Securitatea informației Cursul 9 Securitatea Web Prof. univ.dr ...

Securitatea informației 

Cursul 9 

Securitatea Web 

Prof. univ.dr. Constantin Popescu 

Departamentul de Matematica si Informatica 

http://webhost.uoradea.ro/cpopescu/curs-si.html 

Prof.dr. C. Popescu Securitatea informatiei 1


♦ Modelul client-server 

♦ Protocolul HTTP 

♦ Protocolul Secure Sockets Layer 

♦ Protocolul Secure Electronic Transaction 



♦ Sistemul World Wide Web a luat fiinta la 

începutul anilor '90. 

♦ Sistemul Web nu este o reţea, ci este un 

sistem de aplicaţii. 

♦ Sistemul Web poate fi instalat pe diferite 

tipuri de reţele, care nu trebuie să facă parte 

din Internet, şi poate fi folosit chiar pe 

calculatoare neconectate la reţea. 



♦ World Wide Web este un sistem de 

comunicare a informaţiilor hipertext folosit 

în general în reţeaua Internet 

♦ Funcţionează prin comunicare de date pe 

baza unui model client-server. 


Modelul client-server 

♦ Clienţii, adică navigatoarele Web, au acces 

la informaţiile hipermedia şi multiprotocol 

aflate pe un server Web. 

♦ Modelul client-server pentru calculatoarele 

conectate în reţea implică trei componente: 

– clientul, 

–serverul 

–reţeaua. 



♦ Clientul este o aplicaţie care de obicei 

rulează pe calculatorul utilizatorului final. 

♦ Serverul este o aplicaţie care de obicei 

rulează pe calculatorul furnizorului de 

informaţii. 

♦ Programul client este adaptat sistemului 

hardware pe care rulează şi funcţionează ca 

o interfaţă între sistemul respectiv şi 

informaţiile furnizate de server. 





♦ Cererea este transportată prin reţea, de la 

client la server. 

♦ Serverul analizează cererea şi execută 

activităţile corespunzătoare. 

♦ Protocolul HTTP (Hyper Text Transfer 

Protocol) este un protocol simplu, la nivel 

aplicaţie, în modelul TCP/IP 

♦ HTTP descrie cererile de la clienţi şi 

răspunsurile de la servere. 


Protocolul HTTP 

♦ HTTP (HyperText Transfer Protocol) este 

metoda cea mai des utilizată pentru 

accesarea informaţiilor în Internet care sunt 

păstrate pe servere World Wide Web 

(WWW). 

♦ Protocolul HTTP este un protocol de tip 

text, fiind protocolul "implicit" al WWW. 

♦ HTTP presupune că pe calc. dest. rulează un 

program care înţelege protocolul. 



♦ Fişierul trimis la destinaţie poate fi un document 

HTML (abreviaţie de la HyperText Markup 

Language) 

♦ HTML este un fişier grafic, de sunet, animaţie sau 

video, de asemenea un program executabil pe 

server-ul respectiv sau şi un editor de text. 

♦ După clasificarea după modelul de referinţă OSI, 

protocolul HTTP este un protocol de nivel 

aplicaţie. 

♦ Realizarea şi evoluţia sa este coordonată de către 

World Wide Web Consortium (W3C) 



♦ HTTP oferă o tehnică de comunicare prin care 

paginile web se pot transmite de la un computer 

aflat la distanţă spre propriul computer. 

♦ Dacă se apelează un link sau o adresă de web cum 

ar fi http://www.example.com, atunci se cere 

calculatorului host să afişeze o pagină web 

(index.html sau altele). 

♦ În prima fază numele (adresa) www.example.com 

este convertit de protocolul DNS într-o adresă IP. 



♦ Urmează transferul prin protocolul TCP pe portul standard 

80 al serverului HTTP, ca răspuns la cerere 

♦ Informaţii suplimentare ca de ex. indicaţii pentru browser, 

limba dorită ş.a. se pot adăuga în header-ul (antetul) 

pachetului HTTP. 

♦ În urma cererii urmează din partea serverului răspunsul cu 

datele cerute, ca de ex.: pagini în (X)HTML, cu fişiere 

ataşate ca imagini, fişiere de stil (CSS), scripturi 

(Javascript), dar pot fi şi pagini generate dinamic (SSI, 

JSP, PHP şi ASP.NET). 

♦ Dacă dintr-un anumit motiv informaţiile nu pot fi 

transmise, atunci serverul trimite înapoi un mesaj de 

eroare. 



♦ O modalitate de a furniza securitatea Web 

este utilizarea securităţii la nivel IP (IPSec). 

♦ Avantajul utilizării IPSec este acela că este 

transparent pentru utilizatorii finali şi pentru 

aplicaţii. 

♦ Mai mult, securitatea la nivel IP include 

posibilităţi de filtrare aşa încât numai 

mesajele selectate circulă în reţea. 


Securitatea la nivel IP 

HTTP FTP SMTP 

TCP 

IP/IPsec 



♦ O altă soluţie de a furniza securitatea Web este 

aceea de a implementa o securitate deasupra 

protocolului TCP. 

