Ростовский Ю.М., Гречков В.Ю. Внешнеэкономическая деятельность. Учебник" (3е издание, переработанное и дополненное) (Ростовский Ю. М., Гречков В. Ю.) ("
 Скачать 2.26 Mb.
|
|
Глава 10. РИСКИ И ПЕРСПЕКТИВЫ ЭЛЕКТРОННОГО БИЗНЕСА 10.1. Обеспечение безопасности и защита информации в Интернете 10.2. Формы расчетов и методы платежей в электронной коммерции 10.3. Перспективы интернет-технологий во внешнеэкономической деятельности 10.1. Обеспечение безопасности и защита информации в Интернете Важнейшей задачей для систем электронной коммерции является защита информации, которая включает в себя защиту данных, коммуникаций и транзакций. Вопросы защиты информации являются актуальными для всех аспектов электронной коммерции, но особенно важны они для финансовых систем, связанных с осуществлением платежей. При работе в сети Интернет необходимо помнить о существовании нескольких типов угроз (табл. 10.1). Таблица 10.1. Угрозы безопасности и методы их устранения
Источник: Козье Д. Электронная коммерция. М., 1999. С. 63. Для того чтобы понимать и использовать эти решения по защите информации, необходимо иметь представление об основах криптографии и основных требованиях к проведению коммерческих операций в Сети: конфиденциальности, целостности, аутентификации, авторизации, гарантии сохранения тайны. Использование современных криптографических алгоритмов Современные криптографические алгоритмы обеспечивают четыре основных типа услуг для электронной коммерции: - аутентификацию; - идентификацию; - невозможность отказа от совершенного действия; - сохранение тайны. Идентификация позволяет определить, является ли отправитель послания или лицо, совершающее какое-либо действие, тем, за кого себя выдает. Аутентификация позволяет проверить не только личность, но также и отсутствие изменений в послании. Невозможность отказа не позволяет кому-либо отрицать, что он отправил или получил определенные данные или совершил действия. Сохранение тайны - это защита посланий или иных транзакций от несанкционированного просмотра. Для реализации перечисленных услуг прежде всего используется шифрование, или кодирование, информации. В основе процесса шифрования лежат два понятия: набор правил, в соответствии с которыми исходный текст преобразуется в закодированный и которые называются алгоритмом шифрования, и ключ шифрования. В соответствии с алгоритмом и с помощью ключа исходный текст преобразуется таким образом, чтобы его невозможно было понять человеку, не владеющему ключом. Такая технология имеет определенные преимущества, поскольку можно использовать один и тот же алгоритм с несколькими ключами (например, при обмене сообщениями с различными партнерами), а в том случае, если злоумышленник подберет ключ, тот легко можно будет поменять, не изменяя самого алгоритма. Степень надежности алгоритма шифрования зависит от длины ключа, т.е. от числа бит в нем; например, 8-битный ключ допускает лишь  , т.е. 256 возможных числовых комбинаций, которые легко можно последовательно перебрать и расшифровать послание. При увеличении длины ключа увеличивается также и время, необходимое для его подбора и расшифровки послания, - для потенциального нарушителя послание, расшифрованное не вовремя, может потерять актуальность.Симметричная и асимметричная системы криптографии Наиболее известными и активно используемыми в практической деятельности являются в настоящее время две системы криптографии: - симметричная система, или криптография с секретным ключом; - асимметричная система, или криптография с открытым ключом. Шифрование по симметричной схеме предполагает, что отправитель и получатель сообщения владеют одним и тем же ключом, с помощью которого как тот, так и другой могут зашифровывать и расшифровывать информацию. Эта система шифрования известна достаточно давно, специалисты указывают, что подобную систему применял еще Юлий Цезарь. Но в настоящее время при использовании криптографических систем в системах электронной коммерции проявляется ряд недостатков симметричной схемы, основными из которых являются следующие: - обе стороны должны предварительно договориться о ключе для шифрования и хранить его в полном секрете; - при наличии нескольких корреспондентов (например, поставщиков или дистрибьюторов) в компании необходимо иметь несколько секретных ключей, свой для каждого; - симметричная схема не позволяет решить проблему аутентификации, поскольку ее применение не позволяет определить личность отправителя или получателя. Каждый владеет секретным ключом, и каждый может сформировать послание, полученное якобы от партнера, или отказаться от собственного послания (несоблюдение принципа "невозможности отказа"). Ряд подобных проблем помогает решить более современная система криптографии с открытым ключом. Эта система основана на предположении о наличии у каждого из партнеров двух взаимосвязанных ключей, или так называемой ключевой пары. Каждый ключ в этой паре позволяет зашифровать информацию таким образом, что расшифрована она может быть только при использовании второго ключа. Один ключ называется закрытым и известен только владельцу ключевой пары (private key), второй называется открытым и распространяется совершенно свободно среди всех возможных партнеров (public key). Такая схема позволяет обеспечить как конфиденциальность послания, так и аутентификацию его автора. Для обеспечения конфиденциальности отправитель шифрует сообщение открытым ключом получателя. Расшифровать такое сообщение можно только с помощью парного закрытого ключа, которым владеет только получатель. Для того же, чтобы получатель сообщения мог быть уверен в личности конкретного отправителя (т.