Criptarea

Criptarea

Transmisia datelor prin Internet trebuie realizata fara riscul compromiterii 'intimitatii' mesajului, deci a ansamblului de date expediat de emitator catre receptor. Utilizarea unor algoritmi pentru criptarea (cifrarea) informatiilor transmise reprezinta astazi principalul mijloc de rezolvare a problemelor privitoare la deconspirarea informatiilor transmise in retele. Prin criptare, mesajele vor fi transformate, pe baza unei chei de criptare, astfel incat sa poata fi intelese doar de destinatar.

Terenul de aplicabilitate al criptografiei devine mesageria electronica si transmiterea datelor la distanta legate de procese de afaceri sau orice schimb de informatie.

Tehnicile criptografice utilizate la ora actuala folosesc:

- Algoritmi simetrici: se caracterizeaza prin utilizarea unei chei unice folosita atat in procesul de criptare cat si in cel de decriptare. Aceasta inseamna ca atat emitentul mesajului cat si receptorul acestuia trebuie sa dispuna de aceasta cheie secreta. Criptarea simetrica se poate realiza la nivelul blocurilor de date sau la nivel de bit/byte in mod secvential.

Cheile algoritmilor simetrici sunt obtinute prin aplicarea unor formule matematice din algebra numerelor mari, dar ceea ce este foarte important este faptul ca plecand de la una dintre chei nu poate fi dedusa valoarea cheii asociate.

Cele mai cunoscute sisteme de criptare simetrice sunt:

DES (Data Encription Standard), cel mai popular algoritm care foloseste cheie partajata. Realizeaza criptarea la nivelul blocurilor de text. A fost elaborat de IBM in colaborare cu NIST (National Institute of Standards and Technology). O varianta a acestui sistem este 3DES in care blocul de date este criptat de trei ori folosindu-se trei chei diferite.

IDEA {International Data Encription Algorithm), inspirat din DES, foloseste o cheie construita pe 128 biti. Este realizat de Swiss ETH University din Zurich si Ascom.

Avantajul utilizarii cheilor simetrice consta in fapul ca utilizarea lor este mai rapida fata de utilizarea cheilor publice.

Dezavantajul consta in faptul ca ambele parti participante la schimbul de date trebuie sa cunoasca aceeasi cheie si trebuie sa gaseasca o modalitate sigura de transmisie a cheii.

- Algoritmi asimetrici: in acest caz, emitatorul si emitentul vor detine o pereche de chei - una publica (cunoscuta de oricine) si una privata (cunoscuta doar de proprietar). Emitatorul cripteaza mesajul folosind cheia publica a receptorului, receptorul decripteaza mesajul folosind cheia sa privata. Tehnica utilizarii unor chei diferite la criptare si respectiv decriptare apartine profesorilor Diffie si Hellman (Universitatea Stanford, 1975).

Cele mai cunoscute sisteme de criptare folosind chei publice sunt:

RSA (al carui nume s-a construit plecandu-se de la initialele creatorilor sai: Ronald Rivest, Adi Shamir, Leonard Adelman) este cel mai raspandit sistem utilizand chei publice. Lungimea minima recomandata pentru cheie este de 768 biti. Este integrata in multe produse comerciale cum ar fi PGP, despre care vom vorbi intr-unui din paragrafurile urmatoare.

Sistemul de chei publice ElGamal (inventat de Taher ElGamal)

consta dintr-un algoritm de criptare si de semnatura. Puterea cheii de criptare este similara cu RSA. Este realativ lent si necesita o foarte buna generare aleatorie a numerelor.

DSS (Digital Signature Standard) foloseste DSA {Digital

Signature Algorithm) aprobat de guvernul american ca standard pentru autentificarea digitala (1994). DSA se bazeaza pe algoritmul de criptare elaborat de ElGamal si Schnorr.

Avantajul utilizarii PK (Public Key) consta in faptul ca numai cheia privata trebuie sa ramana secreta. În acest caz nu mai este necesar un canal sigur pentru schimbul de chei, atat timp cat cheile publice raman neschimbate. Cheile publice de criptare ofera si metode pentru semnatura digitala. Dezavantajul utilizarii PK consta in procesul lent de criptare datorat complexitatii algoritmilor matematici.

Pentru posta electronica cele mai utilizate sisteme de criptare sunt:

PGP (Pretty Good Privacy), pachet complet de securitate care confera mecanisme de confidentialitate, autentificare, semnaturi digitale si compresie.

