Securitatea informației, transmisă prin rețelele de comunicații actuale, folosind diferite medii și standarde de comunicații, stocată pe dispozitive locale sau în cloud, reprezintă o provocare pentru specialiștii din domeniu. Pentru a oferi servicii de confidențialitate, integritate, autentificare și nerepudiere, în sistemele informaționale se utilizează diverse tehnici de criptare. De-a lungul timpului, au fost dezvoltați numeroși algoritmi de criptare, în continuare fiind prezentați cei mai relevanți, împreună cu o serie de aplicații ale acestora.
Ştiința păstrării secretelor
Criptarea este o tehnică de codare a datelor care asigură secretul informațiilor. Diverse tehnici de criptare au fost aplicate, din cele mai vechi timpuri, prin metode de substituție și/sau transpoziție, cu secvențe secrete de tip „cheie”, cunoscute doar de persoanele autorizate. Un exemplu în acest sens este „Cifrul lui Cezar”, de substituție, bazat pe rotirea alfabetului cu un număr de poziții dat de cheie. De exemplu, dacă se alege cheia k=5, atunci în locul literei A se folosește litera F. Punctul slab al cifrului îl constituie dimensiunea redusă a spațiului cheilor și simplitatea metodei, fiind vulnerabil la atacul brut, simplu de spart, într-un timp scurt, prin încercarea tuturor valorilor posibile ale cheii.
Criptologia este o știință care a evoluat considerabil în ultimele decenii. Tehnicile moderne de criptare combină metodele de substituție și transpoziție cu alte metode matematice, liniare sau neliniare, bazate pe teoriile câmpurilor algebrice finite, haosului, curbelor eliptice, mecanicii cuantice și altele.
Se urmărește creșterea robusteții algoritmilor, schemelor și circuitelor de criptare la atacurile criptografice, tot mai agresive și mai eficiente, în condițiile evoluției tehnologiilor procesoarelor, dispozitivelor și ale Internetului, în general.
Confidențialitatea informațiilor poate fi asigurată prin aplicarea unor algoritmi de criptare cu o complexitate crescută, cu chei de criptare cu lungimi mai mari, testați să reziste o perioadă de timp suficient de lungă la atacurile criptografice de la un anumit moment.
Clasificarea tehnicilor de criptare
Pentru a putea descrie și compara diverșii algoritmi de criptare, este utilă clasificarea lor pe diferite criterii. Unul dintre criterii este simetria algoritmului. Algoritmii de criptare pot fi simetrici, folosind aceeași cheie, secretă sau privată, pentru criptare și decriptare. Dintre aceștia, se remarcă DES (Data Encryption Standard), TDES (Triple DES) și AES (Advanced Encryption Standard).
Algoritmii de criptare asimetrici folosesc chei de criptare publice, care pot fi transmise prin Internet (PKC – Public Key Cryptography). RSA (Rivest-Shamir-Adleman) și ElGamal sunt algoritmi de criptare cu cheie publică, recomandați pentru criptarea unor secvențe scurte, precum parole, chei, identificatori, certificate digitale și altele. Alegerea algoritmului de criptare se face în funcție de natura informației care trebuie protejată, de nivelul de securitate necesar, de nivelul de risc acceptat și de costurile (financiare, de timp, de resurse de procesare) admise pentru aplicarea tehnicii respective de securitate.
O altă clasificare a algoritmilor de criptare se bazează pe tipul datelor prelucrate, care pot fi: secvențe de biți, valori zecimale întregi, numere întregi dintr-un inel matematic sau un câmp algebric finit.
Aplicarea unui algoritm de criptare se poate face direct pe un șir de date (stream cipher) sau pe blocuri de date (block cipher), care, la rândul lor, pot fi aplicate pe structuri de date unidimensionale sau multidimensionale. De exemplu, structuri de date 2D și 3D se folosesc pentru criptarea imaginilor digitale, dar pot fi aplicate și pentru alte tipuri de informații, cu scopul creșterii complexității și robusteții algoritmilor.
Tehnici de criptare și aplicațiile acestora
Rivest-Shamir-Adleman (RSA) este un algoritm de criptare cu cheie publică, o pereche de numere (e, n), aplicat pe valori întregi, cu operații algebrice de ridicare la puterea e și reducere modulo n a rezultatului. Componenta n a cheii de criptare, dedusă ca produs de două numere prime, trebuie să fie un număr zecimal mare, cu peste 310 cifre, astfel încât factorizarea lui să fie practic imposibilă într-un interval de timp suficient de scurt. RSA necesită o capacitate de calcul mare și, de aceea, este recomandat pentru criptarea unor secvențe de date relativ scurte.
Au fost dezvoltate diverse atacuri contra algoritmului RSA. Avantajul acestui criptosistem este dat de faptul că prin creșterea lungimii cheii, de exemplu prin dublarea acesteia de la 1024 la 2048 de biți, se asigură rezistența la atacuri pentru încă un număr de ani. Acest algoritm este standardizat și, deși are și unele puncte slabe, este considerat a fi un algoritm de securitate a informațiilor pe termen lung, robust în fața atacurilor care pot fi lansate în prezent. Numeroși alți algoritmi au fost creați pe principiile RSA, de exemplu, algoritmul PRESENT care are o complexitate de calcul mai redusă și este folosit în circuite RFID. Criptosistemele pe curbe eliptice (ECC – Elliptic Curve Cryptosystem), bazate pe chei de criptare publice mai scurte decât cele folosite de RSA, oferă o securitate sporită, dar au o viteză de procesare relativ redusă cu tehnologiile de calcul actuale, fiind o opțiune pentru sistemele viitoare de securitate a informației.
