Файл: Контрольная работа По предмету Основы электронной коммерции.doc

Помимо этого должна обеспечиваться строгая нотаризация (юридически значимая регистрация) информации, которая необходима при разборе любых конфликтов между заказчиками и исполнителями работ по информационному обслуживанию.

Исторически так сложилось, что в нашей стране проблемы безопасности информационных технологий изучаются и своевременно решаются только для защиты государственной тайны. Аналогичные, но весьма специфичные проблемы коммерческого сектора экономики не нашли соответствующих решений ввиду отсутствия такого сектора. В настоящее время это существенно мешает развитию безопасных информационных технологий на формирующемся отечественном рынке, который интегрируется с мировой торговой системой.

Три дороги

Теперь целесообразно вернуться к ранее обозначенной теме и начать последовательно излагать материал о протоколах безопасной передачи данных SSL, SET и IP v.6. В заключение обзора будет представлен сравнительный анализ и перспективы использования указанных протоколов в отечественных платежных системах.

SSL

Протокол SSL (Secure Socket Layer) был разработан американской компанией Netscape Communications (http://home.netscape.com/eng/ssl3/index.html) как протокол, обеспечивающий защиту данных между сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и транспортными протоколами (TCP/IP) с помощью современной криптографии в соединениях "точка-точка". Ранее можно было без особых технических ухищрений просматривать данные, которыми обмениваются между собой клиенты и серверы. Был даже придуман специальный термин для этого - "sniffer".

Протокол SSL предназначен для решения традиционных задач обеспечения защиты информационного взаимодействия, которые в среде клиент--сервер интерпретируются следующим образом:

• 
  пользователь и сервер должны быть взаимно уверены, что они обмениваются информацией не с подставными абонентами, а именно с теми, которые нужны, не ограничиваясь паролевой защитой;
  
• 
  после установления соединения между сервером и клиентом весь информационный поток между ними должен быть защищен от несанкционированного доступа;
  
• 
  и наконец, при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче.
  

Протокол SSL позволяет серверу и клиенту перед началом информационного взаимодействия аутентифицировать (или провести проверку подлинности) друг друга (client-server authentification), согласовать алгоритм шифрования и сформировать общие криптографические ключи. С этой целью в протоколе используются двухключевые (ассиметричные) криптосистемы, в частности, RSA.

---

Конфиденциальность информации, передаваемой по установленному защищенному соединению, обеспечивается путем шифрования потока данных на сформированном общем ключе с использованием симметричных криптографических алгоритмов (например, RC4_128, RC4_40, RC2_128, RC2_40, DES40 и др.). Контроль целостности передаваемых блоков данных производится за счет использования так называемых кодов аутентификации сообщений (Message Autentification Code, или MAC), вычисляемых с помощью хэш-функций (например MD5).

Протокол SSL включает два этапа взаимодействия сторон защищаемого соединения:

• 
  установление SSL-сессии;
  
• 
  защита потока данных.
  

На этапе установления SSL-сессии осуществляется аутентификация сервера и (опционально) клиента, стороны договариваются об используемых криптографических алгоритмах и формируют общий "секрет", на основе которого создаются общие сеансовые ключи для последующей защиты соединения. Этот этап называют также "процедурой рукопожатия".

На втором этапе (защита потока данных) информационные сообщения прикладного уровня нарезаются на блоки, для каждого блока вычисляется код аутентификации сообщений, затем данные шифруются и отправляются приемной стороне. Приемная сторона производит обратные действия: расшифрование, проверку кода аутентификации сообщения, сборку сообщений, передачу на прикладной уровень.

Теперь несколько слов о реализации SSL. Наиболее распространенным пакетом программ для поддержки SSL является SSLeay. Он содержит исходный код на C, который может быть встроен в такие приложения, как Telnet и FTP.

