Notiuni generale privint securitatea informationala

Obiectivul principal al unui program pentru protecţia informaţiilor îl reprezintă asigurarea

încrederii partenerilor de afaceri, avantajul competitiv, conformitatea cu cerinţele legale şi
maximizarea investiţiilor.
Indiferent de forma pe care o îmbracă, mijloacele prin care este memorată, transmisă sau
distribuită, informaţia trebuie protejată.
ISO/IEC 17799 tratează securitatea informaţiilor prin prisma a trei elemente principale:
• Confidenţialitatea – informaţiile sunt accesibile doar persoanelor autorizate;
• Integritatea – asigurarea acurateţei şi completitudinii metodelor prin care se realizează
prelucrarea informaţiilor;
• Disponibilitatea – utilizatorii autorizaţi au acces la informaţii şi la activele asociate în
momente oportune.
Pentru a putea realiza un program de securitate eficient este nevoie de politici, proceduri, practici,
standarde, descrieri ale sarcinilor şi responsabilităţilor de serviciu, precum şi de o arhitectură generală
a securităţii.

Stabilirea cerinţelor
Este important ca fiecare organizaţie să poată să-şi identifice propriile cerinţe de securitate.
Pentru aceasta ea trebuie sa facă apel la trei surse principale:
• analiza riscurilor;
• legislaţia existentă;
• standardele şi procedurile interne.
Folosind o metodologie corespunzătoare pentru a analiza riscurile organizaţia îşi poate
identifica propriile cerinţe legate de securitate. Un astfel de proces presupune în general patru etape
principale:
• identificare activelor care trebuie protejate;
• identificarea riscurilor/ameninţărilor specifice fiecărui activ;
• ierarhizarea riscurilor;
• identificarea controalelor prin care vor fi eliminate/diminuate riscurile

Un mecanism de control nu trebuie să coste organizaţia mai mult decât bunul ce trebuie protejat.

Selectarea controalelor trebuie să ţină cont de specificul organizaţiei. Nu toate recomandările pot fi
aplicate, cum nu toate sunt justificate din punct de vedere al costurilor. Eficacitatea sistemului de
securitate depinde de:
• stabilirea unor obiective de securitate care să reflecte cerinţele organizaţiei;
• sprijinului conducerii;
• existenţa abilităţilor necesare realizării analizei riscurilor, a vulnerabilităţilor şi a analizei de
impact;
• instruirea angajaţilor;
• monitorizata controalelor implementate.

Pentru protecţia reţelei sunt disponibile tehnologii specializate ce pot fi folosite în

implementarea măsurilor de securitate şi atingerea obiectivelor de control:
• filtru – set de reguli implementate la nivelul unui router sau firewall prin care acesta permite
tranzitarea sau nu a traficului către şi dinspre reţeaua unei companii;
• firewall – dispozitiv prin care este controlat traficul dintre reţeaua companiei şi reţelele
externe acesteia;
 • Sistem pentru Detectarea Intruziunilor (IDS – Intrusion Detection System), dispozitiv
(hardware sau software) dedicat inspectării traficului unei reţele cu scopul identificării
automate a activităţilor ilicite;
• criptare comunicaţii – procesul prin care datele sunt aduse într-o formă neinteligibilă
persoanelor neautorizate;
• Reţea Virtuală Privată (VPN – Virtual Private Network) - o reţea care permite comunicarea
între două dispozitive prin intermediul unei infrastructuri publice (nesigure)
• zona demilitarizată (DMZ) este o parte a reţelei care permite accesul controlat din reţeaua
Internet. Maşinile dependente de accesul direct la reţeaua Internet, cum ar fi serverele de
email şi cele de web sunt adesea

Criptografia classica. Tipuri de algoritmi de criptare.

