Интернет-рынок информационных ресурсов

Для решения проблемы распространения ключей в симметричных методах шифрования на основе результатов, полученных классической и современной алгеброй, были предложены системы с открытым ключом, или асимметричные криптосистемы. Суть их состоит в том, что каждым адресатом генерируются два ключа, связанных между собой по определенному правилу. Хотя каждый из пары ключей подходит как для шифрования, так и для дешифрирования, данные, зашифрованные одним ключом, могут быть расшифрованы только другим ключом. Один ключ объявляется открытым, а другой – закрытым. Открытый ключ публикуется и доступен любому, кто желает послать сообщение адресату. Секретный ключ сохраняется в тайне. Исходный текст шифруется открытым ключом адресата и передается ему. Зашифрованный текст не может быть расшифрован тем же открытым ключом. Дешифрирование сообщения возможно только с использованием закрытого ключа, известного только самому адресату.

Криптографические системы с открытым ключом используют так называемые необратимые, или односторонние, функции.

Алгоритмы шифрования с открытым ключом получили широкое распространение в современных информационных системах. Известно несколько криптосистем с открытым ключом. Наиболее разработана на сегодня система RSA, предложенная еще в 1978 г. Алгоритм RSA назван по первым буквам фамилий его авторов: Р.Л. Райвеста (R.L. Rivest), А. Шамира (A. Shamir) и Л. Адлема-на (L. Adleman). Этот алгоритм стал де-факто мировым стандартом для открытых систем и рекомендован МККТТ (Международным консультативным  комитетом по телефонии и телеграфии).

2. Цифровая подпись

Шифрование передаваемых через Интернет данных позволяет защитить их от посторонних лиц. Однако для полной безопасности должна быть уверенность в том, что второй участник трансакции является тем лицом, за которое он себя выдает. В бизнесе наиболее важным идентификатором личности заказчика является его подпись. В электронной коммерции применяется электронный эквивалент традиционной подписи – цифровая подпись. С ее помощью можно доказать не только что трансакция была инициирована определенным источником, но и что информация не была испорчена во время передачи. Как и в шифровании, технология электронной подписи использует либо секретный (в этом случае оба участника сделки применяют один и тот же ключ), либо открытый ключ (при этом требуется пара ключей – открытый и личный). И в данном случае более простые в использовании методы с открытым ключом (такие, как RSA) более популярны.

При аутентификации личности отправителя открытый и личный ключи играют роли, противоположные тем, что они выполняли при шифровании. Так, в технологии шифрования открытый ключ используется для зашифровки, а личный – для расшифровки. При аутентификации с помощью подписи все наоборот. Кроме того, подпись гарантирует только целостность и подлинность сообщения, но не защиту его от посторонних глаз. Для этого предназначены алгоритмы шифрования. Например, стандартная технология проверки подлинности электронных документов DSS (Digital Signature Standard) применяется в США компаниями, работающими с государственными учреждениями. Однако у технологии RSA более широкие возможности в силу того, что она служит как для генерации подписи, так и для шифрования самого сообщения. Цифровая подпись позволяет проверить подлинность личности отправителя: она основана на использовании личного ключа автора сообщения и обеспечивает самый высокий уровень сохранности информации.

3. Сертификаты

Как было сказано выше, основной проблемой криптографических систем является распространение ключей. В случае симметричных методов шифрования эта проблема стоит наиболее остро, поэтому при шифровании данных для передачи ключей через Интернет чаще всего используются асимметричные методы шифрования.

Асимметричные методы более приспособлены для открытой архитектуры Интернета, однако и здесь использование открытых ключей требует их дополнительной защиты и идентификации для определения связи с секретным ключом. Без такой дополнительной защиты злоумышленник может выдать себя за отправителя подписанных данных или за получателя зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию. В этом случае каждый может выдать себя за другое лицо. Все это приводит к необходимости верификации открытого ключа. Для этих целей используются электронные сертификаты.

Электронный сертификат представляет собой цифровой документ, который связывает открытый ключ с определенным пользователем или приложением. Для заверения электронного сертификата используется электронная цифровая подпись доверенного центра – Центра сертификации (ЦС). Исходя из функций, которые выполняет ЦС, он является основным компонентом всей инфраструктуры открытых ключей (ИОК, или PKI – Public Key Infrastructure). Используя открытый ключ ЦС, каждый пользователь может проверить достоверность электронного сертификата, выпущенного ЦС, и воспользоваться его содержимым. Для того чтобы сертификатам можно было доверять, независимая организация, выполняющая функции ЦС и являющаяся источником сертификатов, должна быть достаточно авторитетной. В настоящее время наиболее известным источником сертификатов являются компании Thawte (www.thawte.com) и VeriSign (www.verisign.com), однако существуют и другие системы сертификации, такие, как World Registry (IBM),

Cyber Trust (GTE) и Entrust (Nortel). В России дистрибьютором SSL-сертификатов компании Thawte сегодня является РосБизнесКонсалтинг (www.rbc.ru).

