Comert electronic – noţiuni teoretice şi studii de caz

CAPITOLUL 6

SEMNĂTURA ELECTRONICĂ, CRIPTAREA ŞI

DECRIPTAREA

6.1. Sisteme criptografice

Securitatea cyberspace-ului reprezintă o prioritate majoră a

specialiştilor, cât şi pentru utilizatori. Criptografia este ştiinţa scrierilor
secrete. Un cifru se defineşte ca transformarea unui mesaj-clar sau text
clar în mesaj-cifrat ori criptogramă. Procesul de transformare a
textului clar în text cifrat se numeşte cifrare sau criptare, iar
transformarea inversă, a criptogramei în text clar, are denumirea de
descifrare sau decriptare. Atât cifrarea, cât şi descifrarea, sunt
controlate de către una sau mai multe chei criptografice.
Un moment important în evoluţia criptografiei moderne l-a
constituit l-a constituit cel în care Whitfield Diffie şi Martin Hellman,
cercetători la Universitatea Stanford din California, au pus bazele unui
principiu diferit de cel al cifrării asimetrice: în locul unei singure chei
secrete, folosirea a două chei diferite, una pentru cifrare, alta pentru
descriere. Prima dintre chei « cheia privată » este ţinută secretă şi este

135
 Comert electronic – noţiuni teoretice şi studii de caz
cunoscută doar de proprietarul ei şi « cheia publică » care poate fi
făcuta publică.
Există mai multe metode şi algoritmi pentru asigurarea
securităţii datelor.

1. Metodele criprografice asimetrice folosesc criptarea cu chei

publice în care se utilizează chei distincte pentru cifrarea şi decifrarea
mesajelor. Comunicarea se poate realiza atunci când corespondenţii
cunosc fiecare doar cheia publică a celuilalt.
Se evidenţiază două direcţii de utilizare a criptosistemelor
asimetrice :
- de confidenţialitate, cheia publică este făcută publică ;
- de autentificare a emităţorului şi datelor, emiţătorul
criptează datele cu cheia sa secretă, iar cel ce primeşte
mesajul trebuie să decripteze cu cheia pereche.
Există mai multe metode criptografice cu chei publice :
metoda criptografică RSA, metoda Diffie-Hellman, metoda
criptografică bazată pe operaţii matematice asupra curbelor eliptice,
medote criptografice bazate pe algoritmi probabilistici de criptare.
Aceste metode aduc o creştere a securităţii datorată eliminării
transmiterii cheii private celui cu care comunică, dar viteza de criptare
este mai mică faţă de metoda de chei secrete şi este vulnerabilă la
personificare.

136
 Comert electronic – noţiuni teoretice şi studii de caz
2. Metodele criptografice simetrice folosesc criptarea cu chei
secrete, care sunt cunoscute doar de emiţător şi receptor. Emiţătorul
alege un algoritm de cifrare şi o cheie, pe care le comunică
receptorului pe o cale sigură. Un sistem criptografic clasic are cinci
componente: mesaje în text clar, mesaje în text cifrat cheile,
transformările de cifrare şi trasformările de decifrare.
Principalele metode criptografice simetrice sunt : cifrul
LUCIFER, cifrul Data Encryption Standard, cifrul Japanese Fast Data
Encryption Algorithm, cifrurile multinivel, cifrul proposed Encryption
Standard, schema Kerberos.
Din ce în ce mai multe organizaţii doresc să ofere pagini de
Web şi servere FTP pentru accesul public din Internet. Firmele ce
desfăşoară activităţi de comerţ electronic pe Internet trebuie să
controleze accesul dinspre reţeaua proprie către Internet şi invers.
Soluţia cea mai răspândită pentru asigurarea securităţii unei astfel de
reţele o constituie aşa numitul firewall, adică un sistem care impune o
politică de control a accesului între două reţele. Un firewall este un
sistem plasat între două reţele care posedă următoarele proprietăţi :
 tot traficul dinspre interior spre exterior şi invers trebuie să
treacă prin acesta;
 este permisă trecerea numai a traficului autorizat prin politica
locală de securitate;
 sistemul însuşi este imun la încercările de penetrare a securităţii
acestuia.

