Upload File

infrastructurile cu chei publice si securitatea internet

  • Home
  • Documents
  • Infrastructurile cu chei publice si securitatea Internet
8
INFRASTRUCTURIle CU CHEI PUBLICE si securitatea Internet Victor-Valeriu Patriciu, Viorel Ionescu, Ion Bica  Academia Tehnica Militara, Bucuresti Rezumat Sfârşitul de secol este dominat de revoluţ ia informatică desfăşurată în Internet , considerat că reprezintă cea de- a trei a rev olu ţ ie indust rial ă . Internet este în fruntea fe nome nelor ca re influenţ ează viitorul economic mondial. Un ul di n domeniile ca re es te în plină asce nsiune şi care va schima profund societat ea anilor viitori este comerţ ul electronic  !e-commerce". #s i$ura rea  securităţii comerţului Internet  reprezintă îns ă ce a ma i impo rt ant ă pr ov oc ar e ce st ă în fa ţ a  profesioniştilor securităţii informatice. %ripto$rafia asimetrică şi infrastructurile cu chei pulice &oacă un rol cr uc ial '()'* ). Una din pro lemele ca re fr ânează dezv oltarea e-c ommer ce-ului în +omânia este şi lip sa unei le$islaţ ii dar şi a unei practici în implementarea une i infr astr uct uri cu chei pu lice. %omuni care a î şi  propune prezentarea cadrului $eneral al folosirii cripto$ rafiei cu chei pulice în securizarea Internet-ului şi contetul particular ce a permis autorilor să participe, al ătu ri de fir ma %resc endo, la imp lementa rea unei #utorităţi de %ertificare în +omânia. Cuvinte cheie:  criptog rafie cu chei publice,  servere de certificate, suita Keon, certificate digitale, PKI 1. INFRASTRUCTURI CU CHEI PUBLICE Infrastructurile azate pe cripto$rafia cu chei pulice sunt esenţiale pentru viailitatea comerţului electronic  pe scară lar$ă şi pentru $estiunea si$ură a documentelor electronice în structurile iroc ratice. Infrastructuri cu chei publice !  PKI-Public Key  Infrastructure" constau in mul ţ imea serviciilor necesare a fi asi$urate atunci când tehno lo$iile de criptare cu ch ei pul ice sun t folosite pe o scară lar$ă. #ces te serv icii sunt atât de natură tehnolo$ică cât şi le$islativă iar eistenţa lor este necesară pentru a permite eploatarea tehnolo$iilor de chei pulice în vederea asi$urării suportului pentru e- commerce. lementele infrastructurilor de chei pulice sunt certificatele di$itale, #utorităţile de %ertificare !%#" facilităţile de mana$ement al certificatelor. %ând se încearcă transpunerea acestor concepte în lumea reală !în specia l în medii implicân d or$anizaţii şi comunităţi foarte diverse, care necesită să interopereze în moduri comple e" apar o serie de as pec te dificil de so luţ i onat . Inf ras tructurile cu chei pu lic e tre ui e să asi $u re su po rt at pe nt ru criptare t ş i pe ntru  semnătură digitală. 2. CRIPTOSISTEE CU CHEI PUBLICE %r ip to$r af ia este folosit ă pe nt ru a pr ote&a in fo rma ţ iile tr ansmise prin re ţ e a. /n sis te mu l cripto$rafic, un mesa& este criptat folosind o cheie, apoi este trimis prin reţea. 0a destinaţie, mesa&ul criptat este decriptat tot cu o cheie, oţinându-se mesa&ul ori$inal. istă două metode primare de criptare folosite astăzi cripto grafia cu cheie secr etă !cripto$rafia simetrică" şi cea cu cheie publică !cripto$rafia asimetrică" '1) '2). Cifru rile asimetrice (cu chei pub lice) folosesc chei distincte de cifrare şi descifrare !dar le$ate una de alta". Una din chei, cheia privată, este ţinută secretă şi este c unosc ută doar de proprietarul ei . # doua ch eie !per echea ei" numit ă cheie publi că, es te f ă cu t ă cunoscut ă partenerilor de dialo$. /n fi$ura ( se arat ă cu m se fac e asi$urarea confidenţialităţii (secrtetului " unui mesa& prin criptare cu chei pulice. 3entru aceasta, mes a&u l este cif rat cu che ia pu lic ă a de stin ataru lui, opearţie ce poate fi făcută de orice persoană care poate acc esa fişieru l cu chei pulic e. 4dată cifra t, mesa &ul nu va mai pute a fi desc if rat decâ t de că tre de st ina tar, sin$urul care posedă cheia secretă !privată", pereche a ce lei pu lice. /n crip tos ist emele cu che i pu lic e un utilizator, de eemplu 5lad, deţine o transformare de cifrar e publică  (cheia  publică, notat ă 5lad , ca re  poate fi memorată într-un director pulic şi o trans forma re de des cifrare secr etă (c heie  privată, notat ă 6 5lad , ce nu este posi il s ă fie oţ inut ă din 5lad . %heia de descifrare !secretă" este derivată din che ia de cifra re !pu lic ă" prin tr-o trans forma re greu inversabilă (one-!a" .  /n sis temele cu che i pu lice, se cr et izarea ş i autentifi ca rea nt re al izate pr in transformări distincte. (

Upload: crissdemon

Post on 14-Oct-2015

17 views

Category:

Documents


2 download

Report

DESCRIPTION

Infrastructurile cu chei publice si securitatea Internet

TRANSCRIPT

How to Prepare You GraphiCon98 Paper

Infrastructurile cu chei publice si securitatea Internet

Victor-Valeriu Patriciu, Viorel Ionescu, Ion BicaAcademia Tehnica Militara, BucurestiRezumat

