Masterat E- Business

Securitatea sistemelor de
E-Business
- Curs 7 -

Lector. Dr. Ana-Maria Ghiran

anamaria.ghiran@econ.ubbcluj.ro
Cuprins

1. Securizarea tranzacţiilor

 SSL & TLS

 SET & 3D SECURE

2. Securizarea poştei electronice

 PGP, OpenPGP, S-MIME

Securizarea tranzacţiilor

 Folosirea site-urilor web şi pentru tranzacţii financiare a condus la

nevoia de securizare a acestora

 În 1995, Netscape Communications, a introdus un pachet de

securitate denumit SSL – Secure Sockets Layer

 SSL realizează o conexiune sigură între două puncte

 SSL respectiv succesorul acestuia TLS – Transport Layer Security:
a) foloseşte criptografia asimetrică pentru schimbul de chei
b) criptografia simetrică pentru confidenţialitate în schimbul de date
c) coduri de integritate a mesajelor (message authentication codes)
pentru integritate
 Securizarea tranzacţiilor
- SSL nu impune ca serverul şi clientul să utilizeze un anume
algoritm cu cheie simetrică, algoritm cu cheie publică sau
algoritm MAC.

- SSL permite serverului si clientului să se pună de acord

asupra algoritmilor criptografici la începutul sesiunii SSL.

 SSL presupune:
a) SSL handshake
b) transferul datelor
Securizarea tranzacţiilor

 Pe parcursul fazei de înţelegere clientul trebuie să:

– Stabilească o conexiune TCP cu serverul;
– Verifice identitatea serverului;
– Trimită serverului o pre-cheie primară, care va fi utilizată mai
târziu atât de client cât şi de server pentru a genera toate
cheile simetrice necesare sesiunii SSL

 - Pe parcursul fazei de înţelegere, clientul şi serverul

îşi trimit numere unice, folosite în crearea cheilor
de sesiune
Securizarea tranzacţiilor
Securizarea tranzacţiilor

1. Clientul trimite versiunea de SSL utilizata, lista algoritmilor de

criptare suportati si un numar generat aleator

2. Serverul alege algoritmii care vor fi utilizati si ii confirma

clientului alegerea. Serverul ii trimite certificatul sau clientului,
si la fel un numar generat aleator.

3. Clientul verifica certificatul serverului, si daca este de

incredere extrage din acesta cheia publica. Clientul
calculeaza un secret premaster, il cripteaza cu cheia publica
a serverului (extrasa din certificat) si trimite datele astfel
codificate serverului.
Securizarea tranzacţiilor

 4 Clientul si Serverul deriva din acest secret premaster si din

numerele generate aleator schimbate in mesajele anterioare, un
set de chei care vor fi utilizate in criptarea mesajelor si asigurarea
integritatii informatiei schimbate.

 5 Clientul calculeaza un MAC (Message Authentication Code)

peste toate mesajele de handshake schimbate si il trimite
serverului.

 6 Serverul calculeaza si el un MAC peste (posibil) aceleasi

mesaje de handshake si il trimite clientului. Cele doua MAC-uri
sunt comparate pentru a se verifica daca in timpul mecanismului
de handshake a intervenit un atac.
Securizarea tranzacţiilor

 Cel mai adesea SSL este utilizat pentru asigurarea

securităţii tranzacţiilor ce au loc peste HTTP, în acest caz
este numit HTTPS (Secure Hyper Text Transfer Protocol).

 SSL este însă un protocol general care poate oferi servicii

oricărui protocol de nivel aplicaţie.

 Astfel SSL mai este utilizat şi pentru securizarea

transferurilor de poştă electronică, asigurând transportul
sigur pentru protocoale POP3, IMAP sau SMTP care altfel
transmit date în clar.
Securizarea tranzacţiilor

 TLS Transport Layer Security

 succesor al SSL
 nume nou atribuit versiunii noi faţă de versiunea 3.0 a
protocolului SSL
 termenii SSL şi TLS se găsesc folosiţi alternativ sau
împreună SSL/TLS
 Diferenţe: nivelul de securitate oferit (mai mare în
cazul TLS)
Securizarea tranzacţiilor

 Prin folosirea protocolului SSL, exista posibilitatea ca datele

cardului să fie aflate şi de către comerciant

 Protocolul SET- Secure Electronic Transaction (VISA si

Mastercard)
 permite identificarea reciprocă a părţilor şi schimbul de informaţii în
mod securizat: fiecare client are propriul său certificat
 pentru a folosi SET, utilizatorul (deţinătorul cardului) trebuie să obţină şi
să instaleze un software client – ewallet
 pentru a oferi suportul necesar, vânzătorul trebuie să implementeze
măsuri costisitoare şi complexe; acesta trebuie să realizeze
comunicarea atât cu clientul cât şi cu portalul de plăţi
 SET nu a fost adoptat, în prezent VISA promovează 3D Secure
Securizarea tranzacţiilor

 Protocolul 3D Secure
 Verfied by VISA, Mastercard SecureCode
 realizat de VISA în vederea îmbunătăţirii securităţii plăţilor pe Internet
 tranzacţiile care folosesc 3D Secure sunt redirecţionate către banca
ce poate autoriza tranzactiile; fiecare bancă poate folosi orice metodă
de autentificare dar de obicei se foloseşte o parolă.
 pentru introducerea parolei erau folosite ferestre pop-up sau inline
frame-uri care nu puteau fi usor deosebite de unele ce apartineau
unor site-uri de phishing
 înainte ca 3D Secure să poată fi folosit pentru autentificarea
tranzacţiilor, deţinătorii de carduri trebuie să înregistreze o parolă cu
banca lor; banca permite realizarea acestui proces online odată cu
procesul de cumpărare (Activation during shopping)
Securizarea poştei electronice
Securizarea poştei electronice

 PGP – Pretty Good Privacy

 este folosit pentru autentificare şi asigurarea confidenţialităţii
datelor trimise prin reţea. Criptarea datelor se face cu IDEA
(International Data Encryption Algorithm) folosind chei de 128
de biţi.
 Conceptual, IDEA este similar cu DES şi AES: permută biţii
într-un şir de runde, dar detaliile funcţiilor de permutare sunt
diferite de DES şi AES.
 Gestiunea cheilor foloseşte RSA şi integritatea datelor
foloseşte MD5.
 PGP este folosit pentru criptarea şi compresia textului,
semnarea digitală a mesajului şi pentru management-ul cheilor
 Securizarea poştei electronice

 OpenPGP (RFC 2440) a apărut datorită numeroaselor

probleme ale PGP-ului legate de patente şi licenţieri.

 S/MIME (Secure/MIME - Multipurpose Internet Mail

Extensions) – standard pentru criptarea şi semnarea unor
mesaje în format MIME – mesaje ce conţin nu doar text
Atacuri SSL

 SSL/ TLS este sigur din punct de vedere al securităţii dacă

este implementat corect

 Există totuşi metode de a realiza atacuri: sslstrip este un

instrument software care preia traficul HTTP dintr-o reţea,
urmărind linkuri de tip HTTPS, realizează corespondenţe
între respectivele linkuri şi altele care se aseamănă:
 Pagina web securizată

sursa: http://mason.gmu.edu/~msherif/isa564/projects/sslstrip2.pdf
 Folosind SSLstripe

sursa: http://mason.gmu.edu/~msherif/isa564/projects/sslstrip2.pdf