate sau expirate.

Certificatul care contine cheia secreta se criptografiaza in baza unei fraze introduse de utilizator, iar
certificatul cu cheia publica se va pastra intr-o baza de date publica, astfel incat fiecare utilizator sa
poata avea acces la ea.
Certificatul de cheie publica are urmatoarea structura:

• seria de identificare a fiecarui certificat;

• utilizator(date personale ale utilizatorului);

• data expirarii certificatului;

• cheia publica a utilizatorului;

• semnatura aplicatiei server.

Certificatul care pastreaza cheia secreta va avea aceeasi structura doar ca cheia secreta va fi crip-
tografiata cu un algoritm criptografic simetric(in calitate de cheie se va folosi hash functia frazei intro-
duse de utilizator).
Aplicatia utilizator poseda urmatoarele posibilitati:

1. Conectarea la un alt utilizator:

• initial se va verifica identitatea utilizatorului prin fraza cheie;

• crearea unei cereri de conexiune catre aplicatia dorit?. Cererea contine urmatoarele date:

– subiectul cererii;

– certificatul de cheie publica;

– cheia de sesiune criptata cu cheia publica a destinatarului;

18 2. Definirea conceptului si aplicabilitate

– semnatura digitala a sursei

2. Conectarea la un alt utilizator:

• verificarea autenticitatii sursei;

• extragerea, decriptarea cheii de sesiune;

3. Criptarea/decriptarea fluxului de date cu cheia de sesiune;

4. Incarcarea de pe aplicatia server a certificatelor digitale de chei publice.

Pentru realizarea acestui sistem criptografic se propune utilizarea celor mai eficiente platforme pen-
tru crearea aplicatiilor: platforma Java de la Sun sau platforma Microsoft .Net Framework .
Sunt propuse trei extensii, ca parte integranta din pachetul SDK care ofera o noua perspectiva
asupra securitatii.
Cele trei extensii sunt JCE (Java Criptography Extension), JSSE (Java Secure Socket Extension) si
JAAS (Java Authentication and Authorization Service).
JCE reprezinta cadrul in care sunt implementati:

• algoritmi de criptare, cei mai cunoscuti DES, RC2, RC4, IDEA,3DES,AES, RSA;

• algoritmi pentru generarea de chei pentru algoritmii de cripate;

• criptare cu parola, PBE ( Password Based Encryption ).

JCE contine urmatoarele servicii :

• fabrici de chei(se pot genera chei pentru tipurile mentionate de algoritmi);

• crearea si managementul bazelor de date în care sunt pastrate cheile;

• crearea si managementul parametrilor algoritmilor de criptare;

• fabrici de certificate.

JSSE implementeaza protocoalele SSL V3 (Secure Socket Layer) si TLS 1.0 (Transport Layer
Security). Aceasta extensie asigura de asemenea suport pentru protocolul HTTPS si algoritmul de
criptare RSA.
JAAS, aceasta extensie permite serviciilor care ruleaza pe un server sa se autentifice si asigura con-
trolul asupra utilizatorilor ce folosesc serviciile respective. Microsoft propune în general aceleasi servicii
prin tehnologia Microsoft CryptoAPI .
Partea III

Concluzii
Capitolul 3

Tendinte in lume

Securitatea informationala este o problema care devine tot mai stringenta si mai actuala odata cu dez-
voltarea retelelor si industriei sistemelor de calcul. Una din metodele de baza de asigurare a securitatii
informationale este metoda criptografica.
Criptografia, la momentul actual acopera un set de protocoale, algoritmi de criptare, infrastructuri
de manipulare a cheilor criptografice.
Pentru obtinerea unui sistem sigur de protectie a informatiei este nevoie de prevazut toate directiile
posibile de atac asupra lui, deoarece este inutil de securizat o latura a sistemului, aunci cand atacul
poate fi usor realizat pe o latura mai sensibila.
Un sistem criptografic este eficient atunci cand tine echilibrul intre ceea ce este necesar si ceea ce este
posibil.
Pentru crearea unui astfel de sistem este nevoie de construit o infrastructura pusa bine la punct si
care ar contine urmatoarele componente:

• algoritmi criptografici simetrici;

• asimetrici;

• de functii dispersive;

• de semnaturi digitala;

• de o infrastructura a cheilor necesare.

In practica, cand apare problema implementarii unui astfel de sistem, se poate de mers pe doua cai:
alegerea unui sistem existent sau crearea unuia nou.
Fiecare dintre aceste cai are si avantaje si dezavantaje.
Solutiile existente au fost studiate prezent de specialitati in domeniu si aplicate in practica deci ele
sunt mult mai sigure de utilizat, problema este ca nu tot timpul aceste sisteme pot fi incadrate in
sistemul
22 3. Tendinte in lume

nostru informational.
Deci de multe ori apare necesitatea crearii unui sistem acordat la necesitatile noastre. Un astfel de
sistem este propus pentru transferul securizat de date intre sisteme distribuite de informatii.
Acest sistem este o solutie eficienta pentru companiile(de diferit profil) care au o infrastructura dis-
tribuita de informatii.
Avantajele aduse fata de sistemele existente sunt flexibilitate, automatizare in lucru si o securitate
crescuta(prin gestionarea locala a certificatelor digitale).
Sistemul criptografic hibrid propus permite crearea unor canale de comunicatii criptografiate
pe reteaua Internet si implementeaza o infrastructura locala de certificate digitale.
Acest tip de solutie poate fi creat efectiv pe platforme de programare ca Java in SDK si Microsoft.Net
Framework.
Pentru care tip de solutie n-am pleda, este necesar de stiut, ca oricat de bun si sigur n-ar fi sistemul
folosit, el este ineficient daca este administrat si utilizat incorect.
Bibliografie

[1] W ES F REEMAN , G EOFF S ULLIVAN SI F ROD E W EIERUD , "Purple Revealed: Simulation and Computer-
Aided Cryptanalysis of Angooki Taipu B", Cryptologia, 2003

[2] G ILLES B RASS ARD , A Bibliography of Quantum Cryptography,Universite de Montreal,1984

[3] A RTUR E KERT, Quantum Cryptography Based on Bell’s Theorem,Physisical Review Letters, 1991

[4] N IELS F ERGUS ON SI B RUCE S CHNEIR, Practical Cryptography, Niels Ferguson and Bruce Schneir, Wiley
N. Y.,2003

[5] J.H. VAN L INT, Introduction to Coding Theory, Springer-Verlag,

1982 [6] T ONY S ALE, The Enigma Cipher Machine: Codes and Ciphers ,

1995

[7] W ILLIAMS C.P., C LEARWATER S.H.,Explorations in quantum computing ,Telos, 1997

[8] B RAUNSTEIN S.L.,Quantum computing,Wiley, 1999

[9] J. P RES KILL ,Quantum Information and Computation, California Institute of

Technology,1998 [10] S IMON S INGH ,The Code Book,Fourth Estate, London,1999