Sunteți pe pagina 1din 25

UNIVERSITATEA DE VEST TIMISOARA FACULTATEA DE ECONOMIE SI ADMINISTRAREA AFACERILOR MASTER: SISTEME INFORMATIONALE PENTRU AFACERI

Profesor Coordonator Conferentiar Dr. Claudiu Brandas Masterand Buderes Ionela Cristina An II, SIA

2012

CUPRINS

Introducere................................................................................................................................3

CAP 1 Semnatura electronica definire si caracteristici


1.1. Ce este semnatura electronica...............................................................................................5

1.2. Cine poate sa semneze electronic.6 1.3. Semnatura olografa vs. Semnatura electronica7

CAP 2 Rolul semnaturii electronice in securizarea datelor si informatiilor 2.1. Necesitatea semnaturii electronice.....10 2.2. Rolul semnaturii electronice..11

CAP 3 3.1. Cum se realizeaza semnatura electronica...........................................................................15 3.2. Cum se foloseste o semnatura digitala...............................................................................18 3.3. Certificatul digital..............................................................................................................20

Concluzii..................................................................................................................................23

INTRODUCERE

Dezvoltarea continua a internetului a condus la o largire fara precedent a posibilitatilor de a desfasura activitati comerciale. Ast zi putem vorbi de accesul la distan a resurselor informa ionale, de contracte ncheiate ntre persoane care nu se cunosc fa n fa , sisteme electronice de pl ti , sisteme de transfer de fonduri i de comer electronic prin re ele, etc. Totodata, dezvoltarea unui context de incredere este o conditie obligatorie tinand cont de posibilele riscuri care pot apare cand se desfasoara activitati electronice on-line: identificarea partilor, transmisia datelor, securizarea modalitatilor de plata, legislatia inca neclara privitoare la protectia consumatorului. Aceste riscuri reprezinta o frana in calea cresterii numarului si volumului tranzactiilor comerciale pe Internet. Daca vorbim insa de inmultirea activitatilor comerciale on-line, automat aceasta crestere este insotita si de o inmultire a riscurilor asociate cu neindeplinirea de catre vanzator sau cumparator a obligatiilor contractuale. Orice activitate economica este predispusa la comiterea unor fraude.Problema apare atunci cand realizam ca rezolvarea acestor conflicte necesita o atentie sporita in domeniul comertului electronic. Este vorba in primul rand de volumul urias de tranzactii ce au loc in fiecare zi pe internet, dar si de faptul ca majoritatea tranzactiilor au loc intre entitati care nu s-au cunoscut anterior si probabil nu vor avea contacte dupa finalizarea obligatiilor contractuale in care sunt implicate momentan. Mai mult decat atat, este vorba despre tranzactii intre entitati aflate sub jurisdictii diferite. Aici este cea mai importanta problema care trebuie rezolvata legal. Increderea si viitorul comertului electronic n conditii ridicate de securitate depinde de evolutia semnaturii electronice. Din aceste considerente, semnatura electronica este un mod de autentificare a continutului documentelor electronice si va avea un rol decisiv n tranzactiile specifice comertului electronic. In ultimii ani, in tarile dezvoltate, hartia a devenit numai un mediu de prezentare a informatiilor nu si de arhivare sau transport. Aceste ultime doua functii au fost preluate de calculatoare si de retele de interconectare a acestora.
3

De aceea au trebuit sa fie gasite solutii pentru inlocuirea sigiliilor, stampilelor si semnaturilor olografe din documentele clasice cu variantele lor digitale, bazate pe criptografia clasica si cu chei publice. Ameliorarea securitatii sistemelor informatice trebuie sa fie un obiectiv important al oricarei organizatii.Trebuie insa avuta in vedere asigurarea unui bun echilibru intre costurile aferente si avantajele concrete obtinute. Masurile trebuie sa descurajeze tentativele de penetrare neautorizata, sa le faca mai costisitoare decat obtinerea legala a accesului la aceste programe si date.

1. Semnatura electronica definire si caracteristici


1.1. Ce este semnatura electronica Semnatura electronica reprezinta o succesiune de biti, adica un set de date in forma electronica, care sunt asociate sau logic asociate cu alte date in forma electronica si care servesc ca metoda de identificare. Semnatura electronica este pur si simplu o succesiune de date in format binar care sunt asociate unui document dupa reguli clare si asigura acestuia autenticitatea, integritatea si non repudierea (originea documentului nu poate fi negata). Semnatura electronica extinsa este acea semnatura care indeplineste cumulativ urmatoarele conditii: y y y y este legata in mod unic de semnatar; asigura identificarea semnatarului; este creata prin mijloace controlate exclusiv de semnatar; este legata de datele in forma electronica, la care se raporteaza in asa fel incat orice modificare ulterioara a acestora este identificabila. Doar semnatura electronica extinsa are valoare probanta in justitie. In fiecare zi, oamenii semneaza scrisorile si alte documente, demonstrand ca sunt de acord cu continuturile lor. Totusi, semnaturile manuale sunt vulnerabile pentru ca e posibil sa fie reproduse si ca documentele sa fie modificate dupa ce au fost semnate. Semnaturile digitale si cele manuale sunt ambele bazate pe faptul ca e foarte greu sa gasesti doua persoane cu aceeasi semnatura. Derularea afacerilor prin intermediul retelei Internet si schimbul de date pe suport electronic necesita existenta aceluiasi sentiment de incredere si securitate al partenerilor care incheie o tranzactie la fel ca in cazul comertului clasic. Acest sentiment poate fi dat acum de folosirea semnaturii digitale. Semnatura electronica (sau digitala) este pentru documentele electronice ceea ce este o semnatura olografa pentru documentele tiparite. Semnatura electronica reprezinta informatii in format electronic si care sunt atasate sau logic asociate unor documente, in forma de asemenea electronica, si serveste ca metoda de identificare a semnataruiui si este inmagazinata pe suport magnetic securizat. Cu alte cuvinte, semnaturile digitale permit autentificarea mesajelor digitale, asigurand destinatarul de identitatea expeditorului si de integritatea mesajului, furnizand astfel un grad mult mai mare de securizare decat semnatura olografa.
5

