Documente Academic
Documente Profesional
Documente Cultură
Problematica abordată:
Întrebări:
1. Câte generaŃii de arhitecturi client-server sunt?
2. Care sunt avantajele arhitecturii client-server?
3. CaracterizaŃi cele trei niveluri care sunt utilizate în arhitectura client-server
pentru baze de date pe Web?
4. Ce reprezintă o instanŃă în SQL?
5. Ce se înŃelege prin procesul de replicare?
6. CaracterizaŃi nivelurile de organizare pentru o bază de date SQL Server.
7. Care sunt avantajele Microsoft SQL Server?
1
IBM Global Business Security Intelligence
comunicaŃii, IT. Pentru a se menŃine confidenŃialitatea utilizatorilor, trebuie
găsite mijloce secrete, pentru a o face inaccesibilă vizualizării neautorizate.
Aceleaşi restricŃii se impun şi informaŃiei în tranzit. Când informaŃia circulă de
la o entitate la alta, trebuie să existe o metodă care să asigure transportul
acesteia către destinatar.
Integritatea presupune acurateŃea informaŃiei, astfel încât ea să nu poată fi
modificată sau accesată în mod neintenŃionat sau neautorizat. Un caz extrem
de pierdere a integrităŃii este pierderea bazei de date sau înlocuirea ei cu
altceva prin interceptare sau modificare în timpul tranzitului. Aceste
modificări pot proveni de la hacker, administrator de reŃea sau de la diverse
instituŃii care se ocupă cu colectarea informaŃiilor.
Disponibilitatea este o cerinŃă fundamentală a securităŃi şi se referă la faptul
că sistemele, datele şi alte resurse sunt utilizabile numai atunci când este
necesar, fără a Ńine cont de posibile dificultăŃi cauzate de mediu. Lipsa de
disponibilitate îşi are cauza în atacurile de tip denial of service (DoS). Ca părŃi
componente ale disponibilităŃii sunt fiabilitatea şi senzitivitatea sistemului, în
care fiabilitatea reprezintă funcŃionarea sistemului la parametrii daŃi, iar
senzitivitatea se referă la cât de repede se poate restabili un serviciu după o
cădere a sistemului.
Uzul legitim are trei componente: identificarea, autentificarea şi
autorizarea. Identificarea este procesul prin care un utilizator este recunoscut
de serverul cu care efectuează o tranzacŃie. Ca metodă de identificare se
foloseşte numele de utilizator şi parola. Autentificarea funcŃionează în dublu
sens şi anume: utilizatorii autentifică serverul, iar serverul autentifică
utilizatorii. Ca metodă de autentificare este cunoscut certificatul digital.
Autentificarea acestor certificate este făcută de o companie numită autoritate
de certificare, iar procesul se numeşte Infrastructura Cheii Publice sau PKI.
După ce o entitate a fost certificată ca fiind identificată corect, pasul următor
va fi cel de folosire legitmă a anumitor drepturi, care pot include accesul la
fişiere, manipulare de date,etc.
Audit;
Non-repudiere.
Se poate afirma că non-repudierea este activitatea prin care se dovedeşte că
una din părŃile implicate în tranzacŃie a efectuat acŃiunea respectivă, ea oferind
utilizatorului siguranŃa provenienŃei datelor şi de asemenea asigură că datele
au fost primite corect de receptor. Această cerinŃă este utilă verificării
pretenŃiilor ridicate de fiecare parte implicată şi pentru stabilirea
responsabilităŃilor în cazul în care apar litigii. În cazul în care securitatea nu
este de nivel înalt, cel care a produs mesajul nu este sigur că destinatarul a
primit informaŃia corectă şi nici nu are certitudinea că destinatarul cunoaşte
expediorul mesajului.
O infrastructură e-business (afaceri electronice) producre informaŃii de
audit în condiŃiile în care este completată de un sistem non-repudiere de
urmărire a tranzacŃiilor. Sistemul non-repudiere trebuie sincronizat cu
urmărirea tranzacŃiilor pentru stabilirea cât mai exactă a punctelor de
responsabilitate.
Întrebări:
1. Care sunt riscurile asociate sistemelor infomaŃionale/sistemelor
informatice financiar-contabile ?
2. DefiniŃi nivelurile din modelul de bază pentru arhitectura de securitare.
3. CaracterizaŃi ameninŃările şi vulnerabilităŃile.
4. Care sunt problemele de securitate ?
5. Ce se înŃelege prin politică de securitate ?
6. Ce tipuri de informaŃii produce o infrastructură e-business ?
Bibliografie
1. Cohen, F.B. – Viruşii calculatoarelor, Editura Teora, Bucureşti, 1995.
2. Munteanu, A. – BS7799-2/ISO17799 şi auditul Planului de securitate, în revista
Informatică Economică (editată de Catedra de Informatică Economică din ASE
Bucureşti şi AsociaŃia INFOREC), vol.VIII, Nr.4/2004, p.80-82.
3. Oprea, D. – ProtecŃia şi securitatea informaŃiilor, Editura POLIROM, Iaşi, 2003.
4. Patriciu, V.V., Ene-Pietroşanu, M., Bica, I., Văduva, C., Voicu, N. – Securitatea
comerŃului electronic, Editura All, Bucureşti, 2001.
