- •Алексеев в.И. Интернет-ресурсы для бизнеса
- •Санкт-Петербург - 2012
- •Глава 1 Электронная коммерция. Интернет-коммерция
- •1.1 Понятие электронной коммерции и ее категории
- •1.2 Мобильная коммерция
- •1.3 Классификация интернет-ресурсов электронной коммерции
- •1.3.1 Web присутствие
- •1.3.2 Информационный web
- •1.3.3 Web для продвижения товаров и услуг
- •1.3.4 Web с обратной связью
- •1.3.4 Электронный магазин
- •1.3.5 Web сервисного и гарантийного обслуживания клиентов
- •1.3.6 Web внутрифирменного обучения сотрудников
- •1.3.7 Web виртуального сообщества фирмы
- •1.3.8 Web для совместного проектирования
- •Глава 2 Сервисы Интернета для обеспечения коммерции
- •2.1 Технология «клиент – сервер»
- •2.2 Провайдеры интернет-услуг
- •2.3 Безопасность трансакций
- •2.3.1 Шифрование
- •2.3.2 Технология цифровой подписи
- •2.3.3 Слепая электронная подпись
- •2.3.4 Сертификаты
- •2.4 Протоколы и стандарты безопасности виртуальных платежей
- •2.4.1 Протокол ssl
- •Глава 3 Электронные платежи
- •3.1. Организация расчетов через Internet.
- •3.1.1 Кредитные системы
- •3.1.2 Дебетовые системы
- •3.1.3 Цифровые наличные
- •3.2 Денежно-финансовое обеспечение
- •3.2.1 Интернет-банкинг
- •Internet-банкинг на примере Балтийского Банка
- •3.2.2 Платежные системы
- •3.2.3 Пластиковая карта
- •3.2.4 Электронные чеки
- •Арбитраж
- •Центр аттестации
- •3.2.5 Цифровые деньги
- •3.2.6 Цифровой кошелек
- •Контрольные вопросы
- •Глава 4 Платежные системы в Internet
- •4.1 Технологии расчетов через Internet
- •4.2 Российские платежные системы
- •4.2.1 Система платежей CyberPlat
- •4.3 Ваш личный счет в Internet. Как это работает
- •Глава 5 Электронная торговля
- •5.1 Виды электронных магазинов.
- •5.1.1 Полнофункциональный Интернет-магазин
- •5.1.2 Интернет-витрина
- •5.1.3 Торговый автомат
- •5.1.4 Автоматизированный электронный магазин
- •5.2 Особенности виртуальных продаж
- •5.3 Юридическое, консультационное и образовательное обеспечение e-commerce
- •Глоссарий по электронным платежам в Интернет
- •Глава Аналитические исследования и эффективность интернет-проектов туристского бизнеса Аналитические исследования в интернете
- •Эффективность Интернет-проектов e-commerce
- •Методы оценки эффективности информационных систем
- •Эффективность on-line продаж
- •Глава Интернет-обеспечение туристского бизнеса
- •Реклама с использованием электронной почты
- •Разрешенные способы e-mail маркетинга
- •3.3 Страховое, денежно-финансовое, юридическое, консультационное и образовательное обеспечение туристского бизнеса
- •3.3.1. Аутсорсинг и аренда серверных приложений
- •3.3.2. Страховое интернет-обеспечение
- •Список литературы
2.3.2 Технология цифровой подписи
Все современные технологии цифровой подписи предполагают, что каждый пользователь располагает одинаковым комплектом программ вычисления цифровой подписи под документами, проверки подлинности цифровых подписей (своих и чужих), случайного выбора персонального числа (кода, ключа) для подписывания и вычисления из него общедоступного числа (открытого ключа, образца цифровой подписи) для проверки подлинности его подписей. Роль администратора и хранителя образцов цифровых подписей поручается одному из пользователей (или внешней организации): он производит сбор, регистрацию и хранение архивов всех открытых ключей проверки подписей (иногда это называют сертификацией ключей).
Процедура подписывания и проверки документов состоит из следующих шагов:
Выбор персональных чисел (ключей). Пользователь с помощью своей копии программы генерации персональных ключей выбирает индивидуальное число, которое будет в дальнейшем использовать при подписывании электронных документов и вычисляет из него образец своей цифровой подписи, который направляет на регистрацию администратору.
Сертификация (заверение) образцов подписей пользователей. Подписанные (заверенные) администратором открытые ключи доступны всем пользователям (они рассылаются по почте, помещаются на Web-страницу Internet, публикуются в справочниках и т.д.).
