BAZELE CRIPTOGRAFIEI SI ALE SEMNATURII DIGITALE

Cnd Iulius Cezar trimitea mesaje ctre generalii lui, el nu avea ncredere in loialitatea mesager-
ilor. Asa c, n cadrul mesajelor scrise el nlocuia toate literele A cu D, fiecare B cu E si asa
mai departe, n cadrul ntregului alfabet. Numai cineva care cunostea si saltul cu trei putea s
descifreze mesajul. Si asa ncepem si noi.

Criptarea si decriptarea
Informatiile care pot fi citite si ntelese fr a folosi intrumente speciale, sunt numite plaintext
sau cleartext. Metoda de camuflare a plaintext n asa fel nct substanta sa nu sufere modi-
ficri semantice, este denumita criptare. Din criptarea plaintext rezult un text ilizibil numit crip-
tograma. Dumneavoastr folositi criptarea pentru a fi sigur c informatia este inaccesibil
oricrei persoane care nu detine instrumentul necesar decriptarii, chiar dac oricine poate vedea
datele in forma criptografic. Oricum nu va intelege nimic, care s conduc spre descifrarea tex-
tului original. Procesul re-transformrii criptogramei n textul original este numit decriptare.

Ce este criptografia ?
Criptografia este stiinta care foloseste matematica pentru a codifica si decodifica informatiile. Cu
ajutorul criptografiei se pot stoca usor informatiile sau se pot transmite de-a lungul unor retele
nesigure (de exemplu, Internetul) si nu pot fi citite dect de aceia care posed cheia pentru de-
criptare.
In timp ce criptografia este stiinta securizrii informatiilor, criptanaliza este stiinta analizrii si
verificrii securitatii comunicatiei. Criptanaliza clasic implic combinatii interesante de judecti
analitice, aplicatii ale metodelor matematice, cutarea sabloanelor, determinare si noroc.
Criptologia le include pe ambele: criptografia si criptanaliza.

Criptografia profund
In lume exist dou feluri de criptografie: criptografia care o impiedic pe sora mai mica
sa v citeasc fisierele si criptografia care opreste accesul la fisierele de importanta gu-
vernamental. Aceasta carte se refera la a doua varianta. (Bruce Schneier, Applied Cryptog-
raphy: Protocols, Algorithms and Source Code in C.)
Criptografia poate fi puternic sau slab. Puterea procesului de criptografie este masurat n
timp si n resurse informatice necesare pentru a cripta un plaintext. Rezultatul unei criptografii
avansate este un text criptat foarte greu de descifrat fr a fi n posesia unui instrument de de-
criptare. Ct de dificil? Dat fiind toata puterea de calcul din momentul de fata si tot timpul dis-
ponibil lund in considerare un miliard de calculatoare care fac un miliard de operatii pe
secund, este practic imposibil de descifrat rezultatul unei criptografii avansate nainte de sfrsi-
tul Universului. Unii s-ar putea gndi deci, c criptografia avansat poate fi folosit foarte bine
chiar mpotriva unui criptanalist extrem de bine motivat. Cine spune asta? Nimeni n-a dovedit c
este posibil ca folosind cea mai avansata tehnica de criptografie posibil astzi poate fi consid-
erat la fel mine, la puterea de calcul a zilei de miine. Oricum, criptografia avansat oferit de e-
Sign este cea mai bun dintre cele disponibile astzi. Vigilenta si dorinta de a pstra informatiile
intacte v vor proteja mai bine oricum dect tendinta de a v proteja prin impenetrabilitatea sis-
temelor informatice.

Pagina 1 din9





Cum lucreaz criptografia?
Un algoritm criptografic sau un cifru este o functie matematic folosit n procesul de criptare si
decriptare. Un algoritm criptografic lucreaz in combinatie cu o cheie un cuvnt, numr sau
fraz pentru criptarea plaintext- ului. Acelasi plaintext se cripteaz n diferite texte cifrate folos-
ind diferite chei. Securitatea informatiilor criptate este integral dependent de dou lucruri:
! puterea algoritmului criptografic
! secretizarea cheii.
Un algoritm criptografic plus toate cheile posibile si toate protocoalele functionale dau nastere
unui criptosistem.

