Защита информации в электронной коммерции

• при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче.

Протокол SSL позволяет серверу  и клиенту перед началом информационного  взаимодействия провести проверку подлинности  друг друга, согласовать алгоритм шифрования и сформировать общие криптографические  ключи. С этой целью в протоколе  используются двух ключевые (асимметричные) криптосистемы.

Конфиденциальность информации, передаваемой по установленному защищенному  соединению, обеспечивается путем шифрования потока данных на сформированном общем  ключе с использованием симметричных криптографических алгоритмов. Контроль целостности передаваемых блоков данных производится за счет использования  так называемых кодов аутентификации сообщений (MessageAutentification Соде — МАС).

1.1.2. Протокол SET

 

Стандартный многосторонний протокол SET разработан компаниями MasterCard и Visa при участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет с помощью пластиковых карточек, используя самый защищенный на данный момент механизм выполнения платежей. SET обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET правильнее называть стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карт через Интернет.

В отличие от других протоколов, SET позволяет решать базовые задачи защиты информации в целом. В частности, он обеспечивает следующие специальные  требования защиты операций электронной  коммерции:

• секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;

• сохранение целостности данных платежей, что обеспечивается с помощью цифровой подписи;

• специальную криптографию с открытым ключом для проведения аутентификации;

• аутентификацию держателя по кредитной карточке с применением цифровой подписи и сертификатов держателя карт;

• аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;

• аутентификацию банка продавца как действующей организации, которая может принимать платежи по пластиковым карточкам через связь с процессинговый карточной системой (аутентификация осуществляется с использованием цифровой подписи и сертификатов банка продавца);

• готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;

• безопасность передачи данных посредством преимущественного использования криптографии.

Основное преимущество SET заключается в применении так  называемых цифровых сертификатов, которые  ассоциируют держателя карты, продавца и банк продавца с рядом банковских учреждений, входящих в платежные  системы Visa и MasterCard.

Цифровые сертификаты  содержат открытые криптографические  ключи абонентов, заверенные электронной  цифровой подписью центра сертификации, и обеспечивают однозначную аутентификацию участников обмена. Цифровой сертификат — это определенная последовательность битов, основанных на криптографии с  открытым ключом, представляющая собой  совокупность персональных данных владельца  и открытого ключа его электронной  подписи (при необходимости, и шифрования), связанных в единое неизменяемое целое электронной подписью центра сертификации. Цифровой сертификат оформляется  в виде файла или области памяти и может быть записан на дискету, интеллектуальную карту, элемент touch-memory, любой другой носитель данных.

Цифровые сертификаты  предотвращают возможность подделок, от которых не застрахованы существующие виртуальные системы. Сертификаты  также дают уверенность держателю  карты и продавцу в том, что  их транзакции будут обработаны с  таким же высоким уровнем защиты, что и традиционные транзакции. Упрощенно  говоря, по своим функциям цифровые сертификаты аналогичны обычной  печати, которой удостоверяют подпись  на бумажных документах.

1.2. Электронная цифровая подпись

 

Применение глобальных коммуникаций в коммерческой деятельности и повседневной жизни привело к появлению  принципиально новой области  юридических отношений, связанных  с электронным обменом данными. В таком обмене участвуют производители  товаров и услуг, оптовые и  розничные торговцы, дистрибьюторы, перевозчики, банки, страхователи, органы государственной власти и их организации, а также физические лица в своих  деловых и личных отношениях. Поэтому  здесь необходимы специальные средства, гарантирующие подтверждение подлинности  и авторства документа. В настоящее  время основным из этих средств служит так называемая электронная подпись.

ЭЦП — реквизит электронного документа, предназначенный для  защиты данного электронного документа  от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа  электронной цифровой подписи и  позволяющий идентифицировать владельца  сертификата ключа подписи, а  также установить отсутствие искажения  информации в электронном документе.

Использование ЭЦП является необходимым, но недостаточным элементом  обеспечения безопасности электронных  сделок (электронной коммерции). С  помощью средств ЭЦП обеспечивается аутентификация сторон сделки при обмене сообщениями и проверяется целостность  сообщений. Конфиденциальность же содержания сообщений по сделкам достигается  с помощью средств шифрования.

Однако сфера применения ЭЦП не ограничивается электронной  коммерцией и охватывает также публично правовые отношения (внутри государственного сектора), взаимоотношения с государственными органами и организациями и частноправовые («межличностные») отношения, не связанные  с коммерцией.

При использовании ЭЦП  возникают новые права и обязанности  субъектов правоотношений, для удостоверения  подлинности ЭЦП формируется  система специальных организаций, права, обязанности и ответственность  которых также должны быть законодательно установлены. Нормативным актом, устанавливающим  права, обязанности, ответственность  субъектов, может быть только закон. Подзаконные акты вправе конкретизировать правовые механизмы им установленные.

1.2.1. Основы алгоритмов цифровой  подписи

 

Одна из самых сложных  задач при использовании ЭЦП  — обеспечение надлежащей гарантии невозможности восстановления ключа  подписывания по ключу проверки и любому количеству подписанных электронных документов.

Основная идея решения  этой задачи состоит в той, чтобы  использовать такие процедуры подписи  и проверки, что практическое восстановление ключей подписи по ключам проверки требует выполнения весьма трудоемких (а, следовательно, и длительных, вычислений).

Практически оказалось, что  при всем многообразии известных  сложных вычислительных задач, применимой оказалась одна. Это так называемая задача дискретного логарифмирования.