Scopul criptografierii este de a proteja informaţiile transmise fără să poată fi citite şi înţelese
decât
de către persoanele cărora le sunt adresate. Teoretic, persoanele neautorizate le pot citi, însă,
practic,
citirea unei comunicaţii cifrate este doar o problemă de timp – efortul şi timpul aferent necesare
unei
persoane neautorizate să decripteze mesajul criptat.
Există două tipuri principale de tehnologii criptografice sunt criptografia prin chei simetrice
(chei secrete sau chei private) şi criptografia prin chei asimetrice (chei publice).
Cele mai cunsocute metode de criptare sunt: substituţia, transpoziţia (permutarea), cifrul lui
Verman, cifrul carte, codurile, ascunderea informaţiilor (steganografia, filigranarea, securitatea
tipăririi
hârtiilor de valoare).
Dintre cele mai cunoscute sisteme bazate pe chei secrete (simetrice) pot fi amintite: DES (Data
Encryption Standard), AES (Advanced Encryption Standard), cifrul IDEA (International Data
Encryption Algorithm).
Ca sisteme de criptare prin chei publice (asimetrice) pot fi enumerate: schimbul de chei Diffie-
Hellman, RSA, semnătura digitală, sistemele de certificare a cheilor publice, infrastructura
cheilor
publice (PKI – Public Key Infrastructure).
Sistemele criptografice bune trebuie să fie astfel proiectate încât să fie aproape imposibil de
spart.
În practică, este realizabilă o astfel de performanţă fără eforturi prea mari, dar teoretic orice
sistem
bazat pe metode criptografice poate fi spart prin încercări succesive ale cheilor.
Cele mai cunoscute tehnici de criptanaliză de atacuri sunt: forţa brută, text clar cunoscut, text
clar
ales, text clar cu selecţie adaptată, numai text criptat, text criptat selectat sau cu selecţie adaptată,
atacul
"zi-de-naştere", întâlnire-la-mijloc, om-la-mijloc, criptanaliza diferenţială, liniară sau mixtă,
factorizarea, statistica, atac împotriva sau folosind anumite echipamente etc.
Scopul criptografiei este de a proteja informaţiile transmise fără să poată fi ci
tite şi înţelese decât de către persoanele cărora le sunt adresate. Teoretic, persoanele
neautorizate le pot citi, însă practic, citirea unei comunicaţii criptate este doar o problemă de timp –
egal cu timpul aferent necesar persoanei neautorizate de a decripta mesajul citit.
Algoritmul criptografic este o procedură pas-cu-pas utilizată pentru cifrarea unui text clar şi
descifrarea textelor cifrate.
Cheia sau variabila de criptare este o informaţie sau o secvenţă prin care se controlează cifrarea
şi descifrarea mesajului.
 Cifrarea este o transformare criptografică a unor caractere sau biţi.
Criptograma sau textul cifrat reprezintă un mesaj neinteligibil
Cifrul bloc se obţine prin separarea textului iniţial în blocuri de câte n caractere fiecare (biţi)
şi aplicarea unui algoritm şi a unei chei identice, k, pentru fiecare bloc.
Codurile sunt o transformare care operează la nivelul cuvintelor sau frazelor.
Criptanaliza este actul obţinerii textului clar sau a cheii din textul cifrat, care este folosit pentru
obţinerea informaţiilor necesare acestui scop.
Criptarea înseamnă realizarea formei neinteligibile a unui mesaj pentru a nu fi utilizat de
persoanele neautorizate să-l acceseze.
Criptarea end-to-end – în acest caz informaţiile criptate sunt transmise din punctul de origine
la destinaţia finală.
Cheie simetrică – atât expeditorul cât şi destinatarul folosesc aceeaşi cheie de criptare.
Cheie asimetrică – expeditorul şi destinatarul folosesc chei de criptare diferite.
Criptarea înlănţuită – mesajul circulă prin mai multe noduri între expeditor şi destinatar. Un
nod intermediar primeşte mesajul, îl decriptează cu aceeaşi cheie cu care a fost cripta, îl recriptează cu
o altă cheie şi îl trimite la următorul nod unde procesul se repetă până când mesajul ajunge la destinatar.
Criptografia este arta şi ştiinţa ascunderii semnificaţiei unei comunicări împotriva unor
interceptări neautorizate. Cuvântul vine din limba greacă, care înseamnă criere ascunsă: kryptos
graphein.
Criptologia reuneşte criptografia şi criptanaliza.
Decriptarea este procesul prin care un text cifrat este transformat într-un mesaj inteligibil.
Sistemul de criptare este un set de transformări din spaţiul mesajului clar la cel al textului
cifrat.
Steganografia este o formă de comunicare secretă prin care se încearcă ascunderea mesajului
secret într-o imagine digitală.
Textul clar este forma inteligibilă de prezentare a unui mesaj, astfel încât el să fie accesibil
oricui.

