Бизнес в интернет
Изтегляне 1.78 Mb.
|
- Навигация на страницата:
- Степени на криптиране
- Висока степен на защита
- Стандартизираност
- Неотхвърляне
Публичен ключ - стойност, която комбинирана по подходящ начин с частен ключ може да се използва ефективно за декриптиране на кодирано съобщение и електронен подпис. Използването на публичен и частен ключ е известно като асиметрична криптография. Криптиране - преобразуването на информация във формат, който не може да бъде разбран лесно от неоторизирани хора. Декодирането е обратната трансформация - от кодиран в разбираем формат. Има прости алгоритми за криптиране, които само разменят местата на буквите с цифри, а по-сложните методи, които се основават на "интелигентни" алгоритми - трансформират информацията в цифров вид и ако желаете да възстановите съдържанието на кодираното съобщение се нуждаете от декодиращ ключ. Кодирането/декодирането е много често приложимо когато се пренася информация с голяма важност (когато се извършват покупки online, или при конферентна връзка между служители на фирма, обсъждащи строго секретни теми). Колкото по-добре е генериран криптиращия ключ, толкова по-надеждно е кодирането и толкова по-трудно е за неоторизирани лица да разшифроват информацията. В наши дни методите на кодиране се развиват с доста бързи темпове и това рефлектира върху ключовете (криптиращ и декриптиращ). На практика при наличието на единия от двата ключа е практически невъзможно да се открие другия, а при кодирани данни те не могат да се разкодират без наличието на декодиращ ключ. SSL card (Server Accelerator Card) e PCI компонент, който се използва за генериране на кодиращи ключове за сигурността при транзакциите в Web сайтовете за електронна търговия. Когато транзакцията е започнала, сървъра на Web сайта изпраща информация до клиентската машина. По този начин става проверка на идентификацията на Web сайта. След тази размяна кодиращия ключ се използва за кодиране на всичката информация, която се трансферира между двете страни така, че цялата лична и всякаква друга информация (например за кредитна карта) е защитена. Този процес чувствително намалява производителността на сървъра (могат да се извършва само по няколко транзакции в секунда) и именно тук на помощ идва SSL card. Процеса по размяната на информация се поема от картата и така сървъра се "облекчава", по този начин се повишава ефективността му. SSL card поддържа няколко протокола за сигурност (SSL - Secure Sockets Layer, SET - Secure Electronic Transaction и др.). Картата се инсталира на PCI слот на сървъра, стартира се драйвер който да я управлява и сървъра е готов да приема заявки. Този начин е много по-лесен и много по-евтин отколкото да се закупуват допълнителни сървъри. Съществува възможност за добавянето на още SSL card на сървър, на който има вече инсталирана такава. Същетвуват и други уреди, които изпълняват роля подобна на SSL card (SSL accelerators). Това са външни модули, които имат интегрирани карти. Тези устройства се вграждат в сървърите и когато се установи започването на транзакция, управлението се пренасочва към SSL accelerator-a. Причини за използване на криптиране Криптирането позволява изпращане по електронна поща на конфиденциални данни, като договори или персонална информация, или съхраняване на конфиденциална информация върху преносим компютър, без да има опасения, че някой може да я открадне и данните да бъдат разпространени. Без сериозно криптиране всяка информация може да бъде прихваната лесно и използвана срещу нейния притежател. Пример за това може да бъде отдела за покупки на дадена компания, който комуникира с доставчиците, или компания, която разменя ценови листи, договори, спецификации и информация за нови продукти със своите партньори. Бизнес компаниите разменят все повече и повече информация през Интернет. В много случаи тази информация е с финансов произход и в случай, че попадне при друг получател, може да има негативно влияние върху бизнеса на компанията. За целите на електронния бизнес, информацията трябва да се запази конфиденциална. Без използването на криптографски методи, това не може да се гарантира. Най-важното приложение, което трябва да използва криптиране е електронната поща. Без криптиране, електронните пощи са електронен еквивалент на класически пощенски картички. Електронните пощи нямат физическа форма и могат да съществуват електронно на повече от едно място в един и същи момент от време. В случай, че имате инсталиран добър софтуер за криптиране и декриптиране, той автоматично ще криптира изпращаните от вас съобщение и ще декриптира получаваните. Всичко, което трябва да направите е да посочите, че дадено съобщение трябва да бъде криптирано. Криптираните електронни пощи могат да се отъждествят с писмо, което е запечатано в плик и поставено на сигурно място. Тези, които не притежават ключа не могат да видят съдържанието. С увеличаването на броя на използваните компютри и мрежи, въпроса за гарантиране сигурността на информацията предавана през мрежите става все по-важен. Поради факта, че компютърния свят премина от структурирани системи към среда клиент/сървър, криптографията започна да се превръща във фундаментално бизнес средство. Интернет, която е база за много бизнес транзакции, понастоящем е несигурна, тъй като всеки може да прихване дадено предаване. Въпросите със сигурността в Интернет се решават бавно, защото промяната на фундаменталните стандарти е трудна. Онлайн