Використання цифрового підпису та вимоги до безпеки електронних магазинів і платіжних систем

Цифровий підпис, електронний еквівалент традиційного підпису, був розроблений для використання в алгоритмах шифрування з відкритим ключем для вирішення проблеми автентичності і цілісності. Цифровий підпис дозволяє одержувачу бути упевненим в тому, що послання було дійсне послано відправником. Цифровий підпис, подібно рукописній сигнатурі, служить доказом автентичності листа і її також важко підроблювати. Щоб створити цифровий підпис, відправник повинен пропустити первинне відкрите повідомлення через функцію хеширування, яка виконує математичні обчислення, в результаті виконання яких обчислюється значення хеш-функції. Хеш-функція може бути дуже простою, і, наприклад, може виконувати складання всіх одиниць в двійковому представленні тексту повідомлення, хоча звичайно ці функції виконують складніші обчислення. Вірогідність того, що два різні повідомлення матимуть одне і те ж значення хеш-функції, статистично мізерна. Відправник використовує свій закритий ключ, щоб зашифрувати значення хеш-функції, створюючи таким чином цифровий підпис і підтверджуючи автентичність повідомлення, тому що тільки власник закритого ключа міг виконати таке шифрування. Первинне повідомлення, зашифроване відкритим ключем одержувача, цифровий підпис і значення хеш-функції посилається одержувачу. Одержувач використовує відкритий ключ відправника, щоб декодувати цифровий підпис і отримати значення хеш-функції. Одержувач потім використовує свій власний закритий ключ, щоб декодувати первинне повідомлення. На закінчення одержувач застосовує хеш-функцію до первинного повідомлення. Якщо отримане значення хеш-функції для початкового повідомлення відповідає значенню, включеному в цифровий підпис, це служить свідоцтвом цілісності повідомлення, тобто того, що воно не було змінено в процесі передачі по каналах зв'язку.

Одна з проблем шифрування з відкритим ключем полягає в тому, що будь-хто, хто володіє набором ключів, потенційно може спробувати зобразити з себе відправника повідомлення. Припустимо, що замовник хоче помістити замовлення в електронному магазині. Як замовник може взнати, що Web-сайт, на який він звертається, дійсно належить цьому торговцю, а не якійсь третій особі, яка маскується під сайт торговця з метою отримати інформацію про кредитні карти? Інфраструктура відкритого ключа (Public Key Infrastrukture - PKI) дозволяє вирішити це питання за допомогою цифрових сертифікатів, що засвідчують автентичність повідомлень. Цифрові сертифікати розподіляються спеціальною організацією - сеrtification authority (CA) - і підписуються закритим ключем цієї організації. Цифровий сертифікат включає ім'я учасника (організації або людини), його відкритий ключ, серійний номер, термін придатності сертифікату, дозвіл від постачальника сертифікатів і будь-яку іншу інформацію, що має відношення до теми. Як CA може виступати фінансова організація або інша організація, наприклад VeriSign, яка видає сертифікати і відкриті ключі своїм клієнтам, для пізнання цих клієнтів. CA бере на себе відповідальність за сертифікат, тому відомості про одержувача сертифікату ретельно перевіряються перед видачею цифрового сертифікату. Доступ до цифрових сертифікатів відкритий, а містяться вони в архівах сертифікатів.

Компанія VeriSign, Inc. - один з лідерів захисту електронних даних. VeriSign розробляє PKI і рішення для цифрових сертифікатів.

Багато людей, як і раніше, вважають електронну торгівлю небезпечним заняттям, оскільки ним здається, що дані в цій технології не захищені. Насправді транзакції, що використовують PKI і цифрові сертифікати, захищені краще, ніж інформація, яка передається по телефонних лініях, поштою або при проведенні платежів за допомогою кредитної карти. Алгоритми шифрування з ключем, що використовуються в більшості транзакцій, майже неможливо скомпрометувати. За деякими оцінками, алгоритми шифрування з ключем, що використовуються в криптографічному захисті з відкритим ключем, настільки безпечні, що навіть мільйони комп'ютерів, що працюють паралельно, не зможуть розкрити шифр навіть за сто років роботи.

Однією з найцікавіших властивостей магазина є його інтеграція з платіжною системою, що дозволяє здійснювати покупки по кредитних картках або за нефіатні (не державні) електронні гроші.

Який ступінь захисту інформації, що передається або зберігається за допомогою банківських платіжних систем, платіжних шлюзів або небанківських систем електронних платежів, можна судити, ознайомившись з конкретною платіжною системою або шлюзом. Наприклад, така українська система, як Приват24 (що належить ПриватБанку), для ідентифікації користувача використовує в комплексі звичайний пароль і динамічний, що приходить на зареєстрований в системі мобільний номер телефону клієнта. Надалі всі дані передаються за допомогою SSL протоколу, створюється так звана зона захищеного з'єднання.

