Direcția Comunicaţii Digitale, Statistică și Informatizare

Universitatea "Alexandru Ioan Cuza" din Iasi |

PKI (Certificate)

PKI la D.C.D.

Departamentul de Comunicaţii Digitale, este preocupat să ofere utilizatorilor soluţii optime pentru asigurarea securităţii informaţiei. Astfel, D.C.D. a pus la dispoziţie un Sistem de vot electronic pentru Alegerea Structurilor de Conducere ale Universităţii „Alexandru Ioan Cuza” Iaşi. Acest sistem a asigurat:

  • identificarea corectă a persoanei care a participat la vot
  • secretul tranzacţiilor între calculatorul utilizatorului şi serverul pentru votare
  • unicitatea şi secretul votului.

Universitatea Alexandru Ioan Cuza din Iași prin intermediul Agenției de Administrare a Retelei Nationale de Informatica pentru Educatie si Cercetare, are acces la serviciul de certificate electronice atât pentru servere, cât şi pentru utilizatori.

  • Certificate utilizator
  • Certificate tip server
  • Generalităţi/Definiţii

Un atribut foarte important al fiecărui sistem informatic este modul în care acesta asigură securitatea şi ierarhizarea accesului la informaţie şi modul în care acesta se autoprotejează la tentativele de acces neautoarizate voite sau nu, interne sau externe. Securizarea comunicaţiilor în internet poate fi asimilată cu semnarea unei scrisori şi trimiterea acesteia într-un plic sigilat. Semnătura dă autenticitatea scrisorii, iar plicul sigilat îi conferă acesteia confidenţialitatea necesară.

Electronic, confidenţialitatea se asigură prin criptarea mesajului cu o cheie secretă şi un algoritm asociat. Versiunea criptată a mesajului poate fi citită de destinatar numai dacă acesta posedă cheia secretă şi algoritmul de criptare.
Problema esenţială a majorităţii aplicaţiilor de criptografie este păstrarea secretului acestor chei. Criptografia bazată pe chei publice rezolvă această problemă înlocuind cheia secretă cu o pereche de chei – una privată iar cealaltă publică.

PKI este o combinaţie de produse hardware şi software, politici şi proceduri care asigură securitatea de bază necesară astfel încât doi utilizatori, care nu se cunosc sau se află în puncte diferite de pe glob, să poată comunica în siguranţă. La baza PKI se află certificatele digitale, un fel de paşapoarte electronice ce mapează semnătura digitală a utilizatorului la cheia publică a acestuia. Aceste obiecte informaţionale sunt cărămizile care stau la baza unei implementări PKI şi reprezintă mijlocul de identificare digitală a fiecărui subiect participant într-o relaţie derulată prin mijloace electronice.

O implementare PKI conferă o capabilitate, un atribut tehnologic şi organizaţional, nefiind un produs sau o aplicaţie în sine. Rolul său este acela de a creşte valoarea sistemelor informatice existente, precum şi de a crea posibilitatea implementării unor sisteme care să răspundă cerinţelor în creştere ale societăţii informaţionale.

Criptografia este considerată a fi o artă sau ştiinţa de menţinere a mesajelor secrete, asigurând confidenţialitatea prin criptarea unui mesaj utilizând chei asociate cu un algoritm. Cheia utilizată trebuie să fie secretă ambelor părţi, problema reprezentând-o managementul cheilor şi menţinerea lor secretă. Criptografia are la bază codificarea mesajelor, un bloc fiind substituit prin altul, respectând anumite reguli. Codificarea se poate realiza în mai multe moduri acestea având următoarele proprietăţi comune:

  • atât intrările cât şi ieşirile sunt reprezentate ca stream-uri de octeţi
  • criptarea unei date se realizează cu ajutorul unei chei
  • decriptarea datei se realizează tot cu o cheie

  • Cum funcţionează?
Criptografia bazată pe chei publice trebuie însoţită de un set de politici de definire a regulilor sub care sistemele de criptografie pot opera şi de un set de proceduri care specifică modalităţile de generare, distribuţie şi utilizare a cheilor. Pe scurt, este nevoie de o infrastructură, denumită Public Key Infrastructure (PKI), care stabileşte cadrul funcţional, bazat pe standarde, pentru o mare varietate de componente, aplicaţii, politici şi practici al căror scop este atingerea celor patru funcţionalităţi principale ale unei tranzacţii comerciale:

  • Confidenţialitatea – menţinerea caracterului privat al informaţiei (secretizarea informaţiei)
  • Integritatea – dovada că respectiva informaţie nu a fost modificată (asigurarea împotriva manipulării frauduloase a informaţiei)
  • Autentificarea – dovada identităţii celui ce transmite mesajul (verificarea identităţii unui individ sau a unei aplicaţii)
  • Non-repudierea – siguranţa că cel ce generează mesajul nu poate să-l denigreze mai târziu (asigurarea paternităţii mesajului)

Criptarea se poate realiza cu chei simetrice sau asimetrice. Prima se realizează cu aceeaşi cheie la criptare şi la decriptare, iar cealaltă cu chei diferite.

