Curs 02

Criptografia
CURS: Apărare Cibernetică/Fundamentele apărării Cibernetice
 Cuprins
2. Criptografia
2.1 Criptografie. Algoritm criptografic. Cheie de criptare
2.2 Criptografia și securitatea datelor
2.3 Algoritmi de criptare
2.4 Utilizarea criptografiei
 2.1 Criptografie. Algoritm criptografic. Cheie de criptare

Criptografia
Reprezintă știința transformării informației din forma
nesecurizată - plain text (informația in clar) în forma
securizată – cipher text (informația criptată/indescifrabilă),
astfel încât persoanele neautorizate să nu poată accesa
conținutul acesteia.

Algoritm Criptografic
Funcție/Formulă matematică utilizată pentru a realiza
transformarea unui text clar, într-o formă criptată,
indescifrabilă celor care nu cunosc algoritmul criptografic
utilizat, cât și parametri necesari algoritmului.
2.1 Criptografie. Algoritm criptografic. Cheie de criptare

Cheie de criptare
Reprezintă o valoare matematică introdusă
într-un algoritm pentru a produce datele
criptate, respectiv ciphertext-ul.
Atunci când se dorește revenirea la textul
clar, se va realiza procesul invers care
necesită algoritmul și cheia de decriptare.
2.1 Criptografie. Algoritm criptografic.
Cheie de criptare

Procesul criptografic
Așa cum o cheie este introdusă într-un
lacăt, în aceeași manieră, în criptografie,
o cheie introdusă într-un algoritm de
criptare va bloca datele prin realizarea
textului criptat. Atunci când se dorește
revenirea la textul clar, se va realiza
procesul invers care necesită algoritmul
și cheia de decriptare.
 2.2 Criptografia și securitatea datelor
Criptografia este folosită pentru a furniza securitatea datelor. Cu ajutorul acesteia se pot
asigura următoarele cinci principii/mecanisme de securitate de bază:
asigurarea că doar doar utilizatorii
criptografia poate forța
persoanele autorizate au autorizați care dețin
acces la date
non-repudierea.
cheia, pot accesa datele
Confidentialitatea Disponibilitatea Non-repudierea

Integritate Autentificare
asigurarea că informațiile sunt corecte și autentificarea poate fi
ca nicio persoană neautorizată sau verificată cu ajutorul
software malițios nu a alterat datele criptografiei
(textul criptat solicită o cheie înainte ca
datele să poată fi accesate și/sau
modificate)
 2.3 Algoritmi de criptare
Una dintre diferențele fundamentale între algoritmii de criptare o reprezintă cantitatea
de date ce poate fi procesata la un moment dat.

Stream cipher Exemple: Substitution Cipher

O parte dintre algoritmii de criptare prelucrează
un singur caracter la un moment dat.
Un astfel de algoritm de criptare ia un caracter
din textul clar și îl înlocuiește cu un alt caracter
în textul criptat,
Acest tip de algoritm de criptare înlocuiește o
literă sau un caracter cu o altă literă sau un alt
caracter, folosind aceeași substituție tot timpul.
O astfel de substituire poartă numele de
substituire monoalfabetică.
 2.3 Algoritmi de criptare
Altă categorie de algoritmi de criptare utilizează criptarea pe blocuri. Un algoritm de criptare
pe bloguri (block cipher) manipulează un întreg bloc din textul clar la un moment dat.

Block cipher Categorii algoritmi criptografici

Mesajul clar este divizat în blocuri separate

formate dintr-un număr fix de biți, iar apoi Cu criptare Simetrica Cu criptare Asimetrica
fiecare bloc este criptat independent. Pentru
securitate adițională, blocurile pot fi criptate în
ordine aleatoare.
Algoritmi de tip Hash
 2.3 Algoritmi de criptare

Algoritmi de tip hash

Sunt folosiți pentru criptarea unei

informații, fără a exista posibilitatea
decriptării acesteia. Un algoritm hash
creează o amprentă digitală unică a unui
set de date. Această amprentă este
denumită, în mod comun, hashing, iar
uneori se regăsește și sub denumirea de
digest.

În practică se mai întâlnește și termenul one-way pentru hashing întrucât

conținutul hash-ului nu poate fi utilizat pentru a se reveni la setul inițial de date.
 2.3 Algoritmi de criptare
Scopul principal pe care îl are hashing-ul este verificarea integrității datelor specifice
unui mesaj sau aplicație software, aspect realizat prin compararea digest-ului generat
inițial la nivelul sursei pentru mesaj/aplicație cu cel existent la destinație.
trebuie să fie imposibil să
produci un set de date căruia să
îi corespundă un hash predefinit

Dimensiune fixa Originalitate Securitate

hash-ul rezultat nu poate fi

inversat în scopul determinării
textului clar original.

