Documente Academic
Documente Profesional
Documente Cultură
Capitol 10
Capitol 10
Introducere
Integritatea si autenticitatea
Confidentialitatea
Criptografia cu cheie publica
Introducere
• Metodele criptografice protejeaza traficul
din retea
• Criptologia este stiinta creerii si descifrarii
codurilor secrete
• Criptografia se ocupa cu dezvoltarea si
utilizarea codurilor
• Criptanaliza se ocupa cu descifrarea
codurilor
• Comunicatiile securizate implica
autentificarea, integritatea si
confidentialitatea
• Autentificarea garanteaza ca mesajul nu
este un fals si vine de la cine sustine ca
vine
• Integritatea garanteaza ca nimeni nu a
interceptat mesajul si l-a modificat
• Confidentialitatea garanteaza ca daca
mesajul este capturat nu poate fi descifrat
Integritatea si autenticitatea
• Hash criptografic
• Integritatea cu MD5
• Integritatea cu SHA-1
• Autenticitatea cu HMAC
• Managementul cheilor
Hash criptografic
• Functia hash ia datele binare, numite mesaj, si
produce o reprezentare condensata, numita
valoare hash sau message digest
• Hashing-ul este bazat pe o functie matematica
• Functia hashing criptografica este folosita pentru
verificarea si asigurarea integritatii datelor si
pentru verificarea autentificarii
• Valorile hash criptografice sunt numite si digital
fingerprints
• h=H(x)
– H – functia hash
– x – intrarea
– h – valoarea hash
• Proprietati ale functiilor hash criptografice
– Intrarea poate avea orice lungime
– Iesirea are o lungime fixa
– H(x) este usor de calculat
– H(x) este intr-un singur sens si nu este reversibil
– H(x) este fara coliziuni
• Functiile hash asigura ca datele nu sunt
schimbate accidental
• Functiile hash nu asigura ca datele nu
sunt schimbate deliberat
• Functii hash:
– Message Digest 5 (MD5)
– Secure Hash Algorithm 1 (SHA-1)
Integritatea cu MD5
• Dezvoltat de Ron Rivest
• Secventa complexa de operatii binare care
produce o valoare hash (digest) pe 128 biti
• Lungimea mesajului este de asemenea
codata in valoarea hash
• Implica 64 pasi
• Este putin mai rapid decat SHA-1
• Considerat mai putin sigur decat SHA-1
Integritatea cu SHA-1
• Algoritmul SHA a fost dezvoltat de catre U.S.
National Institute of Standards and Technology
(NIST)
• Algoritmul SHA este specificat in Secure Hash
Standard (SHS)
• SHA-1 corecteaza o greseala din SHA
• Similar cu MD5
• Implica 80 pasi
• Produce o valoare hash (digest) pe 160 biti
• Este putin mai lent decat MD5
• Considerat mai sigur decat MD5
• NIST a publicat patru functii hash
aditionale in familia SHA, cunoscute ca si
SHA-2: SHA-224 (224 biti), SHA-256 (256
biti), SHA-384 (384 biti) si SHA-512 (512
biti)
• NIST a dezvoltat SHA-3, un algoritm de
hashing criptografic mai sigur
The receiving device removes the
fingerprint from the message and
The sending device inputs the inputs the message into the same
message into a hashing hashing algorithm.
algorithm and computes its
fixed-length digest or
fingerprint.
HMAC HMAC
(Authenticated 4ehIDx67NMop9 (Authenticated 4ehIDx67NMop9
Fingerprint) Fingerprint)
Partea A Partea B
Partea A Partea B
Partea A Partea B
Autenticitate
Semnatura
Integritate
digitala
Non-repudiere
• Pasii procesului semnaturii digitale:
1.Dispozitivul transmitator (semnatarul) creaza
un hash al documentului
2.Dispozitivul transmitator cripteaza hash-ul cu
cheia privata a semnatarului
3.Hash-ul criptat (semnatura) este adaugat la
document
4.Dispozitivul receptor (verificatorul) accepta
documentul cu semnatura digitala si obtine
cheia publica a dispozitivului transmitator
• Pasii procesului semnaturii digitale
(continuare):
5. Dispozitivul receptor decripteaza semnatura
folosind cheia publica a dispozitivului
transmitator. Acest pas dezvaluie presupusa
valoare hash a dispozitivului transmitator
6. Dispozitivul receptor face un hash al
documentului receptionat, fara semnatura
sa, si compara acest hash cu hash-ul
semnatura decriptat. Daca hash-urile sunt
identice, documentul este autentic
• Folosite pentru a asigura autenticitatea si
integritatea codurilor software
• Algoritmi folositi pentru a efectua semnaturi
digitale
– Rivest, Shamir si Adleman (RSA)
– Digital Signature Algorithm (DSA)
• In 1994 U.S. NIST a selectat DSA ca si Digital
Signature Standard (DSS).
• Acum DSS incorporeaza doua posibilitati
suplimentare
– Digital Signature Using Reversible Public Key
Cryptography (care foloseste RSA)
– Elliptic Curve Digital Signature Algorithm (ECDSA)
• Generarea semnaturii cu DSA este mai rapida
decat verificarea semnaturii cu DSA
• Verificarea semnaturii cu RSA este mai rapida
decat generarea semnaturii cu RSA
Rivest, Shamir si Adleman
• RSA este unul dintre cei mai comuni algoritmi
asimetrici
• Cheile RSA au lungimi cuprinse intre 512 si
2048 biti
• Algoritmul RSA este bazat pe o cheia publica
si o cheie privata
• Cea mai comuna metoda pentru generarea
semnaturilor
• Larg folosita in sisteme e-commerce si
protocoale Internet
• Folosita doar pentru a proteja cantitati de date
mici
Infrastructura cheilor publice
• Public key infrastructure – PKI
• PKI este framework-ul de servicii pentru suportul
tehnologiilor bazate pe chei publice pe scara
larga
• PKI este un set de componente tehnice,
organizationale si legale pentru stabilirea unui
sistem care permite folosirea pe scara larga a
criptografiei cu cheie publica
• PKI creaza, administreaza, stocheaza, distribuie
si revoca certificate digitale
• Certificatele sunt informatii publice care contin
legatura intre numele si cheile publice al entitatilor
• Autoritate de certificate - certificate authority (CA)
• CA este o entitate terta parte de incredere care
emite certificate
• Certificatul unui utilizator este semnat intotdeauna
de un CA
• Fiecare CA are de asemenea un certificat
continand cheia sa publica, semnat de el insusi
(CA certificate sau self-signed CA certificate)
• Public-Key Infrastructure X.509 (PKIX)
– Workgroup IETF
– Promovarea and standardizarea PKI in Internet
• X.509
– Set de standarde
– Formate de date comune
– Protocoale legate de PKI
• PKI-urile pot forma diferite topologii de incredere:
– Single-root PKI (Root CA)
– Hierarchical CA
– Cross-certified CA
• Single-root PKI (Root CA)
• Hierarchical CA
• Cross-certified CA
• Procesul de inscriere PKI
– CA emitent poate fi:
• Root CA
• Subordinate CA
– PKI poate folosi registration authorities (RAs)
pentru a accepta cereri de inscriere in PKI
– Sarcinile RA
• Autentificarea utilizatorilor la inscrierea in PKI
• Generarea cheilor pentru utilizatorii care nu pot
genera propriile chei
• Distribuirea certificatelor dupa inscriere