<<
>>

10.1. Обеспечение безопасности и защита информации в Интернете

Важнейшей задачей для систем электронной коммерции является защита информации, которая включает в себя защиту данных, коммуникаций и транзакций. Вопросы защиты информации являются актуальными для всех аспектов электронной коммерции, но особенно важны они для финансовых систем, связанных с осуществлением платежей.

При работе в сети Интернет необходимо помнить о существовании нескольких типов угроз (табл. 10.1).

Таблица 10.1. Угрозы безопасности и методы их устранения

         Угроза     Решение       Действие   Технология
Данные преднамеренно />перехватываются,

читаются или изменяются

Шифрование Кодирование данных,

препятствующее их

прочтению или

искажению

Симметричное

или

асимметричное

шифрование

Пользователи

идентифицируют себя

неправильно (с

мошенническими целями)

Аутентификация Проверка

подлинности

отправителя и

получателя

Цифровые

подписи

Пользователь получает

несанкционированный

доступ из одной сети в

другую

Брандмауэр Фильтрация трафика,

поступающего в сеть

или на сервер

Брандмауэры,

виртуальные

частные сети

Источник: Козье Д. Электронная коммерция. М., 1999. С. 63.

Для того чтобы понимать и использовать эти решения по защите информации, необходимо иметь представление об основах криптографии и основных требованиях к проведению коммерческих операций в Сети: конфиденциальности, целостности, аутентификации, авторизации, гарантии сохранения тайны.

Использование современных криптографических алгоритмов

Современные криптографические алгоритмы обеспечивают четыре основных типа услуг для электронной коммерции:

- аутентификацию;

- идентификацию;

- невозможность отказа от совершенного действия;

- сохранение тайны.

Идентификация позволяет определить, является ли отправитель послания или лицо, совершающее какое-либо действие, тем, за кого себя выдает. Аутентификация позволяет проверить не только личность, но также и отсутствие изменений в послании. Невозможность отказа не позволяет кому-либо отрицать, что он отправил или получил определенные данные или совершил действия. Сохранение тайны - это защита посланий или иных транзакций от несанкционированного просмотра.

Для реализации перечисленных услуг прежде всего используется шифрование, или кодирование, информации. В основе процесса шифрования лежат два понятия: набор правил, в соответствии с которыми исходный текст преобразуется в закодированный и которые называются алгоритмом шифрования, и ключ шифрования. В соответствии с алгоритмом и с помощью ключа исходный текст преобразуется таким образом, чтобы его невозможно было понять человеку, не владеющему ключом. Такая технология имеет определенные преимущества, поскольку можно использовать один и тот же алгоритм с несколькими ключами (например, при обмене сообщениями с различными партнерами), а в том случае, если злоумышленник подберет ключ, тот легко можно будет поменять, не изменяя самого алгоритма.

Степень надежности алгоритма шифрования зависит от длины ключа, т.е. от числа бит в нем; например, 8-битный ключ допускает лишь , т.е. 256 возможных числовых комбинаций, которые легко можно последовательно перебрать и расшифровать послание. При увеличении длины ключа увеличивается также и время, необходимое для его подбора и расшифровки послания, - для потенциального нарушителя послание, расшифрованное не вовремя, может потерять актуальность.

Симметричная и асимметричная системы криптографии

Наиболее известными и активно используемыми в практической деятельности являются в настоящее время две системы криптографии:

- симметричная система, или криптография с секретным ключом;

- асимметричная система, или криптография с открытым ключом.

Шифрование по симметричной схеме предполагает, что отправитель и получатель сообщения владеют одним и тем же ключом, с помощью которого как тот, так и другой могут зашифровывать и расшифровывать информацию. Эта система шифрования известна достаточно давно, специалисты указывают, что подобную систему применял еще Юлий Цезарь. Но в настоящее время при использовании криптографических систем в системах электронной коммерции проявляется ряд недостатков симметричной схемы, основными из которых являются следующие:

- обе стороны должны предварительно договориться о ключе для шифрования и хранить его в полном секрете;

- при наличии нескольких корреспондентов (например, поставщиков или дистрибьюторов) в компании необходимо иметь несколько секретных ключей, свой для каждого;

- симметричная схема не позволяет решить проблему аутентификации, поскольку ее применение не позволяет определить личность отправителя или получателя. Каждый владеет секретным ключом, и каждый может сформировать послание, полученное якобы от партнера, или отказаться от собственного послания (несоблюдение принципа "невозможности отказа").