5. Dimitriu, G. – Programe antivirus, Editura Teora, Bucureşti, 1998.
Prezentarea lecŃiei / capitolul 4:
Politici de securitate
*
Ali Eden, Victoria Stanciu, Auditul sistemelor informatice, Dual Tech 2004,p.121-126.
grave întrucât ele pot modifica starea sistemelor de calcul, starea datelor sau a
sistemelor de comunicaŃie. Tipuri de atacturi active sunt:
- mascarada, adică o entitate se substituie altora;
- reluarea se produce atunci când un mesaj sau o parte a acestuia se repetă cu
intenŃia de a produce un efect neautorizat. De exemplu în domeniul bancar o reluare
poate crea modificări nereale ale valorilor conturilor;
- modificarea mesajelor presupune că datele acestora sunt alterate prin
modificare, inserare sau ştergere. Acest tip de atac poate fi folosit pentru schimbarea
beneficiarului unui credit în transferul electronic de fonduri sau pentru modificarea
valorii creditului. Se mai poate întâlni şi la modificarea câmpului destinatar/expeditor
în poşta electronică;
- repudierea serviciului se produce atunci când o entitate refuză recunoaşterea
unui serviciu efectuat şi este adesea întâlnit în aplicaŃiile de transfer electronic de
fonduri.
Tot în cadrul atacurilor active se includ şi unele programe distructive care
uneori pot afecta în mod esenŃial securitatea calculatoarelor.
- refuzul serviciului se produce atunci când o entitate nu este capabilă să-şi
îndeplinească propria funcŃie sau când împiedică o altă entitate să-şi îndeplinească
atribuŃiile.
De obicei cei care sunt implicaŃi în astfel de atacuri se numesc ,,hackeri”, iar
atacurile pe care le comit se referă fie la citirea neautorizată a informaŃiilor, fie în
distrugerea parŃială sau totală a datelor sau chiar a calculatoarelor.
Cea mai gravă problemă este infestarea potenŃială a unui număr mare de
calculatoare. Programele distructive utilizate de hackeri se pot încadra în următoarele
categorii:
- Viruşii sunt programe care se inserează în aplicaŃii şi care au posibilitatea de
a se multiplica singure în alte programe rezidente în memorie sau discuri şi apoi ori
saturează complet spaŃiul memorie/disc şi blochează sistemul, ori după un număr finit
(de obicei fixat) de multiplicări devin activi şi intră în faza distructivă;
- Bomba software – este o procedură de obicei introdusă într-un program
obŃinut şi care se activează în condiŃiile producerii unui eveniment predefinit;
- Viermii au efecte similare cu cele două categorii tratate anterior dar
principala diferenŃă este aceea că nu rezidă la o locaŃie fixă sau nu se duplică singuri,
mutându-se permanent, ceea ce îi face greu de depistat;
- Trapele sunt accese speciale la sistem, care sunt destinate pentru proceduri
de încărcare la distanŃă, întreŃinere sau dezvoltare de aplicaŃii. Ele fac facilă
permisiunea în sistem fără a mai fi consultate procedurile de identificare uzuale;
Calul Troian – este de fapt o aplicaŃie cu o utilizare cunoscută, care îndeplineşte
ascuns şi o altă funcŃie, dar nu crează copii. Un exemplu poate fi un program de
,,login”, care este înlocuit de hacker cu un altul asemănător care pe lângă funcŃia de
bază, copiază într-un fişier numele şi parola pe care utilizatorul le tastează în procesul
de autentificare. Utilizând acest fişier hacker-ul va pătrunde relativ facil în sistem.
Întrebări:
1. CaracterizaŃi standardele şi recomandările de securitate ale sistemelor
informatice.
2. Care sunt nivelurile de vulnerabiltate definite în funcŃie de tipurile de atacurile
informatice?
3. De câte tipuri sunt atacurile voit distructive?
4. Care sunt tipurile de atacuri active?
5. Prin ce se caracterizează viruşii?
6. Prin ce se caracterizează bomba software?
7. Prin ce se caracterizează viermii?
8. Prin ce se caracterizează trapele?
Studiul de caz: StabiliŃi ce tipuri de atacuri active pot avea loc în reŃeaua de
calculatoare pe care o studiaŃi ca exemplu practic.
Bibliografie
1. Oprea, D. – ProtecŃia şi securitatea informaŃiilor, Editura POLIROM, Iaşi, 2003.
2. Patriciu, V.V. – Criptografia şi securitatea reŃelelor de calculatoare, cu aplicaŃii în C şi
Pascal, Editura Tehnică, Bucureşti, 1994.
3. Patriciu, V.V., Ene-Pietroşanu, M., Bica, I., Văduva, C., Voicu, N. – Securitatea
comerŃului electronic, Editura All, Bucureşti, 2001.
4. Rădescu, R. – Metode de codare şi protecŃie a informaŃiei în sisteme de calcul, Editura
Printech, Bucureşti, 1998.
Prezentarea lecŃiei / capitolul 6:
Cartea portocalie
Cartea roşie
Are drept clase :
1) Clasa ,,D” – ProtecŃie minimă care dă un nivel minim fără cerinŃe
particulare.
2) Clasa ,,C” – ProtecŃie discreŃionară şi care conŃine:
a) Clasa ,,C1” – Directionary Security Protection asigură separarea datelor şi a
utilizatorilor. Prin acŃiuni individuale se pot introduce limitări suplimentare ale
accesului.
Controlul accesului direcŃional (DAC) se poate distribui peste NTCB sau se
poate centraliza într-o anumită componentă a reŃelei.
Autentificarea care poate fi individuală sau de grup, se poate face numai de
către sistemele la care este conectat utilizatorul direct şi poate fi transmisă la alte
sisteme protejate de NTCB, fără a mai fi nevoie de o reautentificare. În timpul
transferului, codul şi structurile de date trebuie protejate împotriva interferenŃelor sau
a falsificatorilor. Pentru acest sunt lucru sunt necesare protocoale severe.