Технология цифровых сертификатов работает следующим образом. Чтобы воспользоваться сертификатом, потенциальный покупатель должен, прежде всего, получить его у надежного источника сертификатов. Для этого ему необходимо каким-либо образом доказать подлинность своей личности, возможно, явившись в эту организацию и предъявив соответствующий документ, а также передать источнику сертификатов копию своего открытого ключа. Когда после этого он захочет что-либо купить через Интернет, ему будет достаточно добавить к заказу свою электронную подпись и копию сертификата. Отдел обслуживания покупателей фирмы, в которой он совершил покупку, проверяет сертификат, чтобы убедиться, что к заказу приложен подлинный открытый ключ, а также выясняет, не аннулирован ли сертификат.

Следует отметить, что технология цифровых сертификатов является двунаправленной. Это значит, что не только фирма может проверить подлинность заказа покупателя, но и сам покупатель имеет возможность убедиться, что он имеет дело именно с той фирмой, за которую она себя выдает. Осуществив взаимную проверку, обе стороны спокойно заключают сделку, так как обладают подлинными открытыми ключами друг друга и, соответственно, могут шифровать передаваемые данные и снабжать их цифровой подписью. Такой механизм обеспечивает надежность сделки, ибо в этом случае ни одна из сторон не сможет отказаться от своих обязательств.

4. Протоколы и стандарты безопасности виртуальных платежей

К наиболее распространенным механизмам, которые призваны обеспечить безопасность проведения электронных платежей через Интернет относятся:

• протокол SSL (Secure Socket Layer), обеспечивающий шифрование передаваемых через Интернет данных;
• стандарт SET (Secure Electronic Transactions), разработанный компаниями Visa и MasterCard и обеспечивающий безопасность и конфиденциальность совершения сделок при помощи пластиковых карт.

Протокол SSL (Secure Socket Layer) – один из существующих протоколов обмена данными, обеспечивающий шифрование передаваемой информации. SSL – стандарт, основанный на криптографии с открытыми ключами. Протокол обеспечивает защиту данных, передаваемых в сетях TCP/IP по протоколам приложений за счет шифрования и аутентификации серверов и клиентов. Это означает, что шифруется вся информация, передаваемая и получаемая web-браузером, включая URL-адреса, все отправляемые сведения (такие, как номера кредитных карт), данные для доступа к закрытым web-сайтам (имя пользователя и пароль), а также все сведения, поступающие с web-серверов.

Конфиденциальность сообщений в SSL обеспечивается применением комбинированной схемы с использованием криптографии с открытыми и симметричными ключами. Весь поток сообщений между клиентом и сервером шифруется при помощи сеансового ключа, который вырабатывается на начальной стадии взаимодействия сторон по протоколу SSL, называемой handshake. Шифрование потока данных позволяет скрыть содержание сообщений даже при перехвате передаваемой информации.

Достоверность и целостность сообщений обеспечивается электронной подписью.

Взаимная аутентификация позволяет клиенту убедиться в подлинности соединения с требуемым сервером, а серверу, при необходимости, убедиться в достоверности клиента.

Описанный выше протокол SSL позволяет решить часть названных проблем безопасности, однако его роль в основном ограничивается обеспечением шифрования передаваемых данных. Поэтому для комплексного решения перечисленных выше проблем была разработана спецификация и создан набор протоколов, известный как стандарт SET (Secure Electronic Transaction – Безопасные электронные трансакции).

Официальной датой рождения стандарта SET является 1 февраля 1996 г. В этот день Visa International и MasterCard International совместно с рядом технологических компаний объявили о разработке единого открытого стандарта защищенных расчетов через Интернет с использованием пластиковых карт.

Благодаря использованию цифровых сертификатов и технологий шифрования SET позволяет как продавцам, так и покупателям производить аутентификацию всех участников сделки. Кроме того, SET обеспечивает надежную защиту номеров кредитных карт и другой конфиденциальной информации, пересылаемой через Интернет, а открытость стандарта позволяет разработчикам создавать решения, которые могут взаимодействовать между собой.

Другим важным фактором, обеспечивающим продвижение SET, является его опора на существующие карточные системы, давно ставшие привычным финансовым инструментом с отлаженной технологией и правовым механизмом.