Criptografia conventional
In criptografia conventional, denumit si criptare cu cheie secreta (secret-key) sau criptare cu
cheie simetric (symmetric-key), este folosit o singur cheie att pentru criptare ct si pentru
decriptare. Sistemul Data Encryption Standard (DES) este un exemplu de criptosistem conven-
tional care este fofosit pe scar larg de Guvernul Federal al SUA. Imaginea de mai jos ilus-
treaza procesul de criptare conventionala.


Cifrul lui Cezar
Un exemplu extrem de simplu de criptografie conventional l constituie cifrul de substitutie. Un
cifru de substitutie nlocuieste o pies a informatiei cu o alta. Cel mai frecvent se realizeaz prin
interschimbarea literelor alfabetului. Avem n vedere dou exemple:
! primul dintre ele este cel denumit Captain Midnights Secret Decoder Ring, pe care
probabil ca l-ati avut cind erati copil
! deasemenea, cifrul lui Cezar.
In ambele cazuri algoritmul const n nlocuirea literelor alfabetului cu litere la o anumita distanta
de respectiva. De exemplu, dac vom folosi n codificarea cuvintului secret cheia de valoare trei
a lui Cezar noi vom incepe alfabetul practic cu cea de a treia litera a acestuia, respectiv litera D.
Cu alte cuvinte D va nlocui pe A, E l va inlocui pe B, F pe C, etc. Folosind aceast
schem, plaintext-ul Secret are forma criptat VHFUHW. Pentru a permite cuiva s citesc
textul cifrat, va fi suficient s-i spuneti s foloseasc cheia de valoare trei. Fr ndoial, aceasta
este o criptografie extrem de slab pentru standardele actuale, dar a functionat pentru Cezar si
ne ilustreazmodalitatea de functionare a criptografieie conventionale.

Pagina 2 din9





Managementul cheilor si criptarea conventional
Criptografia conventional are si avantaje. Este foarte rapid. Este util n mod special pentru
criptarea informatiilor care nu pleac nicieri . Oricum, criptarea conventional singur n scopul
transmiterii datelor securizate, poate fi destul de costisitoare prin simplul fapt datorat dificulttii de
distributie a cheilor de securitate. Amintiti-v de un personaj al filmelor dvs. preferate de spionaj:
acest personaj are o serviet prins cu ctuse de ncheietura minii. Oare ce se ascunde n ser-
viet? Probabil c nu este codul de lansare a rachetelor nucleare si nici formula bitoxinei si nici
mcar un plan de invazie, ca atare. Cel mai sigur geanta ascunde o cheie care va decripta infor-
matiile secrete.
Pentru ca un expeditor si un destinatar s comunice n deplina sigurant folosind criptarea con-
ventional, ei vor trebui sa convin asupra unei chei si s tin secretul acesteia doar ntre ei. In
caz ca se afl n locatii fizice diferite, ei vor trebui s aib ncredere n curier sau orice alte medi-
umuri de comunicatie securizate pentru a preveni furtul sau interceptarea cheii secrete n timpul
transmisiei. Oricine intercepteaz cheia n timpul tranzitului, poate s o citeasc ulterior, s o
modifice si s aib acces la toate informatiile criptate sau autentificate cu acea cheie. Incepnd
cu DES si p[n la Cifrul lui Cezar, problema care persist privind criptarea conventionl o
reprezint distributia cheilor. Cum pot s-i dau cuiva o cheie fr ca altcineva s o poat inter-
cepta?

Criptografia cheilor publice
Problema distributiei cheilor este rezolvat prin Criptografia cheii publice, concept care a fost
introdus de Whitfield Diffie si Martin Hellman in 1975.
Criptografia cheii publice este o schem asimetric care foloseste o pereche de chei pentru crip-
tare: o cheie public care va cripta informatiile si o cheie corespondent, denumirta cheie pri-
vat sau cheie secret, pentru decriptare.V veti face cunoscut cheia public n toata lumea, n
timp ce veti tine secret cheia privat. Oricine, chiar si persoane pe care nu le-ati ntlnit nicio-
data, avnd copia cheii dumneavoastr publice, poate s cripteze o informatie pe care ns doar
dumneavoastr o veti putea citi, folosind cheia privat. Este practic imposibil, din perspectiv in-
formatic, s se deduc cheia privat din cheia public. Oricine detine o cheie public apartinnd
altei persoane, poate cripta informatii dar nu le poate si decripta. Doar persoana care detine
cheia privat corespondent cheii publice folosite, poate decripta informatia.