банките и онлайн плащанията са двете най-големи Интернет приложения, които разчитат на криптирането. Интернет клиентите са много чувствителни на тема сигурност. Поради тази причина, всички web браузъри поддържат криптиране на документите. Стандартната дължина на ключа при международните версии на браузърите е 40 бита. Поради факта, че тази дължина е малка, декриптирането на ключа е лесно и в много случаи се налага използването на допълнителни компоненти за криптиране. С криптографията може да се изпълни и контрол на достъпа. Телевизионните канали, които са достъпни само за абонати работят на този принцип. Поради факта, че не е възможно да се отварят или затварят канали за индивидуални абонати през сателит, информацията се криптира и ключа се разпространява към тези, които са платили за тези канали. В зависимост от типа на телевизионния канал ключа е валиден за цял ден, или се променя за всяка програма. В последният случай, ключа за определена програма се разпространява до клиентите, които са платили за нея. Ключовете се съхраняват в приемник, който декодира програмата. Приемникът е свързан към доставчика по телефонна линия, по която може да се изпрати или отнеме ключа. Криптиране със секретен ключ Това е класическия вид криптография, наричана още симетрична. При нея се използва един единствен ключ за криптиране и декриптиране. Двете страни включени в обмена на информация, трябва да се споразумеят за ключа преди обмена. Ключът не трябва да се предава през същата среда, през която се предава криптираното съобщение. В случай, че изпратите криптирано съобщение по Интернет, добре е да се уточните за ключа по телефона. Паролата (или ключа) се използват за криптиране на изходящи съобщения. Така наречения шифриран текст се изпраща по мрежата и получателя декриптира входящите съобщения с използването на същия ключ. Някои от алгоритмите са базирани на математически изчисления. Тези системи не могат да бъдат разкодирани от друг алгоритъм. Единствения начин за тяхното разкодиране е като се изпробват всички възможни ключове. През януари 1999, едно криптирано съобщение с 56 бита беше разкодирано за 24 часа от фондацията Electronic Frontier Foundation(www.eff.org). Понастоящем времето за разкодиране на криптирани съобщения при отсъствие на ключ на-малява значително. Все още криптирането с обществен ключ има някои предимства. То е по-бързо и изисква ключа да се състои от по-малко битове, при което се получава същата степен на защита. Най-често използваните техники за ключове са блоковите и непрекъснатите шифри. Непрекъснатите шифри са известни със своята бързина. Тя се постига чрез работа върху малки части от обикновения текст. Обикновено тези шифри работят на ниво битове. Така наречения непрекъснат ключ, който се състои от последователност от битове използва операция изключващо ИЛИ. Защитата на даден бит зависи от предходните битове. От друга страна, блоковия шифър трансформира блок от обикновен текст с предварително определена големина (например 64 бита) блок от шифрован текст със същата големина. Трансформацията с прави чрез предоставяне на секретен ключ, който се използва за криптирането. Декриптирането става по същия начин, като към шифрования текст се приложи същия секретен ключ. Този тип криптография се използва например при среди с един потребител. В случай, че искате да криптирате своите файлове на твърд диск, няма смисъл да използвате криптиране с обществен ключ, тъй като то ще бъде по-бавно, а и освен това съхраняването на обществени и частни ключове в една среда няма никакво предимство пред използването на един ключ. Криптиране с обществен ключ Криптирането с обществен ключ или още така нареченото асиметрично криптиране има едно основно предимство пред симетричните алгоритми - то не разчита на защитен способ за размяна на парола. Симетричните алгоритми изискват двете страни да се споразумеят за общ ключ, който може да се прихване при предаване на информацията от единия на другия участник. Това прави криптирането в Интернет безполезно, щом като изпращате ключа преди да изпратите криптираното съобщение. Ключът трябва да се изпрати отделно, но това не позволява компании, които не се познават да имат бизнес отношения през Интернет. През 1976 г. двама професори от Университета в Стафорд - Уитфилд Дифъл и Мартин Хелман предложиха система, която нарекоха „криптиране с обществен ключ". При този тип криптиране се използват два ключа за всяко криптиране и то може да работи добре при мрежите, в които отсъства защита. Всеки от ключовете представлява голямо цяло число. Двата ключа са свързани един с друг и с помощта на специални изчисления е възможно с помощта на единия ключ да се криптира съобщение, а с помощта на другия да се декриптира. В този случай не може да декриптирате съобщението с ключа, с който сте го криптирали. През 1975 г. трима изследователи в MIT разработиха алгоритъм за реализация на криптирането с обществен ключ - те измислиха системата RSA, която носи имената на тримата и изобретатели. Алгоритъмът RSA генерира първоначално два различни ключа за всеки потребител. Единият от тези два ключа се определя като обществен. Последният може да се разпространява свободно. Общественият ключ не може да се използва за декриптиране на съобщение - той може да се използва само за криптиране на съобщения изпратени до собственика на ключа. Само този, който притежава другия ключ, така наречения персонален ключ, може да декриптира съобщенията, които