В основе системы безопасности, используемой SET, лежат стандартные криптографические алгоритмы DES и RSA. Инфраструктура SET построена в соответствии с инфраструктурой открытого ключа (PKI) на базе сертификатов, соответствующих стандарту Х.509 организации по стандартизации (ISO). Главная особенность SET – регламентация использования системы безопасности, которая устанавливается международными платежными системами. Требования Visa и Europay к процессинговому центру на основе SET включают, во-первых, традиционные требования к процессингу пластиковых карт (защита помещений, контроль доступа, резервное энергоснабжение, аппаратная криптография и т.п.) и, во-вторых, специфические дополнения – межсетевые экраны (firewalls) для защиты каналов Интернета.

Такой подход позволяет использовать единые методики оценки рисков при проведении электронных платежей вне зависимости от способа аутентификации клиента (традиционная карта с магнитной полосой, смарт-карта или цифровой сертификат). Это позволяет участникам платежной системы разрешать спорные ситуации по отработанным механизмам и сконцентрироваться на развитии своего электронного бизнеса.

Повсеместное распространение мобильных средств связи, на использовании которых базируются практически все программы стратегического развития информационных технологий в XXI в., а также необходимость учитывать распространение конкурирующих решений определяют современные направления развития электронной коммерции и виртуальных платежей на базе стандарта SET.

SET обеспечивает следующие требования защиты операций электронной коммерции:

• секретность данных оплаты и конфиденциальность информации заказа, переданной вместе с данными об оплате;
• сохранение целостности данных платежей, которая обеспечивается при помощи цифровой подписи;
• специальную криптографию с открытым ключом для проведения аутентификации;
• аутентификацию держателя кредитной карты, которая обеспечивается применением цифровой подписи и сертификатов держателя карты;
• аутентификацию продавца и его возможности принимать платежи по пластиковым картам с применением цифровой подписи и сертификатов продавца;
• подтверждение того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым картам через связь с обрабатывающей системой; это подтверждение обеспечивается с помощью цифровой подписи и сертификатов банка продавца;
• готовность оплаты трансакций в результате аутентификации сертификата с открытым ключом для всех сторон;
• безопасность передачи данных посредством использования криптографии.

Рассмотрим более детально процесс взаимодействия участников платежной операции в соответствии со спецификацией SET.

Участниками представленной схемы взаимодействия являются: держатель карты – покупатель, делающий заказ; банк покупателя – финансовая структура, которая выпустила кредитную карту для покупателя; продавец – электронный магазин, предлагающий товары и услуги; банк продавца – финансовая структура, занимающаяся обслуживанием операций продавца; платежный шлюз – система, обычно контролируемая банком продавца, которая обрабатывает запросы от продавца и взаимодействует с банком покупателя; сертифицирующая организация – доверительная структура, выдающая и проверяющая сертификаты.

Взаимоотношения участников операции показаны на рисунке непрерывными (взаимодействия, описанные стандартом SET) и пунктирными линиями (некоторые возможные операции).

Динамика взаимоотношений и информационных потоков в соответствии со спецификацией стандарта SET включает следующие действия:

• участники запрашивают и получают сертификаты от сертифицирующей организации;
• владелец пластиковой карты просматривает электронный каталог, выбирает товары и посылает заказ продавцу;
• продавец предъявляет свой сертификат владельцу карты в качестве удостоверения;
• владелец карты предъявляет свой сертификат продавцу;
• продавец запрашивает у платежного шлюза выполнение операции проверки; шлюз сверяет предоставленную информацию с 
  информацией банка, выпустившего электронную карту;
• после проверки платежный шлюз возвращает результаты продавцу;
• некоторое время спустя продавец требует у платежного шлюза выполнить одну или более финансовых операций; шлюз посылает запрос на перевод определенной суммы из банка покупателя в банк продавца.

Надежность SET-платформы для организации защищенных, платежей является общепризнанной. Для получения актуальной информации о распространении SET, включая информацию о банках, имеющих сертификаты Visa и Europay/MasterCard, и торговых/сервисных компаниях, принимающих SET-платежи, можно обратиться на сайт set-sites.com или сайты международных платежных систем.

3. Интернет-рынок информационных ресурсов

Перед туристскими фирмами, ведущими коммерческую деятельность в Интернете, стоит цель максимально использовать имеющиеся корпоративные ресурсы (финансовые, технико-технологические, кадровые, информационные, правовые и ряд других) для обеспечения стабильного развития. Стратегию бизнеса следует формировать на основе оценки ресурсов самого предприятия и состояния внешней среды.