Pagina 3 din9





Cel mai vizibil beneficiu de criptografie cu cheie public, este acela c permite persoanelor care
nu au instalat nici un sistem anterior de securitate, s trimit mesaje perfect securizate. Necesi-
tatea expeditorului si a destinatarului s fac schimb de chei prin intermediul canalelor securizate
este eliminat. Toate comunicatiile implic doar chei publice, comune si accesibile tuturor, iar nici
o cheie privat nu va fi transmis sau mprtit altora. Cteva exemple de criptosisteme cu cheie
public sunt: Elgamal (dupa numele invetatorului Taher Elgamal), RSA (dupa numele inventato-
rilor Ron Rivest, Adi Shamir si Leonard Adleman), Diffie Hellman (dupa, ati ghicit, numele in-
ventatorilor) si DSA Digital Signatuie Algorithm (inventata de David Kravitz).
Datorit faptului c criptografia conventional a fost la un moment dat singura disponibil pentru
protejarea informatiilor secrete, costurile exorbitante de folosire a canalelor securizate si a dis-
tributiei cheilor a facut ca foarte putini s poat s-si permit folosirea acestora, ca de exemplu
serviciile guvernamentale sau bncile mari. Criptarea cheii publice este revolutia tehnologic ce
permite accesul masei de utilizatori informatici s o foloseasc. V mai aduceti aminte de curierul
care umbla cu geanta legat de mini cu ctuse? Incriptare cheii publice l scoate din business
(probabil spre usurarea lui).

Cum functioneaz criptarea e-Sign?
Sistemul criptografic prezentat de catre e-Sign combin cele mai bune caracteristici, att a crip-
tografiei conventionale ct si a criptografiei cheii publice.
Cnd un utilizator cripteaza un plaintext, sistemul, ca prim act, compreseaza plaintext-ul. Com-
presia datelor reduce timpul de transmisie prin modem si a spatiului disc si, cel mai important,
mreste puterea de securitate a criptografiei. Cele mai multe tehnici criptanaliste exploateaza
fragmente de informatie gsite n plaintext pentru a sparge cifrul. Compresia reduce aceste frag-
mente din plaintext mrind astfel rezistenta intrinsec mpotriva criptanalistilor.
Se genereaza apoi o cheie de sesiune, care este o cheie secret folosit doar o singur dat.
Aceast cheie este de fapt un numr generat aleatoriu. Cheia de sesiune functioneaza cu un al-
goritm de criptare conventional foarte sigur si rapid, pentru criptarea plaintext-ului. Rezultatul este
o criptogram. Odata informatia criptat, cheia de sesiune este apoi criptat cu cheia public a
destinatarului. Aceast criptare cu cheia public a cheii de sesiune este transmis mpreun cu
criptograma ctre destinatar.


Pagina 4 din9






Decriptarea functioneaz invers. E-Sign foloseste cheia privat a destinatarului pentru revelarea
cheii de sesiune temporare si care apoi va fi folosit pentru decriptarea criptogramei

Combinarea acestor dou metode de cifrare combin avantajele criptrii cheii publice, cu viteza
criptrii conventionale. Criptarea conventional este de aproximativ 1,000 de ori mai rapid dect
criptarea cheii publice. In schimb, criptarea cheii publice ofer posibilitatea distributiei cheii si a
unei bune transmisii a acesteia. Folosirea acestora mpreun se face n deplin sigurant.