са криптирани с обществения ключ. Безспорно много математици са се опитвали да блокират алгоритъма на обществения ключ, като са правили различни изчисления, но до момента никой не е намерил алгоритъм, който да реши математическия проблем. Програмите за декриптиране се опитват да „разрушат" ключа, но до момента това не е станало. Въпреки, че всичко това не е невъзможно, от гледна точка на изчисления, то е неуместно, тъй като обществения ключ е прекалено дълъг. В повечето случаи за криптиране на съобщения не се използва RSA, защото при нея изчисленията отнемат дълго време. За повечето съобщения продължителното време за криптиране и декриптиране е неприемливо. RSA се използва за криптиране на симетричен ключ, който криптира самото съобщение. Стандартът SSL, който се използва за криптиране на web страници (URLs използва https:// вместо http://) използва именно това свойство. Ключът се генерира в web браузъра и след това се изпраща към web сървъра. В случай, че не се използва криптирането с обществен ключ, ключа трябва да се изпраща през Интернет без да е защитен. За да се направи предаването на ключа сигурно, web сървъра изпраща своя обществен ключ към web браузъра. Последният избира симетричен ключ и криптира съобщението с обществения ключ на web сървъра и го връща обратно. Web сървърът е единствения, който може да декриптира обществения ключ със своя персонален ключ. RSA ключът се използва като плик за симетричния ключ. От този момент нататък криптирането се прави със симетричен ключ, тъй като то е по-бързо от криптирането с обществен ключ. При тази система симетричните ключове могат да се избират произволно. В случай, че някой може да разкодира едно криптирано съобщение, няма да получи никаква информация за ключовете, използвани при останалите съобщения. В случай, че решите да криптирате електронни пощи, можете да криптирате симетричния ключ няколко пъти с различни обществени ключове. Всеки обществен ключ принадлежи на един получател. При това положение всеки получател може да декриптира съобщението. Всеки обществен ключ формира плик, който съдържа същия ключ за декриптиране на оригиналното съобщение. Тази парадигма за гарантиране на защита се използва, например при PGP и по подобен начин се използва при SSL криптирането при web. Сравнение между криптирането със секретен и обществен ключ Основното предимство на криптирането с обществен ключ пред това със секретен ключ е, че персоналните ключове никога не се предават. Това прави този тип криптография по-сигурна и удобна. В една система със секретен ключ, е необходимо предаване на ключовете, което е свързано с рискове. Освен това при работа със секретни ключове механизма на идентифициране се осъществява трудно. Когато един цифров подпис използва инфраструктура с обществен ключ се налага предаване на секретна информация. За да се избегне отказ на плащане се налага трета страна да проверява идентичността. Безспорно криптирането с обществен ключ има няколко недостатъка. Повечето технологии на секретни ключове са по-бързи от алгоритмите за криптиране с обществен ключ. Тъй като бързината е по голяма с порядъци, криптирането с обществен ключ не е препоръчително да се използва за големи файлове. За да може една система да бъде и защитена и бърза, е необходимо да се комбинират и двата типа криптография. При такава комбинация съобщението ще се криптира със секретен ключ, защото при криптиране с обществен ключ ще се отнеме много време, а секретния ключ се прикрепва към съобщението, като самия секретен ключ е криптиран с обществен ключ. По този начин се постига и по-висока скорост и защита. При SSL криптирането, което се използва за сигурен обмен на информация през web, криптирането с обществен ключ се използва за размяна на секретния ключ. Web сървърът изпраща своя обществен ключ към web браузъра. Последният създава ключ на сесия и криптира ключа на сесия с обществения ключ на web сървъра. След това ключа на сесия се предава обратно на web сървъра, който го декриптира с помощта на своя секретен ключ. По този начин ключовете на сесии могат спокойно да се предават през незащитени мрежи. След като ключа на сесия се предаде, той се използва за криптиране на връзката, тъй като е доста по-бърз. Алгоритмите за секретните ключове ще бъдат от значение до момента, в който компютрите не станат поне хиляди пъти по-бързи от съвременните компютри. Ключът на сесия е сигурен, защото е валиден само за една определена сесия и след това не може да се използва повече. Криптографски метод Steganography Съобщенията, които са криптирани посредством метода Steganography, изглеждат като безвредни съобщения с прикрепени изображения или файлове със звук. Тези, които се опитат да прихванат такъв файл, ще получат съобщение и ще останат с впечатление, че то не съдържа секретна информация. Някой, който чете такава поща, разглежда изображение или чуе звук никога няма да забележи разликата. В повечето случаи скритите съобщения също са криптирани, при което се забелязват още по-трудно. Софтуерът използван при този метод се опитва да скрие информацията в обикновени звуци и изображения. За да останат незабелязани, скритите съобщения трябва да имат същата статистика, както тази на обикновените изображения и звуци. Проблемът е в това, че криптираните съобщения обикновено изглеждат по-различни от тези, които се стремят да имитират. Компютърно-генерираните изображения не са добро място, в което може да се скрие информация, защото