Заштита података у електронској трговини

Из Википедије, слободне енциклопедије
Један од начина заштите података који се користи у електронској трговини, познат као криптографија

Заштита података у електронској трговини је процес обезбеђивања и заштите информација односно података од губитка или оштећења, а који се користи у електронској трговини (енгл. Electronic commerce).

Електронска трговина представља било коју трансакцију преко рачунарске мреже, која укључује пренос власништва или права за коришћење роба или услуга[1], док податак представља информацију, поруку и документ сачињен, послат, примљен, забележен, складиштен или приказан електронским путем, укључујући пренос интернетом и електронску пошту.[2] Приликом обављања електронске трговине, често се дешава да се податакподаци изгубе, као и то да доспеју у руке неовлашћених особа и самим тим постану предмет неовлашћеног коришћења и многих других злоупотреба. Због тога је у циљу безбедности података у савременом пословању потребно пронаћи механизам који ће обезбедити:

  • Заштиту тајности информација (спречавање откривања њиховог садржаја)
  • Интегритет информација (спречавање неовлашћене измене информација)
  • Аутентичност информација (дефинисање и провера идентитета пошиљаоца)

Електронска трговина[уреди]

За више информација погледајте: Електронска трговина

Електронска трговина, (енгл. Electronic commerce), односи се на куповину и продају производа или услуга путем електронских система као што су Интернет и других рачунарских мрежа. Електронска трговина се заснива на таквим технологијама као електронски трансфер средстава и управљање ланцем снабдевања, Интернет маркетинг, онлајн трансакција, електронска размена података (ЕДИ), система за управљање инвентара, као и аутоматизованих система за прикупљање података. Модерна електронска трговина обично користи ВВВ и може да обухвати шири спектар технологија као што су е-поште, мобилних уређаја и телефона.

Електронска трговина се углавном сматра аспектоm продаје е-пословања и може се поделити на[3]:

Безбедносне функције[уреди]

У циљу остваривања заштите тајности, интегритета и аутентичности информација, безбедносне функције се деле на следеће главне категорије[4]:

Аутентификација[уреди]

Аутентификација је процес у оквиру кога корисник или извор информација доказују да су то за шта се представљају - другим речима, процес утврђивања идентитета корисника који покушава да приступи систему. Два рачунара која користе СМТП размењују аутентификационе кодове. Под аутентификацијом се подразумева коришћење било које технике која пријемнику омогућава аутоматско идентификовање и одбацивање порука које су намерно измењене или су измењене због грешака у каналу. Осим тога, може да се користи за обезбеђивање позитивне аутентификације пошиљаоца поруке, мада је могуће користити алгоритме са тајним (симетричним) кључем, ради неке врсте аутентификације, пре него што се било какве тајне поделе између страна које размењују поруке[5].

Основни web.config фајл треба да садржи информацију-директиву о типу аутентификације. Иницијално, овде стоји виндоус. Пример тага за аутентификацију:

<authentication mode="Forms" >
       <forms loginUrl="~/Login.aspx"></forms>
</authentication>

Ауторизација[уреди]

Токен и смарт картица

Општа дефиниција ауторизације јесте да је то процес који се односи на проверу да појединац или организација која је затражила или иницирала радњу има право да то учини[6].Друга дефиниција, у ужем смислу се односи на рачунарски приступ: Ауторизација је процес одобравања или негирања приступа корисника безбедном систему[7]. Постоји неколико начина ауторизације. За приватне кориснике су то најчешће токени или ТАН-ови, док правна лица у правилу користе смарт-картице.

  • Токен је уређај налик џепном калкулатору. Један се такав уређај уступа клијенту на привремено коришћење приликом регистрације за услугу Интернет банкарства[8].
  • Смарт-картица је картица у којој се налази или микропроцесор и меморијски чип или само меморијски чип с непрограмабилном логиком[9]. На картици која садржи микропроцесор постоји могућност уписивања података, брисања или неке друге врсте манипулације подацима. Картица која има само меморијски чип може изводити само предефинисане функције. Смарт-картице, за разлику од картица са магнетном траком, садрже све потребне функције и информације потребне за ауторизацију, због чега у тренутку трансакције није потребан приступ удаљеним базама података.

