ReferatCriptografie

Universitatea de Vest Timişoara – Facultatea de Informatică

Arhitecturi şi modele de securitate în reţele de calculatoare

ADMINISTRATEA SECURITĂŢII INFORMAŢIILOR

Andruşco Loredana Master IACD, anul I, sem II


1. Cuprins1. Cuprins..................................................................................................................22. Introducere...........................................................................................................33. Concepte de baza..................................................................................................4

3.1. Definitie..........................................................................................................43.2. Obiectivele.....................................................................................................4

4. Importanta Securizarii Informatiilor.................................................................64.1. Sarcinile de baza ale asigurarii securitatii informationale.............................6

5. Protecţia informaţiei............................................................................................76. Principiile securizarii informatiei.......................................................................7

6.1. Principiul penetrarii facile..............................................................................76.2. Principiul protectiei adecvate.........................................................................76.3. Principiul eficacitatii......................................................................................86.4. Principiul verigii slabe...................................................................................8

8. Bibliografie..........................................................................................................11


2. IntroducereNici una dintre sferele vitale ale societăţii contemporane nu poate funcţiona

fără o infrastructură informaţională dezvoltată. Azi, Resursa Informaţională Naţională devine una din bazele principale ale creşterii economice a oricărui stat. Pătrunzând în toate sferele de activitate ale statului, informaţia capătă expresii concrete - politice, materiale şi valorice, determinate de o serie de factori, inclusiv de dimensiunile prejudiciului cauzat de diminuarea calităţii ei. Un indiciu al calităţii informaţiei este securitatea ei. Din punctul de vedere al intereselor statului, în ultimii ani problema securităţii informaţionale a căpătat un caracter actual şi este privită ca una dintre sarcinile prioritare ale statului, în calitatea sa de domeniu important al securităţii naţionale.

Actualitatea problemei menţionate e determinată, de asemenea, şi de o serie de factori obiectivi, de importanţă substanţială în viaţa ţării, generaţi de tranziţia spre o economie de piaţă şi, în perspectivă, spre o societate informaţională. Printre aceşti factori merită a fi menţionaţi: creşterea continuă a rolului informaţiei în vederea asigurării intereselor vitale ale societăţii şi statului; intensificarea proceselor informatizării diferitor domenii de activitate; tendinţa stabilă de fuzionare organică a tehnologiilor tradiţionale (în baza tiparului) şi celor automate (electronice) de prelucrare a informaţiei; decentralizarea bruscă a utilizării mijloacelor contemporane ale TEC (trecerea la utilizarea personală a locurilor automatizate de lucru) ş. a .; lărgirea spaţiului de lucru al reţelelor internaţionale ale schimbului de date (Internet ş. a.).

Trebuie sa remarcam ca si inceput trecerea de la noţiunea utilizată mai înainte “protecţia informaţiei” la una nouă, mai amplă şi mai modernă - “securitatea informaţiei”. Schimbarea formulei înseamnă, mai întâi de toate, o schimbare de concepţie - cu privire la esenţa, scopurile şi obiectul securităţii informaţionale. E pentru prima dată când asigurarea securităţii este concepută prin organizarea evidenţei şi ajustarea intereselor a trei agenţi de bază, care activează în sfera informaţională - personalitatea, societatea, statul, la fel şi reieşind din necesitatea lărgirii orizonturilor abordării tradiţionale a problemei securităţii informaţionale în sistemele transmiterii datelor şi în telecomunicaţii.

Modificările conceptuale au generat includerea în competenţa securităţii informaţionale a unor asemenea subiecte, cum sînt drepturile informaţionale ale cetăţenilor şi sistemele de formare a conştiinţei sociale.

Intr-o societate informationala globala, unde informatiile sunt transmise prin cyberspace ca si o rutina de baza, semnificatia informatiilor este acceptata intr-un domeniu larg. Mai mult, informatia si sistemul informational si sistemul de comunicatii care transmit informatiile s-au imprastiat peste tot in organizatii, de la platforma utilizatorului pana la retele locale sau extinse, la servere. Astfel, administrarea executiva a firmeri are responsabilitatea de a se asigura ca organizatia furnizeaza tuturor utilizatorilor un mediu cu un sistem informational securizat.