Sfritul de secol este dominat de revoluia informatic desfurat n Internet, considerat c reprezint cea de-a treia revoluie industrial. Internet este n fruntea fenomenelor care influeneaz viitorul economic mondial. Unul din domeniile care este n plin ascensiune i care va schimba profund societatea anilor viitori este comerul electronic (e-commerce). Asigurarea securitii comerului Internet reprezint ns cea mai important provocare ce st n faa profesionitilor securitii informatice. Criptografia asimetric i infrastructurile cu chei publice joac un rol crucial [1][6]. Una din problemele care frneaz dezvoltarea e-commerce-ului n Romnia este i lipsa unei legislaii dar i a unei practici n implementarea unei infrastructuri cu chei publice. Comunicarea i propune prezentarea cadrului general al folosirii criptografiei cu chei publice n securizarea Internet-ului i contextul particular ce a permis autorilor s participe, alturi de firma Crescendo, la implementarea unei Autoriti de Certificare n Romnia.

Cuvinte cheie: criptografie cu chei publice, servere de certificate, suita Keon, certificate digitale, PKI

1. infrastructuri cu chei publice

Infrastructurile bazate pe criptografia cu chei publice sunt eseniale pentru viabilitatea comerului electronic pe scar larg i pentru gestiunea sigur a documentelor electronice n structurile birocratice. Infrastructuri cu chei publice (PKI-Public Key Infrastructure) constau in mulimea serviciilor necesare a fi asigurate atunci cnd tehnologiile de criptare cu chei publice sunt folosite pe o scar larg. Aceste servicii sunt att de natur tehnologic ct i legislativ iar existena lor este necesar pentru a permite exploatarea tehnologiilor de chei publice n vederea asigurrii suportului pentru e-commerce. Elementele infrastructurilor de chei publice sunt:

certificatele digitale,

Autoritile de Certificare (CA)

facilitile de management al certificatelor.

Cnd se ncearc transpunerea acestor concepte n lumea real (n special n medii implicnd organizaii i comuniti foarte diverse, care necesit s interopereze n moduri complexe) apar o serie de aspecte dificil de soluionat. Infrastructurile cu chei publice trebuie s asigure suport att pentru criptare ct i pentru semntur digital.

2. Criptosisteme cu chei publice

Criptografia este folosit pentru a proteja informaiile transmise prin reea. n sistemul criptografic, un mesaj este criptat folosind o cheie, apoi este trimis prin reea. La destinaie, mesajul criptat este decriptat tot cu o cheie, obinndu-se mesajul original. Exist dou metode primare de criptare folosite astzi: criptografia cu cheie secret (criptografia simetric) i cea cu cheie public (criptografia asimetric) [5] [9].

Cifrurile asimetricexe "sisteme criptografice asimetrice" (cu chei publice) folosesc chei distincte de cifrare i descifrare (dar legate una de alta). Una din chei, cheia privat, este inut secret i este cunoscut doar de proprietarul ei . A doua cheie (perechea ei) numit cheie public, este fcut cunoscut partenerilor de dialog. n figura 1 se arat cum se face asigurarea confidenialitii (secrtetului) unui mesaj prin criptare cu chei publice. Pentru aceasta, mesajul este cifrat cu cheia public a destinatarului, opearie ce poate fi fcut de orice persoan care poate accesa fiierul cu chei publice. Odat cifrat, mesajul nu va mai putea fi descifrat dect de ctre destinatar, singurul care posed cheia secret (privat), pereche a celei publice. n criptosistemele cu chei publice un utilizator, de exemplu Vlad, deine o transformare de cifrare public (cheia public), notat EVlad, care poate fi memorat ntr-un director public i o transformare de descifrare secret (cheie privat), notat DVlad, ce nu este posibil s fie obinut din EVlad. Cheia de descifrare (secret) este derivat din cheia de cifrare (public) printr-o transformare greu inversabil (one-way). n sistemele cu chei publice, secretizarea i autentificarea snt realizate prin transformri distincte.

Figura 1 Criptarea cu chei publiceS presupunem c utilizatorul Vlad dorete s transmit un mesaj M, unui alt utilizator, Gabi. Vlad cunoate dintr-un fiier (server) transformarea (cheia) public EGabi, i poate transmite pe M la Gabi sub forma criptat C:

C=EGabi(M),

Se asigur astfel funcia de confidenialitate.

La recepie, Gabi va descifra criptograma C utiliznd transformarea (cheia) sa secret DGabi, cunoscut doar de ea:

DGabi(C)=DGabi(EGabi(M))=M.

Schema nu asgur autentificare, deoarece orice utilizator are acces la cheia public EGabi a lui Gabi i i poate trimite mesaje false M' sub forma C'=EGabi(M').

Pentru autentificare, se pune problema recunoaterii adevratului emitor. Pentru aceasta se aplic lui M transformarea secret DVlad a lui Vlad. Acesta va calcula i apoi va trimite la Gabi criptograma C:

C=DVlad(M)

La recepie, Gabi va aplica transformarea public, EVlad a lui Vlad:

EVlad(C)=EVlad(DVlad(M))=M.

Numai Vlad cunoate i poate aplica transformarea DVlad. Observm ns c nu se asigur i confidenialitatea mesajului, ntruct este posibil ca M s fie decriptat de orice user ce are acces la fiierul (serverul) cu chei publice, aplicnd, n exemplul nostru, transformarea public EVlad.

Pentru a se realiza simultan confidenialitatea & autentificarea, emitorul de mesaj Vlad va aplica mai nti transformarea secret a sa, DVlad, pentru autentificarea mesajului M. Apoi Vlad va cifra rezultatul, utiliznd transformarea public a lui Gabi, EGabi i va emite ctre receptor criptograma:

C=EGabi(DVlad(M)).

