Tehnologii de Securitate pe Internet. Semnatura Digitala
CUPRINS
INTRODUCERE
CAPITOLUL 1
TEHNOLOGII PRIVIND SECURITATEA INTERNET-ULUI
1.1. Vulnerabilitățile mediului Internet
1.2. Analiza riscurilor legate de Securitate
1.3 Tipologia riscurilor care afectează securitatea comerțului electronic
1.4 Consecințele securității inadecvate
1.5 Asigurarea securității tranzacțiilor online
CAPITOLUL 2
SEMNĂTURA DIGITALĂ
2.1 Concept și definiție
2.2Funcționarea sistemului de semnare si verificare a semnaturii electronice
2.3. Certificatele digitale si infrastructuri cu chei publice
CONCLUZII
BIBLIOGRAFIE
INTRODUCERE
Lucrarea analizeaza câteva din aplicatiile criptografiei computationale cu chei publice în dimeniul comertului electronic si al distributiei sigure a documentelor si software-ului. Deoarece autenticitatea documentelor si a programelor schimbate sau distribuite prin retele reprezinta o cerinta de securitate fundamentala, mi-am propus sa evidentiez utilizarea noilor paradigme privind semnãturile digitale individuale si de grup în autentificarea tranzactiilor desfasurate în Internet.
Am structurat lucrarea in doua capitole si anume:
Capitolul 1 Tehnologii privind securitatea Internet-ului
Capitolul 2 Semnătura digitală
In primul capitol am prezentat Vulnerabilitățile mediului Internet, Analiza riscurilor legate de Securitate, Tipologia riscurilor care afectează securitatea comerțului electronic, Consecințele securității inadecvate, Asigurarea securității tranzacțiilor online, Metode de autentificare computerizate, Tehnici de prevenire a fraudei pe Internet, iar in capitolul 2 am vorbit despre Semnatura digitala, modul cum se utilizeaza si am expus si aplicatii software pentru semnatura digitala.
O semnătură digitală reprezintă o informație care îl identifică pe expeditorul unui document. Semnatura digitală este creată prin criptarea conținutului documentului, folosind cheia criptografică a expeditorului. Aceasta face ca semnătura să fie unică atât pentru fișier cât și pentru deținătorul cheii, oferindu-se astfel atât integritate cât și autentificare. Orice modificări aduse documentului afectează semnătura. Semnăturile digitale utilizează criptarea asimetrică, în care se folosește o cheie pentru a crea semnătura și o altă cheie, legată de prima, pentru a o verifica.O semnătură digitală reprezintă o informație care îl identifică pe expeditorul unui document. Semnatura digitală este creată prin criptarea conținutului documentului, folosind cheia criptografică a expeditorului. Aceasta face ca semnătura să fie unică atât pentru fișier cât și pentru deținătorul cheii, oferindu-se astfel atât integritate cât și autentificare. Orice modificări aduse documentului afectează semnătura. Semnăturile digitale utilizează criptarea asimetrică, în care se folosește o cheie pentru a crea semnătura și o altă cheie, legată de prima, pentru a o verifica.
Semnatura digitala NU ofera functia de confidentialitate a mesajului, acesta fiind transmis in clar. Semnarea digitala a unui mesaj nu presupune criptarea acestuia. Astfel oricine poate intercepta si citi mesajul, dar nu-l poate modifica si nici nu poate prelua identitatea sursei.Fizic semnatura digitala este reprezentata print-un fisier separat sau reprezinta o informatie (un text) care se adauga la sfarsitul fisierului daca fisierul semnat este de tip ASCII.
Fiecare tip de criptare are dezavantaje si avantaje: astfel criptarea simetrica este rapida, dar nu pot fi schimbate cheile neexistand un canal sigur de comunicatie, iar criptarea asimetrica rezolva problema schimbului de chei dar este foarte inceata. In realitate niciun tip de criptare nu este suficient de bun pentru fi folosit singur. De aceea se foloseste atat criptarea asimetrica cat si criptarea simetrica.