е. для обеспечения аутентификации), отправитель может зашифровать часть сообщения своим закрытым ключом, которым владеет только он, а получатель расшифрует его с помощью свободно распространяемого открытого ключа отправителя (рис. 10.1). Обеспечение конфиденциальности сообщения с помощью открытого ключа ┌───────────────────┐ ┌─────────────────┐ ┌───────────────────┐ │ Сообщение │──────>│ Открытый ключ │──────>│ Зашифрованное │ │ (открытый текст) │ │ получателя │ │ сообщение │ └───────────────────┘ └─────────────────┘ └───────────────────┘ │ ┌───────────────────┐ │ ┌─────────│ Интернет │<────────┘ │ └───────────────────┘ \│/ ┌───────────────────┐ ┌─────────────────┐ ┌───────────────────┐ │ Зашифрованное │ │ Закрытый ключ │ │ Сообщение │ │ сообщение │──────>│ получателя │──────>│ (расшифрованный │ │ │ │ │ │ текст) │ └───────────────────┘ └─────────────────┘ └───────────────────┘ Рис. 10.1 Именно на использовании возможностей асимметричной криптографической схемы с открытым ключом основана технология электронной цифровой подписи. Действительно, шифрование электронного документа с помощью закрытого ключа, который принадлежит исключительно отправителю, схоже с подписью на бумажном документе, поскольку выполняет те же функции: - удостоверяет, что подписанный текст исходит именно от лица, поставившего подпись; - не дает возможности подписавшему лицу отказаться от обязательств, связанных с подписанным текстом; - гарантирует целостность подписанного текста. Недостатком асимметричных криптографических схем является медленная работа соответствующих вычислительных алгоритмов - при шифровании всего сообщения с помощью закрытого ключа будет потрачено много времени на его расшифровку только для того, чтобы убедиться в подлинности отправителя, т.е. для аутентификации. Поэтому на практике шифруется не все сообщение, а некоторый небольшой набор символов, называемый дайджестом послания. Дайджест является не кратким изложением содержания послания, а случайным набором символов, который может быть сформирован с помощью специальных криптографических алгоритмов - однонаправленных хэш-функций. Однонаправленная (или односторонняя) хэш-функция представляет собой обычную математическую формулу для преобразования послания любого размера в одну строку символов определенной длины, которая и будет являться дайджестом этого послания. Каждое послание образует свой оригинальный дайджест, который может быть зашифрован закрытым ключом и превратиться, таким образом, в электронную цифровую подпись (ЭЦП). Примечание. Наиболее известным алгоритмом для вычисления хэш-функции является разработанный в США алгоритм безопасного хэширования SHA (Secure Hash Algoritm); в России алгоритм и процедуру вычисления хэш-функции определяет Стандарт ГОСТ Р 34.11-94. В Стандарте устанавливаются процедуры выработки и проверки электронной цифровой подписи (ЭЦП) сообщений (документов), передаваемых по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения, на базе асимметричного криптографического алгоритма с применением функции хэширования. Действующий Гражданский кодекс допускает заключение сделки путем обмена документами посредством электронной связи, но при условии, что можно с достоверностью установить, что документ исходит от стороны по договору (п. 2 ст. 434 ГК РФ). Гражданским кодексом допускается использование электронной цифровой подписи, но в случаях и порядке, предусмотренных законом, иными правовыми актами и соглашением сторон (п. 2 ст. 160 ГК РФ). Закон же определяет, что документ, заверенный электронной цифровой подписью, имеет юридическую силу при наличии в сетях передачи данных "программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования". Федеральный закон от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи" призван обеспечить правовое регулирование использования цифровой подписи в электронных документах. В Законе введены понятия "электронной цифровой подписи", "сертификата средств электронной цифровой подписи" и прочие, связанные с реализацией технологии ЭЦП, определены условия и особенности использования электронной подписи. Итак, отправитель сообщения формирует текст послания и шифрует его с помощью открытого ключа получателя. Расшифровать этот текст теперь сможет только владелец закрытого ключа, парного использованному открытому, т.е. сам получатель сообщения. Для того чтобы получатель был уверен в авторстве послания, отправитель с помощью хэш-функции создает и отправляет вместе с самим посланием его дайджест, шифруя его с помощью своего закрытого ключа. Получатель такого послания может расшифровать подпись, используя открытый ключ отправителя, и убедиться таким образом в его авторстве. Используя ту же самую хэш-функцию (о ее использовании отправитель с получателем должны предварительно договориться), получатель может подсчитать собственный дайджест для текста послания и, сравнив полученную строку с присланной, он может быть полностью уверен не только в авторстве послания, но и в том, что послание не было изменено. Для практического применения асимметричной криптографической системы требуется, во-первых, сформировать пару ключей, которая обычно генерируется с помощью специальных программ, и, во-вторых, распространить открытый ключ среди всех корреспондентов. Поскольку в процессе коммерческой деятельности корреспонденты могут меняться (появляются новые или наоборот), наиболее удобным для компании способом распространения открытого ключа является использование услуг специальных |