DocumentaŃia va face descrierea interfaŃei, a interacŃiunii componentelor
reŃelei precum şi a sarcinilor administratorului de sistem şi reŃea.
b) Clasa ,,C2” – Controlled Access Protection – admite aceleaşi reguli ca şi
C1. În C2 sunt monitorizate ca evenimente din reŃea următoarele :
- evenimente de acces cu identificarea host-urilor ;
- timpul de început şi cel de sfârşit al evenimentelor de acces ;
- excepŃii relevante de securitate ;
- utilizarea variantelor criptografice;
- schimbarea configuraŃiei reŃelei.
1) Clasa ,,B” – ProtecŃie mandatată în care politica de securitate poate fi
discreŃionară sau mandatată.
a) Clasa ,,B1” – Labelled Security Protection – pretinde o verificare a
integrităŃii datelor în timpul transmisiei, etichetarea tuturor datelor neetichetate până
în acel moment (importate sub control NTCB), fiecare partiŃii a NTCB-ului va face un
control al accesului mandatat asupra tuturor subiecŃilor şi a obiectelor din
componentele aflate sub controlul său.
b) Clasa ,,B2” – Structured Protection, reia cerinŃele clasei detectate şi
raportate. De asemenea sunt evidenŃiate obiectele care memorează informaŃii de
control ale reŃelei care trebuie etichetate în vederea prevenirii accesului neautorizat
sau a modificărilor. Astfel NTCB va fi structurat astfel încât să fie aplicat privilegiul
minim în componentele sale cât şi în întregul sistem.
c) Clasa ,,B1” – Security Domains – faŃă de clasele anterioare presupune că
evenimentele ce indică violări iminente ale politicii de securitate să fie contabilizate şi
analizate prin audit. Modulele care nu sunt neapărat critice pentru protecŃie vor fi
excluse din NTCB. Pentru fiecare partiŃie a NTCB se specifică politicile pentru start şi
politicile după o cădere de sistem.
d) Clasa ,,A” – ProtecŃie Verificată – este asemănătoare clasei ,,A” specificată
pentru ORANGE BOOK. DocumentaŃia acestei clase va descrie modelul formal de
securitate al tuturor componentelor NTCB.
Întrebări:
1. Care sunt clasele de securitate utilizate în cartea portocalie ?
2. Care sunt funcŃiile specifice pentru operator şi pentru adminisrator ?
3. EnumeraŃi clasele de securitate utilizate în cartea roşie.
4. Cum este structurată autentificarea ?
Bibliografie
1. Rădescu, R. – Metode de codare şi protecŃie a informaŃiei în sisteme de calcul, Editura
Printech, Bucureşti, 1998.
Prezentarea lecŃiei / capitolul 8:
1.5.1. Criptografia (mesajul cifrat)
1.5.1.1. Sisteme criptografice
∗
Patriciu V. şi colaboratori – Securitatea informaŃiei în UNIX şi INTERNET
Vom evidenŃia câŃiva algoritmi criptografici cu cheie simetrică sau secretă.
Caracteristica acestor algoritmi este că se Ńine secretă cheia şi este utilizată în comun
de către emiŃător şi receptor.
DefiniŃie – un algoritm cu cheie secretă este compus din două funcŃii E ( ) şi
D ( ) care utilizează chei cu următoarele proprietăŃi :
- Kc = Kd = K
- Ke şi Kd sunt secrete
Exemple de astfel de criptosisteme simetrice sunt DES (Data Encryption
Standard) sau IDEA (International Data Encryption Algorithm).
Criptarea simetrică oferă protecŃia cheii prin asigurarea securităŃii care
cuprinde ca aspecte generarea şi distribuŃia cheilor precum şi memorarea acestora.
Pentru generarea cheilor se poate tilize o tabelă de conversie sau proceduri
manuale (ca de exemplu datul cu banul sau aruncarea zarurilor) numai pentru
generarea cheilor master.
Însă pentru cheile de sesiune sau de terminal nu se pot utiliza aceste proceduri
manuale ci numai automate, cum sunt cele de generare (pseudo) aleatoare bazate pe
funcŃii matematice sau diferiŃi parametri.
În distribuŃia cheilor sunt probleme date de transportul cheii secrete. Pentru a
cripta o astfel de cheie se va folosi o altă cheie numită cheie terminal.
K K
M A C B
Criptare Decriptare
∗
Patriciu V. şi colectiv – Securitatea informatică în UNIX şi INTERNET
GDES are un număr n variabil de runde. Pentru q=2 şi n=16 se obŃine DES.
Avantajul GDES-ului este că este mai rapid ca DES-ul, dar oferă mai puŃină securitate
decât acesta din urmă.
e) DES cu cutii S alternative. În acest caz se construiesc S cutii variabile care
se modifică. S. Biham şi Shamir au arătat că alegerea cutiilor S originale nu a fost
arbitrară, ci ele au fost optimizate împotriva atacurilor care folosesc criptanaliza
diferenŃială.
f) DES cu cutii S dependente de cheie.
De remarcat este faptul că criptanaliza liniară şi cea diferenŃială pot fi folosite
ca atac DES numai dacă se cunoaşte componenŃa cutiilor S. Dacă cutiile S sunt
dependente de cheie şi alese prin metode criptografice puternice, atunci criptarea
liniară şi cea diferenŃială devin dificil de folosit.