3. Concepte de baza3.1. Definitie

Prin securitatea informaţiei înţelegem sistemul (totalitatea organizatorică) de măsuri legale, organizatorice, tehnice şi alte măsuri (acţiuni) ale organelor puterii centrale şi regionale, autoadministrării locale, întreprinderilor, organizaţiilor şi instituţiilor, îndreptate spre asigurarea securităţii de stat, păstrarea secretelor şi informaţiei de stat de acces limitat, de serviciu, comerciale şi de alte tipuri, protecţia resurselor informaţionale, sistemelor, tehnologiilor şi mijloacelor asigurării sale; o asemenea situaţie de conservare a propriei integrităţi fizice şi logice se află în strictă corespundere cu regulamentul stabilit.

Securitatea informaţiei este privită ca o activitate, orientată spre prevenirea scurgerii de informaţie cu acces limitat (a informaţiei, care constituie un secret) şi, de asemenea, a impactului unui variat tip de influenţe nesancţionate, nedorite şi nepremeditate asupra informaţiei şi a purtătorilor ei, adică activitate privind protecţia în faţa pericolelor informaţionale.

Problema dată este într-atât de dificilă, multilaterală şi specifică, încât poate fi soluţionată numai într-o dezvoltare dinamică – de la securitatea tradiţională a informaţiei însăşi în regimurile ei de prelucrare, transmisie şi păstrare, până la asigurarea securităţii complexe a obiectelor protejate.

Conceptul de securitate se aplica tuturor informatiilor. Securitatea se refera la protectia bunurilor de valoare impotriva pierderii, deteriorarii sau dezvaluirii lor. In acest context bunurile de valoare sunt datele sau informatiile inregistrate, procesate, stocate, impartite, transmise sau primite dintr-un mediu electronic. Datele sau informatiile trebuie sa fie protejate imptorivea raului provocat de catre amenintarile care vor duce la pierderea lor, inaccesibilitatea lor, deteriorarea sau dezvaluirea nedorita. Protectia are loc printr-o serie de straturi de protejare tehnologice si non-teh nologice cum ar fi masuri fizice de securitate, identificarea utilizatorilor, parole, carduri destepte, biometrice, firewall-uri, etc. Securitatea se aplica la toate informatiile.

3.2. Obiectivele

Obiectivul securizarii informatiilor este protejarea intereselor acelora care se bazeaza pe aceste informatii, si protejarea sistemului informational si sistemului de comunicare care furnizeaza informatia, de la pagube rezultate din pierderea disponibilitatii, confidentialitaii, si a integritatii. Pentru a indeplinii obiectivele securitaiti si a dezvolta si intrebinte un control adecvat al acesteia trebuie sa aiba loc u abordare integrata continua.

Securitatea sistemelor informatice presupune îndeplinirea a trei deziderate: confidenţialitatea, integritatea şi disponibilitatea. Asigurarea confidenţialităţii presupune că activele informatice sunt accesate numai de către persoane autorizate. Prin acces se înţelege


nu numai citirea ci şi vizualizarea, listarea sau chiar cunoaşterea existenţei unui anume activ. Pentru a putea avea un nivel satisfăcător de confidenţialitate trebuie să existe o entitate sau un responsabil care să stabileascăcine are drept de acces la sistem şi în ce măsură este permis accesul fiecăruia.

Asigurarea integrităţii semnifică faptul că activele pot fi modificate numai de către persoane autorizate sau numai prin metode autorizate. Prin modificare putem înţelege operaţiuni precum scrierea, crearea, ştergerea sau schimbarea stării curente. Datorită variatelor înţelesuri ale acestui concept, păstrarea integrităţii unui activ poate însemna faptul că respectivul este: precis, exact, nemodificat, modificat într-o măsură acceptabilă, modificat de către persoane autorizate, modificat de către procese autorizate, consistent sau utilizabil. Au fost identificate trei elemente esenţiale pentru asigurarea integrităţii: derularea de acţiuni autorizate, separarea şi protejarea resurselor precum şi detectarea şi corectarea erorilor. Integritatea poate fi implementată în mod similar cu confidenţialitatea, printr-un control riguros al persoanelor care pot accesa anumite resurse şi asupra modului în care resurselepot fi accesate.

Asigurarea disponibilităţii implică faptul că un activ este disponibil persoanelor autorizate în timpii optimi caracteristici. Cu alte cuvinte, dacă o persoană sau un sistem dispun de acces autorizat la anumite resurse, accesul trebuie să nu fie restricţionat. O stare inversă este cea de “denial of service”, adică de incapacitateade a asigura serviciul. Disponibilitatea poate fi asigurată atât la nivelul datelorcât şi la nivelul serviciilor. Ca şi în cazul confidenţialităţii diferite persoane pot aveaabordări distincte. De exemplu un obiect sau un serviciu poate fi considerat disponibil dacă este prezent într-o formă utilizabilă, are o capacitate suficientă pentru a satisface necesităţile sau operaţiunea este încheiată într-o perioadă de timp acceptabilă.

