Безопасность хранимой и передаваемой информации при реализации электронной торговли — это обеспечение безопасности торговых сделок в электронном формате.
Введение
Повсеместное распространение сети Интернет соответственно способствовало развитию сферы электронного бизнеса. Электронная коммерция является разновидностью электронного бизнеса. Согласно документам Организации Объединённых Наций (ООН), бизнес считается электронным, когда хотя бы пара его составных частей из четырёх, то есть производства продукции или услуги, маркетинга, доставки и расчёта, выполняется через сеть Интернет. То есть в такой формулировке получается, что продажа товара считается электронной коммерцией, когда организация спроса и оплата осуществляются методами сети Интернет. Основной проблемой при внедрении электронной торговли считается обеспечение безопасности. Присутствие определённого количества мошенников в сети Интернет в определённой степени сдерживает развитие электронной торговли. Люди, выступающие в роли покупателей, а также финансовые организации опасаются использовать электронные технологии из-за вероятных финансовых потерь. Интернет используется в основном как информационный канал, позволяющий получить необходимую информацию.
Электронная торговля: безопасность хранимой и передаваемой информации
Вероятные виды мошенничества в электронной торговле можно классифицировать следующим образом:
- Мошеннические действия при осуществлении безналичных расчётов и применением достоверных реквизитов пластиковых карт, то есть номера карточки, срока её действия и так далее.
- Считывание информационных данных о покупателях посредством взлома баз данных торговых организаций или перехватом сообщений покупателей, которые содержат их персональные данные.
- Магазины-однодневки, появляющиеся обычно на короткий период времени и исчезающие после отправки им покупателями финансов за услуги или товары, которых не существует.
- Повышение стоимости продукта относительно предложенной покупателю цене или повторное списание денег со счёта покупателя.
- Магазины или торговые агенты, которые занимаются сбором информационных данных о карточных реквизитах и других персональных данных клиентов.
Протокол SSL (SecureSocketLayer, то есть уровень защищённых сокетов) был спроектирован фирмой NetscapeCommunications. Он призван обеспечить защиту информации между сервисными протоколами, например, HTTP, NNTP, FTP и так далее, и транспортными протоколами типа TCP/IP при помощи передовых криптографических методов в связях типа «точка-точка». До этого момента имелась возможность без применения сложного технического оборудования осуществить просмотр данных, которые пересылаются от клиента к серверу и наоборот.
Протокол SSL служит для разрешения стандартных проблем обеспечения защищённости при информационном взаимодействии, а именно:
- Сервер и пользователь должны обладать уверенностью в том, что информационный обмен осуществляется именно с нужным абонентом, а не с подставным, не довольствуясь лишь защитой при помощи пароля.
- Когда соединение между клиентом и сервером уже установлено, все информационные потоки между ними необходимо гарантировано защитить от несанкционированного доступа.
- При информационном обмене абоненты должны обладать уверенностью, что не будет никаких умышленных или случайных коррекций при её трансляции.
Протокол SSL даёт возможность клиенту и серверу до начала информационного обмена осуществить взаимную аутентификацию, осуществить согласование алгоритма шифрования и создать общие ключи криптографии. Для этого в протоколе применяются ассиметричные криптосистемы с двумя ключами, к примеру, RSA.
Конфиденциальность информации, которая передаётся по выделенному защищённому соединению, достигается шифрованием информационного потока на сформированном едином ключе с применением симметричных алгоритмов криптографии, к примеру, RC4_128, RC4_40, RC2_128, RC2_40, DES40 и других.
Осуществление контроля целостности транслируемых блоков выполняется путём применения специальных кодов аутентификации сообщений (MessageAutentificationCode, или MAC), которые вычисляются при помощи хэш-функций, к примеру, MD5.
Протокол SSL состоит из двух этапов взаимодействия сторон контакта, подлежащего защите:
- Формирование сессии SSL.
- Осуществление защиты информационного потока.
На первом этапе выполняется аутентификация сервера и, если необходимо, клиента. Стороны согласовывают договор о применяемых алгоритмах криптографии и вырабатывают единый секретный код, на базе которого формируются единые ключи сеанса связи для дальнейшей защиты канала связи. Данный этап именуется операцией «рукопожатия».
На этапе защиты информационного потока данные сообщения прикладного характера разбиваются на отдельные блоки. Каждый блок получает рассчитанный собственный код аутентификации сообщений, после чего информация зашифровывается и пересылается принимающей стороне. Принимающая сторона выполняет обратные операции, то есть, декодирование, анализ кода аутентификации сообщения, восстановление сообщений, трансляцию на прикладной уровень.
Самым используемым программным пакетом, осуществляющим поддержку SSL, считаетсяSSLeay. В него входит исходный код на языке Си, который можно встраивать в различные приложения, например, Telnet и FTP.
В SSL применяется криптография, имеющая открытый, то есть публичный, ключ, которая иначе именуется ассиметричной криптографией. Она применяет два ключа, первый ключ служит для шифровки сообщений, а второй служит для их дешифрации. Оба ключа имеют математическую связь, которая означает, что информация, прошедшая шифровку с применением первого ключа, может быть расшифрована лишь с применением второго, связанного с первым, ключа. Все пользователи имеют два ключа, один открытый, а второй секретный. Это обеспечивает надёжную информационную защиту.