Последняя версия (SSLeay v. 0.8.0) поддерживает SSLv3. Данная версия доступна в исходных текстах. Этот пакет предназначен для создания и управления различного рода сертификатами (см. далее). Так же в его состав входит и библиотека для поддержки SSL различными программами. Эта библиотека необходима, например, для модуля SSL в распространенном http-сервере Apache. Если версия установливается вне США, то особых проблем с алгоритмом RSA быть не должно, только может накладываться ограничение на длину ключа. А вот если компьютер с SSLeay находится на территории США, то за использование алгоритма RSA необходимо заплатить деньги фирме RSA Data Security Inc.

Ранее упоминалось, что в SSL используется криптография с открытым (публичным) ключом, также известная как асимметричная криптография. Она использует два ключа: один -- для шифрования, другой -- для расшифровывания сообщения. Два ключа математически связаны таким образом, что данные, зашифрованные с использованием одного ключа, могут быть расшифрованы только с использованием другого, парного первому. Каждый пользователь имеет два ключа -- открытый и секретный (приватный). Пользователь делает доступным открытый ключ любому корреспонденту сети. Пользователь и любой корреспондент, имеющий открытый ключ, могут быть уверены, что данные, зашифрованные с помощью открытого ключа, могут быть расшифрованы только с использованием секретного ключа.

---

Если два пользователя хотят быть уверенными, что информацию, которой они обмениваются, не получит третий, то каждый из них, должен передать одну компоненту ключевой пары (а именно открытый ключ), другому и хранит другую компоненту (секретный ключ). Сообщения шифруются с помощью открытого, расшифровываются только с использованием секретного ключа. Именно так сообщения могут быть переданы по открытой сети без опасения, что кто-либо сможет прочитать их.

Целостность и аутентификация сообщения обеспечиваются использованием электронной цифровой подписи.

Теперь встает вопрос о том, каким образом распространять свои публичные ключи. Для этого (и не только) была придумана специальная форма - сертификат (certificate). Сертификат состоит из следующих частей:

• 
  имя человека/организации, выпускающей сертификат;
  
• 
  субъект сертификата (для кого был выпущен данный сертификат);
  
• 
  публичный ключ субъекта;
  
• 
  некоторые временные параметры (срок действия сертификата и т.п.).
  

Сертификат "подписывается" приватным ключом человека (или огрганизации), который выпускает сертификаты. Организации, которые производят подобные операции называются Certificate authority (CA). Если в стандартном Веб-клиенте (веб-браузере), который поддерживает SSL, зайти в раздел security, то там можно увидеть список известных организаций, которые "подписывают" сертификаты. Технически создать свою собственную CA достаточно просто, но также необходимо уладить юридическую сторону дела, и с этим могут возникнуть серьезные проблемы.

PKI

Наиболее распространенный зарубежный опыт решения вопросов ключевого управления электронного финансового документооборота основывается на использовании Public Key Infrastructure (PKI) - Инфраструктуры Открытых Ключей (ИОК), названной "в честь" используемого способа защиты электронных документов - криптографии с открытыми ключами. Этим термином описывается полный комплекс программно-аппаратных средств, а также организационно-технических мероприятий, необходимых для использования технологии с открытыми ключами. Основным компонентом инфраструктуры является система управления цифровыми ключами и сертификатами.

PKI подразумевает использование цифровых сертификатов, удовлетворяющих международным рекомендациям Х.509 ITU-T и развернутой сети центров сертификации, обеспечивающих выдачу и сопровождение цифровых сертификатов для всех участников электронного обмена документами. По своим функциям цифровые сертификаты аналогичны обычной печати, которой удостоверяют подпись на бумажных документах.

---

Цифровые сертификаты содержат открытые криптографические ключи абонентов, заверенные электронной цифровой подписью центра сертификации и обеспечивают однозначную аутентификацию участников обмена. Центры сертификации обеспечивают надежное распространение и сопровождение ключевой информации. Цифровые сертификаты - это определенная последовательность битов, основанных на криптографии с открытым ключом. Они представляют совокупность персональных данных владельца и открытого ключа его электронной подписи (а при необходимости и шифрования), связанных в единое неизменяемое целое электронной подписью центра сертификации. Цифровой сертификат оформляется в виде файла или области памяти и может быть записан на дискету, смарт-карточку и любой другой носитель данных.