Cheile
O cheie este o valoare care functioneaz n cadrul unui algoritm criptografic, pentru a produce o
criptogram. Cheile sunt la baz numere foarte, foarte foarte mari. Marimea cheilor este masu-
rat in bits. Numrul reprezentnd o cheie de 1024 de bits este urias. In criptografia cheii publice,
cu ct cheia este mai mare, cu att mai asigurat este textul cifrat. In orice caz, dimensiunea cheiii
publice si dimensiunea cheii secrete a criptografiei conventionale, sunt total necorelate. O cheie
conventional de 80 de bits are putere echivalent a unei chei publice de 1,024 de bits. O cheie
conventional de 128 de bits este echivalent unei chei publice de 3,000 de bits. Din nou, cu ct
cheia este mai mare, cu att este mai securizat, dar algoritmii folositi pentru fiecare tip de crip-
tografie sunt foarte diferiti, astfel nct o comparatie ar fi ca cea intre mere si portocale.
Cu toate c ntre cheile publice si private exista o relatie matematic, este foarte greu, dac nu
imposibil, s obtinem cheia privat din cea public, prin metode matematice. Oricum, obtinerea
prin derivare a cheii private este deasemenea posibila doar dac exist suficient timp si putere
de calcul. De aici rezid necesitatea alegerii cheilor de dimensiune optim: destul de mare pentru
a fi securizat, dar si suficient de mic pentru a fi folosit cu maximum de operativitate. In plus,
este util s v gnditi cine ar fi interesat s v citeasca fisierele, ct de determinati sunt, ct de
mult timp au si care ar putea fi resursele de care dispun.
Cheile mai mari vor fi securizate din punct de vedere criptografic pentru o perioad mare de timp.
Daca veti doriti s criptati informatii pentru multi ani, s-ar putea s vreti sa folositi o cheie foarte
mare. Cine poate s spun ct timp va dura ca cineva s v descifreze cheia, folosind compute-
rele zilei de mine, mai rapide, mai eficiente ? La un moment dat se credea ca o cheie simetrica
de 56 bits este foarte sigur.
Cheile sunt pstrate &ntr-o form criptat. E-Sign pstreaz cheile n dou fisiere pe hard disk-ul
calculatorului dumneavoastr, unul pentru cheile publice si unul pentru cheile private. Aceste fis-
iere sunt denumite legatura de chei (keyrings). Pe masur ce folositi sistemul de criptare si
semntur digital e-Sign, veti adauga chei publice ale destinatarului mesajelor dumneavostr n
fisierul Legatura de chei publice (public keyring). Cheile dumneavostr private vor fi pastrate in
Legatura de chei privata (private keyring).

Pagina 5 din9





Semnatura electronic (digital)
Un avantaj major al criptografiei cheii publice l constituie posibilitatea angajrii semnturii digi-
tale, n conditiile prevzute de Legea nr.455 din 18 Iulie 2001. Semntura electronic permite
destinatarului unei informatii s verifice autenticitatea acesteia si, de asemenea, s verifice dac
informatia este intact din punct de vedere al continutului. Astfel, semntura electronic cu o
cheie publica furnizeaz autenticitate si integritate informatiei. O semnatur electronic
furnizeazaz de asemenea efectul de nonrepudiere, ceea ce nseamn c anuleaz posibili-
tatea oricarui expeditor sa nege faptul ca el sau ea a trimis respectiva informatie.
Semnura electronic serveste aceluiasi scop ca si semntura olograf. Oricum, semnatura olo-
graf este usor de contrafcut. O semnatur electronic este superioar semnturii olografe pen-
tru c este aproape imposibil de contrafacut In plus, atest integritatea continutului la fel ca si
identitatea semnatarului.
Unele persoane au tendinta de a utiliza semntura mai mult dect folosesc criptarea. De exem-
plu, s-ar putea s nu v pese dac cineva stie c tocmai ati depozitat 1000 dolari in contul per-
sonal, dar vreti s fiti foarte sigur c cel cu care ati fcut operatiunea, era chiar functionarul de
banc.
Modul n care este creat semntura electronic este ilustrat mai jos. In loc de criptarea infor-
matiei utiliznd cheia public a altuia, veti cripta mesajul cu cheia dumneavoastr privat. Dac
informatia poate fi decriptat cu cheia dumneavoastr public, nseamn c dumneavoastr ati
generat-o.


Functia de frmitare.
Sistemul descris mai sus ridic cteva probleme. Este ncet si produce un volum imens de date
cel putin de dou ori mrimea fat de informatia original. Functia de frmitare este un proces
de mbunttire a mecanismului descris mai sus. Functia de frimitare ia n considerare lungi-
mea documentului n acest caz, un mesaj indiferent de lungime, chiar de mii sau milioane de
bits transformndu-l n fragmente de lungime fix, s spunem de 160 de bits. Functia de
frimitare ne asigur c, dac informatia este schimbat n orice sens chiar si cu un bit, va avea
un rezultat cu totul diferit.