Securitatea informatică presupune îndeplinirea celor trei obiective specificate O provocare pentru construirea unui sistem securizat este atingerea unei stări de echilibru între cele trei obiective care de multe ori generează situaţii conflictuale la nivelul sistemului. De exemplu, este uşor să se asigure confidenţialitatea informaţiilor din sistem prin simpla blocare totală a accesului la resursele respective. Totuşi, în aceste condiţii sistemul nu este securizat deoarece nu îndeplineşte condiţia deasigurare a disponibilităţii. În condiţiile descrise trebuie să existe un echilibru între confidenţialitate şi disponibilitate. Avand in vedere ca mediul technologic este intr-o continua schimbare, ceea ce este considerat ca si un apogeu al artei astazi maine va fi invechit, si securitatea trebuie sa tina pasii cu aceste schimbari. Securitatea trebuei sa fie considerata ca si o parte integrala a duratei de


viata a procesului de dezvoltare a sistemului si considerata in mod explicit in fiecare faza a acestui proces. Oportunitatea este critica in asigurarea securitatii informatiilor.

Administrarea executiva, profesionistii in securitatea sistemelor informatiilor, proprietarii datelor, proprietarii proceselor, providerii de tehnologii, utilizatorii si auditorii sistemelor informationale, toti au rolul si responsabilitatea in asigurarea efectiva a securitatii informatiilor. Astfel ca trebuie sa fie exersata harnicia tuturor indivizilor implicati administrarea, utilizarea, proiectarea, dezvoltarea, intretinerea, operarea si monitorizarea sistemelor informationale.

4. Importanta Securizarii InformatiilorIntr-o societate informationala globala, unde informatiile sunt transmise prin

cyberspace ca si o rutina de baza, semnificatia informatiilor este acceptata intr-un domeniu larg. Mai mult, informatia si sistemul informational si sistemul de comunicatii care transmit informatiile s-au imprastiat peste tot in organizatii, de la platforma utilizatorului pana la retele locale sau extinse, la servere. Exista multe beneficii directe si indirecte care reies din folosirea sistemelor informationale. Exista deasemena si multe riscuri directe si indirecte relativ la aceste sisteme informationale. Riscurile au conduc la o discrepanta intre necesitatea de a proteja sistemele si gradul de protectie aplicat. Aceasta discrepanta este cauzata de: raspandirea pe scara larga a utilizarii tehnologiei, interconectivitatea sistemelor, eliminarea distantei, timpului si spatiului ca si constrangeri, schimbarile tehnologice neuniforme, degenerarea administrarii si controlului, atractivitatea de a conduce atacuri electronice neconventionale in detrimentul atacurilor fizice conventionale impotriva organizatiilor si factori externi cum din domeniul legislativ, legal, si cerinte reglabile sau dezvoltari tehnologice.

Esecurile securitatii pot duce atat la pierderi financiare ca si la pierderi intangibile cum ar fi disponibilitatea neautorizata a informatiilor competitive sau sensibile. Amenintari la sistemele informationale pot aparea din acte intentionate sau neintentionate si pot proveni din surse interne sau externe. Amenintarile pot emana printre altele din conditii tehnice (buguri in program, erori hard), dezastre naturale (incendii, inundatii), conditii de mediu (scurgeri electrice), factori umani (lipsta de antrenament, erori, si omisii), accesul neautorizat (hacking), sau virusi. In plus fata de acestea, alte amenitari, cum ar fi dependintele busineess (faptul ca depinzi de a tria parte de comunicare, operatii inafara surselor interne, etc) care pot rezulta intr-o lipsa de control in administrare.

4.1. Sarcinile de baza ale asigurarii securitatii informationale

Dintre sarcinile de bază ale asigurării securităţii informaţionale fac parte: depistarea, evaluarea şi pronosticarea surselor de pericol pentru securitatea


informaţională, complexul de măsuri şi mecanisme de realizare a acesteia; crearea bazei normativ-legale de asigurare a securităţii informaţionale, coordonarea activităţii organelor puterii şi administrării de stat, structurilor menite să asigure securitatea informaţională; dezvoltarea sistemului de asigurare a securităţii informaţionale, perfecţionarea organizării ei, formelor, metodelor şi mijloacelor de preîntâmpinare, preîntâmpinare şi neutralizare a pericolelor securităţii informaţionale, lichidarea consecinţelor prejudicierii; participarea activă a statului în procesele de creare şi utilizare a Sistemului Naţional Informaţional.