Destinatarul mesajului semnat digital poate verifica atat faptul ca mesajul original apartine persoanei a carei semnatura a fost atasata cat si faptul ca mesajul n-a fost alterat, intentionat sau accidental, de cand a fost semnat. Mai mult, semnatura digitala nu poate fi negata. Semnatarul documentului nu se poate disculpa mai tarziu invocand faptul ca a fost falsificata (documentele cu o semnatura electronica au valabilitate juridica in instanta, iar emitentul acesteia este identificat usor). Efectul produs prin aplicarea semnaturii electronice este asimilat semnaturii olografe si stampilei (daca e cazul) aplicate unui document in forma fizica. Practic, orice domeniu de activitate are nevoie de facilitatea transmisiei electronice a informatiilor, indiferent de natura acestora. Prin aplicarea semnaturii electronice pe documentele care impun autenfificarea prin semnatura si sigiliu, se realizeaza trecerea la noua era informationala. Se poate imagina trecerea de la birourile prafuite, inecate de dosare, contracte necitite inca, scrisori care asteapta de mult un raspuns, faxuri si alte hartii poate niciodate identificate, la biroul modern, unde calculatorul preia activitatea de rutina si de organizare a fluxurilor de informatii.

1.2. Cine poate sa semneze electronic Orice persoana care, in baza unui contract incheiat cu un furnizor de servicii de certificare, detine o pereche functionala cheie publica / cheie privata si are o identitate probata printr-un certificat digital emis de acel furnizor. Ce este cheia privata? Un cod digital cu caracter de unicitate, generat printr-un dispozitiv hardware si/sau software specializat. Ce este cheia publica? Un cod digital, perechea cheii private necesara verificarii semnaturii electronice. Cheia privata reprezinta datele de creare a semnaturii electronice, iar cheia publica datele de verificare ale acesteia. Cheia privata nu poate fi dedusa in nici un fel din cheia sa publica pereche. O cheie criptografica este de fapt un fisier. Cheia privata sta pe calculatorul dumneavoastra, pe o discheta personala sau pe un smart-card. In ceea ce proveste cheia publica, se pot face nenumarate copii ce pot fi distribuite oriunde se doreste. Insa este nevoie de amandoua, ele fiind puternic legate una de alta.
6

Algoritmii de criptare cu cheie publica prezinta o criptocomplexitate foarte mare, bazandu-se in general pe operatii matematice complexe, cu numere intregi foarte mari (sute de cifre zecimale sau mii de biti), ceea ce confera o tarie deosebita acestor metode de cifrare. Semnatura electronica nu asigura confidentialitatea documentului, adica in mod normal informatiile din documentul semnat nu sunt criptate, deci nu sunt protejate la citire si pot fi citite de catre oricine. Semnatura electronica extinsa este un tip special de semnatura electronica echivalenta unei semnaturi olografe (pe hartie) atunci cand se bazeaza pe un certificat digital calificat nesuspendat. Semnatarul este definit ca fiind acea persoana care detine un dispozitiv de creare a semnaturii electronice si care actioneaza fie in nume propriu (persoana fizica) fie in numele unui tert (persoana juridica, de exemplu). Semnatura electronica se aplica unui document in format electronic, redactat sau obtinut prin intermediul programelor informatice, de exemplu: - Documente MS Word (contracte, documente, notificari, etc.); - Spread-sheet Excel (rapoarte financiare, state de plata a salariilor, etc.); - Documente Adobe Acrobat; - Fotografii digitale (constatari, mostre, comanda de produse, etc.); - Programe expert de gestiune a documentelor; - Documente rezultate din prelucrarea datelor contabile si fiscale.

1.3. Semnatura olografa vs. Semnatura electronica Multa vreme semnaturile olografe (de mana) au fost folosite pentru a proba ca o anumita persoana este de acord cu un anumit document. Cerintele generale ce se pun in fata unei semnaturi sunt urmatoarele: y y sa fie autentica, adica executata de autorul documentului; sa fie nefalsificabila, adica sa dovedeasca ca documentul a fost produs de pretinsul semnatar; y sa fie nereutilizabila, adica sa nu poata fii mutata, de catre o persoana rau intentionata, pe un alt document;

sa fie nealterabila, adica o data documentul semnat, acesta sa nu poata fi modificat; sa fie nerepudiabila, adica semnatarul sa nu mai recunoasca autenticitatea ei.

