CC BY
79
УДК 336
ТЕХНОЛОГИИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЭЛЕКТРОННОЙ ТОРГОВЛИ
Каргина Л.А., профессор кафедры Экономическая информатика, ФГБОУ ВПО «Московский государственный университет путей
сообщения» МГУПС (МИИТ)
Поеров А.С., доцент кафедры Международная коммерция, ФГБОУ ВПО «Российская академия народного хозяйства и государственной
службы при Президенте Российской Федерации» (РАНХиГС)
Статья посвящена одной из важнейших проблем электронной торговли - безопасности. Рассмотрены основные требования к системе операций в сфере коммерции и способы обеспечения безопасности операций в сети.
Ключевые слова: электронная торговля, угрозы, конфиденциальность, криптография, электронная цифровая подпись.
THE TECHNOLOGIES OF ECOMMERCE SECURITY ENSURE
Kargina L., professor of the Economic Informatics chair, FSEIHPE «Moscow State University of Railway Engineering» (MGUPS (MIIT) Poerov A., associate professor of the International Commerce chair, FSEI HPE «Russian Presidential Academy of National Economy and
Public Administration»
The article is devoted to one of the biggest problems of e-commerce security. Also considered the basic requirements for the system operations in the commercial area and the ways to ensure the security of transactions on the network.
Keywords: e- commerce, threats, privacy, cryptography, digital signature.
Защита информации очень важна для финансовых систем, независимо от того, основаны они на физических или электронных транзакциях. В электронной коммерции необходимо иметь средства защиты данных коммуникаций и транзакций.
Среди основных требований к проведению коммерческих операций выделяются конфиденциальность, целостность, аутентификация, авторизация, гарантии и соблюдение тайны. Достижение гарантий и сохранения тайны зависит от технических средств и от ответственности отдельных лиц и организаций, а также от соблюдения законов, защищающих потребителя от возможного мошенничества продавцов.
При работе в Интернет может возникнуть несколько видов угроз:
1. преднамеренный перехват, чтение или изменение данных;
2. неправильная идентификация пользователей с мошенническими целями;
3. несанкционированный доступ пользователя одной сети в другую.
Технологией, обеспечивающей безопасность электронной торговли, является криптография. Современные криптографические алгоритмы в совокупности с мощными персональными компьютерами позволяют реализовать надежные методы шифрования, аутентификации и проверки целостности информации.
Использование средств криптографической защиты информации при обмене информацией через систему электронной почты позволяет избежать:
1. подмены текста сообщения;
2. подмены отправителя (отправителем сообщения может оказаться другое лицо, нежели указано в сообщении);
3. несанкционированного доступа к информации (содержание сообщения станет известно постороннему лицу).
Рассмотрим кратко сущность криптографических методов и их применимость для обеспечения безопасности электронной коммерции.
Шифрование или кодирование информации с целью ее защиты от несанкционированного прочтения является главной задачей криптографии с самых давних времен. Еще Юлий Цезарь использовал буквенный код, отправляя послания своим полевым командирам. Шифрование обеспечивает конфиденциальность информации, используется в электронной коммерции для сохранения в тайне содержания передаваемого сообщения (документа) [24].
В основе шифрования лежат два понятия: алгоритм и ключ. Криптографический алгоритм - это математическая процедура, с помощью которой открытый текст превращается в зашифрованный. Сам криптографический алгоритм не является тайным и известен всем участникам процесса, тайным является некий параметр алгоритма, называемый ключом. Такое шифрование называется симметричным. Оно наиболее распространено для обеспечения конфиденциальности сообщений в разных сферах, но для электронной коммерции мало подходит из-за следующих недостатков:
1. для каждого корреспондента необходим отдельный секретный ключ;
2. не обеспечивается аутентификация, т.к. невозможно установить авторство сообщения.
Проблему аутентификации позволяет решить криптография с открытым ключом - асимметричное шифрование. В этом случае используют пары ключей: открытый и личный. Открытый распространяется среди всех корреспондентов, личный известен только владельцу. Послания, зашифрованные любым из ключей, могут быть расшифрованы только другим ключом из этой же пары. Например, при использовании технологии электронной цифровой подписи для проверки подписи используется один ключ, а для генерации - другой. Первый является открытым, второй - личным (закрытым).
Итак, расшифровать транзакции, выполненные в Интернете с применением соответствующих алгоритмов криптографии, практически невозможно. Практически - означает, что, по крайней мере, пока криптоаналитик «пробьет брешь» в криптотексте, сам исходный текст потеряет всякую ценность. Особые меры безопасности принимаются ко всему связанному с передачей информации о деньгах и, в особенности, с передачей самих денег (цифровых наличных).
Большинство криптоалгоритмов построено на операциях с большими простыми числами и их произведениями так, что пока не найдено алгоритмов факторизации (разложения этих чисел на их простые делители), реальной опасности с «математической» стороны нет.
В основе практически всех шифровальных систем лежат два криптографических алгоритма: DES (Data Encryption Standard), разработанный IBM еще вначале 70-х годов прошлого века и являющийся мировым стандартом для шифрования с закрытым ключом и RSA (названный по фамилиям авторов - Rivest, Shamur, Adleman), представленный в конце 70-х, ставший стандартом для шифрования с открытом ключом, особенно популярным в банковских технологиях.
Американское правительство оба эти метода считает военной технологией и налагает серьезные ограничения на их экспорт. Так, например, программы DES вообще запрещены к экспорту, а программы RSA разрешено экспортировать только, если ключ не больше чем 56 бит.