PEM (Privacy Enhanced Mail), standard oficial Internet

Criptarea reprezinta o solutie pentru asigurarea confidentialitatii mesajelor transmise, dar riscul interceptarii si decriptarii continutului mesajului de catre persoane neautorizate exista. Mesajul poate fi decriptat, fara a detine cheia corespunzatoare, daca se dispune de suficiente resurse si de timp.

Dimensiunea cheii de criptare este deosebit de importanta. Pentru algoritmul DES se utilizeaza chei de 256, 512, 1024, 2048 sau cheia de 4096 biti.

Alegerea lungimii cheii de criptare trebuie sa se realizeze in functie de urmatoarele criterii:

De cine trebuie protejate informatiile (resursele disponibile ale atacatorului);

Cat de usor ii este atacatorului sa ajunga la informatia criptata ca urmare, de exemplu a slabei securitati asigurate transmisiilor prin retea;

Pentru cat timp trebuie asigurata protectia informatiei. Timpul de decriptare necesar unui hacker pentru 'spargerea' cheii depinde de lungimea cheii folosite la criptare si de puterea procesorului calculatorului sau (pe care lucreaza programul de spargere a cheii de criptare).

Într-un sistem de criptare pot exista cateva puncte slabe si anume:

Secretul cheii simetrice sau private;

Lungimea cheii determina, asa cum am amintit deja, puterea algoritmului de criptare. Toti algoritmii sunt vulnerabili la asa numitele atacuri 'brute force' ale hackerilor care incearca prin programe speciale generarea tuturor combinatiilor posibile.

Implementarea necorespunzatoare:

Pseudo generatoarele aleatorii de numere pot fi mult prea predictibile. Ele ar trebui sa fie cel putin la fel de greu de intuit ca si cheia de criptare.

Algoritmii pot fi incorect implementati.

Pot exista backdoors.

Proiectarea gresita:

Anumiti algoritmi pot fi cu usurinta inversati (analizati si deconspirati). Este cazul WinWord, Pkzip etc.

Criptarea unor texte conoscute si cunoasterea iesirilor procesului de criptare poate conduce la descifrarea sistemului de criptare.

Cunostintele in domeniul matematicii evolueaza rapid de aceea algortmii de criptare care astazi sunt greu de descifrat pot intr-un viitor apropiat sa poata fi relativ usor descifrati prin utilizarea unor metode rapide de rezolvare a respectivilor algoritmi.

Auditorul va urmari pe segmentul criptarii daca in transmisiile de date la distanta:

se utilizeaza criptarea datelor;

daca tehnica de criptare aleasa corespunde 'sensibilitatii' datelor ce fac obiectul transmisiei;

daca se modifica periodic algoritmul de criptare;

care este frecventa de modificare a algoritmului de criptare, masura in care se folosesc standardele privind securitatea datelor
(SSL - Secure Socket Layer, S-HTTP - Secure HTTP);

masura in care se folosesc protocoale standardizate pentru plati prin Internet (daca sistemul informatic auditat asigura si servicii de e-payment). Astfel de protocoale sunt:

SEPP (Secure Electronic Payment Protocol) acceptat de Mastercard si IBM.

STT {Secure Transaction Technology) dezvoltat de Visa si Microsoft.

Certificate, autoritati de certificare (CA), PKI si

Trusted Third parties (TTP)

Certificatele sunt documente digitale atestand identitatea unui individ prin cheia sa publica. Ele permit verificarea faptului ca o anumita cheie publica apartine proprietarului presupus. Standardul ISO pentru certificate este X.509 v3 si este format din: numele subiectului, atributele subiectului, cheia publica a subiectului, termenul de validitate a datelor, numele emitentului, numarul serial al certificatului si semnatura emitentului.

Certificatele sunt emise de autoritatea de certificare (CA) care are rolul de a confirma identitatea utilizatorilor. CA trebuie sa dispuna de o cheie publica sigura, iar cheia sa privata trebuie tinuta intr-o locatie foarte sigura.

Daca atat emitentul cat si receptorul mesajului vor sa aiba siguranta identitatii partenerului se poate apela la CA sau la TTP (Trusted [ Third Party - a treia parte de incredere) cum se mai numeste. Astefel de TTP pot fi reprezentate de VeriSign, Eurotrust etc.