Comunicatia securizata dintre client si server se poate imparti in 2 faze:
a) criptarea asimetrica initiala folosita doar pentru a face schimb de cheie privata peste un canal nesigur (o cheia secreta este criptata asimetric si transmisa intre cele 2 parti care comunica);
b) criptarea simetrica a informatiilor care se schimba;
CAPITOLUL 1
TEHNOLOGII PRIVIND SECURITATEA INTERNET-ULUI
1.1 Vulnerabilitățile mediului Internet
Un principal factor care împiedică dezvoltarea comerțului electronic este nesiguranta. Inițial, serviciile de Internet au fost proiectate pentru cercetare și nu pentru tranzactii comerciale. Putem identifica mai multe probleme specifice de securitate, care pot fi considerate obstacole pentru dezvoltarea comertului pe Internet.
Probleme de concepție:
Internet funcționează într-un mediu de încredere în care tuturor utilizatorilor le este permis sa acceseze fișiere aflate la distanță și resurse vitale pe calculatoarele din întreaga lume. La inceputul epocii Internetului, securitatea era lăsată mai mult pe respectul reciproc al utilizatorilor, pe "gentlemen agreement"-ul stabilit între aceștia decât pe măsuri tehnice și administrative. O protecție minima, considerata suficienta de mult timp, dar ulterior dovediduse ca este doar o slăbiciune de conceptie, este reprezentata de sistemele de parole pe care le-au creat ca o barieră specifică impotriva părtunderii pe un sistem la distanță. Pe măsură ce internetul, cu toate acestea, a fost extins, comunitatea de utilizatori a crescut foarte mult, iar printre ei există mulți oameni care nu respectă regulile de comportament stabilite inițial de către cercetători.
Câteva exemple faimoase care au atras atenția opiniei publice și au ridicat semne de întrebare pentru securitate online:
– Viermele Internet, care a afectat câteva mii de computere în 1988;
– Incidentul "Berferd" de la AT&T, din 1991;
– Furtul de parole ale furnizorilor de servicii Internet din anii 1993-1994;
– Interceptarea pachetelor IP la Centrul de supercomputere de la San Diego, din 1994;
– Furturile de fonduri de la Citibank, din 1995.
Toate atacurile speculează configuratrea proasta de sisteme, erori în scrierea programelor, administrarea de noduri sau neglijența utilizatorilor autorizați. În plus, unele atacuri dificile profita de lipsa completă de servicii de securitate în ierarhia de protocoale TCP / IP utilizate de toate calculatoarele conectate la internet.
De exemplu, multe protocoale la nivelul de jos al TCP/IP, inclusiv Ethernet, sunt de tip difuzoare (broadcast). Ca urmare este posibil pentru orice mașină conectată la un LAN (Local Area Network – rețea locală) să "asculte" traficul destinat altor mașini. În același context, este posibil pentru orice computer conectat la Internet, cum ar fi de exemplu un furnizor de servicii, să "asculte" legătura de comunicații ce se stabilește între două alte computere. Aceste ascultări, însoțite de memorarea traficului, sunt destinate atât încercărilor de aflare a unor parole, cât și de înregistrare a unor date confidențiale. De asemenea, nici un protocol din suita TCP/IP nu conține mijloace de autentificare reciprocă a părților comunicante. Ca rezultat, este imposibil sa se determine cu precizie daca adresa de un pachet de date este cel original sau nu. Aceasta creează posibilitatea ca un sistem să se substituie una de alta și pentru a obține informații private. Aceste protocoale nu conțin mijloace de autentificare a conținutului pachetelor.Se folosesc doar simple sume de control pentru detectarea erorilor transmise. Ca rezultat, se pot opera modificări în conținutul pachetelor, de exemplu, pentru unele tranzactii comerciale.
Multe implementări TCP utilizează algoritmi ușor predictibili de generare a
numerelor de secvență a pachetelor. Acest lucru, corelat cu incapacitatea de autentificare, creează premisele unor fraude privind interceptarea, modificarea sau furtul unor pachete.
Se pot stabili conexiuni frauduloase la sisteme, pentru accesarea unor fișiere importante sau, mai subtil, pentru instalarea unor "trape" pregătitoare ale unor accese ulterioare nestingherite pe acel sistem.
În cadrul comerțului electronic, atacurile la securitate se identifica cu precădere prin următoarele căi:
Ascultarea comunicațiilor. Acest tip de atac poate duce la furtul de informații importante, cum ar fi numărul cărții de credit, numărul de cont bancar, note de plată sau Balate. Astfel de atacuri duce la furtul de servicii,accesibile in mod normal celor care platesc cum ar fi informații sau distributie de software.