Potrivit Asociatiei Baroului American (ABA), semnatura nu reprezinta o parte a esentei unei tranzactii, ci mai degraba a modului ei de reprezentare sau a formei sale. Semnarea documentelor are urmatoarele scopuri: 1. Proba : O semnatura autentifica un document scris prin identificarea celui care a semnat documentul. Cand persoana respectiva a marcat documentul intr-o maniera proprie, distinctiva, documentul poate fi atribuit acelei persoane. 2. Caracter oficial: Actul de semnare a unui document are implicatii in domeniul juridic si de aceea, cel care semneaza trebuie sa fie in cunostinta de cauza, putand astfel sa evite angajamentele nechibzuite; 3. Acord: In anumite contexte specificate prin lege, semnatura are rolul de a consemna in mod expres autorizarea sau acordul dat de persoana care semneaza pentru acel document sau intentia acesteia ca documentul sa aiba efect legal. 4. Eficienta: O semnatura pe un document scris da o anumita claritate si chiar finalitate unei tranzactii. Tehnologia semnaturii electronice surclaseaza tehnologia pe hartie pentru toate aceste atribute. Noile servicii Internet, si in special comertul electronic, au creat necesitatea unui serviciu permanent de semnatura electronica (digitala) care, realizata prin mijloace electronice, sa garanteze tranzactiile Internet, adica: y y Sa permita identificarea unei persoane fara a o intalni; Sa creeze o proba, irefutabila in fata unei autoritati, a tranzactiei incheiate si executate. In realitate, desi a fost folosita mii de ani, semnatura olografa nu respecta intru-totul aceste deziderate. Cu atat mai mult, atasarea unor semnaturi scanate la documentele electronice face banal procesul de falsificare.

In literatura de specialitate nu se face, de cele mai multe ori, distinctia dintre termenul de semnatura electronica si cel de semnatura digitala, tinand cont de faptul ca tehnologia cea mai folosita in realizarea semnaturilor electronice o constituie azi criptografia. Insa daca ar fi sa fim rigurosi, din punct de vedere terminologic, in literatura de specialitate se face totusi distinctie intre cele 2 notiuni: 1. Semnatura electronica este considerata a fi rezultatul unor operatii initiate de catre un user identificabil si este realizata folosind tehnologie informatica. Se remarca neutralitatea tehnologica a semnaturii electronice, ea putand consta din orice sunet, simbol sau proces electronic, atasat unui document electronic si care reflecta actul constient de recunoastere a continutului acelui document de catre semnatar. Multe reglementari legislative folosesc acest termen pentru a conferi neutralitate si pentru a nu limita prevederile la tehnologia criptografica actuala. Se poate considera semnatura elecronica ca termenul cel mai general ce permite autentificarea unui document electronic. 2. Semnatura digitala reprezinta la ora actuala singura solutie tehnologica acceptata pentru uzul practic, pe post de semnatura electronica, de catre legislatia tuturor statelor. Se realizeaza folosind metode criptografice cu chei publice: semnarea se face folosind cheia privata a semnatarului, singurul care are acces la ea, iar verificarea o poate face orice persoana, utilizand cheia publica pereche, distribuita prin Internet sub forma unui certificat digital. Implementarile existente de sisteme de semnatura digitala folosesc, cel mai adesea, urmatorii algoritmi criptografici: y pentru rezumat: MD5 (Mesage Digest create de Ronald Rivest), SHA-1 (Secure Hash Algoritm, creata de Institutul de Standarde al SUA -NIST pentru standardul de semnatura DSA) sau RIPEM-160; y pentru semnatura: RSA ( creat de Rivest-Shamir si Adleman), si DSA (Digital Signature Algorithm, creat de NIST ca standard de semnatura digitala).

2. Rolul semnaturii electronice in securizarea datelor si informatilor


2.1. Necesitatea semnaturii electronice Pe m sur ce din ce n ce mai multe informa ii i date ale firmei sunt transmise exclusiv pe suport digital, securitatea informatic ncepe s devin aproape sinonim cu ns i securitatea organiza iei. Masurile de securitatea pentru asigurarea confidentialitatii datelor au un imens impact asupra modului in care organizatiile conduc afacerile si, implicit, isi ating obiectivele strategice. Consecintele incidentelor de securitate a datelor pot fi dezastruoase, dar ele pot fi evitate. Vechile metode de securitate raman importante, dar pe masura ce firmele dobandesc o noua identitate virtuala, acestea nu mai sunt suficiente. Odata cu dezvoltarea domeniului IT organizatiile si persoanele schimba tot mai mult documente in format electronic prin e-mail, prin download/upload, prin alte mijloace de transfer de fisiere. Problema care s-a pus la un moment dat a fost aceasta: daca tot schimbam aceste informatii in mod electronic de ce sa nu cautam o solutie tehnica prin care sa putem semna aceste documente ca si cum ele ar fi schimbate pe hartie in mod traditional. Astfel am putea incheia contracte pe cale electronica, am avea posibilitatea sa asiguram destinatarul de autenticitatea documentului, destinatarul ar fi sigur ca acest document este non repudiabil adica nu il vom putea refuza pe motiv ca nu este al nostru. Asadar in general vom obtine pentru un document electronic tot ceea ce avem la un document semnat in mod traditional pe hartie. Evident pentru a pune in practica aceste idei, pe langa solutiile tehnice a trebuit creat si cadrul legal in care astfel de operatii de semnare electronica sa fie recunoscute legal si sa poata fi considerate cu statut egal documentelor pe hartie din punct de vedere legal. In practica curenta, formalizarea tranzactiilor implica in mod normal existenta unor documente si semnarea sau autentificarea acestora. Totusi metodele traditionale sunt pe cale de a fi schimbate. Documentele continua sa fie scrise pe hartie, dar uneori doar pentru a li se recunoaste legalitatea.