Receptorul Gabi obine pe M aplicnd la nceput propria-i funcie de descifrare, DGabi, iar apoi transformare public a lui Vlad, EVlad, cea care furnizeaz autentificarea :

EVlad(DGabi(C))=

=EVlad(DGabi(EGabi(DVlad(M))))

=EVlad(DVlad(M))

=M.

Cifrurile cu chei publice sunt folosite n general pentru:

cifrarea i distribuia cheilor simetrice folosite n secretizarea mesajelor, numit anveloparea cheii;

semntura digital asociat mesajelor.

3. semnAturA digitaLAIntegritatea i autenticitatea este asigurat de folosirea semnturii digitale [7]. Relaia matematic dintre cele dou chei permite emitorului s cripteze mesajul cu cheia sa privat. Orice receptor poate fi sigur c mesajul aparine acelui emitor, prin decriptarea datelor cu cheia public a acestuia. Combinat cu rezumatul mesajului, criptarea cu cheia privat permite utilizatorilor s semneze digital mesajul. Rezumatul mesajului este o valoare unic generat de o funcie de dispersie neinversabil i care depinde de toi biii acestuia (hash function). Rezumatul este criptat cu cheia privat a emitorului i adugat la mesajul original. Ceea ce se obine se numete semntur digital. Semntura poate fi apoi validat de receptor folosind doar cheia public a emitorului. Se calculeaz din nou rezumatul mesajului primit, se descifreaz semntura primit cu cheia public a emitorului i se compar cele dou rezumate.

Semntura digital reprezint un mijloc de autentificare att a emitorului ct i a mesajului propriu-zis. Spre deosebire de semntura olograf, care identific doar emitorul, semntura digital furnizeaz i mijloace de asigurare asupra integritii coninutului mesajului electronic recepionat. Ea este produs prin anumite calcule fcute de ctre emitor, pe baza unei chei i a coninutului mesajului. Acest proces se numete funcia de semnare. La recepie, printr-o funcie de verificare, se constat valabilitatea semnturii. Exist n aceste calcule nite parametrii -numii chei- care difer de la o semntur la alta i care sunt specifici celui care produce semntura.

Figura 2 Semntur digital cu chei publiceMetodele de semntur digital cu chei publice (asimetrice), ilustrate n figura 2, folosesc la semnare cheia secret a entitii emitor ( Dent ) iar la verificare, cheia public a acesteia ( Eent ). Ca urmare, o semntur poate fi produs doar de emitorul autentic, singurul care cunoate cheia secret, dar poate fi verificat de orice persoan care cunoate cheia public a emitorului.

Cel mai folosit sistem criptografic cu chei publice n practica semnturilor digitale este RSA (Rivest-Shamir-Adleman); realizat de trei cercettori de la Massachusetts Institute of Technology, reprezint standardul "de facto" n domeniul semnturilor digitale i al criptrii cu chei publice. El se bucur de o foarte mare apreciere att n mediul guvernamental ct i n cel comercial, fiind susinut prin lucrri i studii de comunitatea academic. Sub diferite forme de implementare, prin programe sau dispozitive hardware speciale, RSA este astzi recunoscut ca cea mai sigur metod de cifrare i autentificare disponibil comercial. RSA este bazat pe cvasi-imposibilitatea actual de a factoriza numere (ntregi) mari; fuciile de criptare/decriptare sunt de tip exponenial, unde exponentul este cheia iar calculele se fac n inelul claselor de resturi modulo n. Un alt sistem criptografic -DSA (Digital Signature Algorithm) este algoritmul de semntur digital al standardului DSS, elaborat de NIST-National Institute of Standards & Technolog n august 1991. Este un standard foarte cotroversat n literatura de specialitate, deoarece este destinat s nlocuiasc standardul de facto al domeniului, RSA. Se bazeaz pe un aparat matematic derivat din metoda El Gamal, ntemeindu-i tria criptografic pe problema dificultii calculului logaritmilor n cmp finit. 4. CERTIFICATE digitaLEn funcionarea sistemelor cu chei publice este necesar un sistem de generare, circulaie i autentificare a cheilor folosite de utilizatori. S ne imaginm situaia cnd o persoan, s zicem Vlad, dorete s se dea drept altcineva, Dan, i vrea s semneze n fals n numele lui Dan; falsificatorul (Vlad) poate face acest lucru uor, generndu-i propria sa pereche de chei i punnd-o pe cea public n directorul public, n locul celei autentice a

lui Dan. Documente semnate de Vlad cu cheia sa secret vor fi verificate cu cheia public ce pare a fi a lui Dan i orice persoan se va nela de autenticitatea documentelor semnate n numele lui Dan.

Problem fundamental este deci accea a ncrederii absolute n cheile publice, cele cu care se face verificarea semnturlor digitale. Acestea trebuie s fie disponibile n reea, astfel ca orice client s poat obine cheia public a unui emitent de document semnat. n acest context, soluia tehnic exist: crearea unei infrastructuri internaionale, bazat pe Autoriti de Certificare -(Certification Authority-CA), care s permit obinerea cu uurin i ntr-o manier sigur a cheilor publice ale persoanelor cu care se dorete s se comunice prin Internet. Aceste autoriti urmeaz s distribuie, la cerere, certificate de chei autentificate.

Cel mai larg recunoscut i utilizat format pentru certificatele de chei publice este acela definit n standardul X.509 de ctre ISO/IEC/ITU. Formatul X.509 pentru certificate (figura 3) a evoluat de-a lungul a trei versiuni. Versiunea 3 (care a fost adoptat n 1996) a introdus cteva caracteristici noi. n timp ce versiunile anterioare asigurau suport numai pentru sistemul de nume X.500, versiunea 3 suport o mare varietate de forme pentru nume, incluznd adrese de email i URL-uri. Versiunea 3 introduce nite extensii pentru certificate incluznd n acestea extensiile standard, private sau cele definite la nivel de comunitate [4].