Criptarea asimetrică are avantajul că una din chei (cea de criptare) poate fi făcută publică. Această cheie de criptare poate fi transmisă oricui, în timp ce cheia de decriptare este deţinută de cel ce a criptat, fiind denumită cheie privată. Un alt avantaj al cheilor asimetrice este că asigură identitatea. Dacă o persoana X criptează un mesaj cu o cheie privată şi transmiţându-l unei persoane Y, aceasta îl poate decripta cu o cheie publică putem spune că Y are certitudinea că mesajul vine de la X. Această idee are la bază semnăturile digitale.

Criptarea simetrică are avantajul vitezei, fiind foarte utilă la criptarea fişierelor locale.

Criptarea mesajelor oferă confidenţialitate, dar acest lucru nu este suficient. În cazul unei transmisii sau recepţii trebuie să existe certitudinea că cel ce a generat mesajul este o persoană autorizată, motiv care a dus la adăugarea de noi proprietăţi cum ar fiintegritatea şi autentificarea, acestea fiind asigurate cu ajutorul semnăturii digitale.

Pentru a înţelege modul de funcţionare este nevoie de cunoaşterea unui al treilea algoritm şi anume funcţiile de hashing. Acestea, spre deosebire de algoritmii de criptare şi decriptare realizează doar funcţia de criptare iar mesajul original nu va fi recuperat niciodată. În principiu, un mesaj are întotdeauna aceeaşi valoare după aplicarea funcţiei şi este imposibil ca două mesaje oarecare să genereze aceeaşi valoare.

Pentru a putea construi cheia ce se utilizează în timpul transmisiei se apelează la „o a treia parte” de încredere denumită Autoritate Certificatoare (CA – Certification Authority). Ea generează un Certificat Digital ce generează o cheie publică. Cheia nu trebuie să conţină ambiguităţi, înglobând datele personale care apoi sunt împachetate şi semnate.

Un Certificat Digital este un document ce conţine patru componente mari:

  • o cheie publică
  • informaţia ce leagă cheia publică de deţinătorul ei
  • informaţia de validitate a certificatului
  • semnatura digitală

Non-repudierea este o altă proprietate a securităţii oferind certitudinea că cel care transmite mesajul nu poate să nege mai târziu ce a transmis.

Din cele prezentate putem să observăm că: integritatea, confidenţialitatea şi non – repudierea sunt asigurate prin criptografia cheilor publice. Pentru aceasta trebuie însă să se ştie: cine generează certificatul, unde este stocată cheia şi unde se găsesc certificatele? Un certificat digital bazat pe infrastructura cheilor publice (PKI – Public Key Infrastructure) asigură rezolvarea tuturor problemelor.

  • Componentele PKI sunt:
  • Autoritatea Certificatoare (CA): responsabilă cu generarea şi revocarea certificatelor
  • Autoritatea Registratoare (RA): responsabilă cu verificarea construcţiei generate de cheile publice şi identitatea deţinătorilor.
  • Deţinătorii de Certificate (subiecţii): Oameni, maşini sau agenţi software care deţin certificate şi le pot utiliza la semnarea documentelor.
  • Clienţii: ei validează semnătura digitală şi certificarea de la un CA.
  • Depozitele: stochează şi fac accesibile certificatele şi Listele de Revocare a Certificatelor (CRLs -Certificate Revocation Lists)
  • Politicile de securitate: definesc procesele şi principiile de utilizare a criptografiei.

Dintre funcţiile realizate cu ajutorul PKI putem menţiona:

Înregistrarea: este un proces în care cel ce doreşte să obţină un certificat de la CA îşi prezintă atributele sale. Acestea sunt verificate iar apoi se eliberează certificatul.

Certificarea: este procesul în care CA eliberează certificatul ce conţine cheia publică subiectului apoi îl depune într-un depozit public.

Generarea Cheilor: în multe cazuri subiectul generează o pereche de chei în mediul său, înainte de a transmite cheia publică la CA pentru certificare. Dacă CA răspunde pentru generarea cheilor, acestea sunt oferite subiectului ca un fişier criptat sau token fizic asemeni unui smartcard.