♦ Cel mai cunoscut exemplu este folosirea 

protocolului Secure Sockets Layer (SSL) şi a 

urmaşului lui SSL, numit Transport Layer 

Security (TLS). 

♦ Browserele Netscape şi Microsoft Explorer au 

încorporate protocolul SSL şi cele mai multe 

servere Web au implementat acest protocol. 


Securitatea la nivel SSL 

HTTP FTP SMTP 

SSL sau TLS 

TCP 

IP/IPsec 



♦ A treia soluţie pentru securitatea Web este 

folosirea unor aplicaţii cum ar fi: 

–Kerberos 

–S/MIME 

–PGP 

– SET (Secure Electronic Transaction). 


Atacuri asupra datelor in Internet 


Protocolul Secure Sockets Layer 

♦ Netscape a introdus protocolul Secure 

Sockets Layer (SSL). 

♦ In 1994 a fost proiectată versiunea SSL 1.0. 

♦ In 1995 apare implementarea versiunii SSL 

2.0 pe browserele Netscape. 

♦ In 1995 se publică versiunea 1.0 a PCT 

(Private Communication Technology) – 

concepută de Microsoft ca o extensie 

minoră a SSL 2.0 



♦ PCT se bazeaza pe SSL 2.0. 

♦ Aceste puncte slabe au fost remediate odată 

cu versiunea SSL 3.0, tot în 1995. 

♦ Din 1996, dezvoltarea SSL a trecut în 

responsabilitatea organizaţiei internaţionale 

pentru standarde Internet, IETF (Internet 

Engineering Task Force). 

♦ IETF a redenumit SSL în TLS (Transport 

Layer Security). 



♦ Suportul pentru SSL este implementat în 

aproape toate browserele. 

♦ Majoritatea serverelor suportă de asemenea 

comunicare peste SSL. 

♦ Conventional URL-urile care 

implementeaza conexiunile SSL încep cu 

♦ https:// în loc de http:// 



♦ Fiind un protocol independent, inserat între 

HTTP şi TCP, nu s-au impus modificări 

pentru protocoalele adiacente. 

♦ Protocolul HTTP are aceeaşi interfaţă cu 

protocolul SSL ca şi cu protocolul TCP. 

♦ Din punctul de vedere al protocolului TCP, 

SSL este doar o altă aplicaţie care îi 

foloseşte serviciile. 



♦ Tot din independenţa SSL ca şi protocol 

decurge şi alt avantaj: 

– anume că SSL poate fi folosit în conjuncţie şi 

cu alte protocoale, nu doar cu HTTP. 



♦ SSL asigură îndeplinirea celor trei 

deziderate de securitate în comunicaţie, 

astfel: 

– confidenţialitate - prin folosirea unui algoritm 

de criptare; 

– autentificare - prin folosirea certificatelor 

digitale; 

– controlul integrităţii - prin folosirea unor 

algoritmi pentru integritatea mesajelor. 



♦ Stabilirea tuturor elementelor menţionate, 

– algoritmul de criptare (ex. DES – Data 

Encryption Standard, AES), 

– schimbul de chei publice între server şi client, 

– algoritmul pentru integritatea mesajelor (ex. 

MAC – Message Authentication Code), 

se negociază la începutul comunicării SSL. 



♦ Scenariul de negociere a unui canal sigur de 

comunicaţie: 

♦ C S (cerere client catre server) 

♦ C S (Clientul verifică certificatul şi extrage 

cheia publică a Server-ului-Kpub-S) ♦ C S (certificatul lui S poate fi găsit pe Internet, e 

necesar să se asigure că nu e folosit de altcineva-verificare) 

Mesaj aleator + amprenta criptata (D) cu cheia privata a lui S-Kpriv_S ♦ C S (C verifică faptul că mesajul vine de la S) 

♦ C S (C trimite la S o cheie de sesiune criptata cu 

cheia publica a lui S-K pub-S) 



♦ SSL poate fi divizat pe 2 niveluri: 

1. Protocolul care asigura securitatea si 

integritatea datelor-SSL Record Protocol 

(Protocolul de înregistrare SSL) 

2. Protocolul care stabileste conexiunile SSL: 

• Protocolul SSL Handshake (Protocolul dialogului de 

confirmare), 

• Protocolul SSL Change Cipher (Protocolul 

modificare de cifru SSL) 

• Protocolul SSL Alert (Protocolul de alerta SSL). 



Protocolul 

SSL Handshake 

Protocolul SSL 

Cipher Change 

Protocolul SSL 

Alert 

Protocolul SSL Record 

TCP (nivel transport) 

IP/Ipsec (nivel retea) 

Protocol la nivel 

aplicatie (de ex. 

HTTP) 


Etapele protocolului SSL Record 


Protocolul Secure Electronic 

Transaction (SET) 

♦ Protocolul SET este o specificaţie deschisă 

de criptare şi de securitate proiectată să 

protejeze tranzacţiile cu cărţi de credit în 

Internet. 

♦ Versiunea SET v1, a fost proiectată din 

necesitatea celor două companii Master 

Card şi Visa de a realiza un standard de 

securitate, în anul 1996. 