Un sistem bazat pe certificate de chei publice implic existena unei Autoriti de Certificare ce emite certificate pentru un anumit grup de deintori de perechi de chei (public i privat). Fiecare certificat conine valoarea cheii publice i o informaie care identific n mod unic Subiectul certificatului (care este o persoan, o aplicaie, un dispozitiv sau alt entitate ce deine cheia privat corepunztoare cheii publice incluse n certificat). Certificatul reprezint o legtur imposibil de falsificat ntre o cheie public i un anumit atribut al posesorului su. Certificatul este semnat digital de o Autoritate de Certificare care confirm astfel identitatea subiectului. Odat ce setul de certificate a fost stabilit, un utilizator al respectivei infrastructuri cu chei publice poate obine cheia public pentru orice utilizator certificat de respectiva Autoritate de Certificare.

Sistemele de obinere a cheilor publice bazate pe certificate sunt simplu i economic de implementat datorit unei importante caracteristici a certificatelor digitale: certificatele pot fi distribuite fr a necesita protecie prin serviciile de securitate obinuite: autentificare, intergritate i confidenialitate. Aceasta deoarece cheia public nu trebuie pstrat secret; n consecin nici certificatul digital ce o conine nu este secret. Nu exist cerine de autentificare sau integritate deoarece certificatul se auto-protejeaz (semntura digital a CA din interiorul certificatului asigur att autentificarea ct i integritatea acestuia). Ca urmare, certificatele digitale pot fi distribuite i vehiculate prin legturi de comunicaie nesigure: prin servere de fiiere nesigure, prin sisteme de directoare nesigure i/sau protocoale de comunicaie ce nu asigur securitatea. Un prim avantaj al unui sistem de certificate este acela c orice utilizator al su poate obine cheile publice pentru un numr mare de alte entiti, cunoscnd la nceput doar cheia public a unei Autoriti de Certificare.

Interaciunea dintre componentele unei infrastructuri de chei publice impune existena unor protocoale pentru management. Elementele implicate n managementul PKI sunt: Subiectul unui certificat, care poate fi o persoan sau o aplicaie (de exemplu un ruter) i reprezint entitatea final (End Entity EE).

Autoritatea de certificare (Certification Authority - CA), care iniiaz un certificat digital, asociind identitatea unui utilizator cu cheia sa public i autentific aceast asociere.

Autoritatea de nregistrare (Registration Authority RA), care poate ndeplini funcii de autentificare a persoanelor, atribuirea de nume, generarea de chei, arhivarea perechilor de chei etc. Ea se confund uneori cu autoritatea de certificare.

Figura 3 Formatul unui certificat X.509 v3

5. INFRASTRUCTURI CU CHEI PUBLICE INTEROPERABILE

Existena unei infrastructuri presupune de la sine existena interoperabilitii i, cu toate c problema poate s aib diferite complexiti n funcie de contextul n care se pune (ntreprindere, reea de arie larg sau Internet), esena ei rmne aceeai. Infrastructurile bazate pe chei publice sunt actualmente in centru atenei a dou mari grupuri de lucru din cadrul IETF i PKIX (X.509). Lucrurile evolueaz destul de repede deoarece structurile de baz au fost deja mprumutate din standardele ISO si ITU i, mai mult, productorii de software au adoptat deja standardul X.509 ca standard de facto. n viitorul apropiat, standardul PKIX (partea I - care definete formatul pentru certificate digitale i pentru listele de revocare a certificatelor) este primul dintre cele 11 standarde aflate n dezbatere care se gsete cel mai aproape de faza de a fi adoptat ca standard Internet [2].

Standardele n acest domeniu sunt destul de greu de adoptat i implic multe discuii deoarece, pentru a se crea o infrastructur bazat pe chei publice, este necesar un consens n ceea ce privete parile fundamentale:

formatul certificatelor digitale care trebuie s fie ct mai apropiat de necesitile fiecrei aplicaii,

clienii care fac cereri pentru astfel de certificate,

serverele care emit certificate,

terele pri ce verific validitatea certificatelor.

Toate aceste componente trebuie s funcioneze independent de implementare, dnd astfel integratorilor de sisteme posibilitatea s realizeze modele complexe de securitate, avnd la baz diferite tipuri de componente de PKI (realizate de diferii productori de software). O infrastructur interoperabil presupune faptul c toate componentele PKI pot fi conectate laolalt. Dac, de exemplu un deparatment din cadrul unei instituii alege modelul de PKI al unui productor de software iar instituia alege ulterior modelul furnizat de un alt productor, este normal c se va crea o oarecare suprapunere n acest caz. Situaia va fi ns ceva mai complex atunci cnd instituia A i instituia B vor dori s dori ca extranet-urile lor, fiecare avnd propria infrastrutur de securitate PKI, s interopereze. Aceasta poate implica o Autoritate de Certificare sau este posibil ca ambele infrastructuri s fie fie subordonate unei instituii guvernamentale. Complexitatea tehnic a unei astfel de situaii vine din necesitatea de a asocia elementele de baz pentru realizarea ncrederii (cine n cine se ncrede i din ce motiv), acestea nefiind specificate nc n nici un standard existent.

n prezent exist trei modele de realizarea ncrederii care concureaz pentru acapararea pieii:

Ierarhii de ncredere cu o sigur rdcin - Verisign, Microsoft;

Reele de ncredere Entrust;

Pnz de ncredere (Web of trust) - PGP.

Analiza infrastructurilor bazate pe chei publice se poate face dup dou axe fundamentale: dup component (client sau server) sau dup proces (nrolarea pentru obinerea unui certificat, revocarea unui certificat etc). n contextul standardelor Internet, analiza dup proces este cea mai semnificativ. Din punctul de vedere practic, o infrastructur bazat pe chei publice implic urmtoarele nivele:

Servere care emit certificate digitale

Clieni care se nroleaz pentru certificate i le folosesc n stabilirea relaiilor de ncredere ntre ei

Certificatele digitale (folosite n stalibilirea de conexiuni SSL, comunicarea prin mesaje de pot electrinic securizate (S/MIME), semnarea digital a codului sau semnarea folosind tampile de timp).

