На главную

Библиотека Интернет Индустрии I2R.ru

Rambler's Top100

Малобюджетные сайты...

Продвижение веб-сайта...

Контент и авторское право...

Забобрить эту страницу! Забобрить! Блог Библиотека Сайтостроительства на toodoo
  Поиск:   
Рассылки для занятых...»
I2R » Электронная Коммерция » Безопасность Е-коммерции

Безопасно, как в онлайне

Недоверие на пути прогресса
"НЭ" не устает призывать своих читателей к активному освоению современных финансовых технологий. В частности, немало теплых слов было сказано в адрес интернет-банкинга. Сегодня через Интернет можно оплачивать услуги коммунальных служб, интернет-провайдеров и операторов сотовой связи, покупать иностранную валюту (не уплачивая при этом комиссионных), переводить средства с одного счета на другой, оплачивать покупки в интернет-магазинах. Человек, "вкусивший" интернет-банкинг, уже не сможет без него обходиться. Это как автомобиль или сотовый телефон. Нет его - и вроде не надо. Но стоит чуть попользоваться...
Почему же россияне без особой охоты приобщаются к "благам цивилизации"? Заметим, это относится даже не к россиянам вообще, а к тем из них, кто уже вовсю пользуется Интернетом. По последним оценкам, в стране насчитывается около 5 млн активных посетителей Сети, но банковские операции через Интернет совершают не более 10 тыс. человек.
Специалисты практически единодушны в объяснении главной причины этой "неохоты". Хотя в принципе к интернет-банкингу благосклонно относятся 50- 80% клиентов банков, предлагающих подобную услугу, большинство из них не уверены в безопасности интернет-транзакций.

Провода надежней рук
Немного житейских аналогий. Общеизвестно: из-за частых авиакатастроф многие боятся летать на самолетах. Сколько людей ежегодно гибнет из-за крушения самолетов? Несколько сот. А вот жертвами автомобильных аварий становятся 20-30 тыс. человек ежегодно! И никому не приходит в голову отказываться от автотранспорта.
Так и здесь: вероятность быть ограбленным в подворотне намного выше, чем стать добычей "электронных" воров при осуществлении интернет-транзакций. Фактически электронные платежи более безопасны, чем традиционные способы передачи денег. Просто людям трудно довериться технике - "железу".
Вообще, проблема обусловлена тем, что осуществлять банковские операции через Интернет - значит передавать секретную информацию по открытым каналам. Этой открытостью могут воспользоваться "взломщики". Следовательно, ключевой вопрос безопасности интернет-банкинга - шифрование потоков данных и подтверждение авторства информации на всех этапах "сеанса" связи.
"Для этой цели используются специальные математические алгоритмы, которые позволяют защитить электронные документы от подделки, искажений и просмотра, установить авторство документа и обеспечить невозможность отказа от него",- утверждает Сергей ПОТАПКИН, ведущий эксперт по безопасности компьютерных систем из компании R-Style Softlab.

Ключ от счета, где деньги лежат
Криптография - пожалуй, самая темная для обычного пользователя интернет-банковская тема. Тем не менее идея достаточно проста, считает Вадим ПОЛЕЩИКОВ, руководитель проекта mdmbank.com в "МММ-Банке". Для шифрования передаваемых данных используется некий ключ. Шифрация происходите помощью симметричных алгоритмов, т.е. закодировать и восстановить данные можно с помощью одного и того же "пароля". Проблема в том, что для гарантии защиты зашифрованных данных ключ должен быть известен только отправителю и получателю. Задача - передать этот пароль через открытые каналы связи.
Эту проблему решает широко распространенный протокол SSL. Он использует несимметричные алгоритмы шифрования, т.е. зашифровать данные можно с помощью одного ключа, а дешифровать - с помощью другого. Эти ключи математически связаны друг с другом. Идея в том, что один из участников обмена информацией сначала вырабатывает свой уникальный ключ, он называется "закрытым", а на его базе "нотариус" или доверенное лицо всех участников обмена информацией, так называемый Центр сертификации, с помощью специальных алгоритмов создает другой ключ, называемый "открытым", или сертификатом пользователя. С его помощью невозможно восстановить закрытый ключ, но вместе с тем информация, зашифрованная с его помощью, может быть дешифрована с использованием закрытого ключа. Закрытый ключ клиент должен хранить в тайне, не сообщая его никому, даже сотрудникам банка. Открытый ключ может свободно распространяться среди всех участников обмена данными.
В результате обмен данными происходит следующим образом.
Отправитель с помощью открытого ключа партнера шифрует некий пароль, называемый "сессионным ключом". Дешифровать сессионный ключ может только владелец соответствующего закрытого ключа. В дальнейшем механизм обмена происходит стандартным образом - стороны обмениваются данными, зашифрованными с помощью только им известного сессионного ключа.

