Securitatea rețelelor bazate pe protocoale TCP/IP 2

1. Securitatea retelei si criptografia

Criptografia este stiinta scrierilor secrete. Ea sta la baza multor servicii si mecanisme de securitate folosite in Internet, folosind metode matematice pentru transformarea datelor, in intentia de a ascunde continutul lor sau de a le proteja impotriva modificarii. Criptografia are o lunga istorie, confidentialitatea comunicarii fiind o cerinta a tuturor timpurilor. Daca ar trebui sa alegem un singur exemplu al criprografiei “clasice”, acesta ar fi “cifrul lui Cezar”, nu atat datorita celebritatii imparatului roman de care se leaga folosirea lui, ci pentru ca principiul sau de baza, al substitutiei, s-a mentionat nealterat aproape doua milenii.

Multa vreme, eforturile criptografilor au fost dirijate spre intarirea cifrurilor prin complicarea algoritmului, combinand substitutii si transpozitii aspra unor simboluri sau aspra unor blocuri. Istoria moderna a criptografiei cunoaste numerose inovatii in aceasta privinta. Doua sunt elementele ce au marcat insa cotitura semnificativa in dezvoltarea metodelor criptografice.

Primul este legat de dezvoltarea retelelor de calculatoare, al caror stimulent extraordinar s-a manifestat atat prin presiunea exercitata de tot mai multi utilizatori cat si prin potentarea gamei de instrumente folosite efectiv in executia algoritmilor de cifrare. Utilizarea calculatoarelor electronice a permis folosirea unor chei de dimensiuni mai mari, sporindu-se astfel rezistenta la atacuri criptoanalitice.Cand cheia secreta are dimensiune convenabila si este suficient de frecvent schimbata, devine practic imposibila spargerea cifrului, chiar daca se cunoaste algoritmul de cifrare. Pe aceasta idee se bazeaza si standardul american de cifrare a datelor – DES (Data Encryption Standard) – larg utilizat de guvernul SUA si de diverse companii internationale. Propus intr-o forma initiala de IBM in 1975, DES a rezistat evaluarii facute de “spargatorii de cifruri” de la U.S. National Security Agency (NSA), care au recomandat doar reproiectarea anumitor componente. DES a fost adoptat ca standard federal in 1977 si a fost folosit intens datorita performantelor de viteza atinse la cifrare (peste 100 milioane biti/secunda). Din pacate, nu se stie cu certitudine daca cei de la NSA sau de la vreo alta organizatie au reusit sau nu sa sparga DES. Experienta a aratat insa ca orice shema criptografica are o viata limitata si ca avansul tehnologic reduce, mai devreme sau mai tarziu, securitatea furnizata de ea.

Al doilea moment important in evolutia criptografiei moderne l-a constituit adoptarea unui principiu diferit de acela al cifrarii simetrice. Whitfield Diffide si Martin Hellman, cercetatori la Universitatea Stanford din California, prin articolul “New Directions in Criptografy”, publicat in 1976 in revista IEEE Tranactions on Information Theory, au pus bazele “criptografiei asimetrice” cu chei publice. In locul unei singure chei secrete, criptografia asimetrica foloseste doua chei diferite, una pentru cifrare, alta pentru descifrare. Deoarece este imposibila deducerea unei chei din cealalta, una din chei este facuta publica, fiind pusa la indemana oricui doreste sa transita un mesaj cifrat. Doar destinatarul, care detine cea de a doua cheie, poate descifra si utiliza mesajul. Tehnica cheilor publice poate fi folosita si pentru autentificarea mesajelor, fapt care i-a sporit popularitatea. Nu este, deci de mirare ca guvernul SUA a initiat adoptarea unui standard de semnatura digitala bazat pe conceptul de cheie publica. Acest demers a generat controverse, soldate chiar cu acuze intre organizatiile implicate. Pana in decembrie 1990, Institutul National de Standarde si Tehnologie al SUA (NIST) recomanda pentru adoptare ca standard metoda RSA, prezenta deja in industrie. Dar noua luni mai tarziu, in august in 1991, NIST a avansat un cu totul alt algoritm, bazat pe o metoda cu chei publice, publicata de Taher El Gamal in 1986. Noua propunere denumita DSS (Digital Segnature Standard), a fost dezvoltata de NSA. Ea a dezamagit nu datorita performantelor, ci “gratie” autorului, care este nu doar proiectant, dar si spargator de cifruri, ceea ce a starnit, inevitabil, suspiciuni.

Un cifru se defineste ca transformarea unui mesaj clar sau text clar in mesaj cifrat sau criptograma. Procesul de trasformare a textului clar in text cifrat se numeste cifrare sau criptare, iar transformarea inversa, a criptogramei in text clar, are denumirea de descifrare sau decriptare. Atat cifrarea cat si descifrarea sunt controlate de catre una sa mai multe chei criptografice. Criptoanaliza studiaza metodele de spargere a cifrurilor, adica de determinare a textului clar sau a cheii de cifrare din criptograma.

a) Alegerea modului de criptare

Daca scopul principal este simplitatea si viteza, modul cel mai indicat de cifrare este ECB. Insa acest mod este si cel mai slab. Pe langa vulnerabilitatea la atacurile prin repetare, el este si cel mai usor de criptanalizat. Pentru criptarea, insa, a unor date aleatoare, cum ar fi alte chei, ECB este bun.

Pentru texte normale se va folosi CBC, CFB sau OFB. Alegerea depinde de necesitatile specifice.

CBC este, in general, mai bun pentru criptare de fisiere. Surplusul de securitate este signifiant si, in plus, erorile ce apar in memorarea datelor nu vor genera erori de sincronizare. De asemenea, CBC este de multe ori cea mai buna solutie pentru aplicatii software.

CFB, in special CFB pe 8 biti, este modul potrivit pentru criptarea sirurilor de caractere in care fiecare caracter trebuie tratat individual, cum ar fi legatura dintre un terminal si un host. OFB este adesea utilizat in sisteme sincronizate de inalta viteza, unde nu este tolerata propagarea erorilor, sau in situatii care necesita preprocesare.

b) Utilizarea criptografiei in retele

Putem privi securitatea ca un lant. Securitatea intregului sistem este o combinatie puternica de legaturi slabe. Totul trebuie securizat: algoritmii criptografici, protocoalele, programele de administrare. Criptografia este doar o parte a securitatii; ea adopta problematica securitatii unui sistem, ceea ce este diferit de ceea ce inseamna realizarea unui sistem securizat. Traditionala imagine a criptografiei ca “spion” in tehnologie este destul de departe de realitate. Peste 99% din aplicatiile criptografice utilizate in lume nu protejeaza secrete militare, ele sunt intalnite in banci, plati-TV, taxe de drum, acces la terminale, contare de electricitate etc. Rolul criptografiei in aceste aplicatii este de a impiedica efectuarea de furturi si inselaciuni. In cele mai multe din aceste aplicatii s-a utilizat prost criptografia, atacurile reusite neavand insa nimic in comun cu criptanaliza.Chiar si NSA a admis ca marea parte a erorilor aparute in activitatile sale provin din erorile de implementare si nu din algoritmi sau protocoale. In aceste conditii, nu conteaza cat de buna a fost criptografia, atacurile reusite anuland acest lucru si speculand erorile de implementare.