Aceste lucruri pot, de exemplu, sa informeze alte firme despre discutiile de afaceri astfel incat companiile concurente pot genera o demascare de date personale ale cumparatorului, sau sa obtina datele transmise numai pentru firme cu care au afaceri. Furtul parolelor. Atacurile de acest tip pot fi folosite pentru a permite accesul la sisteme unde se află informații sau servicii importante. Folosirea unor algoritmi criptografici tot mai puternici pentru protejarea acestor date a mutat ținta atacurilor de la încercările de a "sparge" protocolul la încercările de obținere a unor informații "în clar" de la nodurile mai puțin protejate.
Modificarea datelor. Aceste atacuri folosesc atunci când schimbă conținutul anumitor tranzacții, cum ar fi suma transferată de la un cont bancar, persoana plătita pe un cec electronic, valoarea comenzilor, etc
Înregistrarea. Acest tip de atac poate fi folosit pentru a permite unei părți comunicate să se dea drept alta. Atacatorul plasează în Internet un computer destinat colectării a sute de mii de numere de cărți de credit, numere de cont sau alte informații despre diferiți clienți utilizatori ai comerțului electronic. Cu ajutorul acestei informatii, atacatorii pot executa platile pe numele de oameni care nici nu bănuiesc sau le pot colecta taxele din diverse comerciantii in numele Statului.
Repudierea. Repudierea sau refuzul de recunoaștere a tranzacțiilor efectuate prin intermediul rețelei creează grave daune părților implicate. Luați în considerare, de exemplu, situația unui cec de Banca, care a fost refuzat nu pentru ca nu are acoperire în cont, ci pentru simplul fapt că banca nu are nici un mijloc de autentificare.
1.2 Analiza riscurilor legate de Securitate
Multe dintre nspargerile de site-uri apar ca urmare a neglijenței sau ignoranta personalului administrării sistemului. Hackerul poate obține acces neautorizat datorită unor erori în site-ul algoritm (programul) sau pentru că este configurat incorect. Cu alte cuvinte, într-o măsură semnificativă, la infracțiunile legate de securitate care apar pe Internet, este eroare umană.
O a doua problemă este reprezentata de programele de 'mirosit' care sunt folosite de hackeri pentru a vizualiza informații care circula între calculatoare conectate la internet. Un astfel de program de 'mirosit' permite utilizatorului de a fura numere de card de credit, în timp ce sunt trimise prin Internet, de la utilizator la comerciant.
Securizarea comertului electronic realizat prin mediere de Internet necesită implicarea personală din partea managerilor de magazine virtuale . În urma specializării și divizării muncilor legate de administrarea unui magazine online, se pune problema responsabilității: cine este responsabil cu securitatea tranzacțiilor efectuate, operatorul (Manager) sau organizația care a proiectat și găzduiește magazin online.
Cheia pentru a asigura protecția site-ul este managerul său implicarea personală în soluționarea de securitate, ceea ce presupune atât o înțelegere perfectă a riscurilor implicate, cât și măsurile luate pentru a asigura securitatea tranzacțiilor. Principal, implementarea securității în mediul Internet este asemănătoare cu asigurarea securității într-un magazin real. Putem să ne imaginăm un magazine real, amplasat într-un cartier nesigur. Dacă îl construim fără nici o măsură de securitate, fără personal de supraveghere, securitatea magazinului se va spulbera odată cu deschiderea ușii (situație similară mediului Internet). Oricine poate să intre, să meargă direct la casă și să o golească!
Spargerea site-urilor Internet
La o prima privire cele mai mari riscurilor implicate, cât și măsurile luate pentru a asigura securitatea tranzacțiilor. Principal, implementarea securității în mediul Internet este asemănătoare cu asigurarea securității într-un magazin real. Putem să ne imaginăm un magazine real, amplasat într-un cartier nesigur. Dacă îl construim fără nici o măsură de securitate, fără personal de supraveghere, securitatea magazinului se va spulbera odată cu deschiderea ușii (situație similară mediului Internet). Oricine poate să intre, să meargă direct la casă și să o golească!