Se va analiza o metodă de utilizare a unei chei de 56 de biŃi pentru generarea
de cutii S rezistente la criptanaliza liniară şi diferenŃială :
- se face şi altă aranjare a cutiilor S ale DES-ului în modul următor : 2, 4, 6, 7,
1, 1, 5, 8 ;
- se selectează 16 biŃi din cheie. Dacă :
- primul este egal cu 1, se interschimbă primele două linii cu ultimele
două linii ale cutiei S1 ;
- al doilea bit este 1, se interschimbă primele 8 coloane cu următoarele
8 coloane ale cutiei S1 ;
- se procedează similar în cutia S2 cu biŃii 1 şi 4. Algoritmul se
continuă pentru cutiile S de la 1 la 8.
- Se selectează ceilalŃi 12 biŃi din cheie, se face suma module 2 între primii 4
biŃi şi intrările corespunzătoare în cutia S1, iar procesul este repetabil pentru celelalte
cutii S.
Complexitatea unui atac prin cripanaliză diferenŃială este 251, iar pentru
criptanaliza liniară este 251. Complexitatea unui atac prin căutări exaustive este 2102.
Avantajul acestei variante constă în aceea că algoritmul poate fi implementat
hardware folosind componentele deja existente. Există chip-uri care au posibilitatea
de a încărca cutii S. Metoda de generare a cutiilor S se poate face în afara chip-ului,
apoi cutiile S pot fi încărcate în circuit.
Ex.1*
ConfidenŃialitate
M A C B M
Criptare Decriptare
Oricine poate cripta Numai B le poate
date pentru B decripta
Ex.2*
Semnătură K privată a lui A K publică a lui A
digitală
M A C B M
Criptare Decriptare
A se semnează cu B verifică cu cheia
cheia sa privată publică a lui A
unde:
M – mesaj
C – criptare
K – cheie
*
Patriciu V. şi colectiv – Securitatea informatică în UNIX ŞI INTERNET
În Ex.1 din fig.1.1 se arată modul în care se asigură confidenŃialitatea unui
mesaj care este cifrat cu cheia publică a destinatarului (operaŃie care poate fi făcută de
orice persoană care poate avea fişierul cu chei publice.
Mesajul va putea fi descifrat numai de destinatar care este cel care deŃine cheia
privată (secretă), pereche a celei publice.
În Ex.2 din fig.1.1 se prezintă utilizarea cheilor publice pentru semnătură
digitală. Semnătura digitală este un atribut al unui utilizator, şi este folosită la
identificarea acestuia. Dacă B este un receptor de mesaj semnat cu A, semnătura lui A
trebuie să satisfacă următoarele :
- B să poată valida semnătura lui A ;
- să nu se poată falsifica semnătura lui A ;
- în cazul în care A nu recunoaşte semnarea unui mesaj M, trebuie să existe un
al treilea care să rezolve disputa dintre A şi B. Semnătura digitală rezolvă
autentificarea atât a emiŃătorului cât şi a datelor transmise.
O semnătură digitală se realizează prin utilizarea unui sistem criptografic cu
chei publice şi o funcŃie de dispersie (hash).
FuncŃia de dispersie se utilizează în scopul calculării unei valori rezumat
(digest) care depinde de toŃi biŃii mesajului care va fi semnat. Una din cele mai
cunoscute funcŃii este MD5, proiectată de Rivest, şi care presupune că nu este posibilă
construirea a 2 mesaje distincte cu aceiaşi valoare rezumat. Astfel putem afirma că
rezultatul este ,,amprenta” mesajului. Utilizatorul emiŃător semnează mesajul prin
cifrarea rezumatului cu cheia privată proprie. Utilizând un algoritm cu chei publice
cunoscut, ca de exemplu RSA (Rivest – Shamir – Adelman), semnătura poate fi
validată de receptor folosind doar cheia publică a emiŃătorului. În momentul recepŃiei,
se calculează din nou rezumatul mesajului primit, se descifrează semnătura primului
cu cheia publică a emiŃătorului şi apoi se vor compara cele două rezumate. Dacă din
comparare nu rezultă diferenŃe, semnătura este validă.
Se poate afirma că cifrurile cu chei publice sunt utilizate în general pentru :
- cifrarea şi distribuŃia cheilor simetrice folosite în secretizarea mesajelor;
- semnătura digitală asociată mesajelor.
Lucrul cu chei publice este deosebit de facil în comunităŃile mari de utilizatori.
Abordarea unor astfel de sisteme cu chei publice se face prin utilizarea conceptului de
certificat care devine necesar pentru a autentifica cheile publice.
Un certificat de cheie publică este o structură de date folosită pentru a se putea
face asocierea sigură între cheia publică şi anumite atribute utilizator. Astfel de
atribute pot fi de exemplu :
- informaŃii de identificare (nume, adresă)
- informaŃii de autorizare (dreptul de folosinŃă al unei resurse)
Certificatul are rolul de a face legătura între o cheie publică şi un nume.
Certificatul are structura formată din următoarele câmpuri :
- Versiunea – face posibilă distincŃia între versiunile succesive ale formatelor
de certificat ;
- Seria – aceasta identifică în mod unic certificatul emis de aceeaşi entitate ;
- Algoritmul de semnătură identifică algoritmul utilizat pentru calcularea
semnăturii digitale la acel certificat ;
- Emitent – conŃine numele distinct al utilităŃii care a creat certificatul şi
garantează asupra legăturii corecte dintre cheia publică şi subiect. Este de fapt numele
autorului certificatului ;
- Subiect – conŃine numele entităŃii care este subiectul certificării şi pe de altă
parte este şi posesorul cheii publice cuprinse în certificat ;
- Valabilitatea este dată de intervalul de timp în care certificatul este valabil.