В простейшем варианте ее можно  сформулировать так. Если заданы три  больших целых положительных  числа а, п, х, то располагая даже несложными арифметическими устройствами типа карманного калькулятора или просто карандашом и бумагой, можно довольно быстро вычислить число а**х как результат умножения числа а на себя х раз, а затем и остаток от деления этого числа нацело на п, записываемый как Ь = а**х mod n. Задача дискретного логарифмирования состоит в том, чтобы по заданным числам а, Ь, п, связанным таким соотношением, найти то число х, из которого по этой формуле было вычислено число.

Оказывается, что задача дискретного логарифмирования при  правильном выборе исходных чисел настолько  сложна, что позволяет надеяться  на практическую невозможность восстановления числа х, — индивидуального ключа  подписывания, по числу b, применяемому в качестве ключа проверки. Например, если а = 10, а х = 21, то для решения этой задачи известными на сегодня методами потребуется около 30 лет работы 1000 современных суперкомпьютеров.

Среди конкретных алгоритмов, реализующих эту идею, можно упомянуть  о следующих основных.

Алгоритм RSA. Это один из первых по времени изобретения алгоритмов цифровой подписи, разработанный в 1977 году в Массачусетском технологическом институте.

По современным оценкам  сложность задачи разложения на простые  множители при целых числах п из 64 байт составляет порядка 10**17 — 10**18 операций, т.е. находится где-то на грани досягаемости для серьезного «взломщика». Поэтому обычно в системах цифровой подписи на основе алгоритма RSA применяют более длинные целые числа п (обычно от 75 до 128 байт).

Это соответственно приводит к увеличению длины самой цифровой подписи относительно 64-байтного варианта примерно в два раза (в данном случае ее длина совпадает с длиной записи числа n), а также на порядок  и более увеличивает время  вычислений при подписывания и проверке.

Кроме того, при генерации  и вычислении ключей в системе RSA необходимо проверять большое количество довольно сложных дополнительных условий на простые числа р и q (что сделать достаточно трудно и чего обычно не делают, пренебрегая вероятностью неблагоприятного исхода — возможной подделки цифровых подписей), а невыполнение любого из них может сделать возможным фальсификацию подписи со стороны того, кто обнаружит невыполнение хотя бы одного из этих условий (при подписывания важных документов допускать, даже теоретически, такую возможность нежелательно).

Алгоритм EGSA. Существенным шагом вперед в разработке современных алгоритмов цифровой подписи был новый алгоритм Т. Эль-Гамаля, предложенный им в 1984 году. В этом алгоритме целое число n полагается равным специально выбранному большому простому числу р, по модулю которого и производятся все вычисления. Такой выбор позволяет повысить стойкость подписи при ключах из 64 байт примерно в 1000 раз, т.е. при такой длине ключей обеспечивается необходимый нам уровень стойкости порядка 10**21. Правда, при этом длина самой цифровой подписи увеличивается в два раза и составляет 128 байт.

Алгоритм DSA. Национальным институтом стандартов и технологий США в 1991 году на основе алгоритма Зль-Гамаля был разработан и представлен на рассмотрение Конгресса США новый алгоритм цифровой подписи, получивший название DSA (сокращение от DigitalSignatureAlgorithm). Алгоритм DSA имеет по сравнению с алгоритмом RSA целый ряд преимуществ:

• при заданном уровне стойкости цифровой подписи целые числа, с которыми приходится проводить вычисления, имеют запись как минимум на 20% короче, что соответственно уменьшает сложность вычислений не менее, чем на 70% и позволяет заметно сократить объем используемой памяти;

• при выборе параметров достаточно проверить всего три легко проверяемых условия;

• процедура подписывания по этому методу не позволяет вычислять (как это возможно в RSA) цифровые подписи под новыми сообщениями без знания секретного ключа.

Эти преимущества, а также  ряд других соображений послужили  главным мотивом для принятия в 1994 году национального стандарта  цифровой подписи DSS на основе алгоритма DSA.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Проектирование ER-модели для сайта Monteuke.by

 

Цель создания сайта:  систематизация и углубление знаний в области языков программирования, баз данных, веб-технологий, интернет-маркетинга и электронной коммерции.

В качестве объекта было выбрано иностранное частное  предприятие «Монтбрук», занимающееся производством кондитерских изделий, таких как шоколадные конфеты, вафли, печенье, зефир. Для этого предприятия был разработан сайт, который является каналом распространения продукции, а также каналом продвижения товаров и предприятия в целом.

ER-модель,  или ER- диаграмма (Entity – Relation; в русском   переводе  -  модель  “ объект  -  отношение ” или “ сущность -  связь”) предназначена для формализованного  описания   предметной  области на   этапе инфологического проектирования БД.  Модель  представляет   собой   графическое описание   предметной  области с использованием   стандартизированного   набора   обозначений.  На  основе  ER-модели  по  определенным  правилам  строится   даталогическая   модель  для реализации   в конкретной   СУБД (для реляционных   БД – набор таблиц   и   связей  между   ними).  Для нашего сайта была разработана ER-модель, и даталогическая модель  представленные на Рисунке 2.1. и 2.2 соответственно.

 

 

 

 

 

 

 

 

 Продукт                                                         Категория

idпродукта                                                  idкатегории   

        название                                                       название

        цена                                                               ключ.слово

        картинка

        Акции

idакции

         цена

         название

         описание

кюч.слова

Рисунок 2.1.

Таблица: Продукт

idпродукта

название

цена

картинка

idкатегории