Pagina 6 din9





E-Sign foloseste o functie criptografica puternica de frmitare. Aceasta fixeaz o legatur fix
de articole cunoscute ca forma abstracta a textului, rezultat din farmitare peste care se ap-
lic cheia privat a semnatarului (din nou, orice schimbare a informatiilor rezultate duce la un
rezultata cu totul diferit). Deci e-Sign foloseste forma abstract a textului si cheia privata pentru a
crea semnatura. E-Sign transmite semntura si textul semnat, mpreun. Odat cu reception-
area mesajului, destinatarul foloseste e-Sign pentru a verifica integritatea textului orginal, n ace-
lasi timp verificnd semntura expeditorului.



Atta timp ct este folosit functia de frimitare, nu este posibil s lum semnatura cuiva de pe
un document si s o atasm altuia sau sa modificm n orice fel semnatura unui mesaj. Orice
schimbare, ct de mic a continutului unui document, va duce automat la nerecunoasterea sem-
nturii electronice.
Semntura electronic joac un rol mare n autentificarea si validarea altor utilizatori ai sistemului
e-Sign

Certificatele electronice
O caracteristic a sistemelor cu cheie public este aceea c utilizatorii trebuie s se asigure n
mod constant si vigilent c expeditorul cripteaza cu cheia potrivit. Intr-un mediu unde schimbul
cheilor prin intermediul serverelor publice se desfasoar n deplin sigurant, atacul asa zisului
maninthemidle, reprezint o amenintare potential. In acest tip de atac cineva poate s
posteze o cheie fals purtnd numele si identificatorul (user ID) unui destinatar. Datele criptate
ctre si interceptate de ctre adevaratul proprietar al acestei chei false este acum in mini
gresite. Intr-un mediu al cheilor publice, este vital sa fiti asigurati c cheia public cu care criptati

Pagina 7 din9





informatiile este de fapt cheie publica real a destinatarului caruia intentionati sa I le trimiteti si nu
unei tinte false. Puteti pur si simplu s criptati doar cu acele chei care au fost nmnate in mod
fizic de ctre destinatar. Dar, plecnd de la premiza c trebuie s schimbati informatii cu per-
soane pe care nu le-ati ntlnit niciodat: cum puteti fi sigur c detineti cheia corecta?
Certificatele electronice sau certs, v simplific activitatea de stabilire dac o cheie publica
apartine ntr-adevar destinatarului cruia intentionati sa-i trimiteti informatiile. Un certificat este o
form a unei referinte sigure. Exemple pot fi: licentele asupra diverselor produse, carnetul de
conducere, codul personal sau certificatul de nastere. Fiecare dintre acestea contine anumite in-
formatii prin care v identificati si anumite organisme abilitate confirm acest lucru. Unele certifi-
cate, ca de exemplu pasaportul, poart o ncarctur suficient de mare prin care se confirm
identitatea dvs, nct s aveti grij sa nu-l pierdeti avnd n vedere c altcineva v-ar putea fura
identitatea.
Un certificat electronic functioneaz n mod similar unui certificat fizic. Un certificat electronic este
o informatie care include cheia public a unei persoane pentru a ajuta pe altii s verifice dac
aceast cheie este reala sau valid. Certificatele electronice sunt folosite pentru a zadarnici in-
tentia unor persoane de a se substitui altora.
Un certificat electronic contine obligatoriu trei lucruri:
! Cheia Public
! Informatii de certificare (informatia de identificare a utilizatorului, cum ar fi numele, codul
de identificare -User ID- si asa mai departe)
! Una sau mai multe semnturi electronice, maximum 5.
Scopul semnturii electronice pe un certificat este atestarea faptului c informatiile certificatului
apartin unei unice persoane sau entitati. Semntura electronic nu atesta autenticitatea unui cer-
tificat in intregul lui. El garanteaza numai c informatia semnat functioneaza cu, sau este ata-
sata cheii publice.
Astfel, un certificat reprezint n esenta lui o cheie public cu una sau doua forme de identificare
atasate, plus o confirmare a autenticittii din partea unui organism de ncredere denumit Autori-
tate de Certificare, in cazul de fata S.C. E-Sign S.A.