Este specificată data de început şi cea de sfârşit ;
- Cheia publică subiect conŃine un identificator al algoritmului utilizat precum
şi parametrii ceruŃi de algoritm. El constituie cheia publică a subiectului proprietar al
certificatului ;
- Semnătura este de fapt semnătura digitală a certificatului şi este adăugată
celorlalte câmpuri ale acestuia.
Semnătura este aplicată prin folosirea cheii private şi poate fi verificată prin
cheia publică a emitentului.
Procesul de validare a certificatelor este recursiv şi are la bază un graf de
certificare.
De remarcat este faptul că în criptosistemele cu chei publice, fiecare utilizator
A deŃine o transformare de cifrare publică (cheia publică) notată EA care se poate
memora într-un registru (fişier) public şi o transformare de descifrare secretă (cheie
secretă sau privată) care este derivată din cheia de cifrare (publică) printr-o
transformare greu inversabilă (on-way). În astfel de sisteme cu chei publice, protecŃia
şi autentificarea sunt realizate prin transformări distincte. Dacă un utilizator (procesul)
A doreşte să emită un mesaj M unui alt utilizator B atunci, dacă A cunoaşte
transformarea publică EB el poate transmite mesajul M la B sub forma C = EB(M),
asigurându-se în acelaşi timp funcŃia de confidenŃialitate. La recepŃie B va descifra
criptogramarea C utilizând transformarea secretă DB astfel : DB© = DB(EB(M)) = M.
Deoarece oricine are acces la transformarea publică EB a lui B, i se poate
transmite mesaje eronate (false) M sub forma C’ = EB(M’).
De aceea pentru autentificare se aplică asupra lui M transformarea secretă DA
a lui A. Dacă pentru moment se ignoră protecŃia, A va emite C = DA(M) la B, care la
rândul lui la recepŃie va aplica transformarea publică, EA a lui A : EA© = EA(DA(M))
= M. Este stabilit că numai A poate aplica transformarea DA.
Pentru a stabili simultan confidenŃialitatea şi autentificarea informaŃiilor,
spaŃiul {M} trebuie să fie echivalent spaŃiului {C}, astfel încât orice pereche (EA, DA)
să fie capabilă să opereze atât asupra textului clar, cât şi asupra textului cifrat.
CondiŃia este ca EA şi DA să fie mututal inversare, adică :
EA(DA(M)) = DA(EA(M)) = M.
Aceasta înseamnă că emiŃătorul de mesaj A va aplica mai întâi transformarea
sa secretă DA, mesajului M, după care A va cifra rezultatul folosind transformarea
publică a lui B, EB şi va emite către receptor criptograma : C = EB(DA(M)).
Acum, receptorul B îl va obŃine pe M aplicând propria funcŃie de descifrare
DB, iar după aceea transformarea publică a lui A, EA, cea care de fapt furnizează
autentificarea. Deci, se poate scrie :
EA(DB©) = EA(DB(EB(DA(M)))) = EA(DA(M)) = M
Algoritmii de criptare cu cheie publică prezintă o cripto-complexitate deoarece
se bazează în principiu pe operaŃii cu întregi foarte mari (sute de cifre zecimale sau
mii de biŃi).
De aici sunt implicaŃii importante în implementarea simultană a operaŃiilor
uzuale folosite : înmulŃiri, reduceri modulo, exponenŃieri, calcul de invers
multiplicativ, operatori Jacobi, Legendre, teste de primaritate.
Întrebări:
1. Ce sunt algoritmii de criptare cu cheie publică ?
2. Ce se înŃelege prin certificat de cheie publică ?
3. Ce rol are certificatul de cheie publică ?
4. Care este structura unui certificat de cheie publică ?
Bibliografie
1. Patriciu, V.V. – Criptografia şi securitatea reŃelelor de calculatoare, cu aplicaŃii în C şi
Pascal, Editura Tehnică, Bucureşti, 1994.
2. Patriciu, V.V., Ene-Pietroşanu, M., Bica, I., Văduva, C., Voicu, N. – Securitatea
comerŃului electronic, Editura All, Bucureşti, 2001.
Prezentarea lecŃiei / capitolul 10:
Sisteme de cifrare exponenŃială RSA
MD5. Este unul din cei mai noi algoritmi ai unei funcŃii de dispersie şi a fost
propus de Ronald Rivest. Acest algoritm primeşte la intrare un mesaj de lungime
oarecare şi produce la ieşire un rezumat de 128 biŃi. Rezumatul va rezulta în urma
executării următorilori paşi :
1. Mesajul M se extinde în aşa fel încât lungimea sa în biŃi să fie congruentă
cu 448 mod 512, extensia făcându-se cu un singur 1 urmaŃi de mai mulŃi de 0.
2. La rezumatul rezultat din etapa anterioară se adaugă o valoare de 64 biŃi,
care reprezintă lungimea mesajului original M.
Mesajul astfel rezultat este format din N zone de 512 biŃi (16 cuvinte a câte 12
biŃi fiecare) notate cu M1, M2, …, MN.
1. În continuare se va folosi un registru MD cu lungimea de 12 biŃi (4 cuvinte
a câte 12 biŃi cuvântul) pentru a se calcula rezumatul.
4. Mesajul astfel obŃinut se prelucrează în blocuri succesive de 16 cuvinte de
12 biŃi (Mj), iar prelucrarea se face în 4 runde.
5. La sfârşitul prelucrărilor MD conŃine ieşirea, adică valoarea rezumat de 128
biŃi.
SHA este un alt algoritm pentru calculul funcŃiei hash numit de fapt Secure
Hash Algorithm, standardul purtând numele SHS. El este utilizat împreună cu
sistemul de semnătură DSS. Acest algoritm, SHA, produce un segment de 160 biŃi,
mai mare decât cel obŃinut cu MD5.