Криптографија[уреди]

За више информација погледајте: Криптографија

Криптографија је наука која се бави методима очувања тајности информација[10]. Када се личне, финансијске, војне или информације државне безбедности преносе са места на место, оне постају рањиве на прислушкивачке тактике. Овакви проблеми се могу избећи криптовањем (шифровањем) информација које их чини недоступним нежељеној страни.

Патентирани IDEA алгоритам, који се користи за веома брзе енкрипције, на пример за електронску пошту

.

Шифра и дигитални потпис су криптографске технике које се користе да би се имплементирали безбедносни сервиси. Основни елемент који се користи назива се шифарски систем или алгоритам шифровања. Сваки шифарски систем обухвата пар трансформација података, које се називају шифровање и дешифровање. Шифровање је процедура која трансформише оригиналну информацију (отворени текст) у шифроване податке (шифрат). Обрнут процес, дешифровање, реконструише отворени текст на основу шифрае.

Приликом шифровања, поред отвореног текста, користи се једна независна вредност која се назива кључ шифровања. Слично, трансформација за дешифровање користи кључ дешифровања. Број симбола који представљају кључ (дужина кључа) зависи од шифарског система и представља један од параметара сигурности тог система[11]. Криптоанализа је наука која се бави разбијањем шифри, односно откривањем садржаја отвореног текста на основу шифре, а без познавања кључа. У ширем смислу, криптоанализа обухвата и проучавање слабости криптографских елемената, као што су, на пример, хеш функције или протоколи аутентификације. Различите технике криптоанализе називају се напади.

Основни елементи криптографије[12]:

  • шифровање - поступак трансформације читљивог текста у облик нечитљив за онога коме тај текст није намењен.
  • дешифровање - поступак враћања шифрованог текста у читљив облик
  • кључ - почетна вредност алгоритма којим се врши шифровање.

Криптографија може бити[12]:

  • Симетрична криптографија: исти кључ се користи и за шифровање и за дешифровање
  • Асиметрична криптографија: За разлику од симетричне криптографије, Асиметрична криптографија користи два кључа — јавни и приватни. Принцип је следећи: у исто време се праве приватни и одговарајући јавни кључ. Јавни кључ се даје особама које шаљу шифроване податке. Помоћу њега те особе шифрују поруку коју желе да пошаљу. Када прималац добије шифрат, дешифрује га помоћу свог приватног кључа. На тај начин сваки прималац има свој приватни кључ а јавни се може дати било коме, пошто се он користи само за шифровање, а не и дешифровање.
  • Функција за сажимање – хеш функција: Горе наведени алгоритми шифровања не штите интегритет односно веродостојност поруке која је шифрована. Ово је врло важно из разлога јер је могуће да је кључ проваљен и да нам нападач шаље лажне поруке, али и могућности да је дошло до грешке приликом шифровања, тако да примљена порука није идентична оригиналном документу. Из тог разлога креиране су функције за сажимање или хеш (могу се сусрести и под именима енгл. one-way, hash function, message digest, fingerprint) алгоритми. Најпознатији и најкоришћенији хеш алгоритми су SHA-1, MD5, RIPEMD-160 итд. Хеш алгоритми се сврставају у криптографске алгоритме без кључа.

Дигитални потпис[уреди]

Дијаграм који показује како је дигитални потпис примењен а потом и верификован

Дигитални потпис (енгл. Digital signature) представља дигиталну верзију ручног потписа. Користи се за доказ ауторства и омогућава да документ који се преноси преко Интернета има исту валидност као ручно потписан документ. Дигитални потпис није исто што и електронски потпис, већ представља доста ужи појам тј. често улази у састав електронског потписа. У Закону о електронском потпису Републике Србије електронски потпис се дефинише као:

За доказ аутентичности неког документа потписаног дигиталним потписом користе се два криптографска кључа који се називају: јавни кључ(енгл. public кеy) и тајни кључ(енгл. private кеy). За криптографију јавним кључем најчешће се користи RSA алгоритам(назван по својим проналазачима Рону Ривесту, Адију Шамиру и Леонарду Ејдлману).[14]

Особине дигиталног потписа[уреди]

Дигитални потпис има следеће особине:

  • Аутентичност - којом се потврђује идентитет потписника.
  • Интегритет - којим се потврђује да садржај документа није мењан након што је оверен дигиталним потписом.
  • Непорецивост - пошиљалац не може да порекне да је послао одређену поруку коју је потписао својим тајним кључем
  • Некривотворљивост - за потпис се користи тајни кључ који је познат само особи која потписује документ. Једини начин незаконитог искоришћавања потписа је вишеструко коришћење истог потписаног документа (енгл. Resend-attack). Ова злоупотреба потписа се може спречити навођењем времена и датума приликом потписивања(енгл. timestamping).