Подписывание. Пользователь с помощью своей копии программы подписывания и своего персонального числа вычисляет цифровые подписи под электронными документами (файлами, строками, записями баз данных и т.п.).
Проверка подписи. Пользователь с помощью своей копии программы проверки и образца цифровой подписи автора документа проверяет подлинность его подписи и, тем самым, подлинность самого документа.
Практически всю ответственность за подписанные им электронные документы пользователь принимает на себя. Именно он принимает решение, в какой момент сменить персональный ключ для подписывания и образец своей цифровой подписи, сам передает образец подписи (открытый ключ) администратору для сертификации и регистрации, сам хранит свой персональный ключ.
Если же он доверил свое персональное число для подписывания кому бы то ни было (в том числе и представителям любой инспектирующей государственной организации, сертификационного центра и т.п.), то лишается главной гарантии - невозможности подделки его цифровой подписи посторонним лицом. Только недоступность персонального числа пользователя для всех остальных позволяет обеспечить юридически корректную процедуру разрешения возможных споров по электронным документам. Лишь в этом случае суд (или арбитраж) может достоверно установить, что цифровые подписи вычислены обладателем именно того персонального числа, которое соответствует данному образцу цифровой подписи, даже если пользователь сменил персональное число, использованное для вычисления подписи.
Администратор, регистрирующий и хранящий образцы цифровых подписей, тоже не должен знать никаких секретов пользователя. Он выступает только в роли гаранта соответствия имени зарегистрированного пользователя и образца его цифровой подписи (цифрового сертификата) и в течение обусловленного срока хранит архивов образцов цифровых подписей всех пользователей. Администратор не может безнаказанно зарегистрировать ложный образец цифровой подписи под именем пользователя, поскольку и по запросу самого пользователя, и в суде он обязан будет документально доказать, что данный образец он получил именно от того пользователя, под чьим именем этот образец подписи зарегистрирован. Все программы подписывания, проверки и выбора ключей являются точными копиями некоторой эталонной программы, поэтому она может быть общедоступной, чтобы каждый пользователь мог в любой момент легко удостовериться в подлинности и сохранности своих копий. Для этого нужно хранить эталонные образцы программ, подписанные производителем, администратором или обоими вместе. Пользователи также могут обменяться между собой копиями своих программ, чтобы убедиться в их подлинности.
Единственная проблема в этом случае - защита разработчика от незаконного тиражирования программ. Но на российском рынке эта проблема решается лишь через использование серийных номеров, индивидуальных паролей, привязки к дискетам и т.д.
Таким образом, действия сторон при подписывании, проверке и разрешении возможных споров достаточно просты, законченны и не требуют участия никаких посредников.
Идеальная Internet-совместимость такой технологии очевидна. Она максимально открыта и доступна для независимой проверки любым пользователем или экспертом. Широкая известность математических задач, лежащих в основе цифровой подписи, позволяет гарантировать ее надежность чисто научными математическими методами. И нет необходимости полагаться на конфиденциальное и нередко весьма субъективное мнение узкой группы экспертов-профессионалов.
Самостоятельный выбор случайных чисел (при абсолютном недоверии к разработчикам и администратору можно выбор персонального числа производить, например, путем бросания монетки, а не с помощью программы генерации ключей) дает гарантию от любого постороннего влияния при подписывании документов. И нет необходимости ждать ключей, полученных из какого-либо центра, подозревая при этом, что их резервные копии оставлены "где надо". А возможность в любой момент сравнить свои копии программ с эталонами, расположенными на нескольких узлах Internet, практически исключает целенаправленные или случайные искажения, подмену и т.п.
Фактически пользователи независимы от действий администратора: если администратор будет не слишком аккуратно обращаться с открытыми ключами, можно мгновенно его сменить так же, как и любого провайдера Internet.
К тому же фирмы, занимающие ведущие позиции на рынке услуг по сертификации образцов цифровых подписей для Internet, весьма дорожат своим положением доверенных лиц, претендуя в ближайшем будущем на расширение своего бизнеса, и поэтому всячески остерегаются необдуманных действий. Со стороны правительства также нет каких-либо ограничений на услуги по сертификации открытых ключей для проверки цифровых подписей.