Ca primă etapă a acestui algoritm se evidenŃiază faptul că mesajul este
completat la multiplu de 512 biŃi adăugându-se ca şi la MD5 un 1 şi atâŃi de 0, până la
448 biŃi, iar ultimii 64 biŃi memorează lungimea mesajului înainte de completare.
Acest rezumat MD de 160 biŃi este văzut ca 5 regiştri, A, B, C, D, E cu câte 12 biŃi
fiecare care se va iniŃializa cu o constantă MD0. Ciclul principal al algoritmului constă
în prelucrarea fiecărui bloc Mj de câte 512 biŃi fiecare. Orice prelucrare este făcută în
4 runde cu câte 20 de operaŃii fiecare.
Există şi funcŃii hash care utilizează cifruri simetrice, cum sunt scheme în care
dimensiunea rezumatelor este egală cu cea a blocului, schema Davies-Mayer
modificată de Lai şi Massay, schema Preneel – Bosslaers – Govaerts – Vandwalle.
Moduri de cifrare∗. În utilizarea practică există două moduri de utilizare a
algoritmilor simetrici : cifrarea bloc şi cifrarea şir de caractere sau secvenŃială.
Cifrarea bloc lucrează de obicei cu blocuri de 64 de biŃi, de text clar şi cifrat, alteori
blocurile pot avea o lungime mai mare. Cifrarea secvenŃială lucrează cu secvenŃe de
text clar şi cifrat de un bit sau un octet, alteori şi cu cuvinte de 12 biŃi. Când se
utilizează cifrarea bloc, acelaşi bloc de text clar va fi cifrat de fiecare dată în acelaşi
bloc de text cifrat, folosind aceiaşi cheie. În cazul cifrării cu şiruri de caractere,
secvenŃele similare de text clar vor fi cifrate diferit, în cazul în care se face o cifrare
repetată. De fapt modurile de criptare sunt combinaŃii ale tipurilor amintite, unele
folosind metode feed back, altele realizând simple operaŃii (se numesc aşa deoarece
securitatea este atribut al cifrării şi nu al modului în care se realizează schema de
cifrare).
Întrebări:
1. CaracterizaŃi cifrul EL GAMAL şi standardele DSS de semnătură digitală.
2. EnumeraŃi cele mai importante noŃiuni referitoare la cifruri bazate pe curbe
eliptice şi funcŃii hash criptografice.
3. CaracterizaŃi algoritmul MD5.
4. Prin ce se caracterizează algoritmul SHA ?
5. Care sunt modurile de cifrare ?
∗
Patriciu V. şi colectiv – Securitatea informatică în UNIX ŞI INTERNET
Bibliografie
1. Patriciu, V.V. – Criptografia şi securitatea reŃelelor de calculatoare, cu aplicaŃii în C şi
Pascal, Editura Tehnică, Bucureşti, 1994.
2. Patriciu, V.V., Ene-Pietroşanu, M., Bica, I., Văduva, C., Voicu, N. – Securitatea
comerŃului electronic, Editura All, Bucureşti, 2001.
Prezentarea lecŃiei / capitolul 11:
Cifrare bloc.
Cifrare carte de coduri (Electronic Code book – ECB) este cea mai utilizată cale de
cifrare bloc unde un bloc de text se transformă într-un bloc de text cifrat. Întrucât
fiecare bloc de text este întotdeauna cifrat în acelaşi bloc de text cifrat, teoretic se
consideră a fi posibilă crearea unei cărŃi de coduri în care să se poate face asocierea
dintre text-clar şi text-cifrat. Pentru blocuri cu o lungime de 64 biŃi rezultă 264 intrări
în cartea de coduri, ceea ce constituie o mărime ce nu permite uşor memorarea şi
lucrul. De asemenea este ştiut că şi fiecare cheie necesită o carte de coduri specială.
Această metodă nu necesită ca fişierul intrat la criptare să fie cifrat liniar de la
început până la sfârşit.
Criptarea se poate face luând blocuri din fişier în mod aleator. Acest mod de
lucru este foarte important mai ales pentru fişierele criptate care sunt accesate aleator,
precum sunt bazele de date. Dacă se criptează o bază de date cu cifrul ECB, atunci se
poate adăuga orice înregistrare, se poate şterge, se poate cripta sau decripta
independent de celelalte. CondiŃia este însă ca înregistrările să conŃină un număr
întreg de blocuri criptate. Problema care se ridică în utilizarea ECB, este dacă un
criptanalist care deŃine atât textul clar cât şi textul cifrat echivalent pentru câteva
mesaje, poare realiza o carte de coduri fără a şti cheia. Unele mesaje au fragmente
care tind să se repete, iar altele ca în poşta electronică au structuri regulate şi de aceea
un criptanalist ar putea intercepta o serie de informaŃii. El poate ataca textul de bază,
indiferent de tăria cfrului. Sunt foarte multe mesaje care se împart exact în blocuri de
câte 64 biŃi şi ECB-ul nu lucrează decât cu astfel de blocuri. De aceea se recurge la
operaŃia de padding (completare) a blocurilor. Ultimul bloc se va completa cu un
model zero-unu, alternând cifre de 1 şi 0, în aşa fel încât blocul să fie complet.
La decriptare este nevoie de ştergerea acestor surplusuri. Pentru stergerea
surplusurilor se adaugă ca ultim octet al ultimului bloc, numărul de octeŃi adăugaŃi.
