Criptarea

Criptarea

Utilizarea unor algoritmi pentru criptarea (cifrarea) informatiilor transmise reprezinta astazi principalul mijloc de rezolvare a problemelor privitoare la deconspirarea informatiilor transmise in retele. Prin criptare, mesajele vor fi transformate, pe baza unei chei de criptare, astfel incat sa poata fi intelese doar de destinatar.

- Algoritmi simetrici: se caracterizeaza prin utilizarea unei chei unice folosita atat in procesul de criptare cat si in cel de decriptare.

Algoritmi asimetrici: in acest caz, emitatorul si emitentul vor detine o pereche de chei: una publica (cunoscuta de oricine) si una privata (cunoscuta doar de proprietar). Emitatorul cripteaza mesajul folosind cheia publica a receptorului, receptorul decripteaza mesajul folosind cheia sa privata.

Auditorul va urmari pe segmentul criptarii daca in transmisiile de date la distanta:

se utilizeaza criptarea datelor;

daca tehnica de criptare aleasa corespunde 'sensibilitatii' datelor ce fac obiectul transmisiei;

daca se modifica periodic algoritmul de criptare;

care este frecventa de modificare a algoritmului de criptare, masura in care se

folosesc standardele privind securitatea datelor (SSL - Secure Socket Layer,

S-HTTP - Secure HTTP);

masura in care se folosesc protocoale standardizate pentru plati prin Internet (daca sistemul informatic auditat asigura si servicii de e-payment). Astfel de protocoale sunt:

- SEPP (Secure Electronic Payment Protocol) acceptat de Mastercard si IBM.

- STT {Secure Transaction Technology) dezvoltat de Visa si Microsoft.

Certificate, autoritati de certificare (CA), PKI si

Trusted Third parties (TTP)

Certificatele sunt documente digitale atestand identitatea unui individ prin cheia sa publica. Ele permit verificarea faptului ca o anumita cheie publica apartine proprietarului presupus. Standardul ISO pentru certificate este X.509 v3 si este format din: numele subiectului, atributele subiectului, cheia publica a subiectului, termenul de validitate a datelor, numele emitentului, numarul serial al certificatului si semnatura emitentului.

Certificatele sunt emise de autoritatea de certificare (CA) care are rolul de a confirma identitatea utilizatorilor. CA trebuie sa dispuna de o cheie publica sigura, iar cheia sa privata trebuie tinuta intr-o locatie foarte sigura.

Daca atat emitentul cat si receptorul mesajului vor sa aiba siguranta identitatii partenerului se poate apela la CA sau la TTP (Trusted Third Party - a treia parte de incredere) cum se mai numeste. Astefel de TTP pot fi reprezentate de VeriSign, Eurotrust etc.