В популярній в Україні російській системі електронних платежів, що використовує нефіатні гроші – WebMoney Transfer – для ідентифікації, аутентифікації і входу користувача у власний гаманець використовуються, залежно від вибраного типу реєстрації, або електронний підпис (персональний цифровий сертифікат), або E-NUM.

Існує три види e-num-авторизації в системі WebMoney:

- ідентифікація по методу Питання - Відповідь з мобільних пристроїв;

- ідентифікація по відбитках пальців з ПК і ноутбуків;

- ідентифікація по методу Питання - Відповідь через SMS.

Персональний (особистий, клієнтський) цифровий сертифікат в системі WebMoney призначений для захисту, ідентифікації і передачі даних при Інтернет - з'єднаннях в WM Keeper Light.

Ідентифікація забезпечується шляхом застосування закритого ключа, який генерується на комп'ютері користувача в процесі реєстрації, зберігається тільки у власника персонального цифрового сертифікату WM Keeper Light і ніколи не передається по мережі.

Персональний цифровий сертифікат засвідчує власника WM-ідентифікатора на сайтах сервісів системи WMT, а також на інших сайтах, на яких встановлена система авторизації WMT.

Установка персонального сертифікату є частиною процесу реєстрації WM Keeper Light і можлива в різних браузерах (Microsoft Internet Explorer, Mozilla Firefox, Opera, MacOS X Safari, Safari, Konqueror, Netscape Browser, До – Meleon).

Так само можливо отримання клієнтського сертифікату після реєстрації через E-Num.

Персональний сертифікат діє два роки, після чого його потрібно обновляти (продовжувати). Для цієї мети на сайті www.wmcert.com слід виконати ті ж дії по отриманню і установці сертифікату, що і при реєстрації. Докладна інформація про те, як правильно виконати оновлення персонального сертифікату приведена в інструкції “Продовження персонального сертифікату”.

Процес установки персонального сертифікату складається з трьох етапів:

- генерація закритого ключа і запиту на сертифікат (відкритого ключа) на комп'ютері користувача;

- реєстрація і підпис сертифікату на сервері системи WebMoney;

- отримання сертифікату і його інсталяція в браузері.

У разі коли сертифікат, що згенерований сервером, із якихось причин не встановився в сховищі браузеру, користувач може завершити інсталяцію самостійно, – сертифікат зареєстрований і підписаний на сервері (файл з розширенням.cer) може бути висланий на e-mail. Для деяких браузерів (MS Internet Explorer, Opera) достатньо просто імпортувати отриманий поштою сертифікат в сховищі. Для браузеру Mozilla Firefox потрібна складніша процедура установки.

Відразу після реєстрації (продовження) сертифікат і закритий ключ зберігаються в так званому вигляді, що експортується, який дозволяє створювати їх повну копію. Тривале знаходження в сховищі закритого ключа у такому вигляді небезпечно, тому після установки персонального сертифікату рекомендується виконати наступні дії:

- створити резервну копію сертифікату на надійному змінному носії інформації;

- видалити сертифікат з сховища;

- встановити сертифікат в сховищі з резервної копії, відключивши для нього опцію дозволу експортування закритого ключа. Для браузеру MS Internet Explorer краще встановити режим підвищеного захисту сертифікату.

Для підвищення безпеки роботи з WM Keeper Light рекомендується встановити сертифікат на захищений пристрій типу eToken або Rutoken.

Діючий в Україні з 2002 р. платіжний шлюз Portmone.com активно використовується Інтернет-магазинами і сервісними компаніями, а також декількома іншими категоріями підприємств, що працюють по іншій моделі комерції. Portmone.com фактично є Інтернет-шлюзом між кінцевими споживачами і підприємствами, при цьому платіж споживач скоює з допомогою своєї карти VISA або MasterCard, платіж проводять банки-партнери.

Для забезпечення безпеки Portmone.com виконує міжнародний стандарт Payment Card Industry Data Security Standard (PCI DSS). Рortmone.com перша компанія в Україні, яка успішно пройшла міжнародний аудит безпеки на відповідність вимогам стандарту Payment Card Industry Data Security Standard (PCI DSS) і отримала сертифікат № 499938160100203, виданий німецькою компанією SRC (Security Research and Consulting GmbH). SRC — незалежна аудиторська компанія, провідна сертифікацію на відповідність всім вимогам безпеки (MasterCard Site Data Protection і VISA Account Information Security), встановленим основними платіжними системами VISA і MasterCard.

Аудит безпеки компанії означає, що:

- Portmone.com проходить щоквартальне мережне сканування свого ресурсу на предмет виявлення уразливостей;

- щорічну перевірку безпеки незалежними аудиторами в офісі компанії.

Виконання стандарту PCI DSS означає:

- визначення загальної політики безпеки компанії;

- забезпечення надійного шифрування закритих даних і передача їх по мережі тільки в зашифрованому вигляді;

- розмежування доступу до даних на підставі посадових обов'язків і повноважень;

- визначення вимог до процесу розробки, тестування і упровадження програмного забезпечення;

- здійснення регулярного процесу сканування системи з метою виявлення уразливостей і подальшого їх усунення;

- встановлення антивірусних програм для захисту системи і даних.