Ряд подобных проблем помогает решить более современная система криптографии с открытым ключом. Эта система основана на предположении о наличии у каждого из партнеров двух взаимосвязанных ключей, или так называемой ключевой пары. Каждый ключ в этой паре позволяет зашифровать информацию таким образом, что расшифрована она может быть только при использовании второго ключа. Один ключ называется закрытым и известен только владельцу ключевой пары (private key), второй называется открытым и распространяется совершенно свободно среди всех возможных партнеров (public key).

Такая схема позволяет обеспечить как конфиденциальность послания, так и аутентификацию его автора. Для обеспечения конфиденциальности отправитель шифрует сообщение открытым ключом получателя. Расшифровать такое сообщение можно только с помощью парного закрытого ключа, которым владеет только получатель.

Для того же, чтобы получатель сообщения мог быть уверен в личности конкретного отправителя (т.е. для обеспечения аутентификации), отправитель может зашифровать часть сообщения своим закрытым ключом, которым владеет только он, а получатель расшифрует его с помощью свободно распространяемого открытого ключа отправителя (рис. 10.1).

Обеспечение конфиденциальности сообщения

с помощью открытого ключа

--------------------       ------------------       --------------------

¦     Сообщение     ¦------gt;¦  Открытый ключ  ¦------gt;¦   Зашифрованное   ¦

¦  (открытый текст) ¦       ¦    получателя   ¦       ¦     сообщение     ¦

L--------------------       L------------------       L--------------------

                                                        ¦

                           --------------------         ¦

                 ----------¦      Интернет     ¦lt;---------

                 ¦         L--------------------

                \¦/

--------------------       ------------------       --------------------

¦   Зашифрованное   ¦       ¦  Закрытый ключ  ¦       ¦     Сообщение     ¦

¦     сообщение     ¦------gt;¦    получателя   ¦------gt;¦  (расшифрованный  ¦

¦                   ¦       ¦                 ¦       ¦       текст)      ¦

L--------------------       L------------------       L--------------------

Рис. 10.1

Именно на использовании возможностей асимметричной криптографической схемы с открытым ключом основана технология электронной цифровой подписи. Действительно, шифрование электронного документа с помощью закрытого ключа, который принадлежит исключительно отправителю, схоже с подписью на бумажном документе, поскольку выполняет те же функции:

- удостоверяет, что подписанный текст исходит именно от лица, поставившего подпись;

- не дает возможности подписавшему лицу отказаться от обязательств, связанных с подписанным текстом;

- гарантирует целостность подписанного текста.

Недостатком асимметричных криптографических схем является медленная работа соответствующих вычислительных алгоритмов - при шифровании всего сообщения с помощью закрытого ключа будет потрачено много времени на его расшифровку только для того, чтобы убедиться в подлинности отправителя, т.е. для аутентификации.

Поэтому на практике шифруется не все сообщение, а некоторый небольшой набор символов, называемый дайджестом послания. Дайджест является не кратким изложением содержания послания, а случайным набором символов, который может быть сформирован с помощью специальных криптографических алгоритмов - однонаправленных хэш-функций. Однонаправленная (или односторонняя) хэш-функция представляет собой обычную математическую формулу для преобразования послания любого размера в одну строку символов определенной длины, которая и будет являться дайджестом этого послания. Каждое послание образует свой оригинальный дайджест, который может быть зашифрован закрытым ключом и превратиться, таким образом, в электронную цифровую подпись (ЭЦП).

Примечание. Наиболее известным алгоритмом для вычисления хэш-функции является разработанный в США алгоритм безопасного хэширования SHA (Secure Hash Algoritm); в России алгоритм и процедуру вычисления хэш-функции определяет Стандарт ГОСТ Р 34.11-94. В Стандарте устанавливаются процедуры выработки и проверки электронной цифровой подписи (ЭЦП) сообщений (документов), передаваемых по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения, на базе асимметричного криптографического алгоритма с применением функции хэширования.

Действующий Гражданский кодекс допускает заключение сделки путем обмена документами посредством электронной связи, но при условии, что можно с достоверностью установить, что документ исходит от стороны по договору (п. 2 ст. 434 ГК РФ). Гражданским кодексом допускается использование электронной цифровой подписи, но в случаях и порядке, предусмотренных законом, иными правовыми актами и соглашением сторон (п.

2 ст. 160 ГК РФ). Закон же определяет, что документ, заверенный электронной цифровой подписью, имеет юридическую силу при наличии в сетях передачи данных "программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования". Федеральный закон от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи" призван обеспечить правовое регулирование использования цифровой подписи в электронных документах. В Законе введены понятия "электронной цифровой подписи", "сертификата средств электронной цифровой подписи" и прочие, связанные с реализацией технологии ЭЦП, определены условия и особенности использования электронной подписи.