Tehnici utilizate în criptografie În prezent există două tipuri principale de tehnici utilizate
în criptografie, şi anume:
• criptografia prin cheie simetrice (chei secrete sau chei private) şi,
• criptografia prin chei asimetrice (chei publice).
În cazul cheii simetrice, atât expeditorul cât şi destinatarul mesajului folosesc o cheie comună
secretă. În cazul cheii asimetrice, expeditorul şi destinatarul folosesc în comun o cheie publică şi,
individual, câte o cheie privată.

Substituţia Cea mai simplă metodă de criptare, prin substituţie, este cunoscută în zilele
noastre sub denumirea de cifrul lui Cezar, după numele împăratului roman care a inventat-o. În acest
cifru, caracterele mesajului şi numărul de repetiţii ale cheii sunt însumate laolaltă, modulo 26. În
adunarea modulo 26, literelor alfabetului latin, de la A la Z, li se dau valori de la 0 la 25 (vezi tabelul
4.1). Pentru cheie trebuie să se ofere doi parametri:
• D – numărul literelor ce se repetă, reprezentând chei;
• K – cu rol de cheie.

Permutarea sau transpoziţia Prin această metodă în loc să se înlocuiască un caracter cu

un altul, se înlocuieşte ordinea caracterelor. Astfel, se elimină posibilitatea de descifrare a mesajului
prin analiza frecvenţei de apariţie a caracterelor. Totodată, cheia pentru un asemenea cifru nu este
standard, în loc de o listă a substituirilor se va folosi o schemă a ordinii. De exemplu, dacă ordinea
într-un cuvânt clar este 1,2,3,4,5, într-un text criptat prin transpoziţie ordinea poate fi 5,4,1,2,3. de
exemplu, cuvântul PAROLA poate fi scris RALOPA.
Permutările unui astfel de ciclu acţionează într-o matrice bloc, ceea ce înseamnă că va fi o
matrice de tip "patul lui Procust", în care tot ceea ce nu încape pe o linie se va alinia în cea următoare
ş.a.m.d.
De exemplu mesajul CITESTE SI DA MAI DEPARTE, într-o matrice cu cinci coloane devine:
CITES
TESID
AMAID
EPART
E

Cifrul lui Vernam Cifrul lui Vernam constă într-o cheie constituită dintr-un şir se caractere
aleatoare nerepetitive. Fiecare literă a cheii se adaugă modulo 26 la o literă a mesajului clar. În această
variantă, fiecare literă a cheii se foloseşte o singură dată pentru un singur mesaj şi nu va mai putea fi
folosită niciodată. Lungimea şirului de caractere a cheii este egală cu lungimea mesajului. Metoda este
foarte utilă pentru criptarea mesajelor scurte.

Steganografia Steganografia este arta ascunderii existenţei unui mesaj pe un anumit suport.
Termenul vine din cuvintele greceşti steganos care înseamnă acoperit şi graphien – a scrie.
Prin Steganografia se exprimă interesul pentru confidenţialitate, deoarece scopul ei este de a
include mesaje într-un anumit mediu astfel încât să rămână insesizabil.
În prezent, o tehnică frecvent utilizată este ascunderea mesajului printre

Filigranarea Un filigran este un model distinct încapsulat într-un document, imagine, video
sau audio de către cel care se află la originea datelor. Filigranul poate avea câteva scopuri, printre care:
􀂃indicarea proprietarilor datelor;
􀂃ţinerea evidenţei copiilor datelor;
􀂃verificarea integrităţii datelor.
Filigranele folosite în bancnote au scopul de a întări încrederea posesorilor că se află în faţa
banilor originali şi nu a unora contrafăcuţi, scopul fiind de securizare împotriva falsificării. Un filigran
poate fi invizibil cu ochiul liber sau insesizabil de ureche, dar există mijloace de detectare
ALGORITMUL DES