Spargerea site-urilor Internet
La o prima privire cele mai mari riscuri de securitate informații pe Internet apar în timpul oricarei vânzari online imediat ce numărul cardului dumneavoastră de credit este trimis la cumpărător vânzătorului prin Internet. In primii ani ai Internetului oamenii au fost obsedati de gandul ca numerele de carduri de credit poate fi interceptat de hackeri în timpul tranzacției. Ca rezultat, online comercianții si-au concentrat eforturile pe securitate pentru protejarea numerelor cardurilor de credit astfel încât acestea pot fi transmise în siguranță pe Internet fara a fi interceptate. Soluția găsită presupune schimbarea formatului inteligibil al informației prin diverse metode denumite generic criptare în realitate însă, majoritatea infracțiunilor online se comit după încheierea tranzacțiilor de vânzare în urma cărora numerele cărților de credit ale cumpărătorilor rămân stocate neprotejat pe computerul comerciantului. Aceasta s-a întâmplat în cazul de Western Union: numere de carduri de credit au fost furate din calculatoarele companiei și în timp ce ele nu au fost transmise la site-ul web Western Union.
1.3 Tipologia riscurilor care afectează securitatea comerțului electronic
Ca urmare a unei analize pot identifica riscurile nenumărate in domeniul ecurității comerțului electronic în dezvoltarea și proliferarea acestui sector. Următoarele sunt cele mai importante dintre acestea.
Interceptări .Un atac folosind metoda de interceptare înseamnă că cineva supraveghează site-ul magazinului și 'trage cu urechea', asteptand datele de identificare a consumatorului trimise la site-ul comercianuluit. Cea mai eficienta metoda de protejare a magazinelor online împotriva atacurilor implică criptarea informațiilor transmise de luare indescifrabile. Desi probabilitatea de astfel de atacuri este foarte mica și reduce aprovizionarea (cu dezvoltarea de criptografie), ele reprezintă cea mai mare frica de cumparaturi online.Ușoară și populară metoda de deghizare numere de card de credit transmise de către cumpărători este o tehnica de criptare folosireaunei tehnici de criptare cunoscuta sub numele de SSL (Secure Sockets Layer). Cele mai multe aplicații legate de magazine online utilizeaza SSL pentru a asigura transmiterea in siguranta a informațiilor personale a consumatorilor (inclusiv numărul de card de credit) la comerciant calculator.
Spargeri de site-uri. Spargerea site-urilor online presupune că cineva forțează intrarea, spărgând sistemul de securitate, în vederea accesării unor informații sensibile, cum ar fi numere de cărți de credit, parole sau înregistrări ale facturilor. Soluția cea mai răspândită pentru combaterea acestui tip de risc o constituie așa numitul firewall (pasarelă de securitate). În linii mari un firewall este un sistem care impune o politică de control a accesului între două rețele (de exemplu LAN și Internet). El reprezintă implementarea politicii de securitate în termeni de configurare a rețelei.
Breșe în securitate. Găurile în securitate apar în momentul în care informațiile confidențiale apar accesibile pe un site Intenet sau magazine online. De obicei acest lucru se întâmplă deoarece nu s-au luat toate măsurile necesare securizării site-ului respectiv. De asemenea aceste găuri în sistemul de securitate pot să apară și în urma accesului neautorizat al unei persoane din interiorul companiei sau din partea furnizorului de servicii Internet.
Lacune în securitate. Gauri de securitate apar atunci când informațiile confidențiale sunt accesibile pe un site Internet sau magazine online. De obicei, acest lucru se întâmplă pentru că nu au luat toate măsurile necesare pentru a asigura site-ul. De asemenea, aceste găuri în sistemul de securitate pot sa apărea ca urmare a accesului neautorizat a unei persoane în cadrul companiei sau furnizorul de servicii Internet.
Distrugerea deliberată a datelor. Uneori, navigarea site-uri Internet doar cu intentia de a vandaliza una sau mai multe din paginile sale constitutive. De obicei, în acest felse pot face modificări la conținutul paginilor Web prin ștergerea unor fișiere, deformandu-le sau adăugarea imagini proprii. Conținutul informațional este de asemenea, schimbat, sau se face declarații în numele companiei. În unele cazuri hackeri anunță reduceri de preț majore, din lipsa de fiabilitate a produselor, oprirea vânzărilor sau pur și simplu falimentul companiei, prin introducerea în mod implicit in incapacitate. Mai grav este însă faptul că adesea compania victimnă nu poate dovedi că nu ea este autoarea afirmațiilor, mesajelor publicitare sau promoționale făcute în site-ul ei (de exemplu că nu cu bună știință a promis 50% reducere pentru primii 1.000 de cumpărători). Astfel, aceste atacuri pot afecta negativ imaginea firmei, generând adesea adevărate scandaluri publice și dovedindu-se extrem de costisitoare. Chiar și celebra CIA (Central Intelligence Agency) din SUA a fost victima unor asemenea atacuri, prin care s-a anunțat desființarea agenției (CNN – www.cnn.com).