Recuperarea Cheilor: în unele implementări PKI necesită ca toate cheile schimbate şi/sau criptate să fie depuse într-un depozit securizat. Ele sunt recuperabile dacă subiectul pierde cheia, acest lucru revenind lui CA sau sistemului de recuperare.

Actualizarea Cheilor: toate cheile perechi şi certificatele lor asociate trebuie actualizate la un interval regulat. În acest sens există două situaţii care necesită acest lucru:

  • Data care este specificată în certificat ca dată de expirare este depăşită şi se actualizează.
  • Cheia privată a uneia din entităţi din PKI este compromisă. În acest caz PKI trebuie să anunţe că vechiul certificat nu mai este valid şi urmează să-l înlocuiască. Una din căi este de pre-generare şi stocare securizată a perechilor de chei pentru astfel de situaţii, acţiune ce duce la informarea fiecărui utilizator de acest lucru. Altă cale este metoda „out-of-band” unde cu ajutorul telefonului, faxului, scrisorii se transmite acea cheie.

Certificarea încrucişată: permite utilizatorilor dintr-un domeniu administrativ să utilizeze certificate generate de un CA operaţional în alt domeniu. Procesul implică un CA (CA_1) ce oferă o certificare pentru alt CA(CA_2). Acest certificat conţine cheia publică CA asociată cu cea privată pe care CA_1 o utilizează, lucru ce permite subiecţilor certificaţi prin CA_2 să accepte certificatele generate de CA_1 sau orice CA subordonat.

Revocarea: apare în momentul expirării perioadei de validitate care poate apărea când: subiectul îşi schimbă numele, angajatul părăseşte compania, cheia privată este compromisă. În cadrul standardului X.509, pentru a revoca un certificat se utilizează Lista Revocărilor Certificatelor (CRL – Certificate Revocation List). Această listă identifică certificate şi sunt semnate de CA.

  • Avantajele PKI
Iată câteva din avantajele imediate pe care le aduce o implementare a unei infrastructuri PKI la nivel organizaţional:• Securizarea mesageriei electronice Cea mai mare parte a interacţiunilor derulate prin Internet se realizează prin intermediul mesageriei electronice. Această activitate presupune însă acceptarea unui grad ridicat de risc, prin expunerea unor informaţii confidenţiale şi prin posibilitatea substituirii autorului unui mesaj sau chiar alterarea voită a conţinutului mesajului.

Sistem de administrare a documentelor şi semnătură digitală

O parte importantă a aplicaţiilor software se referă la procesarea şi arhivarea documentelor în format electronic. Deşi aceste sisteme contribuie la diminuarea dificultăţilor în prelucrarea şi arhivarea unui volum mare de documente, ele nu rezolvă complet trecerea de la documente în format tradiţional la documente electronice. Ceea ce lipseşte este posibilitatea de a semna aceste documente electronice şi de a asigura în acest fel non-repudierea acestora.

Securizarea aplicaţiilor Intranet şi Extranet

Din ce în ce mai multe companii şi organizatii tind să-şi transfere procesele de interacţiune către aplicaţii care rulează în mediul Internet. Indiferent dacă acestea se referă la relaţia cu proprii angajaţi şi procesele interne ale organizaţiei (aplicaţii Intranet), sau sprijină interacţiunea cu partenerii şi clienţii (aplicaţii Extranet), aceste aplicaţii îşi demonstrează din plin eficienţa prin reducerea masivă a costurilor şi îmbunătăţirea eficienţei. Pe măsură însă ce aceste informaţii sunt transferate către sistemele şi aplicaţiile Intranet/Extranet, riscul de securitate informaţională creşte semnificativ, în primul rând datorită faptului că Internetul reprezintă prin natura sa un mediu public.

Criptarea datelor şi a documentelor

Securitatea datelor nu se referă numai la momentul în care acestea sunt utilizate într-un proces informaţional, ci şi la stocarea lor. Păstrarea confidenţialităţii şi integrităţii acestora îmbracă numeroase aspecte, care se referă atât la autentificarea accesului cât şi la criptarea lor astfel încât să nu poată fi utilizate în cazul unui acces neautorizat.

Autentificare la nivelul sistemului de operare şi al aplicaţiilor

Autentificarea prin nume şi parolă este soluţia cea mai vulnerabilă şi în plus, obligă utilizatorul la memorarea unei astfel de combinaţii pentru fiecare aplicaţie folosită. Folosirea certificatului digital stocat pe smartcard contribuie nu numai la creşterea gradului de siguranţă dar şi la o utilizare mai facilă, prin folosirea unui mijloc unic de autentificare pentru toate aplicaţiile folosite.

© 2022 Direcția Comunicaţii Digitale, Statistică și Informatizare - Universitatea Alexandru Ioan Cuza din Iaşi