Unicitate
două seturi diferite de date nu pot
produce același digest. În cazul în
care s-ar întâmpla acest lucru,
termenul folosit este collision
 2.3 Algoritmi de criptare

Cele mai comune tipuri de algoritmi hash sunt: Message Digest, Secure Hash Algorithm,
Whirlpool și RIPEMD.

01 02 03
MD2 MD4 MD5

Message Digest 2 (MD2) – acesta
preia text clar de orice
dimensiune și creează un digest
cu lungimea de 128 biți. MD2
împarte textul clar în secțiuni de
128 biți; dacă mesajul este mai
mic de 128 biți se va adăuga
umplutura (padding).
Message Digest 4 (MD4) a fost
dezvoltat pentru arhitecturi
computaționale pe 32 biți. Ca
și MD2, MD4 creează un digest
cu lungimea de 128 biți. La
mesajul clar se poate adăuga
padding până la 512 biți.
Message Digest 5 (MD5) – este versiunea
actuală, dezvoltat pentru a elimina
punctele slabe ale lui MD4. MD5 utilizează
patru variabile a câte 32 biți fiecare într-o
maniera round-robin (manipularea
proceselor în ordine secvențială fără a
exista priorități) pentru generarea digest-
ului.
 2.3 Algoritmi de criptare

Secure Hash Algorithm (SHA). SHA este un algoritm mult mai securizat în comparație cu
MD. Ca și algoritmul MD a fost implementat în mai multe versiuni:

04 05 06
SHA-0 SHA-1 SHA-2

Creează un digest cu lungimea Cuprinde șase variante – SHA-224, SHA-

de 160 biți. SHA încarcă 256, SHA-384, SHA-512, SHA-512/224,
mesajele mai mici de 512 biți SHA-512/256
cu zerouri și un număr întreg
reprezentând lungimea inițială
a mesajului;
 2.3 Algoritmi de criptare

Secure Hash Algorithm (SHA). SHA este un algoritm mult mai securizat în comparație cu
MD. Ca și algoritmul MD a fost implementat în mai multe versiuni:

07 Whirlpool. Whirlpool constă într-o funcție hash

criptografică introdusă recent ce creează un digest cu
lungimea de 512 biți.
SHA-3
RACE Integrity Primitives Evaluation Message Digest
O versiune îmbunătățită a lui
(RIPEMD). RIPEMD a fost introdus după MD4 și asimilat
SHA-2, introdusă datorită
faptului că anumite sistemului European Union (EU).
vulnerabilități ale SHA-0 și
SHA-1 au fost exploatate de
atacatori.
 2.3 Algoritmi de criptare

Algoritmi simetrici

Algoritmii criptografici simetrici utilizează

aceeași cheie atât pentru criptarea cât și
pentru decriptarea.
!!!Este importantă menținerea
confidențialității cheii de criptare.
Criptarea simetrică = criptare cu cheie
privată
 2.3 Algoritmi de criptare

Cei mai comuni algoritmi criptografici simetrici includ: Data Encryption Standard, Triple
Data Encryption Standard, Advanced Encryption Standard.

01 02 03
AES DES 3DES

- 3 pași pentru fiecare bloc de 128 biți
-in pasul 2, multiple runde sunt realizate
depinzând de dimensiunea cheii: o cheie de
128 biți efectuează 9 runde, o cheie de 192
biți efectuează 11 runde, iar o cheie de 256
biți efectuează 13 runde.
-in fiecare rundă, biții sunt substituiți și
rearanjați.
Data Encryption Standard, face
parte din categoria block
cipher, împarte textul clar în
blocuri a cate 64 biti și
executa algoritmul de 16 ori.
Triple Data Encryption Standard ,
folosește 3 runde de criptare, textul cifrat
al unei runde devine input pentru
următoarea iterație. 3DES utilizează un
total de 48 iterații în procesul de criptare
(3 iterații, fiecare cu câte 16 runde).
 2.3 Algoritmi de criptare