DES este un sistem de criptare prin chei simetrice, conceput în 1972, ca o dezvoltare a
algoritmului Lucifer, realizat de Horst Feistel la IBM. DES este utilizat în scop comercial pentru
informaţii neclasificate. El descrie algoritmul de criptare a datelor (DEA, Data Encryption
Algorithm) , fiind numele dat de Federal Information Processing Standard pentru 46-1, adoptat
în 1977 ca FIPS PUB 46-1. DEA este, de asemenea, definit ca Standard ANSI, cu codul ANSI
X3.92 – ANSI fiind American National Standards Institute. În 1993, Institutul Naţional pentru
Standarde şi Tehnologie din SUA recertifică DES, dar el nu va mai fi recertificat după
implementarea noului sistem AES, Advanced Encryption Standard.
DES operează în următoarele moduri:
criptarea prin blocuri înlănţuite (Cipher Block Chaining – CBC);
criptarea - carte electronică de coduri (Electronic Code Block – ECB);
criptarea cu feedback la ieşire (Output Feedback – OFB).
Datorită vulnerabilităţii DES, din noiembrie 1998, guvernul SUA nu-l mai foloseşte,
înlocuindu-l cu Triplu DES, adică trei criptări folosind DEA, până la introducerea AES –
Advanced Encryption Standard.
ALGORITMUL RSA

RSA provine de la numele de familie ale inventatorilor săi, Rivest, Shamir şi Adleman.
Pe vremea când Diffie şi Hellman au inventat metoda distribuţiei prin chei publice, aceştia
au gândit şi la un alt concept mult mai performant, dar n-au găsit soluţia implementării lui –
criptografia prin chei publice. Prin aceasta, fiecare persoană are o pereche de chei publicăprivată,
unică, pe termen lung. Componenta publică, transmisibilă prin Internet şi partajată cu
toată lumea, este folosită pentru criptarea datelor, în timp ce componenta privată, greu de
calculat pe baza cheii publice, este folosită pentru decriptare. Criptografia prin chei publice este
numită şi „criptografie prin două chei” şi „criptografie asimetrică”. Metodele convenţionale,
descrise anterior, care apelează la o singură cheie, sunt referite ca şi „criptografie printr-o
singură cheie”, „criptografie prin cheie privată”, „criptografie prin cheie secretă”, „criptografie
simetrică” şi „criptografie convenţională”.
La scurt timp după ce Diffie şi Hellman au lansat ideea revoluţionară a criptografierii prin
chei publice, trei profesori de la MIT (Massachusetts Institute of Technology), Ronald Rivest,
Adi Shamir şi Leonard Adleman, au venit cu soluţia implementării ei. Varianta propusă se
numea RSA. Concomitent, Hellman şi Merkle au inventat o altă metodă, numită „trapdoor
knapsacks”, bazată pe alt model matematic. Oricum, modelul lor a fost spart la începutul anilor
1980.
Pentru a transmite un mesaj cu text clar către Bob, folosind sistemul cheilor publice, gen
RSA, Alice generează cheia K a mesajului şi o foloseşte prin intermediul criptosistemului
convenţional, cum ar fi DES, pentru criptarea mesajului. Utilizând criptografia prin chei publice,
ea, de asemenea, criptează K, sub cheia publică a lui B, denumită KBobpub. Apoi, ea transmite
atât
cheia criptată, cât şi mesajul criptat către Bob. Bob, la rândul său, apelează la propria lui cheie
privată, denumită KBobpriv, pentru a decripta cheia K a mesajului, apoi el foloseşte cheia K
pentru
decriptarea mesajului. Modelul este redat sub formă grafică în figura 5.5.
Teoretic, Alice poate să transmită textul către Bob folosind criptarea prin cheia publică a
lui Bob, apelând doar la criptografia prin cheie publică. În practică, însă, nu se întâmplă aşa, din
cauza încetinirii procesului de transmitere prin mulţimea calculelor de efectuat. E mult mai rapid
să foloseşti o metodă convenţională de mare viteză pentru criptarea mesajului, rezervând metoda
cheii publice doar pentru distribuţia cheii. În plus, nu se consideră o practică prea inspirată să
foloseşti aceeaşi cheie pentru criptarea mesajelor de-a lungul unei mari perioade de timp, din
cauza sporirii şanselor de a fi atacată. Perechea de chei publică-privată este uneori numită „cheia
cheii de criptare”, pentru a o deosebi de cheia mesajului (cheia datelor criptate).
cheie aleatoare K