са съвсем традиционни, докато едно сканирано изображение предлага повече възможности. Съществуват софтуерни пакети, които се разпространяват безплатно и позволяват криптиране от този тип. За съжаление обаче качеството не е добро. В случай, че внимателно анализирате данните, лесно ще откриете скритото съобщение. Често симулацията на естествен звук не е надежден начин за скриване на информация. Комерсиалните софтуерни пакети използвани за този тип криптография предлагат по-качествено скриване. С използването на тази техника е възможно предаване на данни без никой да забележи това. В страните, където криптирането е забранено се използва именно тази техника. Изпращането на изображения през Интернет не е нещо необичайно и проверката за това дали съдържат криптирани или скрити съобщения е доста трудна, ако не и невъзможна. Приложения за криптиране Налагане на конфиденциалност В Интернет, конфиденциалността е един от най-важните въпроси. По подразбиране Интернет е незащитена среда, и всеки може да прихваща съобщения, разменяни между две страни. Конфиденциалността на предаваните съобщения може да се обезпечи посредством тяхното криптиране, при което трети лица не могат да ги четат. Все още е възможно прихващането на съобщения, от където следва, че е необходимо да се гарантира, че ключовете не се предават през Интернет като прозрачен текст. Конфиденциалността не е единствения важен въпрос при Интернет. От съществено значение е сигурността на мулти-потребителските системи, като сървъри, където няколко потребителя могат да споделят един и същи диск или конфиденциална информация. Файловете се защитават посредством пароли, което налага обезпечаване сигурността на паролите. Това може да се постигне като се съхрани не самата парола, а нейната hash стойност. Декодирането на паролите е възможно, но hash стойностите не могат да се променят. При въвеждане на парола от страна на потребител, hash стойността се изчислява и се сравнява със съхранената. При това положение не е възможно да се „крадат" данни, съхранени на система, чиято парола не се знае. Криптиране на електронна поща Електронната поща е най-използваното нещо в кибер пространството. Тя се използва много лесно и не изисква нищо освен компютър, връзка към Интернет и елементарна програма за изпращане и получаване на електронна поща. Съдържанието на електронната поща е във форма на обикновен текст и може да се прочете на всяка компютърна система. Простотата на приложението обаче е проблем, защото при предаването му всеки едни компютър по света може да го прихване и да се прочете съдържанието без да се налага използването на допълнителен софтуер. При изпращане на електронна поща, тя не се предава директно към получателя и, а минава през определени компютри. Това намалява значително разходите за предаване на информацията, тъй като всеки компютър трябва да предаде информацията само до следващия. Пътят между източника и получателя се определя след изпращане на пощата, и например една поща от Щутгарт до Оксфорд може да премине през компютри в САЩ. Всеки един от компютрите, участващи в предаването може лесно да провери за определени изпращачи и получатели и може да запише цялата информация от съобщението във файл на локалния си твърд диск. Дори ако атакуващия не стои на някой от компютрите, участващи в предаването той може да филтрира потока от съобщения и да получи необходимата информация. Нападението изисква от хакера да инсталира определен софтуер на съответния компютър. Този софтуер се нарича „прихващач". Последният сканира всички електронни пощи за това дали съдържат определени ключови думи. Нормално изпращането на електронна поща до всяко едно място по света става за няколко секунди. Никой няма да забележи, ако някой вземе някаква информация, дори никой няма да забележи, че дадена информация е променена преди да бъде изпратена, тъй като няма определено време, за което да се получават съобщенията. Всички останали електронни пощи с изключение на класическите, нямат плик, който да скрива изпращаната информация. Електронните пощи са по-лоши от пощенските картички от гледна точка на конфиденциалност. Електронните пощи предавани през Интернет могат да бъдат сканирани за ключови думи лесно и автоматично. Сканирането на нормална поща в офиса ще изиска доста време, което прави процеса на сканиране непрактичен. Криптирането на електронна поща може да стане по няколко начина. Най-сигурната система за криптиране, която понастоящем се намира на пазара е PGP. Системата PGP изисква инсталиране на отделен софтуер. От друга страна софтуера S/MIME (Secure Multipurpose Internet Extensions) е доста по-прост за настройка, тъй като той се поддържа от Netscape Communicator и Internet Explorer. За използването на S/MIME не се изисква никакъв друг софтуер. Единственото нещо, от което имате нужда е цифров сертификат, който може да получите от много места, като TrustCenter (www.trustcenter.de) или GTE (www.gte.com) Софтуерът S/MIME използва подобен на PGP метод. Той използва асиметрично криптиране като плик, в който се изпраща ключ използван в симетричен шифър, който криптира съобщението. Софтуерът S/MIME гарантира по-малка сигурност от PGP, тъй като използва по-малък брой битове за ключове извън САЩ й изходния код не беше открит, до момента когато Netscape отвори Mozilla web сайта и представи кода за своя браузър. Друг начин за криптиране на съобщение е използването на алгоритми за симетрично криптиране, които