Цифровые сертификаты предотвратят возможность подделок, от которых не застрахованы существующие виртуальные системы. Сертификаты держателя карточки и продавца также дают уверенность в том, что их транзакции будут обработаны с тем же высоким уровнем защиты, что и транзакции, которые обрабатываются сегодня традиционными способами.

По такой схеме развертываются многие современные международные системы обмена информацией в открытых сетях. Примерами центров сертификации являются американские компании VeriSign, GTE.

SET

Наиболее перспективный стандарт или протокол безопасных электронных транзакций в Интернете - SET (Security Electronics Transaction), предназначенный для организации электронной торговли через сеть, также основан на использовании цифровых сертификатов по стандарту Х.509. В настоящее время в десятках стран мира уже насчитываются сотни государственных, ведомственных и корпоративных центров сертификации, обеспечивающих ключевое управление.

Протокол выполнения защищенных транзакций SET является стандартом, разработанным компаниями MasterCard и VISA при значительном участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет, используя самый защищенный на настоящее время механизм выполнения платежей. SET является открытым стандартным многосторонним протоколом для проведения безопасных платежей с использованием пластиковых карточек в Интернет. SET обеспечивает кросс-аутентификацию счета держателя карточки, продавца и банка продавца для проверки готовности оплаты товара, целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET можно назвать стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карточек через Интернет.

---

SET позволяет потребителям и продавцам подтвердить подлинность всех участников сделки, происходящей в Интернет, с помощью криптографии, применяя, в том числе, и цифровые сертификаты.

Объем потенциальных продаж в области электронной коммерции ограничивается достижением необходимого уровня безопасности информации, который обеспечивают вместе покупатели, продавцы и финансовые институты, обеспокоенные вопросами обеспечения безопасности платежей через Интернет. Как упоминалось ранее, базовыми задачами защиты информации являются обеспечение ее доступности, конфиденциальности, целостности и юридической значимости. SET, в отличии от других протоколов, позволяет решать указанные задачи защиты информации.

В результате того, что многие компании занимаются разработкой собственного программного обеспечения для электронной коммерции, возникает еще одна проблема. В случае использования этого ПО все участники операции должны иметь одни и те же приложения, что практически неосуществимо. Следовательно, необходим способ обеспечения механизма взаимодействия между приложениями различных разработчиков.

В связи с перечисленными выше проблемами компании VISA и MasterCard вместе с другими компаниями, занимающимися техническими вопросами (например IBM, которая является ключевым разработчиком в развитии протокола SET), определили спецификацию и набор протоколов стандарта SET. Эта открытая спецификация очень быстро стала де-факто стандартом для электронной коммерции. В этой спецификации шифрование информации обеспечивает ее конфиденциальность. Цифровая подпись и сертификаты обеспечивают идентификацию и аутентификацию (проверку подлинности) участников транзакций. Цифровая подпись также используется для обеспечения целостности данных. Открытый набор протоколов используется для обеспечения взаимодействия между реализациями разных производителей.

SET обеспечивает следующие специальные требования защиты операций электронной коммерции:

• 
  секретность данных оплаты и конфиденциальность информации заказа, переданной вместе с данными об оплате;
  
• 
  сохранение целостности данных платежей; целостность обеспечивается при помощи цифровой подписи;
  
• 
  специальную криптографию с открытым ключом для проведения аутентификации;
  
• 
  аутентификацию держателя по кредитной карточке, которая обеспечивается применением цифровой подписи и сертификатов держателя карточек;
  
• 
  аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;
  
• 
  подтверждение того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым карточкам через связь с процессинговой системой; это подтверждение обеспечивается с помощью цифровой подписи и сертификатов банка продавца;
  
• 
  готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;
  
• 
  безопасность передачи данных посредством преимущественного использования криптографии.
  

---