Fig. 5.5 Alice transmite un mesaj lui Bob folosind o combinaţie

de cheie singulară şi criptografiere prin cheie publică
(prelucrare după Denning, D. – Op. cit., p. 302)
Ca şi Diffie-Hellman, sistemul RSA calculează exponenţierile în aritmetica modulară
folosind numere cu lungimea de câteva sute de cifre. În RSA, totuşi, fiecare persoană are un
modulo N personal, care este produsul a două numere prime secrete. Cheia K a mesajului este
criptată prin ridicarea ei la puterea exponentului public a lui Bob (eb), modulo Nb, iar
decriptarea se efectuează prin ridicarea ei la puterea exponentului privat al lui Bob (db), modulo
Nb. Presupunând că C va prelua valoarea cheii textului criptat, aceasta se va exprima matematic
astfel:
C = Keb mod Nb (criptarea lui K)
K = Cdb mod Nb (decriptarea)
Pentru ca exponentul folosit la decriptare (db) să poată reface exponenţierea cu eb la
criptare, formula eb * db = 1 mod (pb-1)(qb-1) trebuie să fie realizată; în care Nb = pb * qb
pentru numerele prime pb şi qb.
În aceste condiţii, oricine ştie eb, pb şi qb poate să folosească formula pentru a deduce db.
Din acest motiv, pb şi qb nu se divulgă, chiar dacă eb şi Nb sunt făcute publice. Calcularea
factorilor primi ai lui Nb se consideră a fi, din punct de vedere matematic, nerezolvabilă pentru
numere foarte mari.
Vom folosi valori mici ale numerelor din exemplul următor pentru a uşura înţelegerea
mecanismului. Să presupunem că Bob a ales numerele prime secrete pb = 5 şi qb = 3, de unde
rezultă că Nb = pb * qb = 5 * 3 = 15. Apoi alege exponentul secret db = 29 şi îl calculează pe eb
după formula eb * db = 1 mod (pb-1)(qb-1), ceea ce va conduce la eb * 29 = 1 mod (4 * 2), 29 *
eb = 1 mod 8. Prin încercări succesive rezultă eb = 5.
Dacă Alice doreşte să transmită cheia K = 2 către Bob, ea o va cripta cu exponenţierea din
cheia publică a lui Bob, efectuând calculele:
C = Keb mod Nb = 25 mod 15 = 32 mod 15 = 2
Când Bob obţine cheia criptată o va decripta folosindu-şi cheia secretă drept exponent, prin
calculul:
K = Cdb mod Nb = 229 mod 15 = 2 (Se aplică mod (2 ** 29, 15)).
Se observă că s-a obţinut valoarea K = 2 a cheii transmisă de Alice.

Semnătura digitală
Inventarea criptografiei prin chei publice a adus două importante mutaţii valoroase. Prima,
discutată anterior, permite transmiterea unui secret către o altă persoană fără să fie nevoie de o a
treia persoană de încredere sau de un canal de comunicaţie off-line pentru a transmite cheia
secretă. A doua mutaţie s-a produs pe planul calculării semnăturii digitale.
O semnătură digitală este un bloc de date (alcătuit din cifre binare, ceea ce în engleză
înseamnă binary digit, de unde şi digitală – exprimată printr-un şir de cifre) ce se ataşează unui
mesaj sau document pentru a întări încrederea unei alte persoane sau entităţi, legându-le de un
anumit emiţător. Legătura este astfel realizată încât semnătura digitală poate fi verificată de
receptor sau de o terţă persoană şi nu se poate spune că a fost uitată. Dacă doar o cifră binară nu
corespunde, semnătura va fi respinsă în procesul de validare. Semnătura digitală stabileşte
autenticitatea sursei mesajului. Dacă o persoană nu-şi dă în vileag cheia personală privată nimeni
nu poate să-i „imite” semnătura. O semnătură digitală nu înseamnă şi recunoaşterea dreptului de
proprietate asupra textului transmis, ci ea atestă faptul că persoana semnatară a avut acces la el
şi l-a semnat. Documentul poate fi şi sustras de undeva. Totuşi, atunci când semnarea este
cuplată cu crearea documentului, semnătura poate oferi o probă evidentă a originii
documentului. În această categorie intră fotografiile luate cu camere digitale bazate pe chei
private. În acest caz, proba este de necontestat. Aşa se procedează când se intenţionează
realizarea protecţiei împotriva manipulării imaginilor cu ajutorul calculatorului. La fel pot fi
camerele video, radio-receptoarele şi alţi senzori care pot semna ieşirea pentru a-i certifica
originea.
Deşi semnătura digitală este implementată prin sistemul criptografiei cu chei publice,
transformările ce au loc sunt diferite de cele de la criptare. În timp ce la criptare fiecare parte are
o pereche de chei publică-privată, în cazul semnăturii digitale, componenta privată este
întrebuinţată pentru semnarea mesajelor, iar cea publică este folosită de o altă parte pentru a
verifica semnătura. Modul de funcţionare este redat în figura 5.6.
După prezentarea suplimentară a algoritmilor semnăturii digitale să parcurgem paşii
„dialogului” purtat de Alice cu Bob. Alice intenţionează să semneze un mesaj. Ea va începe prin
calcularea unei valori rezumat a mesajului, care este determinată printr-o funcţie publică de
dispersie (hashing). În acest moment nu se folosesc chei. În pasul următor, ea va utiliza o cheie
privată pentru semnătură KSAlicepriv, pentru a calcula o transformare criptografică a valorii
rezumat a mesajului. Rezultatul, care este semnătura sa pe mesaj, se ataşează mesajului. Din
acest moment, mesajul semnat poate fi transmis altei persoane, inclusiv Bob, sau poate fi stocat
într-un fişier.