не са свързани със софтуера за електронна поща. Може да напишете своята поща с текстов редактор, да я криптирате и след това да я изпратите през мрежата. Може да избирате между Blowfish, IDEA и triple-DES. Само че на всички компютри трябва да е инсталиран софтуер за декриптиране на файловете и трябва да е установен канал за сигурен обмен на ключовете. Процедурата за инсталиране, поддръжка и използване на този метод е прекалено дълга, за да може да се прилага в бизнес среди. Методът е добър за персонално използване. В случай, че ви е необходимо секретно предаване на информацията по такъв начин, че да може предаваната информация да се чете от повече от един получател, може да използвате програми като WinZip (www.winzip.com). Почти всеки има копие и може да го използва лесно. Освен това технологията за криптиране, която се използва е доста добра, файловете са защитени с парола, която може да се разбере, но вие можете да променяте паролата всеки път. Освен това паролата може да се предава и по телефона. Прилагане на технологиите за криптиране Има много и различни типове и видове нива на сигурност. Някои от тях, като например ROT13, се разбиват много лесно, други като PGP (www.pgp.com) не могат да бъдат разрушавани в рамките на приемливо време. Реално действието им се прекъсва като се използват няколко хиляди компютъра в продължение на няколко хиляди години. Това, което трябва да имате при работа с тези алгоритми е парола и ключ за декриптиране, който се изпраща в PGP формат. Сигурността и конфиденциалността са много важни за вашата компания въпроси, и един малък бъг в софтуера за криптиране може да доведе до много по-големи проблеми, отколкото бъг в текстообработваща програма.
Един бъг в софтуер или хардуер за криптиране може да повлияе негативно на целия ви бизнес, просто защото всички конфиденциални неща на вашата компания ще бъдат достъпни за всекиго. Повечето текстообработващи програми предлагат възможности за криптиране на документи, но алгоритмите за криптиране са много слаби и никога не трябва да разчитате на тях. Те могат да се използват да скривате данни намиращи се на сървъра от колеги, но в никакъв случай няма да представляват пречка за професионалисти. Компанията AccessData (www.accessdata.com) дори е създала софтуерен пакет, който е специализиран за разбиването на кодове на такива програми. Този софтуер се продава, за да може когато някой забрави паролата си да я възстанови, но разбира се софтуера може да се използва и за недобронамерени цели. Друг популярен метод за защита на документи е просто да ги скриете. Сигурността посредством неяснота е доста слаб метод на защита. В действителност той е дори по-лош от криптиране с текстообработваща програма. С поставянето на документи на неправилно място, някои хора си мислят, че могат да ги скрият от останалите, но в действителност всеки може да ги намери. С използването на обикновено търсене на файл, в повечето случаи се постига желания резултат. Дори и при използването на слаба защита е необходимо време за декриптиране. Файловете криптирани със силна защита могат да се оставят на обществени сайтове без да имате опасения, че някой може да прочете съдържащата се в тях информация, дори и ако ги открадне. Дори и алгоритмите и изходния код на повечето популярни технологии за криптиране да са налице, никой не може да разбере какъв е принципа на криптиране. Сигурността идва от алгоритмите, а не от системата, която се използва за изпълнение на тези алгоритми. В случай, че ключа не се разпространява, никой не може да проникне в информацията. Цифрови подписи Освен за криптиране и декриптиране на информацията, криптографията може да се използва и за други неща. Идентифицирането е една от най-важните области при изграждането на връзка на доверие. Логично е, че можете да имате доверие на някой, само ако знаете кой е той. В много случаи идентифицирането се прави чрез подписване на документ. За да направите електронните документи легални трябва да имате механизъм, който да осигурява средство за идентифициране автора на документа. За да направите една система приложима за цифров бизнес е необходимо само една малка част от съобщението да се криптира с персонален ключ. Тази част се нарича digital hash. Hash кода е функция, която намалява всяко едно съобщение до фиксиран брой битове. Без значение каква е дължината на файла, дължината на hash винаги е една и съща. Същността се крие в това, че hash кода е различен за всяка електронна поща. Hash функцията е еднопосочна. Не е възможно да създадете определен код и да намерите съобщение, което да съответства точно на този код. Hash кода може да се разглежда като печат върху плик. Изпращането на този код заедно с електронна поща ще гарантира, че никой не може да промени съдържанието на пощата по време на предаване, но това не ви дава възможност да сте сигурни в изпращача. Поради факта, че този код е с фиксирана дължина, времето за неговото криптиране винаги е едно и също. Цифровите подписи използват технологии за криптиране с обществен ключ, като RSA, но не работят като стандартното криптиране. Вместо да критпират съобщението с обществения ключ на получателя, hash кода на съобщението се криптира с персонален ключ, и след това се декриптира с обществения ключ на изпращача. Разбира се, всеки може да декриптира hash кода на съобщението, тъй като обществения ключ може да се намери в директорията за обществени ключове на сървъра. Само че факта, че