10

De multe ori, schimbul de informatie necesar pentru realizarea unei tranzactii nu trebuie sa fie transcris pe hartie. Informatia bazata pe folosirea calculatoarelor poate sa fie utilizata diferit fata de cea de pe hartie. De exemplu, computerul poate citi informatia digitala, o poate transforma sau poate realiza actiuni programate bazate pe informatie. Informatia stocata pe biti poate circula aproape cu viteza luminii, poate fi duplicata fara limite si cu costuri nesemnificative. Desi caracterul fundamental al tranzactiilor nu s-a schimbat, legea incepe sa se adapteze noilor evolutii ale tehnologiei. Comunitatile de afaceri si juridice trebuie sa elaboreze reguli si practici care folosesc noua tehnologie. Pentru ca actul de semnare a unui document sa atinga scopurile prezentate mai sus, semnatura trebuie sa aiba urmatoarele 4 atribute: y Sa-l autentifice pe cel care semneaza. O semnatura trebuie sa indice persoana care a semnat un document, mesaj, sau inregistrare si trebuie sa fie foarte dificil pentru o alta persoana sa o reproduca fara autorizarea celei dintai. y Sa autentifice documentul. O semnatura trebuie sa identifice documentul pe care se gaseste, facand imposibila falsificarea sau alterarea acestuia sau a semnaturii, fara a se putea detecta acest lucru. y y Sa fie un act afirmativ. Stabileste ca o tranzactie a fost realizata legal. Eficienta. In mod optim, o semnatura si procesele de creare si verificare ale ei trebuie sa furnizeze siguranta maxima atat in autentificarea celui care semneaza, cat si a documentului, cu un cat mai mic consum de resurse.

2.2. Rolul semnaturii electronice Derularea afacerilor prin intermediul retelei Internet si schimbul de date pe suport electronic necesita existenta sentimentului de incredere si securitate al partenerilor care incheie o tranzactie la fel ca in cazul comertului clasic. Acest sentiment poate fi dat acum de folosirea semnaturii electronice. O semnatura digitala pentru documentele electronice este echivalenta cu o semnatura olografa pentru documentele tiparite.

11

O semnatura digitala furnizeaza un grad mult mai mare de securizare decat semnatura olografa. Destinatarul mesajului semnat digital poate verifica atat faptul ca mesajul original apartine persoanei a carei semnatura a fost atasata cat si faptul ca mesajul n-a fost alterat, intentionat sau accidental, de cand a fost semnat. Mai mult, semnatura digitala nu poate fi negata, semnatarul documentului nu se poate disculpa mai tarziu invocand faptul ca a fost falsificata. Cu alte cuvinte, semnaturile digitale permit autentificarea mesajelor digitale, asigurand destinatarul de identitatea expeditorului si de integritatea mesajului. Magazinele virtuale, transferurile electronice bancare si alte servicii electronice devin, pe zi ce trece, instrumente obisnuite, convenabile si flexibile si pot fi utilizate chiar de acasa. Preocuparile legate de confidentialitate si securitate pot fi prevenite apeland la acest mijloc nou de comunicare. Doar criptarea nu este suficienta si nu ofera suficiente informatii legate de identitatea celui care trimite informatii criptate. Fara o protectie speciala va asumati anumite riscuri in tranzactiile online. Semnatura digitala rezolva aceasta problema, furnizand o modalitate electronica pentru verificarea identitatii unui individ. Folosit in completarea criptarii, semnatura digitala furnizeaza o solutie completa de securizare, confirmand identitatea tuturor partilor implicate intr-o tranzactie. Semnatura digitala este utilizat pentru o gama variata de de tranzactii electronice ce include e-mail, comertul electronic, transferul electronic de fonduri. In mod obisnuit, comertul electronic impune si utilizarea unui certificat pentru securizarea serverului. Certificatul digital reprezinta un instrument in stabilirea unui canal securizat pentru comunicarea informatiilor confidentiale. Orice persoana, fizica sau juridica, aflata pe teritoriul Romaniei poate beneficia de servicii de certificare in vederea utilizarii semnaturii electronice, O semnatura electronica are aceleasi functionalitati si aplicabilitati ca si semnatura olografa si chiar mai mult decat atat, modul ei de utilizare recomandand-o din punctul de vedere al securitatii si integritatii. In plus, daca in cazul semnaturii olografe exista suspiciuni in cazul recunoasterii identitatii semnatarului, aceste suspiciuni sunt practic eliminate in cazul semnaturii electronice, facand astfel ca non-repudierea sa fie asigurata in proportie de 100%. Semnatura electronica satisfaca urmatoarele cerinte de securitate:
12

Confidentialitatea

protejeaza continutul tranzactiilor mpotriva citirii

neautorizate, de catre alte persoane dect receptorii specificati de emitator. y Autentificarea permite receptorului unui mesaj sa determine n mod sigur identitatea expeditorului. y Integritatea datelor n retea furnizeaza receptorului unei tranzactii siguranta ca mesajul primit este identic cu mesajul emis de expeditor. y Prevenirea nerecunoasterii tranzactiei de catre expeditor (Non-Repudierea) garanteaza integritatea si originea tranzactiilor din punctul de vedere al expeditorului si nu a destinatarului. Se mpiedica astfel ca expeditorul unei tranzactii electronice sa nege trimiterea ei. y Aplicarea selective a unor servicii de multe ori este necesara acoperirea unor parti ale tranzactiilor, de exemplu cele continnd numarul cartii de credit al unui client. Aceasta nu trebuie sa fie n clar vnzatorului, care poate abuza de utilizarea ei. Avantajele utilizarii semnaturii electronice: Eliminarea lucrului cu hrtii i a costurilor aferente acestora semn tura electronic are aceea i valoare din punct de vedere al legii cu semn tura olograf ; y y Eliminarea timpilor mor i i a resurselor angrenate n depozitare i manipulare; Securizarea comunica iilor n cadrul firmei, precum i a tranzac iilor on-line.