Начини шифровања[уреди]

Најчешће коришћени начини шифровања су: метода симетричног шифровања, метода асиметричног шифровања и метода потписивања једносмерном функцијом. Метода симетричног функцијом је најстарија и она користи исти тајни кључ за шифровање и дешифровање.[15] Главна мана методе симетричног шифровања је низак ниво безбедности тајног кључа, јер постоји опасност од његове крађе несигурним комуникационим каналима. Методе једносмерног шифровања за шифровање података користе једносмерне функције које називамо и хеш функције. Код метода асиметричног шифровања користе се јавни и тајни кључ. Јавни кључ је доступан свима и служи да се помоћу њега шифрују подаци који ће бити послати другој особи. Та особа ће моћи да приступи подацима помоћу свог тајног кључа. Тајни кључ поседује само прималац поруке и он га не треба дистрибуирати осталим корисницима. Тајни кључ омоугћава примаоцу поруке да дешифрује податке који су шифровани његовим јавним кључем.[16]

Алгоритми јавног кључа[уреди]

Алгоритми асиметричне криптографије познати су и под називом криптографија јавног кључа (енгл. public key cryptography). Алгоритме јавног кључа (енгл. public key algorithmics) можемо поделити у три основне групе[17]:

  1. алгоритми засновани на практичној немогућности факторизације великих простих бројева (RSA)
  2. алгоритми засновани на практичној немогућности израчунавања дискретних логаритама
  3. алгоритми засновани на елипсастим кривама
Метод шифровања тајним кључем[уреди]

Шифровање тајним кључем (Симетрично шифровање) јесте шифарски систем код кога је кључ за шифровање идентичан кључу за дешифровање. Што значи да и пошиљалац и прималац поруке користе исти тајни кључ[12].

Метод шифровања јавним кључем[уреди]

У њему сваки учесник у комуникацији користи два кључа. Један кључ је јавни и може се слободно дистрибуирати, док је други тајни и доступан је само његовом власнику.

Иако су различити, кључеви су међусобно повезани одређеним трансформацијама. Познавање једног кључа и алгоритма трансформације не омогућава добијање другог кључа.

Обезбеђење аутентичности информација тј. дефинисање и провера идентитета пошиљаоца постиже се употребом дигиталних потписа и дигиталних сертификата.

Сврха дигиталног потписа је да потврди аутентичност садржаја поруке (доказ да порука није промењена на путу од пошиљаоца до примаоца), као и да обезбеди гарантовање идентитета пошиљаоца поруке. Основу дигиталног потписа чини садржај саме поруке.

Пошиљалац применом одређених криптографских алгоритама прво од своје поруке која је произвољне дужине ствара запис фиксне дужине (пр. 512 или 1024 бита) који у потпуности осликава садржај поруке.[12].

Дигитални сертификат[уреди]

Електронски сертификат (енгл. Digital certificate) је електронски документ који издаје сертификационо тело (енгл. Certification Authority - CA). Електронски сертификат може да се схвати као дигитална лична карта, јер садржи податке о кориснику сертификата и податке о издаваоцу дигиталног сертификата[18]. То је уверење којим се потврђује веза између података за верификацију електронског потписа и идентитета потписника, који је издат од стране акредитованог сертификационог тела. У оквиру дигиталног сертификата који се изда кориснику налази се поред осталог и корисников јавни криптографски кључ (енгл. Public key), који је пар његовом тајном криптографском кључу (Private Key). Сертификациони ауторитет гарантује тачност података у сертификату тј. гарантује да јавни кључ који се налази у сертификату припада кориснику чији су подаци наведени у том истом сертификату. Због тога, остали корисници на Интернету уколико имају поверење у сертификационо тело, могу да буду сигурни да одређени јавни кључ заиста припада кориснику који је власник припадајућег тајног кључа.