вие можете да декриптирате hash на съобщението с обществения ключ на определен човек доказва само по себе си, че това съобщение идва точно от този човек. Само този, който притежава персоналния ключ може да създаде съобщение, което може да се декриптира със съответния обществен ключ. При цифровите подписи има две причини за използването на hash код. Едната причина е, че криптирането на цяло съобщение само за целите на подписа отнема дълго време. Втората причина е, че всеки иска да криптира подписани съобщения. В много случаи дадено съобщение е предназначено за много хора, но автора му иска да докаже неговата идентичност. За да може едно съобщение да се криптира сигурно и в същото време да има подпис, обикновено пощата се криптира с персонален ключ, а след това съобщението се криптира с обществения ключ на получателя, за да може всеки да вижда съдържанието. Цифровият подпис свързва даден документ с притежателя на определен ключ, но често това не е добре, ако не се знае момента на подписването. Например, един договор, който е подписан с цифров подпис не е валиден, ако на него няма дата. Една онлайн покупка на намалена цена, която е валидна за определен период от време изисква да има посочена дата, за да се докаже, че продуктите са закупени в определения период. От тук се вижда, че цифровия печат за дата е необходим за определяне момента на поставяне на цифровия подпис. Това може да се направи с добавяне на дата и час на документа от трета страна и след това тази информация се криптира с персонален ключ на третата страна. Цифровият печат за време свързва даден документ с момента на неговото създаване. Тази система не може да се използва на световно ниво, защото няма никакви регулатори, които да гарантират, че даден печат за време е валиден. Модерен поглед върху електронния подпис Не би трябвало да ни изненадва, че стандарта XML се е наложил вече и в тази област. От известно време съществува и спецификация за електронен подпис под формата на XML документ. В този документ се описват всичките важни характеристики на подписа. Така когато един документ се разпространява в Интернет, към него може да се прикрепи друг документ, с който да се удостовери валидността на първия. Следва един кратък пример за това как изглежда XML варианта на електронния подпис или както се нарича - XML Signature: . . . <0>. . . Конфиденциалност при Интернет Следи в мрежата При Интернет анонимността е изключена по подразбиране. Всеки, който е в онлайн режим оставя ясни следи. Много потребители обаче не знаят този факт. Всеки web сайт може да създаде персонален профил на потребителя, без да се налага намеса от страна на потребителя. Маркетинг отделите на компаниите използват Интернет за да проследяват предпочитанията на клиентите. Понастоящем повечето компании имат обявена политика на конфиденциалност на своята web страница и предупреждават посетителите, по какъв начин ще използват получена от тях информация. Онлайн бизнеса има нужда от събиране на информация с цел увеличава не продажбите на предлаганите продукти и услуги. Някои от компаниите, които реализират онлайн бизнес не казват на клиентите за какво им е необходима информацията, която изискват от тях и просто събират тази информация и предлагат профилите на други организации. С помощта на Интернет за клиентите може да бъде получена значителна информация. При всяка заявка за нова web страница, името на браузъра; операционната система; предпочитания език, на който да се покаже страницата; информация за момента за последно посещение на web сайта; IP адреса и името на домейна на дадения компютър се изпращат автоматично към сървъра. С помощта на JavaScript, сървъра има възможност да получи повече информация за компютъра на клиента, като например резолюция и брой цветове на екрана. Тази информация се изпраща обратно на сървъра и повечето хора не могат да спрат това изпращане. Възможно е да се изключи опцията JavaScript, но въпреки това, отново се изпраща доста информация. Въпреки, че всяка информация, която се изпраща сама по себе си по никакъв начин не нарушава вашата конфиденциалност, като цяло събраната информация може да има негативно влияние върху компанията. По името на домейна може да се разбере в коя част на света се намира компанията, а по използваните браузър и операционна система може да се правят изводи какъв е клиента. Цялата тази информация може да се използва за насочване на клиентите към онлайн офертите, но в същото време тя може да се използва за получаване на допълнителна информация. При акумулиране на информация за даден клиент, често се използват cookies. Последните представляват файлове, които се съхраняват на компютъра на клиента и съдържат специфична информация, която може да се върне към собственика на сайта. Един cookie файл може да съдържа информация за паролата, необходима за определен web сайт, име на потребител, адрес на електронна поща или информация за покупки. Дизайнът на cookie файла не позволява разпространяването на информацията към други web сайтове, но има cookie-файлове създавани в миналото, от които може да се извлича информация. Друг проблем е общата сигурност на операционната система на компютъра на клиента, която дава възможност на хакерите да откраднат файла „cookie.txt" без да оставят следи. Популярните ICQ програми и техните UNIX предшественици „finger" ви позволяват да получавате персонална информация за собственика на определен адрес на електронна поща. Освен