DES apare ca standard FIPS PUB 46 în 1977, fiind unul dintre cei mai puternici algoritmi de criptare cu cheie secretă de la acel moment, rezistent la atacurile de criptanaliză diferențială. DES este un criptosistem simetric binar, cu chei de 64 de biți. Algoritmul codează blocuri de 64 de biți, în 16 runde, cu 16 subchei generate din cheia inițială de criptare. Robustețea algoritmului este dată de funcția neliniară Feistel utilizată în fiecare rundă. Algoritmul mai realizează permutarea inițială și finală a datelor din fiecare bloc, pe principiul diversiunii („confussion and diffusion”). Folosit cu succes peste 10 ani, în aplicații militare și guvernamentale, a fost înlocuit în 1999 de AES.
Versiunea TripleDES (TDES, 3DES) aplică de trei ori algoritmul DES, în 48 de runde, cu chei de 128 de biți, fiind mai robust la atacul brut și atacuri analitice, comparabil ca robustețe cu AES. TDES este folosit pentru securitatea informațiilor transmise în tranzacții financiar-bancare, precum și pentru protecția datelor personale înscrise în pașapoartele electronice.
Standardul de criptare avansată (AES), considerat a fi cel mai robust și eficient la acest moment, folosește un algoritm simetric de criptare, cu chei secrete de 128, 192 și 256 de biți, aplicat în 10,12 sau 14 runde, pe blocuri de octeți. Operațiile efectuate asupra datelor sunt relativ simple din punctul de vedere al complexității de calcul, incluzând permutări, substituții, adunări și produse în câmpuri Galois. S-au realizat implementări ale AES atât software, cât și hardware, eficiente ca timp și complexitate de calcul. AES este folosit în protocoalele IPsec (Internet Protocol Security), TLS (Transport Layer Security), în metoda WPA (WiFi Protected Access) din rețelele de comunicații wireless și în rețele virtuale private (VPN) pentru criptarea traficului.
Modalitățile de generare, transmisie și gestionare a cheilor de criptare influențează nivelul de securitate oferit. Transmisia securizată a cheilor secrete, printr-o rețea publică, se poate face utilizând RSA sau schemele Diffie-Hellman. Kerberos este un protocol avansat de securitate care criptează sesiunile de lucru, asigură schimbul securizat al cheilor prin rețea, cu valabilitate limitată în timp a acestora. Un caz aparte de funcții criptografice îl reprezintă funcțiile Hash, folosite în algoritmi de criptare fără chei de criptare, pentru calculul unor secvențe de lungime fixă, pe baza cărora se verifică integritatea datelor. Se folosesc în scheme de generare a semnăturilor digitale, pentru autentificarea mesajelor transmise online, în algoritmi de tip Message Digest (MD) și Secure Hash Algorithm (SHA), rezistenți la coliziuni criptografice și la atacuri bazate pe acestea.
Tendințe în domeniu
Pentru securitatea informațiilor se aplică diferiți algoritmi de criptare, cu cheie publică sau secretă, sau variante hibride ale acestora, precum cele folosite de SSL/TLS. Pe lângă aceștia, sunt importante modalitățile de implementare a algoritmilor, condițiile în care sunt utilizați (date stocate sau transmise, „pe fir” sau wireless), protocoalele de criptare folosite, politicile de securitate aplicate, deoarece vulnerabilitățile sistemelor de securitate a informațiilor apar pe diferite niveluri, de la nivelul de acces fizic, la cel de acces la servicii și pe cel de aplicație. Factorul uman constituie un punct slab al sistemelor de securitate, fiind vulnerabil la atacuri care urmăresc aflarea parolelor, a cheilor de criptare și a altor informații critice. De aceea, aplicarea politicilor de conștientizare a riscurilor (awareness) și instruirea personalului care prelucrează date cu caracter secret constituie un element-cheie în asigurarea securității informațiilor.
Abstract
Information sent by various media, using different communication standards or stored locally or on cloud, can be protected by encryption, in order to ensure information confidentiality, data integrity, authentication and non-repudiation service. Numerous encryption algorithms and schemes were developed, such as RSA, DES, TDES, AES, Hash and others. These techniques are used in order to secure critical data, passwords and keys, to generate digital signatures and digital certificates, to protect data stored on digital passports or sent by VPNs.
Autori: Conf. dr. ing. Luminița Scripcariu și Ing. drd. Florin Mocanu, Universitatea Tehnică ”Gheorghe Asachi”, Iași
1 comment
Cateva mici scapari:
„DES este un criptosistem simetric binar, cu chei de 64 de biți”
de fapt sunt utilizati doar 56 biti
„Versiunea TripleDES (TDES, 3DES) aplică de trei ori algoritmul DES, în 48 de runde, cu chei de 128 de biți”
3DES foloseste key de 168 biti (3×56)
* „Cifrul lui Cezar”
cred ca a fost „spart” prin analiza frecventei literelor