6. ALEGEREA UNEI SOLUTII DE PKI

Standardele Internet n domeniul infrastructurilor bazate pe chei publice sunt considerate a fi work in progress, pn la aceast dat niciunul dintre documentele propuse neajungnd n stadiul de a fi standard adoptat [3]. Cu toate acestea, unele dintre Internet Draft-urile ce conin aceste propuneri de standarde sunt extrem de elaborate i mature. Pe pia ns s-au impus deja cteva produse pentru diferite componente ale PKI i la ora actual standardele vor fi nevoite s urmeze calea indicat de nvingtor, adic de produseul care se va impune cel mai mult. Nu este primul caz n care practica o ia naintea teoriei i probabil nici ultimul. n cazul de fa necesitile practice au fost mult mai stringente. Pe piaa produselor software de PKI principalii ofertani sunt la ora actual Entrust, Microsoft, Netscape, IBM i RSA Data Security. Dintre cele mai cunoscute produse amintim:

Clieni

Internet Explorer 4.01

Netscape Navigator/Communicator v4.5

Entrust/Entelligence

Servere de certificate

Netscape Certificate Server (v1.02): interopereaz doar cu clieni Netscape

RSA Data Security Inc. - Certificate Security Suite sau Keon Suite.

Microsoft Certificate Server (IIS) v1.0: Interopereaz att cu clieni Netscape ct i cu clieni Entrust.

Entrust Web/AC Server (v 1.01): permite emiterea i publicarea de certificate SSL, S/MIME i pentru semnarea de obiecte pentru Netscape Enterprise Server (v2.0 i 3.0), pentru MS IIS (v.3) i pentru serverele Apache Stronghold.

Entrust/Commerce AC: este un produs software ce permite utilizatorilor s stabileasc o Autoritate de Certificare pentru infrastructura SET. Poate fi folosit de companiile care emit cri de credit, mari comerciani i instituii financiare care emit certificate SET pentru deintorii de cartele, comerciani i ghiee de plat (payment gateways).

n proiectarea unei infrastructuri bazate pe chei publice trebuie s se aib n vedere anumite cerine, adeseori contradictorii:

Scalabilitatea Scalabilitatea maximizeaz economia resurseleor investite pentru dezvoltare i operare, minimiznd n acelai timp problemele legate de end-user convenience permind ca un singur set de credite per utilizator s fie folosit pentru realizarea comunicrii cu diverse pri comunicante de la distan.

Suport pentru aplicaii multiple Pentru uurarea folosirii de ctre utilizatorii finali, pentru securitate i din motive economice, infrastructurile obinuite trebuie s suporte aplicaii multiple. De exemplu, un utilizator de Internet poate dori s se aboneze la un furnizor de servicii Internet ce folosete o infrastructur de chei publice i astfel s obin servicii de securitate pentru email, acces Web i transfer de fiiere.

Interoperabilitatea infrastructurilor administrate independent este total ne-practic s existe o singur infrastructur pretutindeni, administrat de o singur organizaie. De aceea se cere interoperabilitatea infrastructurilor separate (de exemplu infrastructuri distincte pentru fiecare ar sau avnd uniti de administrare distincte n fiecare ar). Realizarea acestei cerine este n strns legtur cu scalabilitatea.

Suport pentru politici multiple cile de certificare considerate adecvate de o aplicaie pot s nu fie n mod necesar adecvate pentru o alt aplicaie De exemplu este posibil ca eu sa am ncredere ntr-o anumit Autoritate de Certificare pentru certificarea serverelor de Web comerciale cu care fac tranzacii usuale de valoare medie, dar s nu am ncredere n aceeai Autoritate de Certificare cnd este vorba de informaii vitale, de valoare mult mai mare). De aceea, pentru realizarea celor dou cerine este necesar s se poat asocia diferite politici cu diferite ci de certificare. Managementul riscului orice organizaie care opereaz sau folosete o infrastructur de chei publice trebuie s posede o foarte bun nelegere a riscurilor asociate i a raportului riscurilor ntre prile implicate.

Limitarea rspunderii Autoritii de Certificare o ter parte, reprezentat de Autoritatea de Certificare, trebuie s aib asigurarea c rspunderea ce i se atribuie este corect proporionat i limitat la riscuri rezonabile. De exemplu o Autoritate de Certificare trebuie s aib asigurarea c nu va fi considerat rspunztoare pentru pierderile rezultate din folosirea unui certificate n scopuri neintenionate sau nedeterminate.

Standarde - toate cerinele anterioare pun n eviden necesitatea stabilirii unor standarde adecvate (tehnice i legale) n domeniul infrastructurilor bazate pe chei publice.

7. ARHITECTURA DE SECURITATE KEON

Vom analiza n continuare unel aspecte practice rezultate din experiena autorilor n instalarea i configurarea unei Autoriti de Certifcare n Romnia folosind suita de componente Keon, a firmei RSA DATA Security. Am avut n vedere cteva cerine generale ce trebuie respectate pentru a se realiza interoperabilitatea infrastructurii de chei publice cu altele deja existente pe plan mondial:

n contextul actual al standardelor Internet i al produselor comercial existente, o infrastructur interoperabil trebuie s foloseasc pentru formatul certificatelor digitale specificaiile standardului X.509 versiunea 3. Acest format este utilizat n toate implementrile majore att pentru autoriti de certificare ct i de clieni PKI, fiind larg acceptat de toi productorii de software ce livreaz soft pentru certificare digital.