това, тези програми дават възможност да се види кога потребителя е прочел за последен път дадена поща и дали в момента този потребител е в онлайн режим. UNIX програмата Finger няма централизирана база данни, докато ICQ съхранява цялата информация за потребителите на едно централно място. За да използва ICQ, даден потребител трябва да попълни форма с персонална информация, която е частично налична за други потребители в Интернет. Когато клиентите използват онлайн услуги, те оставят информация за себе си, като например - име, пощенски адрес, телефонен номер и адрес на електронна поща. Тази информация се използва в случаите когато клиентите се връщат към дадения web сайт. Проблемът е, че тази информация трябва да се съхранява на сигурно място, така че никой друг да няма достъп до нея. Неправилните концепции и неправилните конфигурации на web сървърите в миналото предоставяха тази информация на всички и може да се допусне, че и в бъдеще ще има подобни случаи. Информацията за клиентите става все по-значителна и необходима за онлайн бизнеса. Получаването на достъп до базата данни с клиентите на конкурентите дава възможност на дадена компания директно да се свърже с тях и да ги атакува със специални оферти. Освен това, базата данни с клиентите дава възможност да се прецени как работи дадена компания и кои нейни продукти се продават добре. Друго средство за събиране на персонална информация за даден клиент е просто като му се предостави безплатен софтуер, безплатни шапки, фланелки и други подаръци, срещу които той предоставя информация за себе си. Съществува и специален тип нов безплатен софтуер, който показва реклами докато клиента го разглежда. Рекламите са персонализирани според профила на клиента. Пример за такава програма е Copernic 99 (www.copernic.com), която предлага едновременно откриване на няколко Интернет машини за търсене. Преди да изтегли софтуера, клиента трябва да попълни определена форма, която показва какви реклами ще му се показват в последствие. Друг начин за събиране на информация за потребител е като се преглеждат нюз групи. Тези които изпращат съобщения на определени нюз групи посочват своя адрес на електронна поща и достатъчно персонална информация. Например, тези които изпращат съобщения до нюз групи за пътувания в Испания, най-вероятно са заинтересувани от пътувания в този регион. Тази информация се използва от специалисти, прихващащи електронните пощи и след това изпращащи на потребителите подходящи реклами. По подразбиране Интернет е отворена система, която предоставя средства за получаване на конфиденциална информация. Въпреки, че персонализирането е нещо, с помощта на което се намаляват разходите за всяка задача, разкриването на конфиденциална информация също може да има негативно влияние върху вашия бизнес. Много организации се борят за налагането на стандарти в Интернет, но поради факта, че Интернет не принадлежи на никого не е възможно налагането на стандарти. Новите стандарти се развиват бавно и трябва да имат редица предимства за потребителите, за да може да бъдат приети. Сигурност на финансовата информация Какъв е главният проблем за сигурността Това е основната част от една ефективна бизнес система. Двете страни в един бизнес трябва да се познават или да могат да намерят достатъчно информация един за друг, за да са уверени, че другата страна не ги лъже. В допълнение на това трябва да имат надежден начин за разплащане и за предпазване на компютърните им системи от външни нападения - особено когато са част от мрежа. Една от основните пречки пред широкото разпространение на електронната търговия е проблема със сигурността на финансовата информация, която се изпраща в мрежата при извършването на електронни плащания. Методите за сигурност винаги са били притеснение при изпращането на плащания. Но изпращането на пари по пощата е също толкова рисковано, както и изпращането на чек. В повечето съвременни бизнес отношения се използват плащания с кредитна или дебитна карта. Съществува риск и при двете страни, когато се прави това. Продавача иска да е сигурен, че картата се използва легитимно. Купувача иска да е сигурен, че търговеца няма да я използва за сума по-голяма от договорената. Когато информацията се изпраща на разстояние - по пощата, факса, или електронната поща, сигурността на връзката винаги е грижа. Въпреки че купувачите изпращат такава информация по пощата или факса, изпращането по Интернет винаги ги е притеснявало. Част от това притеснение е може би непознаването на посредника и колкото повече хора използват този начин без проблеми, той ще придобива популярност. В действителност Интернет технологиите технически могат да предоставят абсолютно сигурно предаване на информация, като използва криптиране и протоколи и те могат да премахнат повечето, ако не и всички проблеми, които биха възникнали при извършването на плащания по този начин. Други проблеми възникват от вируси и хакери. Но пък съществуват множество програми, които сканират получената информация и предпазват от вируси. Системите често са подложени и на нападения от хакери. Защита срещу тях предлагат защитните стени (firewalls). Firewall Firewall-а е защитен механизъм. Може да се реализира по многобройни начини. Идеята на firewall-a е да позволи на локалните потребители да се възползват от всички услуги на локалната мрежа и някои Интернет услуги, но едновременно с това да контролира обмена на дании и достъпа отвън до локалните ресурси. Firewall-a