137
 Comert electronic – noţiuni teoretice şi studii de caz
Asigurarea unui nivel corespunzător de securitate pentru o
organizaţie se realizează prin elaborarea unei politici de securitate
pentru a preveni accesul neutorizat la resurse şi informaţii. Un firewall
nu este numai o combinaţie de dispozitive ce furnizează securitate
pentru o reţea. Firewall-ul este componentă a unei politici generale de
securitate cu rol de protecţie a resurselor informaţionale ale
companiei.
Asigurarea securităţii datelor trebuie să aibă în vedere
următoarele cerinţe fundamentale de securitate:

1. Confidenţialitatea, uneori numită secretizare, protejează

conţinutul tranzacţiilor împotriva citirii lor neutorizate, de către
alte persoane decât receptorii specificaţi de emiţător.
Confidenţialitatea reprezintă ţelul suprem al securităţii
calculatoarelor şi ea capătă noi dimensiuni sub forma unor
măsuri de control. Ţările dezvoltate au reglementat prin lege
controlul confidenţialităţii.
2. Integritatea, uneori numită acurateţe, furnizează receptorului
unei tranzacţii siguranţa că mesajul primit este identic cu
mesajul emis la origine. Acest serviciu îşi propune ca datele
stocate în calculator sau aflate în tranzit prin reţea să nu poate fi
alterate sau modificate.
3. Disponibilitatea, presupune ca datele şi informaţiile stocate în
memoria calculatorului să poată fi accesate de persoanele

138
 Comert electronic – noţiuni teoretice şi studii de caz
autorizate. Persoanele ce au acces la date sunt grupate în două
categorii: administratorii de sistem şi utilizatorii generali,
astfel, cei din ultima categorie trebuie să aibă acces doar la
anumite date ce le sunt destinate.
4. Nerepudierea, presupune confirmarea destinatarului unui
mesaj electronic, şi anume că mesajul este scris sau trimis de
persoane care pretind că l-au trimis. Nerepudierea stă la baza
semnăturii electronice, asigurând autenticitatea acesteia.

Implementarea securităţii pe niveluri în reţelele de calculatoare

se realizează cu ajutorul protocoalelor, care pot fi grupate în
următoarele clase:
 protocoale de identificare şi autentificare ;
 protocoale pentru protecţia transferului de date ;
 protocoale pentru gestionarea cheilor de cifrare ;
 protocoale pentru verificarea actualităţii mesajului.
Potrivit Strategiei de Securitate Naţională a României nici ţara
noastră nu este ferită de factori de risc dintre care se evidenţiază:
 terorismul politic transnaţional şi internaţional, inclusiv sub
formă informatică;
 accesarea ilegală a sistemelor informatice;
 agresiunea economico-financiară.
Principalele tipuri de vulnerabilităţi legate de informaţii şi
sistemelor informaţionale pentru care trebuie luate măsuri de

139
 Comert electronic – noţiuni teoretice şi studii de caz
prevenire ar fi: nivelul scăzut al infrastructurii informaţionale şi
întârzierea în realizarea acesteia la standarde impuse de dinamica
globalizării, deficienţe în protecţia informaţiilor clasificate.

6.2. Semnătura electronică

După Patriciu şi Ene-Pietrosanu, este denumirea generică a

semnăturii sub forma numerică a unor documente. În acquis-ul
comunitar, cea mai simplă formă a semnăturii electronice şi cea mai
largă definiţie, este „ceva care serveşte identificării şi autentificării
datelor”. Poate fi o simplă semnare a unui e-mail prin indicarea
numelui persoanei sau utilizarea unui cod PIN. Pentru a fi o
semnătură, autentificarea trebuie să se refere la date şi să nu fie
utilizată doar pentru autentificarea entităţii.
Semnătura electronică reprezintă un set de informaţii în format
electronic, generate şi stocate pe un dispozitiv securizat care îl
identifică pe expeditor şi nicidecum nu este o semnătura olograf
scanată, o poză sau o hologramă.

Semnătura electronică îndeplineşte cumulativ următoarele

condiţii:
- este legată în mod unic de semnatar;
- asigură identificarea semnatarului;
- este creata prin mijloace exclusiv controlate de semnatar.

140
 Comert electronic – noţiuni teoretice şi studii de caz
Tehnic, semnătura electronică este o succesiune de date în
format binar care sunt asociate unui document şi asigură autentificarea
(indică persoana de la care vine), integritatea (nealterarea) şi non-
repudierea (imposibilitatea negării documentului).
Semnătura electronică (digitală) se realizează prin criptarea cu
chei publice (criptarea asimetrică). În această abordare se folosesc
două chei, una numită privată, folosită pentru criptare, şi una numită
publică, folosită pentru decriptare.
Conceptul semnăturii digitale are la bază crearea aşa numitei
infrastructure de chei publice, numită PKI (Public Key
Infrastructures).