Protocolul de semnatura electronica satisface mai bine conditiile prezentate anterior: y Semnatura este autentica deoarece se verifica numai cu cheia publica a emitatorului; y Semnatura este nefalsificabila deoarece numai emitatorul cunoaste cheia privata proprie cu care se face semnatura; y Semnatura este nereutilizabila deoarece ea este in functie de continutul documentului, cel care este criptat cu cheia privata a semnatarului; y Semnatura este nealterabila deoarece orice alterare a continutului documentului face ca semnatura sa nu mai fie verificabila cu cheia publica a semnatarului;

13

Semnatura este nerepudiabila deoarece receptorul documentului nu are nevoie de ajutorul emitatorului pentru verificarea semnaturii.

Semnatura electronica este un instrument deosebit de util si puternic totodata, care ofera urmatoarele facilitati: Permite semnatarilor unui document sa oficializeze acest act chiar daca se afla la mare distanta geografica fata de locul unde trebuie semnat documentul. y Pe de alta parte, un document semnat electronic se supune clauzei juridice de nonrepudiere, adica semnatarul nu poate sustine ca nu a semnat acel document. y Prin faptul ca orice modificare, cat de mica, a documentului semnat digital duce automat la anularea semnaturii, destinatarul are convingerea ca documentul a ajuns in stare nealterata. y Orice document semnat digital poate fi tiparit la imprimanta, putand contine informatia c documentul original e cel electronic si ca acesta poarta semnatura electronica a semnatarului. y Prin folosirea semnaturii digitale, destinatarul poate sa fie sigur de identitatea expeditorului. y Implementarea semnaturii electronice aduce companiilor reducerea costurilor si cresterea randamentului y Intr-o companie, semnatura digitala poate fi utilizata atat pentru procesele interne cat si pentru cele externe. Procesele interne implica interactiuni intre angjati sau departamente ceea ce determina rapoarte de vanzare, rapoarte financiare etc. Procesele externe presupun trenzactii cu clintii, furnizorii, agentiile, guvernul etc., cre mplica o multime de documente cum ar fi: facturi, ordine de plata, contracte legale, acorduri.

14

3. Realizarea si implementarea semnaturii electronice


3.1. Cum se realizeaza semnatura electronica Semnatura electronica, desi nu asigura criptarea documentului, se bazeaza ca specificatii tehnice pe algoritmi definiti in teoria sistemelor criptografice. Ce este foarte pe scurt un astfel de algoritm criptografic? Sa presupunem ca avem textul Ana are mere si dorim sa il criptam, pentru ca o alta personana sa nu poata vedea acest continut decat daca este in posesia solutiei de decriptare. Pentru criptare vom folosi anumite tehnici, de exemplu vom inlocui fiecare litera din textul de mai sus cu urmatoarea litera din alfabet, astfel ca textul de mai sus va arata asa Bob bsf nfsf. Dar o astfel de critare este foarte simpla, si un interpus va putea imediat descifra mesajul. O alta abordare este aceea de a cripta textul nostru cu o anumita cheie, adica cu o succesiune de simboluri, caractere, cifre care aplicate intr-un anumit mod, dupa un algoritm , textului nostru ii va da o alta forma iar interlocutorul nostru va putea descifra mesajul doar aplicand asupra rezultatului criptat din nou aceasi cheie. De exemplu aplicand pe textul Ana are mere cheia 34564576657567586789 si un anumit algoritm criptografic, textul nostru s-ar putea sa arate asa dfd!$23xyfrhgfddslkl. O astfel de criptare se numeste criptare simetrica (cu cheie secreta), deoarece atat pentru criptare cat si pentru decriptare se foloseste o aceasi cheie. Asadar daca un tert intra in posesia cheii noastre , el va putea descripta orice mesaj; mai mult, va putea emite mesaje false catre destinatar folosind cheia expeditorului. Exemple de algoritmi simetrici sunt algoritmii cunoscuti in informatica sub numele de DES sau AES. O alta metoda de criptare, mult mai sigura si folosita ca standard in semnaturile digitale este criptarea asimetrica (cu chei publice). In aceasta abordare se folosesc doua chei, una numita privata folosita pentru criptare si alta numita publica pentru descriptare. Cheia privata este tinuta secreta si folosita de semnatar pentru a cripta documentul, cealalta facuta publica se poate folosi doar pentru descifrare. Datele cifrate cu cheia privata pot fi descrifrate doar cu cheia publica sau viceversa.

15

Astfel eu voi putea primi mesaje secrete de la orice persoana care cunoaste cheia mea publica dar le voi putea descifra doar eu pentru ca doar eu am cheia secreta. Exemple de astfel de algoritmi asimetrici sunt algoritmii RSA sau DSA. In practica, aceasta metoda nu se foloseste pentru criptarea unor documente mari deoarece necesita un volum de calcul foarte mare, ci utilizarea ei practica o intalnim in distributia (criptarea) unor chei secrete de la sursa la destinatar, deci documentul se cripteaza cu o cheie simetrica si aceasta din urma se trasmite criptata printr-un algoritm asimetric. Procesul de semnare electronica decurge astfel: 1. Continutul din fisierul original pe care dorim sa il semnam este transmis unui algoritm care ii genereaza un asa numit rezumat, adica o combinatie de simboluri alfanumerice de lungime fixa care are proprietatea ca este unica pentru acest continut. Nici un alt continut oricare ar fi el nu va mai avea acelasi rezumat si de asemenea ca pornind de la rezumat nu se poate obtine textul original. 2. Rezumatul este criptat cu cheia publica, rezulta un rezumat criptat. 3. Rezumantul criptat este pus impreuna cu documentul original si transmis destinatarului. Acest rezumat criptat este defapt semantura electronica a documentului. 4. Destinatarul vede documentul si acum il va verifica ca este autentic, non repudiabil si integru. Cum face asta: a) folosind cheia publica a expeditorului decripteaza rezumatul criptat, deci ii rezulta un rezumat necriptat b) calculeaza el insusi un rezumat al documentului in clar primit de la expeditor c) compara cele doua rezumate si daca ele coincid atunci documentul este integru, adica nu a fost modificat pe parcurs pentru ca daca ar fi fost modificat d) documentul este deasemenea autentic si non repudiabil deoarece a putut fi decriptat rezumatul cu cheia publica si rezumatele sunt egale Semnatura electronica este creata prin mijloace controlate exclusiv de semnatar. Este legata de documentul in forma electronica la care se raporteaza in asa fel incat orice modificare a documentului, ulterioara semnarii, sa duca automat la invalidarea semnaturii. Schemele semnaturilor digitale tip cheie publica se bazeaza pe criptarea in cheie publica. Astfel, fiecare utilizator are cate o pereche de chei: una publica si una privata.