Distributia certificatelor

Certificatele sunt folosite cnd este nevoie s schimbati chei publice cu alte persoane. Pentru
grupuri mici care doresc s comunice n sigurant, este usor s schimbe informatii prin interme-
diul schimbului manual de dischete sau de e-mailuri care s contina cheile publice ale proprie-
tarilor lor. Aceasta este distributia manual a cheii publice. Este ns necesar s se constituie un
sistem care s furnizeze siguranta necesar, stocarea si mecanismele de schimbare astfel nct
cei angrenati ntr-o activitate comun, partenerii de afaceri sau strinii s poat comunica. Astfel
sunt constituite serverele de certificate (Certificate Servers) sau sisteme mai structurate care sa
furnizeze componentele managementului cheilor si care sunt numite infrastructurile cheii pub-
lice (Public Key Infracstructures PKIs).

Serverele de certificate
Un server de certificate, denumit si Cert-server sau Key-server, este de fapt o baz de date care
permite utilizatorilor s emit si s regaseasc certificate electronice. Un Cert-server furnizeaz
de obicei unele componente administrative care permit societatilor de certificare s mentina poli-
ticile de securitate de exemplu care s permit doar acele chei care ndeplinesc anumite condi-
tii pentru a fi stocate.

Pagina 8 din9






Pagina 9 din9
Infrastructurile cheilor publice (PKIs)
PKI contine facilittile de stocare a certificatelor pe un server de certificare, dar de asemenea
furnizeaz facilitti privind managementul certificatelor (posibilitati de constituire, revocare , sto-
care, regsire si certificate de ncredere ). Cea mai important component a PKI o reprezint
introducerea a ceea ce este cunoscut ca Autoritatea de Certificare, sau CA, si care este o enti-
tate uman (o persoan, un grup, un departament, companie sau alte modele de asociatie) pe
care o organizatie a autorizat-o s publice certificate ctre utilizatorii de calculatoare ai acesteia.
Rolul unui CA este analog biroului de pasapoarte guvernamental al unei tari. Un CA creaza cer-
tificate si le semneaza electronic folosind cheia privata a respectivului CA. Din cauza rolului jucat
n crearea certificatelor, CA este componenta central a PKI. Folosind cheia public a CA, oricine
doreste s verifice autenticitatea certificatului, verific semntura digitala furnizat de CA si ast-
fel, integritatea continutului unui certificat (cele mai importante informatii sunt cheia publica si
identitatea detinatorului de certificat).

Formatul certificatului
Un certificat electronic este n fond o colectie de informatii de identificare legate mpreun printr-o
cheie publica si semnate de o a treia parte, care s dovedeasc autenticitatea acestor informatii.
Un certificat electronic poate avea mai multe formate.
Un certificat e-Sign contine (dar nu se limiteaz doar la cele enumerate n continuare), ur-
mtoarele informatii:
! Versiunea certificatului
! Numrul serial al certificatului
! Algoritmul de criptare a cheii
! Informatii despre detinatorul certificatului const n informatii despre identitatea utiliza-
torului, cum ar fi numele, codul de identificare (user ID), etc.
! Perioada de validitate a certificatului data de cnd certificatul devine valabil si data pn
la care acesta este valabil, indic perioada de timp disponibil pna la expirarea certifica-
tului.
Un certificat poate fi imaginat ca fiind o cheie public cu una sau mai multe etichete. Fiecare din
aceste etichete ofer informatii care duc la identificarea unic si fr echivoc a proprietarului
acestui certificat


Se poate deduce din cele de mai sus, c folosind un sistem puternic de criptare si de semntur
electronic, sistem furnizat momentan exclusiv n Romnia de ctre e-Sign, aveti la dispozitie
un instrument extrem eficace si de sigur privind protectia informatiilor, att n forma lor stocat pe
diverse suporturi, ct si n timpul transmisiilor de date si documente, care tind s devin din ce n
ce mai voluminoase.
Curnd, e-Sign v va oferi un serviciu conex celor enuntate mai sus, serviciul de Arhiv elec-
tronic n cadrul unui complex informatic de tip Data Centre. Aici documentele dumneavoastr
electronice vor putea fi stocate n stare criptat, n perfect sigurant, conform procedurilor stan-
dard folosite n lumea tehnologic.