Для обміну інформацією з користувачами Portmone.com застосовує промисловий стандарт SSL-шифрування. Portmone.com має сертифікат безпеки, завірений міжнародним агентством Thawte Consulting.

Компанія Portmone.com також розробила і строго дотримується «Декларації про політику безпеки».

Інший популярний платіжний шлюз – система UkrPayS.com. Його система безпеки відповідає наступним вимогам. Всі платежі з платіжних карт здійснюються відповідно до вимог міжнародного стандарту безпеки Інтернет-платежів 3-D Securе, прийнятого міжнародним платіжними системами Visa Int. і MasterCard Int. Компанія UkrPayS.com строго зобов'язала не вимагати введення реквізитів платіжних карт (номер карти, термін дії, CVV2) від клієнта на своєму сайті. Введення реквізитів платіжних карт здійснюється строго на захищеному сервері банку.

Компанія забезпечує безпечні фінансові транзакції в Інтернет з використанням криптографії SSL стандарту з довжиною ключа 128-bit.

Безпека сервісу UkrPayS.com також підтверджена міжнародним сертифікатом Thawte Consulting.

Стандарт SSL дозволяє створювати захищений канал передачі даних між сервісом UkrPayS.com і браузером клієнта, використовуючи при цьому технології аутентифікації користувача, шифрування і цифрового підпису.

В сертифікатах також використана надійна технологія криптозахисту з подвійним ключем завдовжки до 128-біт.

Порядок здійснення платежу в системі наступний. Клієнт має можливість перевірити склад і загальну суму замовлення, умови і адресу доставки, спосіб оплати, свої контактні дані (телефон або адреса електронної пошти), і дані одержувача на відповідній сторінці web-сайту, і підтвердити або відмовитися від замовлення.

Якщо оплата проводиться банківською платіжною картою, то авторизація суми замовлення проводиться на сервері банку-емітента шляхом вказівки і відправки з комп'ютера клієнта серверу банку реквізитів платіжної карти клієнта. Сервер банку проводить верифікацію клієнта за стандартом
3-D Secure. У випадку якщо верифікація клієнта за стандартом 3-D Secure пройшла успішно, банк проводить авторизацію платежу за даними карти клієнта на суму замовлення відповідно до правил міжнародних платіжних систем. При цьому співробітники банку можуть зв'язатися з клієнтом для підтвердження інформації по здійснюваному платежу.

Завдяки SSL стандарту і отриманому сертифікату Thawte Consulting, клієнти платіжного сервісу UkrPayS.com можуть бути упевнені:

- в автентичності сайту – сторінка, що переглядається користувачем, отримана саме з вказаної адреси, а сам сайт дійсно належить компанії, на ім'я якої виданий сертифікат;

- в цілісності інформації: за час передачі даних через Інтернет вони не можуть бути змінений або зіпсований;

- в приватності інформації: за рахунок використання шифрування даних, що передаються між клієнтом і сервером, їх зміст не стане доступний.

Всі співробітники компанії UkrPayS.com строго дотримують правила про нерозголошування будь-якої конфіденційної інформації. Компанія постійно відстежує і додає нові платіжні інструменти (окрім карт VISA і MasterCard, на сьогодні для оплати використовуються карти НСЕМП, гаманці WebMoney і ін.).

Виводи.

1. Однією з найважливіших задач як підприємств електронної комерції, що здійснюють торгівлю або надання послуг, так і фінансових і нефінансових установ (банківські і небанківські платіжні системи, платіжні сервіси - шлюзи), які здійснюють діяльність по підтримці електронних транзакцій в Інтернет, є забезпечення інформаційної безпеки клієнтів і надійності сервісу. Це забезпечує ефективне функціонування таких підприємств, їх фінансову і економічну стійкість в умовах невизначеності зовнішнього середовища. Для забезпечення безпеки використовуються сервіси, протоколи і електронні підписи, що функціонують за надійною технологією криптозахисту як симетричного, так і асиметричного шифрування, завірені міжнародними сертифікатами безпеки.

2. Дії компаній по забезпеченню електронних транзакцій підкоряються вимогам міжнародних стандартів безпеки, компанії періодично проходять міжнародний аудит на відповідність стандартам безпеки, встановленим основними платіжними системами VISA і MasterCard.

3. Дії підприємств електронної комерції, що функціонують по моделі В2С, підкоряються виробленим політикам безпеки, в рамках недопущення реалізації трьох типів загроз порушення безпеки – цілісності, секретності (конфіденційності) і доступності, а також проблеми підтвердження автентичності продавця і покупця. Для забезпечення цілісності і секретності також використовуються криптографічні протоколи передачі даних і захищені платіжні системи, для підтвердження автентичності використовуються цифрові сертифікати (так звані електронні підписи), а для забезпечення доступності необхідне залучення фахівців з компаній (провайдерів або інших), що спеціалізуються в організації захисту від атак на підприємства електронної комерції.