Електронски сертификат је електронски документ који је јавно доступан на Интернету[19]. Због тога што се у оквиру сертификата налазе јавни кључеви корисника сертификата, дистрибуцијом сертификата се дистрибуирају и јавни кључеви. Из тог разлога, омогућена је поуздана размена јавних кључева посредством Интернета између корисника који се никада нису срели, уз могућност верификовања идентитета корисника. Електронски сертификат је немогуће фалсификовати јер је потписан тајним криптографским кључем (енгл. Private key) сертификационог тела. За верификовање ваљаности дигиталног сертификата користи се јавни кључ тј. сертификат сертификационог тела.

Илустрација, где би заштитни зид требало да се налази у мрежи

Приступ и интегритет података[уреди]

За више информација погледајте: Антивирус и Заштитни зид

Постоји неколико осталих различитих начина да се спречи приступ подацима који се чувају на мрежи. Један од начина је да се користити антивирус софтвер како би заштитили своју мрежу без обзира на податке које имају. У е-трговини се препоручује обавезно коришћење антивируса јер онда можете бити сигурни да су информације које се шаљу и примају у њиховом систему чисте и без шпијунских програма односно тројанаца, који могу угрозити интегритет података.[20].

Други начин заштите података јесте коришћење заштитног зида.Заштитни зид (енгл. Firewall, у преводу ватрени зид, ватробран) се користи за ограничавање приступа приватним мрежама, као и јавним мрежама које могу да користе компаније. Заштитни зид такође има способност да пријави покушај уласка у мрежу и обезбеди упозорења о томе. Компаније које користе Вај-фај треба да размотре различите облике заштите, јер ове мреже предтављају најлакше мете упада неовлашћених лица.

Још једна опција је постојање система за детекцију упада. Овај систем обавештава када постоји могући упад у мрежу.

Види још[уреди]

Референце[уреди]

  1. Елецтронско пословање и управљање системима
  2. Закон о електронској трговини
  3. E-commerce (electronic commerce or EC)
  4. e-Commerce security: Attacks and preventive strategies
  5. Authentication - autentifikacija
  6. 1. General: Process used in verifying that the individual or organization who has requested or initiated an action has the right to do so. 2. Computer access: Process of granting or denying a user the access to a secure system. Most computer security systems are based on a two step process: (1) Authentication to ensure that the entity requesting access to the system is what or who it claims to be, and (2) Authorization to allow access only to those resources which are appropriate to that entity's identity. Read more
  7. ASP.NET Authorization
  8. Security token (authentication token)
  9. SmartCard Detective, Приступљено 5. 4. 2013.
  10. Cryptology
  11. An Overview of Cryptography
  12. 12,0 12,1 12,2 12,3 Kriptografija
  13. Закон о електронском потпису Републике Србије
  14. James F. Kurose, Keith W. Ross, Umrežavanje računara, Cet, Beograd, (2009). стр. 701–705.
  15. Siladi D., Pogled u digitalizaciju tinte, Mreža, broj 5. стр. 62—64., godina XI
  16. Vrbanec T., Hutinski Ž., Data protection, identifications and autentification in applications and protocols, 21st Scientific Conference on Development of Organizational Sciences, Portorož. стр. 1011–1025., godina 2002.
  17. A. Menezes, Elliptic Curve Public Key Cryptosystems, Kluwer Academic Publishers, Boston, 1993.
  18. Сертификационо тело МУП-а Републике Србије
  19. Digitalni sertifikati
  20. Industry Canada | Industrie Canada. Industry Canada, 24 Aug. 2010. Web. 30 Nov. 2010.

Литература[уреди]

  • Vrbanec T., Hutinski Ž., Data protection, identifications and autentification in applications and protocols, 21st Scientific Conference on Development of Organizational Sciences, Portorož. стр. 1011–1025., godina 2002.
  • James F. Kurose, Keith W. Ross, Umrežavanje računara, Cet, Beograd, (2009). стр. 701–705.

Спољашње везе[уреди]