Запрет на экспорт, однако, чаще обходится (либо с помощью отдельных специальных лицензий американского правительства, либо без них) и реально используются алгоритмы RSA с длиной ключа до 1024 бит. При этом Рон Ривест, один из разработчиков RSA, подсчитал, что для того, чтобы расшифровать криптотекст, зашифрованный с помощью ключа длиной 512 бит, нужно потратить $8.2 миллиона.
Другой формой, обеспечивающей защиту и безопасность в электронной торговле, является электронная цифровая подпись.
Электронная цифровая подпись (ЭЦП) предназначена для: удостоверения информации, составляющей общую часть электронного
32 TRANSPORT BUSINESS IN RUSSIA | №6 2015 |
документа; подтверждения подлинности и целостности электронного документа.
Электронная цифровая подпись - набор символов, вырабатываемый средствами электронной цифровой подписи и являющийся неотъемлемой частью электронного документа (статья 1 Закона Республики Беларусь от 10 января 2000 г. №357-3 «Об электронном документе»).
Средства электронной цифровой подписи - программные и технические средства, обеспечивающие выработку и проверку электронной цифровой подписи и имеющие сертификат соответствия или удостоверение о признании сертификата, выданного в Национальной системе сертификации Республики Беларусь.
Таким образом, ЭЦП является аналогом собственноручной подписи физического лица, представленным как последовательность символов, полученная в результате криптографического преобразования электронных данных с использованием закрытого ключа ЭЦП, позволяющая пользователю открытого ключа установить целостность и неизменность этой информации, а также владельца закрытого ключа ЭЦП.
Основой ЭЦП является математическое преобразование подписываемых данных с использованием закрытого ключа и выполнение следующих условий:
1.создать электронную цифровую подпись сообщения возможно только с использованием секретного ключа;
2.проверить действительность ЭЦП может любой, имеющий доступ к соответствующему открытому ключу;
3. любое изменение подписанных данных делает ЭЦП недействительной;
4. ЭЦП уникальна для каждого документа и не может быть перенесена на другой документ;
5.невозможность подделки электронной цифровой подписи обеспечивается очень большим объёмом математических вычислений, необходимым для её подбора.
Закрытый ключ электронной цифровой подписи представляет собой уникальную последовательность символов, известную владельцу сертификата ключа подписи и предназначенную для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.
Открытый ключ электронной цифровой подписи - это уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе.
Открытые ключи хранятся в сертификационном центре и сертификационный центр выдает клиентам информацию в виде цифровых сертификатов, где содержатся сведения о клиенте, открытый ключ и т.д.
Генерация ключей ЭЦП в информационной системе общего пользования может быть осуществлена как участником системы, так и специальной организацией, называемой удостоверяющим центром. Деятельность этой организации подлежит лицензированию в соответствии с законодательством.
Удостоверяющий центр выполняет следующие задачи:
1. Генерация уникальных ключей ЭЦП по обращению участников информационной системы.
2. Выдача закрытых (личных) ключей ЭЦП владельцам, оформление и выдача участникам информационной системы сертификатов ключей ЭЦП, ведение реестра сертификатов ключей ЭЦП.
3. Хранение сертификатов ключей.
4. Уведомление владельца ЭЦП о фактах, которые стали известны удостоверяющему центру и которые существенным образом могут сказаться на возможности дальнейшего использования данного ключа.
5. Приостановление действия и аннулирование сертификатов ключей ЭЦП в установленном законодательством порядке.
Каждый участник информационной системы вправе обладать как одной, так и несколькими разными ЭЦП (ключами ЭЦП). На каждую сгенерированную пару (открытый и закрытый) ключей удостоверяющий центр оформляет сертификат ключа ЭЦП. Этот сертификат должен содержать открытый ключ, ФИО или псевдоним владельца ключа, даты начала и окончания срока действия ключа, а также сведения об отношениях, при осуществлении которых документ, подлинность которого подтверждена открытым ключом, указанным в сертификате, будет иметь юридическое значение.
Сертификаты ключей могут распространяться среди участников информационной системы как в бумажном, так и в электронном виде. Бумажный сертификат должен быть оформлен на бланке удостоверяющего центра и заверен подписью уполномоченного лица с печатью центра. Электронный сертификат должен быть заверен ЭЦП удостоверяющего центра/
Литература:
1. ЗАКОНОДАТЕЛЬНАЯ БАЗА ЭЛЕКТРОННОЙ КОММЕРЦИИ, Каргина Л.А., Лебедева С.Л.Транспортное дело России.
2011. № 4. С. 182-184.
2. РАЗВИТИЕ ЭЛЕКТРОННОГО БИЗНЕСА В СФЕРЕ УСЛУГ, Поеров А.С., Каргина Л.А.Транспортное дело России. 2010. № 9. С. 2.
3. ОСНОВОПОЛАГАЮЩИЕ ПРАВОВЫЕ АСПЕКТЫ ЭЛЕКТРОННОЙ ТОРГОВЛИ В ЕВРОСОЮЗЕ, Каргина Л.А.Транспортное дело России. 2013. № 4. С. 159.
4. СОВРЕМЕННОЕ СОСТОЯНИЕ РАЗВИТИЯ МИРОВЫХ ИНФОРМАЦИОННЫХ РЕСУРСОВ, Каргина Л.А.Вестник Академии. 2010. № 3. С. 105-109.
5. МЕТОДИКА ИСПОЛЬЗОВАНИЯ ИНТЕРНЕТА ДЛЯ ПОВЫШЕНИЯ ОБЪЕМА ПРОДАЖ, Каргина Л.А.Вестник Академии.
2012. № 4. С. 58-61.
ТКЛШРОШ" БШШБББ Ш КШБТЛ | №6 2015 | 33