Cifrarea secvenŃială (Stream Ciphers) constă în convertirea bit cu bit a textului clar în
text cifrat. Această metodă dispune de un generator de chei, (care în funcŃie de timp)
generează un şir de biŃi K1, K2, …, Ki. Cu ajutorul acestui şir de chei numit şi cheie
curentă se face XOR cu şirul de biŃi ai textului clar, p1, p2, …, pi, pentru a obŃine un
şir de text cifrat de forma : Ci= pi ⊕ Ki. La decriptare se obŃine rezultatul prin
efectuarea unui XOR între criptogramă şi cheia curentă pi = Ci ⊕ Ki (fig.1.4).
Securitatea acestui sistem depinde de generatorul de chei şi anume acesta generează
şiruri-cheie aleatoare, atunci există un grad înalt de securitate. Generatorul de chei
generează şiruri aleatoare (sunt şiruri deterministe) care pot fi recompuse complet în
momentul efectuării operaŃiei de decriptare.
Generator Generator
de de
chei chei
Criptare Decriptare
Starea
internă
FuncŃia
Cheia K stării
următoare
FuncŃie ieşire
Ki
∗
Patriciu V. şi colectiv – Securitatea informatică în UNIX ŞI INTERNET
3. Ce sunt cifrurile secvenŃiale ?
Bibliografie
1. Patriciu, V.V. – Criptografia şi securitatea reŃelelor de calculatoare, cu aplicaŃii în C şi
Pascal, Editura Tehnică, Bucureşti, 1994.
2. Patriciu, V.V., Ene-Pietroşanu, M., Bica, I., Văduva, C., Voicu, N. – Securitatea
comerŃului electronic, Editura All, Bucureşti, 2001.
3. Popovici, M.D., Popovici, I.M., Rican, J.G. – Proiectare şi implementare software,
Editura Teora, Bucureşti, 1998.
4. Rădescu, R. – Metode de codare şi protecŃie a informaŃiei în sisteme de calcul, Editura
Printech, Bucureşti, 1998.
Prezentarea lecŃiei / capitolul 12:
Criptare în reŃele
Întrebări:
1. Ce semnifică protecŃia bazelor de date distribuite ?
2. Ce semnifică securitatea bazelor de date distribuite ?
3. Ce se înŃelege prin restricŃii de integritate implicite ?
4. Care sunt restricŃiile de integritate asociate cheilor primare şi a celor externe
într-un model relaŃional ?
5. Cum se defineşte noŃiunea de blocare ? Dar cea de interblocare ?
6. Care este procedeul de realizare a copiilor unei baze de date ?
7. Ce este jurnalul tranzacŃiilor ?
8. DefiniŃi restaurarea manuală şi cea automată a unei baze de date.
9. Cum se asigură securitatea bazei de date care sunt modalităŃile ?
Studiul de caz: Pentru o bază de date stabiliŃi etapele şi măsurile concrete pentru
protecŃia şi securitatea ei.
Bibliografie
1. Stanciu-Timofte, C. – Baze de date pentru comerŃ electronic pe Internet, Editura Oscar
Print, Bucureşti, 2002.
2. Velicanu, M.; Lungu, I.; Muntean, M; Ionescu, S. – Sisteme de baze de date, Teorie şi
practică, Editura Petrion, Bucureşti, 2003.
3. Zaharie, D., Albescu, F., Bojan, F., Ivancenco, V., Vasilescu, C. – Sisteme informatice
pentru asistarea deciziei, Editura Dual Tech, Bucureşti, 2001.
4. *** - BDASEIG, Baze de date. Fundamente teoretice şi practice, Editura InfoMega,
Bucureşti, 2002.
5. Popescu, I. – Modelarea bazelor de date, Editura Tehnică, Bucureşti, 2001.
6. Popovici, M.D., Popovici, I.M., Rican, J.G. – Proiectare şi implementare software,
Editura Teora, Bucureşti, 1998.
Prezentarea lecŃiei / capitolul 14:
1.7. ContravenŃii şi infracŃiuni contra confidenŃialităŃii şi integrităŃii datelor
şi sistemelor informatice
Prin măsuri de securitate se înŃelege folosirea unor proceduri, dispozitive sau programe
informatice specializate cu ajutorul cărora accesul la un sistem informatic este restricŃionat sau
interzis pentru anumite categorii de utilizatori.
AcŃionează fără drept persoana care se află în una din următoarele situaŃii:
♦ nu este autorizată, în temeiul legii sau al unui contract;
♦ depăşeşte limitele autorizării;
♦ nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, să o
acorde, de a folosi, administra sau controla un sistem informatic ori de a desfăşura cercetări
ştiinŃifice sau de a efectua arice altă operaŃiune într-un sistem informatic.
Pentru asigurarea securităŃii sistemelor informatice şi a protecŃiei datelor personale,
autorităŃile şi instituŃile publice cu competenŃe în domeniu, furnizorii de servicii, organizaŃiile
neguvernamentale şi alŃi reprezentanŃi ai societăŃii civile desfăşoară activităŃi comune şi
programe de prevenire a criminalităŃii informatice. În acest scop, promovează politici, practici,
măsuri, proceduri şi standarde minime de securitate a sistemelor informatice; organizează
campanii de informare privind criminalitatea informatică şi riscurile la care sunt expuşi
utilizatorii de sisteme informatice.