Fig. 5.6 Alice transmite către Bob un mesaj semnat şi criptat.

Mesajul este criptat printr-o singură cheie de criptare,
iar cheia prin criptarea cu cheie publică. Mesajul este semnat
cu sistemul semnăturii digitale prin cheie publică
(prelucrare după Denning, D.– Op. cit., p. 332)
Să presupunem că Bob va recepţiona mesajul ei. El poate să valideze semnătura lui Alice
făcând apel la cheia ei publică pentru semnătură, KSAlicepub, ce va fi folosită ca intrare într-o
funcţie criptografică prin care se va testa dacă valoarea rezumat determinată de el este aceeaşi cu
valoarea codificată prin semnătura lui Alice. Dacă da, va accepta semnătura. Se observă că nici
o cheie de-a lui Bob nu este folosită în procesul de validare a semnăturii transmise de Alice, ci
doar cheile ei. În schimb, când Alice transmite cheia unui mesaj secret către Bob, ea va folosi
doar cheile lui Bob.
Dacă Alice doreşte să transmită un mesaj către Bob, mesaj care să fie semnat şi criptat,
procesul presupune utilizarea cheilor pentru semnătură ale lui Alice (KSAlicepriv, KSAlicepub),
cheilor lui Bob de criptare a cheii (KBobpub) şi o cheie a mesajului, K. În sinteză, iată paşii:
Alice generează o cheie aleatoare a mesajului, K. Alice criptează mesajul M cu cheia K,
obţinând mesajul criptat, MC;
Alice criptează cheia K folosind cheia publică a lui Bob de criptare a cheii, KBobpub,
rezultând cheia criptată, KC;
Alice procesează o semnătură S folosind cheia sa privată pentru semnătură, KSAlicepriv;
Alice transmite către Bob KC, MC şi S;
Bob foloseşte cheia sa privată de criptare a cheii, KBobpriv, pentru a decripta KC şi a
obţine K;
Bob foloseşte K pentru decriptarea MC şi obţinerea textului-clar, M;
Bob foloseşte cheia publică pentru semnătură a lui Alice, KSAlicepub, pentru validarea
semnăturii S.
Tot acest proces este folosit de sistemul de criptare e-mail-uri, aşa că Alice şi Bob nu vor
efectua operaţiunile enunţate, ci le face calculatorul. Pentru a dispune de aceste servicii este
necesară contactarea unor firme specializate. Microsoft recomandă Verisign, cu site-ul
www.verisign.com, deşi sunt mai multe oferte. Oricum e necesară obţinerea unui ID digital. La
click-ul pe Sign apare semnul sigiliului special pentru semnătură, iar la comanda Send, vi se
oferă un meniu prin care puteţi începe dialogul pentru obţinerea ID-ului digital pentru
semnătură, prin click pe butonul Get Digital ID.
Pentru a studia cadrul legal al utilizării semnăturii electronice în România, puteţi obţine
informaţiile dorite de pe site-ul www.legi-internet.ro/lgsemel.htm.