O infrastructur interoperabil trebuie s suporte ca modele de ncredere att modelul ierarhic ct i modelul reea. n extensiile certificatelor format X.509v3 vor fi incluse constngerile de baz, de nume i de politic, pentru a se putea administra explicit relaiile de ncredere.

Certificatele i listele de revocare a lor (CRL) trebuie s fie disponibile ntr-un loc de stocare sigur (repository), din care s poat fi accesate de orice client, fr a fi necesar autentificarea acestuia.

Trebuie s existe suport pentru algoritmi de criptare i hashing multipli, cu larg rspndire i cu o trie demonstrat (RSA, DSA, MD5, SHA1).

Alegerea soluiei Keon s-a bazat pe mai multe considerente. Firm reputabil n domeniul securitii informatice, RSA Security este printre primele 5 companii mondiale n domeniul software-ului. Lider mondial n software-ul criptografic, firma deine patentul unora dintre cei mai folosii algoritmi criptografici: RSA, RC2, RC4, RC5, RC6, MD5. Peste 450 de miliane de copii ale pachetului criptografic RSA BSAFE sunt n uz n ntraga lume. De asemena, alegerea soluiei Keon s-a datorat i faptului c RSA Security este un pionier n implementarea unor produse folosind infrastructurile cu chei publice (PKI) i a unor metode metode de autentificare prin semntur digital.Componentele suitei RSA Keon furnizeaz servicii de securitate informatic bazate pe tehnologia infrastructurilor cu chei publice (PKI). Aceste servicii sunt destinate att unor sisteme de programe care "neleg" cheile publice dar i celor care nu au fost proiectate n acest context, folosindu-se wrapper-e adecvate. Aplicaiile avute n vedere pentru folosirea infrastructurii noastre PKI sunt urmtoarele:

Aplicaii Web Securizate Componentele RSA Keon furnizeaz certificate digitale i alte servicii PKI pentru serverele i browserele Web, pentru a se putea realiza autentificarea accesului la Web i comunicaiile securizate, folosind protocolul SSL.

Securizarea E-mail Componentele RSA Keon permit clienilor de pot electronic s foloseasc certificatele digitale pentru protejarea scrisorilor confideniale n Internet/Intranet, asigurndu-se urmtoarele servicii:

Criptare/decriptare

Autentificare prin semntura digital a potei (standard S/MIME)

Integritate mesaje

Non-repudiere

Accesul sigur la aplicaii Componentele RSA Keon pot fi configurate astfel nct s asigure securitatea prin criptarea cu chei publice a comunicaiilor dintre o aplicaie server non-PKI i utilizatorii aflai oriunde n lume. n mnod suplimentar, accesul la aplicaiile server poate fi protejat prin protocolul de autentificare RSA SecureID.

Criptarea fiierelor pe PC-uri (Desktop File Encryption) Datele i fiierele de pe PC-urile personale pot fi protejate printr-o criptare transparent. Securizarea doar a conexiunilor Internet nu este sufiucient, informaii importante rezidnd pe laptopuri sau PC-uri.

Reele virtuale private (Secure VPN) Componentele RSA Keon permit implementarea, pe baza protocolului IPSec i a certificatelor digitale, a unor reele virtuale securizate de tip Extranet, folosind suportul de comunicaie Internet general. Aceste tipuri de arhitecturi sunt foarte utile firmelor/organizaiilor cu larg rspndire geografic la nivel metropolitan, naional sau internaional, ferindu-le prin criptare de atacurile de interceptare din partea hacker-ilor.

Instalarea complet RSA Keon fcut de noi a implicat 5 componente principale, componente ce pot fi folosite ntr-o combinaie flexibil pentru a se atinge obiectivele de secritate ale firmei/organizaiei.

1. SERVERUL DE CERTIFICATE -RSA Keon Certificate Server- furnizeaz soft-ul pentru Autoritatea de Certificare(CA). Aceast CA poate fi folosit pentru emiterea, revocarea i distribuia cerificatelor necesare aplicaiilor de securizare a Web, potei electronice, VPN, RSA Keon Credential Store sau RSA Keon Desktop.

2. DIRECTORUL DE CERTIFICATE -Netscape LDAP Directory Server- este folosit de suita Keon ca un depozit de certificate i de liste de revocare (CRL). Keon Certificate Server include un client LDAP necesar pentu publicarea certificatelor i a listelor de revocare. De asemenea, RSA Keon Security Server implementeaz un client LDAP pentru validarea i regsirea certificatelor digitale necasre n RSA Keon Credential Store.

3. APLICAIA DE SECURITATE PENTRU PC-uri -RSA Keon Desktop- este o aplicaie care se execut pe PC-uri sau portabile, furniznd o interfa care permite conectarea i autentificarea user-ilor, securitatea local prin criptare a datelor/fiierelor, gestiunea RSA Keon Credential Store. RSA Keon Desktop comunic cu RSA Keon Security Server printr-o conexiune SSL protejat. Sunt furnizate 2 servicii majore de securitate: Logon, adic conectarea sigur i puternica autentificare i autorizare a user-ilor i File System Encryption, criptarea manual, automat (transparent) sau prin scheme prag. Se furnizeaz un mecanism puternic de recuperare, n caz de urgen, a cheilor criptografice (key recovery).

4. SERVERUL DE SECURITATE -RSA Keon Security Server- acioneaz pe 2 planuri: ca un servicu de autentificare i ca un depozit sigur, pe termen lung, al drepturilor de acces ale user-ilor. Utilizatorii se autentific de la Desktop ctre Security Server, primind napoi un certificat de privilegii ce conine informaia de autorizare. Security Server ntreine o BD intern, ce conine ntr-o form criptat, datele de autentificare i autorizare pentru toi utilizatorii, furnizate prin legturi sigure SSL ctre utilizatorii mobili. RSA Keon Security Server ofer urmtoarele servicii mai importante:

Autentificare Acest serviciu autentific utilizatorii pentru accesul la datele de autorizare la aplicaii, coninute n BD. Utilizatorii trebuie s dovedeasc c au acces la propriul Credential Store, executnd o autentificare bazat pe semntur digital. Credential Store este configurat pentru a fi deschis fie printr-o parol static, fie printr-un jeton (tocken) numit RSA SecurID, fie printr-un PIN pentru accesul la un smart card RSA SecurID.