16

Cheia publica este distribuita liber, iar cheia privata este tinuta secreta de catre utilizatorul ei. Cheia privata este un dispozitiv specializat (de obicei un sir de caractere) cu caracter de unicitate. Cheia publica este tot un cod digital, dar este perechea cheii private si este necesara verificarii semnaturii electronice. Alta cerinta este aceea ca ar trebui sa fie practic imposibil sa afli cheia private din cea publica. In general, schemele semnaturilor digitale includ 3 algoritmi: - un algoritm de generare de cheie; - un algoritm de semnare; - un algoritm de verificare; Atunci cand va dori sa transmita un document semnat digital de catre el, semnatarul va proceda astfel: Semnatarul va genera un hash al documentului care va fi apoi protejat prin criptare, folosind cheia sa privata. Astfel s-a creat documentul semnat digital care apoi va fi transmis catre destinatar. Daca pe parcursul transmisiunii documentului acesta este cumva interceptat de catre un tert, chiar daca acesta nu-l va putea citi, el ar putea in mod malitios alterarea documentului. Modificarea documentului nu va fi posibila insa fara sa se realizeze si modificarea hash-ului. La destinatie, se va decripta semnatura folosind cheia publica a semnatarului, si de asemenea se va recalcula hash-ul. Rezultatele celor doua operatiuni vor trebui sa fie identice, altfel inseamna ca ori documentul a fost alterat pe parcurs, ori nu a fost semnat cu cheia private a semnatarului presupus. Daca insa acestea coincid, atunci destinatarul poate confirma ca documentul este cel criptat cu cheia privata a expeditorului (si implicit se presupune ca acesta este acea unica persoana care putea folosi acea cheie), si de asemenea ca mesajul nu a fost alterat din momentul in care a fost semnat. Nici un destinatar nu poate fi absolut sigur ca presupusul expeditor este intradevar cel care a semnat, deoarece este posibil ca sistemul de criptare sa fi putut fi spart, sa se fi putut copia cheia, sau sa se fi evitat toata schema prin inginerie sociala.

17

Algoritmii si protocoalele pt semnatura digitala nu pot oferi o certitudine cu privire la data si ora la care documentul in cauza a fost semnat. Semnatarul poate sau nu sa includa si data o data cu semnatura, sau este posibil ca documentul insusi sa aiba o data mentionata pe el, dar cineva care l-ar putea citi mai tarziu nu ar putea fi sigur daca semnatarul nu a decalat cumva data semnaturii. Aceste probleme pot fi inlaturate prin folosirea unui time stamp pe langa semnatura digitala. Masuri de securitate aditionale Toate sistemele de criptare in cheie private/publica depind in totalitate de tinerea sub secret a cheii private. O cheie privata poate fi stocata in computerul utilizatorului, si protejata de exemplu de o parola locala, insa acest lucru are doua dezavantaje: utilizatorul poate semna doar documente pe acel calculator particular si de asemenea, securitatea cheii private depinde complet de securitatea computerului, fiind de notorietate faptul ca nu putem baza pe majoritatea PC-urilor si sistemelor de operare din punctual acesta de vedere. O alternativa mult mai sigura este sa stocam cheia privata pe un smart card. Multe smart card-uri au fost create in mod special urmarindu-se sa fie cate mai rezistente. In implementarea tipica, hash-ul calculat din document este trimis catre smart card, al carui CPU cripteaza hash-ul utilizand cheia private stocata si il returneaza. Tipic, un utilizator trebuie sa-si activeze smart card-ul prin introducerea numarului de PIN (ceea ce obliga la o autentificare dubla). Aceasta solutie reduce schema de securitate la PIN-ul sistemului, dar este fara indoiala o alternativa mai sigura decat majoritatea PC-urilor.

3.2. Cum se foloseste o semnatura digitala

Pasul I: Persoana interesata sa semneze electronic documente trebuie sa se prezinte cu cartea de identitate sau buletinul la un furnizor de servicii de certificare in domeniul semnaturii electronice. Furnizorul de servicii de certificare joaca rolul unui martor virtual care confirma identitatea unei persoane. Pasul II:

18

In urma platii unei sume stabilite de furnizor veti intra in posesia un dispozitiv securizat, necesar pentru a va putea semna electronic, ca, spre exemplu, eToken sau smart card. Pentru a accesa aceste dispozitive tastati un cod PIN, pe care puteti sa il schimbati si care e cunoscut doar de dvs. Pasul III: Conectati dispozitivul securizat fie la calculatorul furnizorului de servicii de certificare, fie la calculatorul dvs. sau la orice alt calculator. Accesati site-ul furnizorului si completati formularul pentru obtinerea certificatului digital. Veti primi prin e-mail un cod de identificare care va permite eliberarea acestuia. Pasul IV: De asemenea, veti primi un certificat digital care atesta dreptul dvs de a va semna electronic si care contine: cheia dumneavoastra publica, datele dvs personale. Certificatul digital emis este semnat electronic de catre furnizorul de servicii de certificare, cu cheia lui privata. Certificatul digital leaga persoana de cheia publica. Certificatul dvs. digital va fi disponibil pentru accesare pe site-ul furnizorului pentru care ati optat. Durata valabilitatii unui certificat este de maximum 1 an de la data comunicarii catre client. Perioada de valabilitate a unei semnaturi In mod obisnuit, o cheie expira dupa o anumita perioada de timp, cum ar fi un an, iar documentele semnate cu o cheie expirata nu mai pot fi acceptate. Totusi, in multe cazuri, este necesar ca documentele semnate sa poata fi considerate valide din punct de vedere legal pe o perioada mai lunga de 2 ani, cum ar fi concesiunile si contractele. Prin inregistrarea unui contract cu o semnatura digitala in momentul semnarii, semnatura poate fi validate chiar si dupa expirarea cheilor. Daca toate partile implicate in contract pastreaza o copie a acestei semnaturi, oricare din ei poate demonstra ca acel contract a fost semnat cu chei valide. De fapt, aceasta semnatura poate confirma valabilitatea contractului chiar in cazul in care cheia unui semnatar a fost compromisa dupa ce acesta a semnat contractul. Orice document semnat digital confirma faptul ca valabilitatea semnaturii poate fi verificata si dupa expirarea cheilor.
19

3.3. Certificatul digital Se poate spune ca intreg conceptul din spatele semnaturii electronice sta in distributia libera a cheilor publice intre entitati, asadar in crearea unei asa numite infrastructurii de chei publice, numita PKI (public key infrastructures). Elementele acestei infractructuri sunt: certificatele digitale, autoritatile de certificare care le elibereaza, depozitele de certificate care stocheaza si distribuie certificatele si listele de certificate revocate precum si mecanimele de management ale acestor certificate (eliberare, reinoire, revocare, verificare). Practic Autoritatile de Certificare (CA) sunt echivalente cu o structura legala de eliberare a unui act, de tipul cartii de identitate sau pasaportului. Din p cate, de inerea unei chei publice care pare a fi a cuiva nu este o garan ie c aceasta chiar este a persoanei respective. Dac se ntmpl s criptez cu cheia public a cuiva care pretinde s fie altcineva, n acest caz informa ii confiden iale pot ajunge la cine nu trebuie. Certificatele digitale sunt garan ia c o cheie public este a celui ce pretinde c o de ine. Acestea reprezint o scrisoare de acreditare, o certificare a validit ii datelor de identificare. Cheia public este r spndit prin certificatelor digitale. Un certificat digital const din urm toarele elemente: - o cheie public ; - informa ii de identificare a utilizatorului; - una sau mai multe semn turi digitale de la persoane de ncredere.

Emiterea si distribuirea certificatului digital Atunci cnd este posibil, cheia public se poate schimba ntre coresponden i prin diverse medii de stocare (CD, stick de memorie etc). Cnd schimbul manual de chei nu este posibil, se impune instituirea unui sistem care s asigure stocarea cheilor, siguran a acestora i transmiterea lor c tre cei care au nevoie de ele. Astfel de sisteme se numesc Servere de certificate, baze de date pe care utilizatorii le folosesc pentru a transmite i primi certificate digitale. Un sistem mai complex de management al certificatelor de securitate se nume te Infrastructura de chei publice (PKI - Public Key Infrastructure) i are rostul nu numai de a stoca certificatele digitale, dar i pe acela de a facilita eliberarea i revocarea lor.
20

Emiterea certificatelor digitale se face de companii specializate, denumite autorit i de certificare (AC), care i asum responsabilitatea pentru identificarea utilizatorilor i pentru acordarea cheilor. Autoritatea de certificare creeaz certificatul i l semneaz cu o cheie privat proprie. n felul acesta, oricine vrea s verifice autenticitatea certificatului digital, poate verifica semn tura autorit ii de verificare, care se constituie ntr-o certificare nendoielnic autenticit ii certificatului. Conform Normelor pentru aplicarea legii privind semn tura electronic , n Romnia exist o Autoritate de reglementare i supraveghere care are rolul de a emite decizii privind dreptul unui furnizor de certificate de certificare de a oferi servicii de certificare autorizat . Durata valabilit ii unui certificat, de la data comunic rii c tre client, este de maximum 1 an. a

La ce foloseste certificatul digital Certificatul digital este folosit pentru o gam larg de opera iuni electronice, incluznd e-mailul, comer ul electronic, plata online. Comer ul electronic impune folosirea unui certificat digital pentru securizarea serverului. Un server securizat trebuie s aib un certificat digital pentru a ar ta utilizatorilor c acesta este de ncredere. Conform legii romne ti privind semn tura electronic , att persoanele fizice, ct i cele juridice pot de ine semn tur electronic . Pa ii de urmat pentru intrarea n posesia unui certificat digital sunt urm torii: public prezentarea documentelor solicitate de c tre autoritatea de certificare; - achizi ionarea dispozitivului securizat pe care se genereaz perechea de chei i privat - i pe care se va ridica ulterior certificatul; - achitarea contravalorii certificatului; - instalarea driver-elor i utilitarelor aferente dispozitivului securizat n sistem; - completarea formularului de nregistrare online.