постига сигурност, като изолира локалната мрежа от останалия Интернет свят. Трафикът трябва да бъде контролиран така,че всички опасности да бъдат засечени. Каква опасност, зависи от политиката на сигурност определена от хората, които осъществяват този защитен механизъм. Спомнете си седемте слоя на OSI модела. Инспектирането на пакетите може да се приложи на всяко ниво от модела, но най-често се прави в Application слоя и Network слоя, съответно чрез Application layer firewall и Network layer firewalls. Обикновено Application layer firewalls се наричат Application Gateways или Proxies, а Network layer firewalls - филтриращи рутери или сканиращи рутери. Филтриращи Рутери Те освен че изпълняват функциите на рутер, филтрират пакетите и решават, още преди да извлекат информация от рутер таблицата, дали да пропуснат пакета по-нататьк. Филтриращото решение се взима на базата на Access Control List. Access Control List-a съдържа информация как да се процедира с пакета според произхода му. Каква информация се използва за филтриране на въпросните пакети? IP address на подателя и получателя, портовете отново на подателя и получателя, типа на протокола и ACK bit (TCP header, този бит определя дали пакета е потвърждение за получен TCP пакет) Application layer firewall - Proxy Proxy означава оторизиран представител. Идеята на Proxy компонента е да не позволява директна ТСР (UDP) връзка между клиент от локалната мрежа и Интернет сървър. Вместо това връзката е раздробена на две части. Ргоху програмата играе ролята на посредник. Тя трябва да имплементира достатъчна част от клиентските и сървърните протоколи. За клиента изпълнява ролята на сървър, а за Интернет сървъра е в ролята на клиент. Предава всички данни от клиента , предназначени за сървъра и обратно, като е натоварена и със функции относно сигурността. SET SET стандарта е създаден изключително за защита на Интернет финансови транзакции, докато SSL е система за кодиране с общо предназначение, която може да се използва за защита преноса на произволен тип данни. SET комбинира съществуващите защитни технологии с PKI, използвайки цифрoви сертификати, както за притежателите на кредитни карти, така и за търговците. РKI се използва за проверка дали участника в транзакцията е този, за който се представя. Това е от особено значение, тъй като Интернет не осигурява стандартен механизъм за проверка идентичността на даден човек или институция. Чрез използването на PKI е възможно въвеждането на концепция за неотхвърляне (признаване) на Интернет-базираните транзакции. Купувачите, платили чрез SET не могат след това да оспорят плащането, твърдейки, че те не са извършили транзакцията - всички поръчки се подписват цифрово, а цифровия подпис нe може да бъде фалшифициран. Освен това, PKI се използва за изпращане на кодирана информация по Интернет. Използването на строго кодиране дава възможност за предаване на транзакции с кредитни карти по публични мрежи, каквато е Интернет. SET е създаден през 1996 г. от Visa и MasterCard и представлява един от водещите стандарти в плащанията чрез кредитни карти по Интернет. SET спецификациите включват:
SET е създаден да осигури конфиденциален начин за плащане и поръчване на стоки. Цялата информация в SET транзакциите се кодира. Интегритета на предаваните данни се осигурява чрез цифров hash код, който се прилага към всяко съобщение и дава възможност на получателя да провери дали съобщението не е било променено по време на преноса. Използването на цифрови сертификати дава възможност да се удостовери, че притежателя на картата е и нейния легитимен ползвател. Освен това стандарта включва и идентификация на търговеца пред неговата банка. SET протоколът не зависи от допълнителните защити по време на транспортиране. Което позволява използването на SSL в допълнение на SET защитата. SET осигурява функции за зашита на личните данни. Които затрудняват получаването на информация за потребителя. Извежда се само необходимата за даден участник в транзакцията информация. Примерно, търговеца не бива да получава информация за кредитната карта на потребителя - тази информация се насочва директно към банката. SET 2.0 въвежда допълнителни защитни функции чрез използването на смарт карти. Тези карти представляват кредитни карти с вграден допълнителен чип, съдържащ цифров сертификат, както и обществен и личен ключ на потребителя. Понастоящем такива чипове се използват само в дебитните карти. Използвайки карта с чип, потребителите ще могат да ползват услугите на всяко SET съвместимо устройство, независимо дали това е компютър, телевизор или терминал. Допълнително предимство на тези карти е, че те са аналогични на използваните POS и ATM банкови терминали. Това опростява процедурите за обработка и поддръжка. Съществуват най-различни начини за плащане чрез кредитна карта. Недостатъкът на тези решения е, че те са затворени и свързани към конкретен доставчик на услуги. Каталог: 2011 2011 -> Щрихи към психодинамичната картина на тренинг групата 2011 -> Роля и значение на бизнес комуникациите 2011 -> The great controversy 2011 -> Тест по Математика – събиране и изваждане на естествените числа 2011 -> Програма април 2011 Габрово 1, петък 17. 30 ч., Дом на хумора и сатирата, Залата на жирафите 2011 -> Евгений Гиндев световната конспирация 2011 -> Доклад за дейността на омбудсмана на 2011 -> Мотиви: по нох дело / 2011 година по описа на Е. районен съд Изтегляне 1.78 Mb. Сподели с приятели:
|