Authorizare Service Acest serviciu permite administratorului accesul centralizat la serverele de aplicaii care sunt protejate printr-un RSA Keon Agent.

Validare Certificat Acest serviciu verific certificatele folosite de componentele RSA Keon. Validarea se face parcurgnd cile corecte de certificare i consultnd listele de revocare CRL din directorul LDAP.

Gestiunea Credential Store Acest serviciu permite lui Security Server s emit memoreze i descarce RSA Keon Credential Store ctre un user.

Gestiunea Evenimentelor Evenimentele n domeniul RSA Keon sunt redirectate ctre RSA Keon Security Server pentru a fi memorate i nregistrate.

5. AGENII DE SECURITATE -RSA Keon Agents- de tip "off-the-shelf " sau implementai cu ajutorul lui RSA Keon Agent SDK reflect principiul de protejare a aplicaiilor non-PKI, care nu implementeaz facilitile de securitate legate de certificatele digitale. Aceni ageni pot fi folosii att pentru autorizarea bazat pe chei publice a accesului la aplicaii ct i pentru securizarea comunicaiilor cu aceste aplicaii. 8. POLITICA AUTORITATII DE CERTIFICARE

Autoritatea de Certificare implementat de noi i-a propus cteva funcii de baz:

nregistrarea i acceptarea cererilor de certificate de la end-useri sau alte entiti;

Identificarea sigur a persoanei care a fcut cererea;

Emiterea de certificate;

Publicarea certificatelor emise n directorul public;

Furnizarea ctre utilizatori a unor informaii exhastive i clare privind practica folosirii cerrtificatelor i cerinele tehnice i birocratice necesare obinerii certificatelor;

Ne-acceptarea publicrii sau depozitrii cheilor private, operaii ce intr n sarcina user-ilor;

Revocarea sau suspendarea prompt a certificatelor n urmtoarele circumstane: la cererea user-ului sau a firmei/organizaiei n care acesta activa, n cazul compromiterii cheii private, n cazul existenei unei suspiciuni privind folosirea incorect a cheii;

Publicarea imediat a oricrei revocri sau suspendri ntr-o list de certificate revocate (CRL);

Asigurarea c propriul certificat digital al CA-ului a fost larg distribuit la toi utilizatorii;

Luarea unor msuri de securitate fizic a CA-ului i de gestiune a riscurilor.

Orice Autoritate de Certificare trebuie s elaboreze 2 documente ce stau la baza activitii ei, n strns concordan cu prevederile Internet Task Force PKI X.509 (IEFT PKIX) Part 4 Certificate Policy and Certificate Statement Framework:

Politica de Certificare (Certificate Policy -CP)- adic setul de reguli care indic aplicabilitatea certificatelor la o anumit comunitate i/sau set de aplicaii cu cerine de securitate similare i

Declaraia privind Practica Certificrii (Certification Practice Statement -CPS), care stabilete regulile folosite de CA pentru a emite certificate.

Autoritatea de Certifcare implementat va putea opera n 2 direcii majore:

Ca Server de Certificate n Internet, cu propria sa politic de securitate i cu relaii de cross-certificare cu autoritile unanim recunoscute- VeriSign, BelSign, Thawte, GlobalSign Network, Entrust

Ca furnizor de soluii pentru implementarea unor CA-uri la firme i organizaii, care s satisfac cerinele de securitate ale Intranet-urilor i Extranet-urilor acestora (Web, e-mail, VPN etc.).

9. Concluzii

Economia actual se cldete n jurul informaiei, i mai ales a celei din Internet iar promovarea comerului electronic este legat de adoptarea unor reglementri juridice adecvate, inclusiv n domeniul infrastructurilor cu chei publice. n momentul de fa, n Romnia nu exist o lege specific domeniului informatizrii. n anul 1997, Guvernul Romniei, prin Comisia Naional de Informatic (actuala Agenie Naional pentru Comunicaii i Informatic), a elaborat proiectul legii privind Codul dezvoltrii i utilizrii tehnologiilor informaiei [8]. ntru-ct documentul nu a trecut prin parlament, el a rmas sub form de proiect, urmnd ca o variant (mbuntit) s fac obiectul unei legiferri ulterioare. Proiectul stabilete cadrul corespunztor introducerii, realizrii i utilizrii tehnologiilor informaiei precum i sectoarele vieii economice i sociale implicate n aceste activiti, determinnd atribuiile, drepturile i rspunderile persoanelor fizice i juridice care desfoar aceste activiti. Se definesc, de asemenea, pentru uz juridic, civa dintre cei mai folosii termeni informatici din lege. Este important ns de semnalat c guvernul nelege s se implice n acest domeniu extrem de sensibil din punct de vedere juridic, prin adoptarea unui act normativ, care s determine att categoriile de acte i documente electronice avute n vedere, ct i forma i condiiile cerute acestora. Scopul este standardizarea formatului documentelor electronice innd seama i de reglementrile internaionale. Se prevede n mod expres c documentele electronice, n forma lor complet i definitiv, vor fi prevzute cu semntura electronic (digital), n alctuirea creia se pot aplica metodele criptografice. Documentul electronic prevzut cu semntura electronic este echivalent cu nscrisul sub semntura privat, att n ceea ce privete efectele sale de fond ct i cele procedurale.