Proprietarii sau administratorii de sisteme informatice la care accesul este interzis sau
restricŃionat pentru anumite categorii de utilizatori au obligaŃia de a avertiza utilizatorii cu
privire la condiŃiile legale de acces şi utilizare, precum şi cu privire la consecinŃele juridice ale
accesului fără drept la sistemele informatice. Avertizarea trebuie să fie accesibilă oricărui
utilizator. Nerespectarea acestei obligaŃii constituie contravenŃie şi se sancŃionează cu amendă
de la 5.000.000 lei la 50.000.000 lei. Constatarea contravenŃiei şi aplicarea sancŃiunii se fac de
către personalul împuternicit în acest scop de către ministrul comunicaŃiilor şi tehnologiei
informaŃiei, precum şi de personalul abilitat din cadrul Ministerului AdministraŃiei Publice şi
Internelor.
InfracŃiuni contra confidenŃialităŃii şi integrităŃii datelor şi sistemelor informatice:
1
c) Fapta de a modifica, şterge sau deteriora date - închisoare de la 2 la 7 ani.
informatice ori de a restricŃiona accesul la
aceste date, fără drept.
Transferul neautorizat de date dintr-un sistem - închisoare de la 1 la 12 ani.
informatic sau dintr-un mijloc de stocare a
datelor informatice.
d) Fapta de a perturba grav, fără drept, - închisoare de la 1 la 15 ani.
funcŃionarea unui sistem informatic, prin
introducerea, transmiterea, modificarea,
ştergerea sau deteriorarea datelor informatice
sau prin restricŃionarea accesului la aceste
date.
e) Fapta de a produce, vinde, de a importa, - închisoare de la 1 la 6 ani.
distribui sau de a pune la dispoziŃie, sub orice
formă, fără drept:
- a unui disozitiv sau program
informatic conceput sau adaptat, în scopul
săvârşirii uneia dintre faptele menŃionate la
literele a-d;
- a unei parole, cod de access au alte
asemenea date informatice care permit
accesul total sau parŃial la un sistem
informatic, în scopul săvârşirii uneia dintre
faptele menŃionate la literele a-d;
- DeŃinerea fără drept a unui dispozitiv,
program informatic, parolă, cod de access au
dată informatică care permit accesul la un
sistem informatic, în scopul săvârşirii uneia
dintre faptele menŃionate la literele a-d.
InfracŃiuni informatice:
2
accesului la aceste date ori prin
impiedicarea în orice mod a funcŃionării
unui sistem informatic, în scopul de a
obŃine un beneficiu material pentru sine
sau pentru altul.
3
Această măsură se dispune de organul competent ori de căte ori este necesar, pentru
descoperirea şi strângerea probelor, cercetarea unui sistem informatic au a unui suport de stocare
a datelor informatice.
În cazul în care, cu ocazia cercetării unui sistem informatic sau a unui suport de stocare a
datelor informatice, se constată că datele informatice căutate sunt cuprinse într-un alt sistem
informatic sau suport de stocare a datelor informatice şi sunt accesibile din sistemul sau suportul
iniŃial, se poate dispune, de îndată, autorizarea efectuării percheziŃiei în vederea cercetării tuturor
sistemelor informatice sau suporturilor de stocare a datelor informatice căutate.
d) Accesul într-un sistem informatic, precum şi interceptarea şi înregistrarea comnicaŃiilor
desfăşurate prin intermediul sistemelor informatice, efectuate când sunt utile pentru
aflarea adevărului, iar stabilirea situaŃiei de fapt sau identificarea faptuitorilor nu poate
fi realizată în baza altor probe.
Această măsură se realizează cu autorizarea motivată de organelle de cercetare penală, cu
sprijinul altor persoane specializate, care sunt obligate să păstreze secretul operaŃiuni effectuate.
AutorizaŃia se dă pentru cel mult 10 de zile, cu posibilitatea prelungirii în aceleaşi condiŃii pentru
motive temeinic justificate, fiecare prelungire neputând depăşi 10 de zile. Durata maximă a
măsurii autorizate nu poate depăşi 4 luni.
Până la terminarea urmăririi penale, procurorul este obligat să încunoştinŃeze în scris
persoanele faŃă de care s-au dispus măsurile de acces într-un sistem informatic, precum şi de
interceptareaşi înregistrarea comunicaŃiilor desfăşurate prin intermediul sistemelor informatice.
e) Măsuri asiguratorii prevăzute de codul de procedură penală.
Aceste măsuri se pot lua în cazul infracŃiunilor săvârşite, prin intermediul sistemelor
informatice pentru a garanta aducerea la îndeplinire a confiscării speciale.
Întrebări:
1. Cum se definesc măsurile de securitate?
2. Care sunt faptele care constituie infracŃiuni?
3. Care sunt sancŃiunile pentru astfel de fapte?
4. Care este rolul procurorului în cursul urmăririi penale?
Bibliografie
1. *** - Legea nr.445/2001 privind semnătura electronică, publicată în Monitorul Oficial nr.429 din 31
iulie 2001
2. *** - HG nr.1259 din 13 dec.2001 privind aprobarea Normelor Tehnice şi Metodologice pentru
aplicarea Legii nr.455/2001 privind semnătura electronică.
3. *** - HG nr.1308 din 2002 privind aprobarea Normelor Metodologice pentru aplicarea Legii
nr.365/2002 ce reglementează comerŃul electronic, publicată în M.Of. nr.877 din 05 dec.2002.
4. *** - OrdonanŃa nr.34/2002 privind accesul la reŃelele de comunicaŃii electronice şi la infrastructura
asociată, precum şi la interconectarea acestora, publicată în M.Of. nr. 88 din 02 februarie 2002.
5. *** - Legea nr.250 din 10 iunie 2003 pentru aprobarea OrdonanŃei nr.193/2002 pentru introducerea
sistemelor moderne de plată, M.Of.nr.942 din 23 decembrie 2002.