Costul de achizitie: in medie, 50 euro La unul din cei 3 furnizori de astfel de certificate, CertSign, costul certificatului digital i al dispozitivului securizat pentru crearea semn turii este de 47 de Euro, f r TVA. Certificatul digital este valabil un an. Pentru a putea semna electronic documente i n anul urm tor clien ii certSIGN beneficiaz de un pre mai mic: 30 de Euro f r TVA.
21

Informatiile

publicate

pe

website-ul

altui

furnizor,

Transsped,

arata

ca:

pretul unui certificat calificat este de 40 EURO (fara TVA), pret care nu include pretul dispozitivului pe care acesta va fi stocat sau alte servicii suplimentare fata de cele prevazute n legea semnaturii electronice. Orice alte prevederi contractuale ntre furnizor si beneficiar prevaleaza celor mentionate aici. Pretul unui pachet (care contine certificatul calificat, dispozitivul pe care acesta este stocat si aplicatia de semnare EasySign Light) este de 54 EURO (fara TVA). Orice alte prevederi contractuale ntre furnizor si beneficiar prevaleaza celor mentionate aici. Pretul unui certificat calificat rennoit / reemis este de 30 EURO (fara TVA), pret care nu include pretul dispozitivului pe care acesta va fi stocat sau alte servicii suplimentare fata de cele prevazute n legea semnaturii electronice.

22

Concluzii
Pentru a asigura securitatea informatiilor care sunt critice pentru firme, fiecare companie trebuie sa dezvolte o politica de securitate informatica, care sa asigure ca atunci cand ceva se intampla, procesele care sa rezolve situatia exista. Acesta este un proces fara sfarsit, un proces pentru dezvoltarea unei politici de securitate informatica este ca un cerc, care se intoarce intotdeauna la punctul de plecare pentru a mari siguranta: noi tehnologii si idei solicita o actualizare continua a politicii de securitate informatica. Securitatea informa ional este o problem care devine tot mai stringent baz de asigurare a securit ii informa ionale este metoda criptografic . Pentru ob inerea unui sistem sigur de protec ie a informa iei este nevoie de prev zut toate direc iile posibile de atac asupra lui, deoarece este inutil de securizat o latur sistemului, aunci cnd atacul poate fi u or realizat pe o latur mai sensibil . Securitatea informa iilor, n orice domeniu de activitate, trebuie s fie o activitate continu pentru a se putea face fa datelor n particular. ntr-o economie n care tehnologia informatiei s-a impus n toate domeniile de activitate, utilizarea calculatorului ca fiind ceva indispensabil a capatat valente deosebite. Evolutia tehnologica presupune o anumita infrastructura care trebuie sa curpinda pe langa hardware, produse si sisteme informatice bazate pe noi sisteme de gestiune a bazelor de date. Uneori utilizatorii, mai ales cand actioneaza in numele unor firme, doresc asigurarea caracterului confidential al mesajelor transmise. In tranzactiile financiare, alaturi de autenticitate si confidentialitate, un loc important il are si integritatea mesajelor, ceea ce inseamna ca mesajulreceptionat nu a fost alterat in timpul transmisiei prin retea. In tranzactiile de afaceri este foarte important ca, o data receptionata, o comanda sa fie nu numai autentica, cu continut nemodificat, dar sa nu existe posibilitatea ca expeditorul sa nu o mai recunoasca. Sistemele informatice sunt amenintate atat din interior cat si din exterior. Pot fi persoane bine intentionate care fac diferite erori de operare sau persoane rau intentionate, care sacrifica timp si bani pentru penetrarea sistemelor informatice.
23

i mai

actual odat cu dezvoltarea re elelor i industriei sistemelor de calcul. Una din metodele de

noilor amenin ri la adresa securit ii n general i a

Dintre factorii tehnici care permit fisuri de securitate pot fi anumite erori ale softwareului de prelucrare sau de comunicare sau anumite defecte ale echipamentelor de calcul sau de comunicatie. Utilizand cat mai multe masuri de securitate se asigura o mai buna confidentialitate a datelor, iar una dintre aceste masuri este semnatura digitala care asigura integritatea documentelor. In concluzie semnatura electronica reprezinta un atribut personal, fiind folosita pentru recunoastere a identitatii unei persoane n anumite operatii. Semnatura electronica rezolva problema identitatii persoanei si autenticitatii documentului mai bine dect semnatura olografa. Romania are pasi importanti de facut in directia educarii persoanelor implicate si a publicului larg pentru a intelege necesitatea tehnologiilor de securitate a informatiei in Societatea Informatiei. Costurile si consecintele inactiunii sau a actiunii intarziate pot fi foarte insemnate.

24

Bibliografie

1. Ivan I., - Semnatura electronica si securitatea datelor, Revista Informatica economica, nr.2 din 2003 2. Victor Valeriu Patriciu si Colectiv Semnaturi Electronice si Securitate Informatica, Editura Bic All, 2006 3. Autoritatea de Reglementare si Supraveghere a Activitatii Furnizorilor de Servicii de Certificare: http://www.ceris.ro 4. http://ionelcondor.wordpress.com/2007/08/21/semnatura-electronica/ 5. http://www.securitatea-informatica.ro/securitatea-informatica/securitatea-sistemelorelectronice-de-plata/ 6. http://www.avoconsult.ro/semnatura-digitala-in-comertul-electronic-rolul-juridic-alsemnaturii-electronice.html 7. http://www.certsign.ro/certsign/resurse/faq#Q1-certificat-digital 8. http://www.scientia.ro/tehnologie/34-cum-functioneaza-calculatorul/410-cumfunctioneaza-semnatura-digitala-certificat-digital.html

25