Romnia trebuie s se alinieze rapid tendinelor existente pe plan mondial i al Uniunii Europene privind circulaia documentelor electronice i metodele de autentificare a acestora prin semnturi digitale. n acest context, pentru aplicarea msurilor privind valoarea probant a documentelor electronice, Guvernul Romniei va trebui s reglementeze urgent, prin elaborare rapid a unor hotrri, la propunerea Ageniei Naionale pentru Comunicaii i Informatic:

sistemul de documente electronice produse sau utilizate n domeniul administraiei publice, al justiiei i parchetelor,

modalitile acceptate pe plan naional de folosire a sistemelor de semntur digital,

cerinele impuse furnizorilor de servicii de certificare i modul lor de autorizare.

10. Bibliografie

[1] Bhimani A., Securing the Commercial Internet, Communication of ACM, nr.6, 1996.

[2] Burr W. E.. Public Key Infrastructure Technical Specification, NIST, 1997.

[3] Ford Warwick, Baum Michael , Secure Electronic Commerce Building Infrastruture for Digital Signatues and Encryption, Prentice Hall, 1997.

[4] Gerk E., Overview of Certification Systems X.509, CA, PGP and SKIP, Meta-Certificate Group, 1998.

[5] Patriciu,V.V., Pietrosanu M., Bica I., Cristea C., "Securitatea informatic n Unix i Internet", Ed Tehnica, Bucureti,1998;

[6] Patriciu,V.V., Pietrosanu M., Bica I., Voicu N., Vaduva C, "Securitatea comertului electronic", Ed Teora, Bucureti, sub tipar;

[7] Patriciu,V.V.,"Semnarea electronic a documentelor", PC-Report, dec., 1998;

[8] Patriciu V., Vasiu I., Patriciu S., Internet-ul i dreptul, Ed.All-Back, 1999.

[9] Schneier B., Applied Crypography, John Wiley & Sons, 1996.

Autori:

Victor-Valeriu Patriciu, profesor dr., Academia Tehnica Militara,Bd. G.Cosbuc nr.81-83, sect.4, Bucuresti, Romania, Email: [email protected] Ionescu, lector dr., Academia Tehnica Militara, Email: [email protected] Bica, asistent drd., Academia Tehnica Militara, Email: [email protected]

EMBED PBrush

PAGE 147


Achizitii - Suport Pentru Chei

RO 2015 - EXPERT BY FACOM...- modul masurare, trasare si nituire - 6 piese - modul 16 chei combinate de la 6 la 24 mm - modul 12 chei combinate cu clichet - modul 4 chei combinate

1. MASINA COPIAT CHEI CHEI PLANE 2. MASINA ......cea mai bine vanduta masina electronica lacatusilor sau taietorilor de chei ce ofera servicii door to door, service-uri auto, care

INFRASTRUCTURI CRITICE. PERICOLE, AMENIN RI LA · PDF file7 Infrastructurile critice sunt, de regulă, acele infrastructuri de care depind stabilitatea, siguranţa şi securitatea

CHEI DE ARAMĂ - digital.bibliotecaarad.ro

20 Chei Ale Succesului

Securitatea Retelei

Securitatea moderna

Securitatea Informatiei

Monografie Chei Si Defilee in Muntii Apuseni - Pompei Cocean [1988]

Seturi de chei in cutii robuste din otel, vopsite in …...20 piese. Acest set contine chei tubulare de la 4 la 13mm, chei tubulare lungi de la 6 la 10mm, capete de surubelnita drepte,

11 ; [email protected]; 0724 …...Unelte de uz general Clești Clești tip „papagal” 292 - 296 Clești tip „suedez” 297 Chei acționate cu o mână, Chei cu lanț 298

Gama scule de mana - sculeprofesionale.eu · • Posibilitatea de alegere a doi sau chiar trei furnizori pentru produsele esentiale: Chei, capete chei tubulare, elemente de antrenare

Sistemul 20 de Chei Dupa Iwao Kobayashi in Imagini.[Conspecte.md]

SECURITATEA INTERNAŢIONALĂ

Infrastructurile aeroportuare finanțate de UE: beneficii insuficiente în raport cu costurile

Trans Sped Manual Pentru Generare On-line Pereche de Chei

20 chei-ale-succesului

Unelte de mân - ROCASTshop.rocast.ro/.../common/downloads/page0121.pdfUnelte de mână 6.116 Chei și truse de chei 6.D Chei fixe duble, DIN 3110 Chei combinate, DIN 3113A Seturi

Securitatea informationala

Directiva 2012/34/UE a Parlamentului European și a ... de armonizare a... · separate pentru infrastructurile de servicii. 1 (27) Accesul nediscriminatoriu la infrastructurile de

1. MASINA COPIAT CHEI CHEI PLANE 2. MASINA COPIAT CHEI ...€¦ · identificate cu ușurință datorită gulerelor din plastic colorate, respectiv roșu și negru, cu numele instrumentului

Ghid privind Infrastructurile de transport al - ec.europa.euec.europa.eu/environment/nature/natura2000/management/pdf/guidance_on... · Ghid privind Infrastructurile de transport

Algoritmi de criptare cu chei publice

Chei si defilee din Romania 6.1

scule si chei

Infrastructurile de servicii, operatorii de servicii și ...cfrsa.cfr.ro/files/ddr/Anexa 9 - Infrastructurile de servicii in statii de cale ferata.pdf · Tip secție Stația Nr. crt

Capete chei tubulare şi accesorii

Securitatea datelor

Chei profesionale - ROCAST...Chei profesionale Produse noi - Iunie 2016 Chei fixe Chei tubulare Chei dinamometrice Truse de chei Extractoare de rulmenți Unelte create de profesioniști

Protocolul de schimb de chei Diffie-Hellman

securitatea societala_1_idei

Securitatea virtualizarii

Securitatea bazelor

Mixul de Marketing Pentru Brelocuri de Chei