5. Protecţia informaţiei Implementarea informatizării, obiectiv oportune, generează şi efecte negative,

unul dintre care este sporirea bruscă a vulnerabilităţii informaţiei acumulate, depozitate şi prelucrate. Impactul poate purta atât un caracter întâmplător, cît şi intenţionat, rezultat de acţiuni ilicite, infracţionale şi diversioniste. Regimul securităţii informaţiei este stabilit: • în dependenţă de conţinutul informaţiei ce ţine de securitatea organizatiei • privind informaţia documentară confidenţială – de proprietarul resurselor informaţionale în baza legislaţiei existente. Pericolele securităţii informaţiei pot apărea din surse externe şi interne.

Tipurile de bază ale pericolelor securităţii informaţiei sunt: scurgerea informaţiei prin canalele tehnice; furtul, distrugerea, denaturarea, falsificarea, blocarea, reţinerea, copierea informaţiei drept rezultat al accesului nesancţionat la purtători sau la mijloacele de prelucrare, transmisie şi păstrare a informaţiei; furtul sau distrugerea (defectarea) purtătorilor de informaţie.

6. Principiile securizarii informatieiPrincipiile securităţii informaţiei. În primul rând trebuie subliniat un moment

de primă importanţă – colectivitatea în luarea deciziilor ce ţin de direcţiile principale de securitate a informaţiei, de ratificarea documentelor normativ - metodice, pe de o parte, şi întreaga independenţă şi responsabilitate a conducătorilor de toate nivelele pentru executarea deciziilor luate şi eficacitatea securităţii informaţiei – pe de alta.

Pentru asigurarea securităţii informaţiei trebuie cunoscute principiile de bază care guvernează domeniul. Acestea sunt principiul penetrării facile, principiul protecţiei adecvate, principiul eficacităţii şi principiul verigii slabe.

6.1. Principiul penetrarii facile


Principiul penetrării facile stipulează că un intrus poate folosi orice metodă pentru a pătrunde în sistem. Penetrarea nu va fi făcută neapărat prin metodele cele mai clare şi nici prin cele pentru care s-au luat cele mai semnificative măsuri de protecţie. În aceste condiţii, specialiştii in securitatea informatică trebuie să ia în considerare toate variantele posibile de penetrare în sistem. Analiza acestora trebuie făcută în mod repetat şi obligatoriu atunci când se schimbă coordonatele sistemului. Întărirea unei anumite părţi a sistemului poate determina simplificarea pătrunderii în sistem prin alte variante.

6.2. Principiul protectiei adecvate

Principiul protecţiei adecvate specifică faptul că activele informatice trebuie protejate până în momentul în care îşi pierd valoarea, iar protecţia trebuie să fie direct proporţională cu valoarea lor.

6.3. Principiul eficacitatii

Principiul eficacităţii stipulează faptul că măsurile de control trebuie să fie utilizate întrun mod corect pentru a putea avea efecte. Măsurile de control trebuie să fie eficiente, adecvate şi uşor de folosit. Eficienţa poate fi măsurată în timp, spaţiu de memorie, activitate depusă sau efecte asupra celorlalte elemente din sistem.

6.4. Principiul verigii slabe

Principiul verigii slabe specifică faptul că securitatea unui sistem nu poate fi superioară securităţii subsistemului cel mai expus. Funcţionarea defectuoasă a unei componente generează automat expunerea întregului sistem.


7.Algoritmi implementaţi

7.1. Cifrul Hill

Fiecare litera este prima data codata ca si un numar. Cea mai simpla metoda de codare este urmatoarea: A = 0, B =1, ..., Z=25, dar aceast lucru nu este esential in cifru. Se considera in cele ce urmeaza un vector de dimensiune n cu literele, si se inmulteste cu o matrice de dimensiuni n x n, modulo 26. Daca se folosesc mai multe litere decat 26 atunci se va face modulo numarul respectiv, astefel se poate folosi o schema de numere diferita si se pot coda si spatiile si semnele de punctuatie. Intreaga matrice este considerata cheia de criptare si ar trebuie sa fie aleatoare insa sa poate fi

inversabila in pentru a asigura ca decodificarea este posibila. In algoritmul implementat de mine am folosit urmatoarea matrice de criptare:

Sa consideram ca vrem sa codificam cuvantul ‘ACT’, din moment ce 'A' este 0, 'C' este 2 si 'T' este 19, vectorul mesaj este urmatorul:

Astfel vectorul criptat este dat de urmatoarea formula:

Care corespunde textului cifrat: ‘POH’.