Protocolul SET 

♦ Un număr însemnat de companii au fost 

implicate în dezvoltarea SET: 

– IBM, Microsoft, Netscape, RSA, Terisa şi 

Verisign. 

♦ SET nu este un sistem de plată! 

♦ SET este un set de protocoale de securitate: 

– ce permite utilizatorilor să folosească 

infrastructura de plăţi cu cărţi de credit in 

Internet, într-un mod sigur. 


Protocolul SET 

♦ În esenţă, protocolul SET furnizează trei 

servicii: 

– Un canal sigur de comunicare între toate părţile 

implicate într-o tranzacţie. 

– Furnizează încredere în utilizarea certificatelor 

digitale X.509v3. 

– Asigură secretizarea informaţiilor, astfel încât 

acestea să fie disponibile doar părţilor implicate 

în tranzacţie. 


Cerinţe ale protocolului SET 

♦ Să furnizeze confidenţialitatea plăţilor. 

♦ SET utilizează criptarea pentru a realiza 

confidenţialitatea. 

♦ Să asigure integritatea tuturor datelor 

transmise. 

♦ Semnăturile digitale sunt utilizate pentru a 

realiza integritatea. 



♦ Să furnizeze autenticitatea astfel încât un 

deţinător de carte de credit este utilizatorul 

legitim al contului cărţii de credit 

respective. 

♦ Acest mecanism reduce frauda. 

♦ Semnăturile digitale şi certificatele sunt 

utilizate pentru a verifica dacă un deţinător 

de carte de credit este utilizatorul legitim al 

contului cărţii de credit respective. 



♦ Să furnizeze autenticitatea astfel încât un 

comerciant să poată să accepte tranzacţiile 

cu cărţi de credit cu instituţia financiară 

(banca). 

♦ Pentru aceasta se folosesc semnăturile 

digitale şi certificatele. 



♦ Să creeze un protocol care să nu depindă de 

alte mecanisme de securitate a transportului 

şi să nu împiedice utilizarea lor: 

– SET poate opera sigur deasupra protocolului 

TCP/IP 

– SET nu interferează cu protocoale ca IPSec sau 

SSL/TLS. 



♦ Să faciliteze şi să încurajeze 

interoperabilitatea între furnizorii de 

software şi de reţele: 

– Protocolul SET este independent de platforma 

hardware 

– Este idependent de sist. de operare sau de 

software-ul Web. 


Componente SET 


Tranzactia SET 

♦ Cumpărătorul deschide un cont şi primeşte un card 

de la o bancă care asigură plăţi electronice şi SET. 

♦ Cumpărătorul primeşte, după verificarea identităţii, 

un certificat digital X.509v3 semnat de bancă. 

Certificatul autentifică cheia publică RSA a 

cumpărătorului şi stabileşte durata ei de valabilitate; 

de asemenea, prin certificat, banca garantează 

corespondenţa dintre perechea de chei a 

cumpărătorului şi cardul său. 

♦ Vânzătorul trebuie să aibă certificate pentru două 

chei deţinute de el: cheia cu care semnează şi cheia 

folosită pentru schimbul de chei; trebuie să aibă şi o 

copie a certificatului cheii publice a porţii de plăţi. 



♦ Cumpărătorul emite un ordin de cumpărare: aceasta implică 

selectarea articolelor pentru cumpărare prin vizitarea on line a 

web site-ului vânzătorului şi trimiterea listei articolelor pe care 

le doreşte către vânzător. Vânzătorul trimite cumpărătorului 

factura (OI -Order Information) care conţine lista articolelor, 

preţul lor, preţul total şi numărul facturii. 

♦ Identitatea vânzătorului este verificată de cumpărător cu 

ajutorul copiei certificatului vânzătorului, pe care acesta o 

trimite odată cu factura. 

♦ Cumpărătorul trimite factura, informaţia de plată (PI-Payment 

Information) şi propriul certificat către vânzător. Factura 

confirmă cumpărarea articolelor incluse; informaţia de plată 

conţine datele despre cartea de credit, criptate astfel încât să nu 

poată fi citite de către vânzător; certificatul cumpărătorului 

permite vânzătorului să verifice identitatea acestuia. 



♦ Vânzătorul cere autorizarea plăţii prin trimiterea 

către poarta de plăţi a informaţiei de plată cerând 

să se verifice dacă suma disponibilă în contul 

cumpărătorului este suficientă pentru a se face 

plata cumpărăturii cerute. 

♦ Vânzătorul confirmă acceptarea informaţiei de 

plată către cumpărător. 

♦ Vânzătorul expediază bunurile către cumpărător 

sau efectuează serviciile cerute. 

♦ Vânzătorul cere efectuarea plăţii către poarta de 

plăţi care gestionează efectuarea plăţii. 


Generarea semnaturii duale 


Efectele semnaturii duale 

♦ Vânzătorul a primit OI şi a verificat 

semnătura 

♦ Banca a primit PI şi a verificat semnătura 

♦ Cumpărătorul a legat OI de PI şi poate 

dovedi această legătură

Securitatea informației Cursul 9 Securitatea Web Prof. univ.dr ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?