Сегодня общепризнанны широко применяемые в мире следующие технологии цифровой подписи:
метод RSA, основанный на вычислениях с большими целыми числами (запатентован в США в 1983 г., права принадлежат частной американской корпорации RSA Data Security);
стандарты DSA (введен Национальным Институтом Стандартов и Технологий США с 1 декабря 1994 г.), ГОСТ Р 34.10-94 (введен Госстандартом РФ с 1 января 1995 г.) и алгоритм "Нотариус-АМ" (создан фирмой "ЛАН Крипто" в 1993 г.), основанные на более сложной задаче, опирающейся на вычисления с большими простыми числами, алгоритм немецкого математика К. Шнорра, опирающийся на ту же задачу, который с официального разрешения автора применен в совместной разработке алгоритма "Нотариус-S"(создан фирмой "ЛАН Крипто" в 1996 г.).
Кроме того, в практике в последние два-три года нередко встречаются алгоритмы цифровой подписи, основанные на вычислениях с алгебраическими кривыми. Эти алгоритмы позволяют значительно сократить длину цифровой подписи при сохранении надежности защиты от подделки, но научная основа оценок их надежности настолько сложна математически, что говорить о широко известной сложной задаче, лежащей в основе надежности цифровой подписи уже не приходится. В этом случае пользователю приходится полностью доверять мнению очень узкой группы экспертов. И даже поверхностное представление о современных оценках надежности этих алгоритмов получить непросто.
Из всех методов, получивших к настоящему времени наибольшее распространение, самым старым и популярным является метод RSA, изобретенный в 1977 г. и запатентованный шесть лет спустя. К настоящему моменту он доминирует в бизнес-приложениях, и это оказывает заметное влияние на участников рынка информационных технологий, так как для подписывания и адекватной проверки подписи необходима совместимость применяемых программ. Метод RSA применяется в своих продуктах практически всеми крупнейшими американскими разработчиками программных средств, и только позиция правительства США, которое до последнего времени не разрешало свободно экспортировать средства шифрования со стойкостью более 1012, ограничивала его распространение по миру. Дело в том, что алгоритм RSA позволяет также легко и надежно зашифровывать документы, а именно это и не устраивает специальные правительственные службы, которым хотелось бы иметь, пусть потенциально, доступ к любой информации.
Поэтому в 1994 г. с небольшим разрывом по времени американским Национальным институтом стандартов и российским Госстандартом были приняты, разработанные в государственных организациях, стандарты на алгоритм цифрового подписывания и проверки электронных документов, существенно отличающиеся от алгоритма RSA. С их помощью можно только подписывать и проверять подписи под документами, но никак не скрывать их содержание. А с точки зрения алгоритмической они более совершенны по сравнению с методом RSA, поскольку при их разработке использовался 15-летний опыт исследований в области технологий цифровой подписи, последовавший за изобретением последнего.
Таким образом, сегодня любой пользователь благодаря возможностям новых технологий может заказывать удобные для себя алгоритмы и технические решения, полностью отвечающие всем требованиям действующего законодательства РФ.
Шифрование передаваемых через Интернет данных позволяет защитить их от посторонних лиц. Однако для полной безопасности должна быть уверенность в том, что второй участник трансакции является тем лицом, за которое он себя выдает. В бизнесе наиболее важным идентификатором личности заказчика является его подпись. В электронной коммерции применяется электронный эквивалент традиционной подписи – цифровая подпись. С ее помощью можно доказать не только что трансакция была инициирована определенным источником, но и что информация не была испорчена во время передачи. Как и в шифровании, технология электронной подписи использует либо секретный (в этом случае оба участника сделки применяют один и тот же ключ), либо открытый ключ (при этом требуется пара ключей – открытый и личный). И в данном случае более простые в использовании методы с открытым ключом (такие, как RSA) более популярны.
При аутентификации личности отправителя открытый и личный ключи играют роли, противоположные тем, что они выполняли при шифровании. Так, в технологии шифрования открытый ключ используется для зашифровки, а личный – для расшифровки. При аутентификации с помощью подписи все наоборот. Кроме того, подпись гарантирует только целостность и подлинность сообщения, но не защиту его от посторонних глаз. Для этого предназначены алгоритмы шифрования. Например, стандартная технология проверки подлинности электронных документов DSS (Digital Signature Standard) применяется в США компаниями, работающими с государственными учреждениями. Однако у технологии RSA более широкие возможности в силу того, что она служит как для генерации подписи, так и для шифрования самого сообщения. Цифровая подпись позволяет проверить подлинность личности отправителя: она основана на использовании личного ключа автора сообщения и обеспечивает самый высокий уровень сохранности информации.