Итак, отправитель сообщения формирует текст послания и шифрует его с помощью открытого ключа получателя. Расшифровать этот текст теперь сможет только владелец закрытого ключа, парного использованному открытому, т.е. сам получатель сообщения. Для того чтобы получатель был уверен в авторстве послания, отправитель с помощью хэш-функции создает и отправляет вместе с самим посланием его дайджест, шифруя его с помощью своего закрытого ключа. Получатель такого послания может расшифровать подпись, используя открытый ключ отправителя, и убедиться таким образом в его авторстве. Используя ту же самую хэш-функцию (о ее использовании отправитель с получателем должны предварительно договориться), получатель может подсчитать собственный дайджест для текста послания и, сравнив полученную строку с присланной, он может быть полностью уверен не только в авторстве послания, но и в том, что послание не было изменено.

Для практического применения асимметричной криптографической системы требуется, во-первых, сформировать пару ключей, которая обычно генерируется с помощью специальных программ, и, во-вторых, распространить открытый ключ среди всех корреспондентов. Поскольку в процессе коммерческой деятельности корреспонденты могут меняться (появляются новые или наоборот), наиболее удобным для компании способом распространения открытого ключа является использование услуг специальных сертификационных, или удостоверяющих, центров.

Такой сертификационный центр может быть государственным или коммерческим и хранит открытые ключи вместе с доказательствами личности их владельцев. В зависимости от класса сертификата от владельца открытого ключа могут потребоваться различные доказательства lt;1gt;:

- сертификат класса 1 требует лишь назвать имя и адрес электронной почты владельца;

- сертификат класса 2 требует проверки удостоверения личности, номера карточки социального страхования и даты рождения владельца;

- сертификат класса 3 предполагает помимо всех проверок, необходимых для получения класса 2, еще и проверку кредитоспособности владельца;

- сертификат класса 4 в дополнение к упомянутым проверкам включает информацию о положении владельца в организации.

--------------------------------

lt;1gt; См.: Козье Д. Указ. соч. С. 74.

Для подтверждения личности владельца открытого ключа сертификационные центры выдают цифровые сертификаты, которые, как правило, содержат: имя владельца ключа, название сертификационного центра, открытый ключ, срок действия сертификата, его класс и идентификационный номер.

Цифровые сертификаты служат электронными удостоверениями личности и позволяют удостовериться в том, что владелец открытого ключа является тем самым лицом, за которого он себя выдает в Сети. Большинство цифровых сертификатов отвечает международным требованиям - стандарту Международного союза по телекоммуникациям (ITU) X.509 и является универсальным средством идентификации во всем мире. Международный стандарт определяет перечень полей и формат данных цифровых сертификатов, обеспечивая их совместимость.

Для того чтобы получить цифровой сертификат у коммерческого или правительственного сертификационного центра, владелец открытого ключа должен внести определенную плату, размер которой зависит от класса сертификата. Сертификационные (удостоверяющие) центры также ведут специальные списки недействительных сертификатов (CRL - Certificate Revocation List), в которые заносят утерянные или похищенные сертификаты.

В России в настоящее время проводится работа по созданию системы удостоверяющих центров и лицензированию их деятельности. Основной задачей создания такой системы является построение юридически значимого пространства информационного обмена в существующей системе межсубъектных отношений. Такими субъектами являются: государство (в том числе органы муниципальной власти), юридические и физические лица, взаимодействующие между собой различным образом. Федеральное агентство по информационным технологиям в 2006 г. уже выдало лицензии более чем сотне удостоверяющих центров. В конце 2007 г., по данным Федерального агентства по информационным технологиям, имелось около 1 млн цифровых подписей, среди которых примерно 200 тыс. зарегистрировано в удостоверяющих центрах; удостоверяющих центров в России насчитывается более 300 (большинство из них - коммерческие), в Федеральном агентстве по информационным технологиям зарегистрированы 117 центров.

Аналогом даты на бумажном документе для электронного документа является штамп времени. Он представляет собой свидетельство третьей доверенной стороны - организационной единицы, носящей название службы штампов времени. Из системы электронного документооборота в эту службу передается дайджест послания (сообщение, обработанное с помощью хэш-функции). На это сообщение служба ставит штамп (средствами своего программно-аппаратного обеспечения), удостоверяющий, что электронный документ существовал на данный момент времени. В результате к хэш-сообщению добавляется значение, указывающее, когда службой штампов времени был получен запрос на проставление штампа времени. Проставляемое значение служба штампов времени подписывает собственной ЭЦП и возвращает документ обратно. При таком решении имеется возможность проверять ЭЦП на послании с учетом того, действовал ли выданный сертификат в момент создания этой ЭЦП, а не в момент проверки. Совокупность аппаратно-программного обеспечения, а также персонала, политик и процедур, необходимых для создания, хранения, распределения, управления жизненным циклом и использования сертификатов открытых и связанных закрытых ключей, называется инфраструктурой открытых ключей.