Pierderi accidentale de date. Este necesar pentru a proteja magazine online în cazul în intreruperii sistemului informatic, pene, inundații sau alte catastrofe care pot afecta furnizorul de servicii Internet, compania care găzduiește site-ul companiei sau compania în sine. De asemenea, se pot pierde date sau chiar întregul site-ul de la magazin ca urmare a unor erori umane din partea celor responsabili pentru administrarea de magazin online. De exemplu, unele comenzi de sistemul de operare UNIX/LINUX sunt atât de puternice incat o simplă comanda accidentala poate provoca ștergerea întregului site cu toate lînregistrările. Aceste riscuri pot fi prevenite prin limitarea accesului la computer care găzduiește magazin online si prin backup-uri periodice.
Refuzul funcționării. În ultimii ani au fost nenumarate cazurile in care site-urile au fost inchise sau făcute să opereze foarte încet, ca urmare a atacurilor de hackeri. Aceste atacuri sa presupunem ca cineva in mod deliberat pentru a bloca accesul la site online al depozitului, " decorticată " calculatorul gazdă cu solicitările de informații. Aplicarea pentru stocarea datelor în calculator, ducând la oprirea sau defecțiune de funcționare rata. Acest atac exploateaza o fisura de sistemul de operare sau de software pentru a crea a site-ului.
Virusi. Un virus este un program creat pentru a distruge sau șterge date din calculatorul dumneavoastră pentru a modifica fișierele, sa fure parola (password), sau pur și simplu pentru a transfera date de la un calculator la Internet, fără cunoștințe de proprietar. Cea mai bună metodă de protecție antivirus este instalarea și rularea programelor antivirus pe calculator. Firme care oferă programe antivirus au si site-uri web oferă informații detaliate despre funcționarea a virușilor și metodele de aparare impotriva lor. Asemenea, este foarte important ca toate informațiile relevante stocate pe calculator sa fie salvate periodic (backup)pe medii de stocare (CD, DVD etc. ).
Furturi de domenii (domain name-uri). Asistăm la furt de domenii în momentul când cineva transferă proprietatea asupra unui domeniu (de exemplu nike.com) la o altă entitate fără consimțământul deținătorului de drept. În acest caz, hackerul preia controlul asupra adresei Web a companiei vizate și astfel, în momentul în care consumatorii accesează acea adresa, ei sunt conectați la un alt site, de exemplu al concurenței. Acest tip de atac presupune ca cineva, prin falsificarea identității sau prin alte metode, accesează registrul central care păstrează datele legate de domeniul companiei. Spre deosebire de celelate tipuri de atacuri, în cazul deturnărilor de domenii comerciantul nu poate lua măsuri preventive de protecție deoarece ținta atacului este computerul registrului de nume de domenii. Securitatea domeniilor trebuie asigurată de diversele organizații (registre cu nume de domenii) care se ocupă de gestionarea și alocarea acestora către utilizatorii individuali și afacerile prezente pe Internet.
Șantaj cibernetic. Șantajul cibernetic presupune ca un hacker să spargă un site Internet și să amenințe cu distrugerea datelor, să fure numere de cărți de credit, să împiedice funcționarea paginilor Web sau să amenințe cu comiterea unui alt tip de atentat dacă firma vizată nu plătește o "răscumpărare".