Componentele PKI sunt :

Autoritatea Certificatoare (CA): responsabilă cu generarea şi

revocarea certificatelor Autorităţii Registratoare (R.A.): responsabilă
cu verificarea construcţiei generate de cheile publice şi identitatea
deţinătorilor.
Deţinătorii de Certificate (subiecţii): oameni, maşini sau agenţi
software care deţin certificate şi le pot utiliza la semnarea
documentelor.
Clienţii: ei validează semnatura digitală şi certificarea de la un C.A.
Depozitele: stochează şi fac accesibile certificatele şi Listele de
Revocare a Certificatelor (CRLs - Certificate Revocation Lists).

141
 Comert electronic – noţiuni teoretice şi studii de caz
Autoritatea de Certificare este o structură legală de eliberare a
unui act, de tipul cărţii de identitate1.
Orice persoană fizică sau juridică se poate adresa Autorităţii de
Certificare pentru a intra în posesia unui certificat digital ce va conţine
o cheie publică, valabil o anumită perioadă de timp. Acest certificat
este folosit pentru a se putea asocia în mod sigur, o cheie publică cu
nişte atribute de utilizator. Cu alte cuvinte, prin folosirea cheii publice
alţii vor putea verifica identitatea semnatarului. Autoritatea de
Certificare va elibera şi cheia privată cu care se vor semna
documentele.
Cheia privată se va elibera pe un asmart-card, ce va fi folosită
după introducerea unui cod PIN sau mai poate rezida pe un server
accesibil în manieră protejată doar de către posesor.
Certificatele sunt clasificate ca: certificate self-signed şi
certificate CA-signed. Primul este semnat de deţinătorul cheii, iar al
doilea de o alta persoană cu autoritate. Ele funcţionează ca şi
containere de chei publice, iar informaţia tipică include:
 numele deţinătorului;
 e-mail-ul acestuia;
 numele companiei;
 telefonul;
 informaţii legate de certificat;
 un număr serial;

1
I.D. Condor – Semnatura electronică, Cluj Napoca, www.ionelcondor.wordpress.com
142
 Comert electronic – noţiuni teoretice şi studii de caz
 un indicator de nivel de încredere;
 data generării;
 data expirării.
În concluzie, una din metodele de bază de asigurare a securităţii
informaţionale este metoda criptografică, deoarece criptografia
acoperă un set de protocoale, algoritmi de criptare, infrastructuri de
manipulare a cheilor criptografice.

GRILE SI INTREBARI RECAPITULATIVE

143
 Comert electronic – noţiuni teoretice şi studii de caz
1. Criptarea asimetrică:
a) foloseşte chei distincte pentru cifrare şi decifrare;
b) foloseşte aceeaşi cheie pentru cifrare şi decifrare;
c) nu asigură confidenţialitate.

2. Criptarea simetrică:
a) este sinonim cu firewall;
b) foloseşte ctiptarea cu chei secrete;
c) foloseşte chei distincte pentru cifrare şi decifrare.

3. Printe proprietăţile unui firewall se regăsesc:

a) foloseşte un protocol la nivel de reţea;
b) permite trecerea numai a traficului autorizat prin politica de
securitate;
c) este singurul care asigură securitatea maximă.

4. Semnătura electronică este:

a) o hologramă;
b) o semnătură olograf scanaă;
c) un set de informaţii electronice, stocate pe un dispozitiv
securizat;

5. Care din următoarele reprezintă condiţii ale semnăturii digitale:

a) să fie legată în mod unic de semnatar;

144
 Comert electronic – noţiuni teoretice şi studii de caz
b) să asigure identificarea semnatarului;
c) să fie creata prin mijloace exclusiv controlate de semnatar.

6. Autoritatea de certificare:
a) emite certificate;
b) emite semnături digitale;
c) emite cec-uri digitale.

INTREBARI RECAPITULATIVE
1. Cum se realizează criptarea asimetrică?
2. Cum se realizează criptarea simetrică?
3.Ce este un firewall?
4. Ce este semnătura electronică?
5. Ce reprezintă Autoritatea de certificare?

145