Таким образом, ЭЦП обеспечивает электронному документу следующие важнейшие характеристики:

- подлинность - подтверждение авторства документа;

- целостность - документ не может быть изменен после подписания;

- неотрицание авторства (неотрекаемость) - автор впоследствии не сможет отказаться от своей подписи.

Важно понимать, что ЭЦП не обеспечивает конфиденциальности электронного документа. Эту задачу решает шифрование, которое, в свою очередь, не имеет никакого отношения к обеспечению юридической значимости документа.

Итак, асимметричные криптосистемы имеют определенные преимущества, обеспечивающие им успех в системах электронной коммерции. Но их основным недостатком является медленная работа. Поэтому использование асимметричных систем не всегда оправданно. На практике руководствуются следующим правилом: необходимо выбирать такой алгоритм шифрования и длину ключа, чтобы на их взлом потребовался больший отрезок времени, чем тот, в течение которого информация должна оставаться секретной. Кроме того, современное аппаратное и программное обеспечение позволяет использовать сразу несколько алгоритмов шифрования.

Постоянное увеличение вычислительной мощности компьютеров приводит к тому, что взлом криптографических систем становится проще и дешевле, даже в случае использования простого перебора всех возможных ключей. Поэтому длина ключей постоянно увеличивается.

В настоящее время наиболее популярным алгоритмом с открытым ключом является RSA, названный в честь его разработчиков (Rivest, Shamir, Adelman), в котором поддерживается переменная длина ключа (обычно она составляет 512 бит), этот же алгоритм может быть использован для формирования электронной цифровой подписи.

Другими известными алгоритмами цифровой подписи являются алгоритм Эль Гамаля (EGSA - El Gamal Signature Algoritm) и DSA (Digital Signature Algoritm); российским стандартом цифровой подписи является ГОСТ Р 34.10-2001.

<< | >>
Источник: Ю.М.Ростовский, В.Ю.Гречков. ВНЕШНЕЭКОНОМИЧЕСКАЯ ДЕЯТЕЛЬНОСТЬ УЧЕБНИК Издание третье, переработанное и дополненное. 2008

Еще по теме 10.1. Обеспечение безопасности и защита информации в Интернете:

  1. Защита информации в сети Интернет Алгоритмы защиты
  2. Проблемы безопасности в Интернете  
  3. 3| Интернет - средство информации
  4. 13.3. Защита информации экономических систем •
  5. 5.4. Защита учетной информации
  6. Программно-аппаратные средства защиты информации
  7. 5.4 Защита учетной информации
  8. Защита коммерческой информации
  9. Программное обеспечение для интернет-банкинга в России
  10. Перспективы решения проблемы защиты информации
  11. Ресурсное обеспечение предприятия на основе применения возможностей сети интернет
  12. Защита и обеспечение международного информационно-технологического обмена
  13. Гуманизация средств массовой информации, телевидения и Интернета
  14. Раздел 1 Интернет - средство массовой информации С ИСКЛЮЧИТЕЛЬНЫМИ КАЧЕСТВАМИ
- Бюджетная система - Внешнеэкономическая деятельность - Государственное регулирование экономики - Инновационная экономика - Институциональная экономика - Институциональная экономическая теория - Информационные системы в экономике - Информационные технологии в экономике - История мировой экономики - История экономических учений - Кризисная экономика - Логистика - Макроэкономика (учебник) - Математические методы и моделирование в экономике - Международные экономические отношения - Микроэкономика - Мировая экономика - Налоги и налолгообложение - Основы коммерческой деятельности - Отраслевая экономика - Оценочная деятельность - Планирование и контроль на предприятии - Политэкономия - Региональная и национальная экономика - Российская экономика - Системы технологий - Страхование - Товароведение - Торговое дело - Философия экономики - Финансовое планирование и прогнозирование - Ценообразование - Экономика зарубежных стран - Экономика и управление народным хозяйством - Экономика машиностроения - Экономика общественного сектора - Экономика отраслевых рынков - Экономика полезных ископаемых - Экономика предприятий - Экономика природных ресурсов - Экономика природопользования - Экономика сельского хозяйства - Экономика таможенного дел - Экономика транспорта - Экономика труда - Экономика туризма - Экономическая история - Экономическая публицистика - Экономическая социология - Экономическая статистика - Экономическая теория - Экономический анализ - Эффективность производства -