Algoritmi asimetrici

Criptarea asimetrică utilizează două chei,

relaționate matematic, cu denumirile de
cheie publică, respectiv cheie privată.
Cheia publică este cunoscută oricui și
poate fi distribuită într-o manieră liberă,
iar cheia privată trebuie să fie cunoscută
doar persoanei căreia îi aparține.
2.3 Algoritmi de criptare

Procesul de criptare
asimetrica
Atunci când Bob dorește să trimită un
mesaj securizat către Alice, acesta va
utiliza cheia publică aparținând lui Alice
pentru criptarea mesajului. La primirea
mesajului, Alice va utiliza cheia sa privată
pentru a decripta mesajul.
 2.3 Algoritmi de criptare
Algoritmi de criptare asimetrici trebuie sa tina cont de urmatoarele principii:

trebuie păstrată
criptarea asimetrică confidențialitatea acesteia și
solicită o pereche de chei niciodată partajată

Key pairs Private key Both directions

un document criptat cu o
cheie publică poate fi
decriptat cu cheia privată
corespunzătoare, iar un
document criptat cu o cheie
Public key privată poate fi decriptat cu
cheia publică
prin natura sa este destinată a fi corespunzătoare.
publică și nu necesită protecție; poate
fi distribuită oricui sau chiar postată
pe Internet
 2.3 Algoritmi de criptare
Criptografia asimetrică poate fi utilizată și
pentru probarea validității. Acest lucru se
realizează prin crearea unei semnături
digitale, care reprezintă o verificare digitală
a expeditorului.
O semnătură digitală reprezintă o metodă
matematică utilizată pentru a verifica
autenticitatea și integritatea unui mesaj, a
unui document digital sau a unui software.
Criptografia asimetrică este de fapt baza
semnăturilor digitale.

Pașii pe care Alice îi realizează pentru a transmite

un mesaj semnat digital către Bob
 2.3 Algoritmi de criptare
Cei mai comuni algoritmi criptografici asimetrici includ:

01 02 03 04
RSA Diffie Hellman ElGamal Elliptic Curve Cryptography

La baza RSA stă un Furnizează o metodă de schimb Utilizat de guvernul Folosește curbele eliptice în
algoritm matematic electronic pentru partajarea cheii american ca standard realizarea algoritmului
complex dezvoltat de secrete. Protocoale cum ar fi pentru semnături
Ron Rivest, Adi Shamir Secure Socket Layer, Transport digitale
și Leonard Adleman Layer Security (TLS), Secure Shell
(SSH) și Internet Protocol Security
(IPSec) utilizează acest algoritm
 2.3 Algoritmi de criptare
Observații:
- sistemele de criptare simetrică sunt mai eficiente și pot gestiona mai
multe date.
- criptografia asimetrică este mai eficientă la protejarea confidențialității
cantităților mici de date
- menținerea confidențialității este importantă atât pentru datele stocate,
cât și pentru datele în mișcare.
- criptarea simetrică este favorizată datorită vitezei sale și simplității
algoritmului.
- unii algoritmi asimetrici pot crește semnificativ dimensiunea obiectului
criptat.
- în cazul datelor în mișcare, utilizați criptografia cu cheie publică pentru a
schimba cheia secretă, apoi criptografia simetrică pentru a asigura
confidențialitatea datelor trimise.
 2.4 Utilizarea Criptografiei
Criptarea poate fi realizată cu ajutorul unui software criptografic ce rulează la
nivelul unui sistem informatic. Criptarea software poate fi aplicată fișierelor
individuale, la nivelul unui sistem de fișiere sau unui întreg disc.

Soluții de criptare software

Microsoft Windows Encrypting File System (EFS)
• este un sistem criptografic specific sistemelor de operare Windows care utilizează
sistemul de fișiere NTFS.
• criptarea și decriptarea fișierelor este transparentă pentru utilizator.
• fișierele EFS sunt criptate cu ajutorul unei singure chei simetrice, iar apoi cheia
simetrică este criptată de două ori (o dată cu cheia publică EFS a utilizatorului și încă o
dată cu cheia agentului de recuperare (recovery agent) pentru a permite recuperarea
datelor.
 2.4 Utilizarea Criptografiei
Soluții de criptare hardware
Criptarea prin hardware

• Criptarea hardware poate fi mult mai greu exploatată, ceea ce o face mult
mai puțin vulnerabilă comparativ cu criptarea software.
• Trusted Platform Module – este un chip esențial la nivelul plăcii de bază
care furnizează servicii criptografice. TPM include: un true random number
generator în loc de un pseudorandom number generator și suport complet
pentru criptare asimetrică.