Decriptarea

Pentru a deciprta textul, transformat textul cifrat intr-un vector, dupa care pur si simplu inmultim acest vector cu inversa matricii de criptare. Inversa matricii folosita petnru criptare este urmatoarea:

Pentru textul criptat anterior ‘POH’ vom obtine:


Care este cuvantul original ‘ACT’.

7.2. Cifrul Bifid

În criptografia clasică, cifrul bifid este un cifru ce combină pătratul lui Polybius cu cifrul transpoziţiei şi foloseşte fracţionarea. A fost inventat în jurul anului 1901 de către Felix Delastelle

Pentru început, alfabetul este scris amestecat într-un pătrat al lui Polybius:

1 2 3 4 51 B G W K Z2 Q P N D S3 I O A X E4 F C L U M5 T H Y V R

Mesajul este convertit în coordonatele carteziene obişnuite, scrise unele sub altele:

A N A A R E M E R E3 2 3 3 5 3 4 3 5 33 3 3 3 5 5 5 5 5 5

Sunt apoi citite pe linii:

3 2 3 3 5 3 4 3 5 3 3 3 3 3 5 5 5 5 5 5

Apoi sunt împărţite în perechi, iar acestea transformate înapoi în litere folosind pătratul:

32 33 53 43 53 33 33 55 55 55 O A Y L Y A A R R R => OAYLYAARRR

În acest fel, fiecare caracter al textului cifrat depinde de toate celelalte caractere, deci acesta e un cifru digrafic, la fel ca şi cifrul Playfair. Pentru decriptare, se foloseşte metoda inversă.Mesajele mai lungi sunt rupte întâi în blocuri de lungime fixă, numite perioade. Fiecare bloc este apoi codat separat. Perioadele impare sunt ceva mai sigure decât cele pare.

http://ro.wikipedia.org/w/index.php?title=Cifrul_Playfair&action=edit&redlink=1

http://ro.wikipedia.org/wiki/Coordonate_carteziene

http://ro.wikipedia.org/w/index.php?title=Felix_Delastelle&action=edit&redlink=1

http://ro.wikipedia.org/wiki/1901

http://ro.wikipedia.org/wiki/Cifrul_transpozi%C5%A3iei

http://ro.wikipedia.org/w/index.php?title=P%C4%83tratul_lui_Polybius&action=edit&redlink=1

http://ro.wikipedia.org/w/index.php?title=P%C4%83tratul_lui_Polybius&action=edit&redlink=1

http://ro.wikipedia.org/wiki/Criptografia


7.3.Cifrul SHA (Secure Hash Algorithm)

Secure Hash Algorithm este unul dintre o serie de funcţii hash criptografice publicate de Institutul Naţional de Standarde şi Tehnologie ca US Federal Information Processing Standard. În prezent există trei generaţii de Secure Hash Algoritm:

* SHA-1 este funcţia hash originalĂ 160-biţi. Asemănătoare algoritmului MD5, acest lucru a fost proiectat de către Agenţia Naţională de Securitate (NSA) să facă parte din Digital Signature Algorithm. Iniţial numit doar "SHA", acesta a fost retras la scurt timp după publicarea din cauza unui “defect semnificativ" şi se înlocuieşte cu versiunea revizuită uşor SHA-1. Algoritmul original retras este cunoscut acum sub numele de retronym SHA-0. * SHA-2 este o familie de două funcţii hash similare, cu dimensiuni diferite, categorii cunoscute sub numele de SHA-256 şi SHA-512. Acestea diferă în mărime cuvântul; SHA-256 foloseşte cuvinte pe 32 de biţi în cazul în care SHA-512 foloseste cuvinte pe 64 de biţi. Există, de asemenea versiuni trunchiate din fiecare standardizate, cunoscut ca SHA-224 şi SHA-384. Acestea au fost, de asemenea, concepute de către ANS. * SHA-3 este funcţia hash standard încă în dezvoltare. Aceasta este ales într-un proces de revizuire public din designeri non-guvernamentale. Un curs de desfăşurare NIST funcţia hash concurenţa este programat să se încheie cu selectarea unei funcţii câştigătoare, care va fi dat numele SHA-3, în 2012.


8.Bibliografie

http://www.revistaie.ase.ro/content/36/constantinescu.pdfhttp://www.mdi.gov.md/public_articles_rp/statia_3_rom/http://www.securizare.ro/content/view/724/36/Information Technology Guideline

http://www.securizare.ro/content/view/724/36/

ReferatCriptografie

Documents

Transcript of ReferatCriptografie