Подпись длиною в тысячи знаков
Каким образом банк узнает, что это именно вы, а не "взломщик", входите в систему и совершаете операции? Каким образом банк защищается от отказа со сторо-шенную им сделку и наоборот? Для этого придуман механизм так называемой электронно-цифровой подписи опережают последовательность ПСИХОЛОГИЮ знаков, формируемая путем преобразования с помощью специальной программы исходного электронного документа. ЭЦП подтверждает подлинность, целостность и авторство электронного документа. Гражданский кодекс России признает ЭЦП аналогом собственноручной подписи (ст. 160, п. 2).

Вадим ПОЛЕЩИКОВ объясняет устройство механизма электронно-цифрового "подписания":
"Для ЭЦЛ используется описаный выше протокол SSL.
Подписывая документ, клиент формирует ЭЦЛ с помощью только ему известного закрытого ключа. При этом фиксируется так называемая контрольная сумма документа, представляющая собой нечто вроде математического выражения исходного набора знаков. Так что, если в тексте переместится хотя бы одна запятая, контрольная сумма тоже изменится. Исходный документ передается получателю вместе с ЭЦП.
Адресат вновь вычисляет контрольную сумму документа и сравнивает ее с суммой, которую он получил, дешифровав подпись с помощью имеющегося у него открытого ключа. При совпадении этих цифр документ считается подписанным отправителем".
Зная открытую часть ключа вашей ЭЦП, злоумышленник не сможет вычислить ее закрытую часть, а значит, не сможет осуществлять операции от вашего имени. Из-за сложности алгоритма и большой длины ключа (512, 268, 1024 бит), даже имея в своем распоряжении самые мощные вычислительные ресурсы, он должен будет потратить годы, чтобы "вскрыть" подпись, то есть получить закрытый ключ.
Дополнительным подтверждением того факта, что именно вы являетесь владельцем счета в банке, является способ подключения вашего компьютера к банку через Интернет. Для этого используется защищенное соединение, в рамках которого вся информация автоматически шифруется с помощью уже упоминавшегося SSL-протокола. Подключиться, таким образом, могут только зарегистрированные интернет-клиенты, то есть владельцы соответсвующих сертификатов пользователей.

Брелок? Нет, лучше сейф
Обычно закрытый ключ ЭЦП интернет-клиента хранится на дискете. Реже используются специальные аппаратные устройства, например, смарт-карты или устройства Touch Memory (часто их называют "таблетками" и используют в качестве ключей было, ни в коем случае нельзя допустить, чтобы закрытый ключ ЭЦП стала известен кому-либо, кроме вас.

Сергей ПОТАПКИН советует соблюдать следующие правила:
- тщательно сохраняйте в тайне пароль и при малейших подозрениях меняйте его, связываясь со службой технической поддержки банка;
- получив необходимые сведения с сервера банка, полностью завершите сеанс связи перед просмотром других сайтов. Лучше всего закрыть окно браузера для удаления из памяти всякой конфиденциальной информации;
- сотрудникам банка ваш пароль никогда не понадобится, поэтому не отвечайте на запросы якобы из банка (например, по электронной почте) с просьбой сообщить ваш пароль;
- не оставляйте компьютер без присмотра во время сеанса связи с банком. По окончании работы закрывайте окно браузера:
- храните дискеты с ключами в месте, недоступном для посторонних (например, в сейфе). Не переписывайте файлы секретных ключей на жесткие диски.

Петр Михеев
Новая экономика

Спонсор раздела

Другие разделы
Отрасли
Новое в разделе
Торговые площадки
e-Финансы
Основы основ
B2B
Технологии и системы
Безопасность
Создание Е-магазина
Е-торговля за рубежом
I2R-Журналы
I2R Business
I2R Web Creation
I2R Computer
рассылки библиотеки +
И2Р Программы
Всё о Windows
Программирование
Софт
Мир Linux
Галерея Попова
Каталог I2R
Партнеры
Amicus Studio
NunDesign
Горящие путевки, идеи путешествийMegaTIS.Ru

2000-2008 г.   
Все авторские права соблюдены.
Rambler's Top100