Orice încălcare de securitate enumerate mai sus pot fi evitate de către proprietarii de magazine și de afaceri pe Internet asigurandu-se ca au răspuns pozitiv la câteva întrebari elementare ce se pot reuni intr-o listă de verificare a securității serviciilor de găzduire de magazine online:
1. Compania de găzduire conștientizează problemele legate de securitate?
2. Este firma de găzduire dispusă să răspundă la întrebările utilizatorului (magazin online)?
3. Sunt specialiștii companiei la zi cu problemele și noutățile din domeniul securității?
4. Este gestionată corespunzator rotația și fluctuația personalului de către firmă?
5. Este restricționat accesul la computere?
6. Aplicațiile nefolosite de pe computere se închid sau nu?
7. Software-ul folosit de către firma de găzduire are slăbiciuni cunoscute?
8. Stocarea informațiilor legate de clienți, în special numerele cărților de credit este securizată?
9. Sunt utilizte proceduri de backup?
10. Transmiterea datelor este protejata?
1.4 Consecințele securității inadecvate
Adesea, apare întrebarea: ce se întâmplă atunci când comercianții dau gres în aplicarea unui sistem eficient pentru a asigura securitatea tranzactiilor?A face public existența unor fraude comise pe site-ul unei firme, implicit a unui magazin virtual, poate afecta destul de serios imaginea publică a acesteia. Un caz, amintit deja, este cel al Western Union al carui site a fost atacat de hakeri, iar numerele de cont ale persoanelor ce trimiteau bani la distanțe reltiv mari, au fost furate. Firma a avut de suferit de pe urma acestor evenimente devenite publice și a înregistrat o scădere a volumului tranzacțiilor. Totusi, s-a menținut pe linia de plutire datorită filialelor deschise în multiple orașe din diferite țări. Orice afacere trebuie să-și asume un anumit grad de risc în momentul în care se decide să pătrundă pe piața virtuală. Securitatea tranzacțiilor trebuie asigurată la cele mai înalte standarde, altfel clienții vor sta departe de magazin, iar a repara o reputație negativă durează mult mai mult decât a crea o imagine pozitivă și încrezatoare de la bun început.
De-a lungul timpului, pe masură ce afacerile virtuale au luat amploare, multe companii, mai mari sau mai mici, au preferat să ascundă de opinia publică fraudele și atacurile din interior sau din exterior, au renunțat la deferirea în justiție a vinovaților și la urmărirea lor doar pentru a-și proteja imaginea și pentru a nu afecta grav profitul.
O altă urmare a insuficienței securizări a magazinului online o constituie retragerea conturilor de comerciant. Contul de comerciant nu este un simplu cont bancar ci mai degrabă un cont special, care este deschis pentru a permite acceptarea plăților cu cărți de credit. Majoritatea conturilor de comerciant acceptă toate mărcile importante de cărți de credit (MasterCard, Visa etc.). În cazul unor tranzacții frauduloase, cum ar fi plăți cu cărți de credit furate, după ce deținătorul de drept al cărții de credit descoperă neregula, comerciantul care a acceptat aceste plăți este nevoit să restituie suma încasată, cu toate că marfa a fost livrată.
Visa USA a inițiat un program numit CISP1 (Cardholder Information Security Program – Program privind Securitatea Informațiilor Deținătorilor de Carduri), care prevede cerințele minime care trebuie îndeplinite de către orice organizație (comercianți online, furnizorii serviciilor de găzduire, creare de site-uri etc.) care procesează, stochează sau are acces la informații legate de tranzacțiile cu cărți de credit efectuate prin mijlocirea mediului Internet. Programul are la bază o listă "Top Ten" a cerințelor logice pentru protejarea datelor deținătorilor de cărți de credit:
1. Instalarea și menținerea firewall-urilor în vederea protejării datelor accesibile prin Internet.
2. Actualizarea domeniilor și informațiilor legate de securitate.
3. Criparea datelor stocate.
4. Criptarea datelor trimise prin rețele deschise (de exemplu Internet).
5. Utilizarea și actualizarea periodică a software-urilor antivirus.
6. Restricționarea accesului la date cu ajutorul paroleleor și cheilor.
7. Alocarea unui ID specific fiecărei persoane care are acces la datele stocate în computere.
8. Evitarea paroleleor predefinite, furnizate de producătorii software-urilor.
9. Monitorizarea accesului prin intermediul ID-urilor unice.
10. Testarea periodică a sistemelor și procedurilor de securitate.
Două cerințe suplimentare au fost elaborate vizând securitatea administrativă și cea fizică:
1. Implementarea unei politici care să gestioneze securitatea informațiilor care sunt accesibile angajaților și furnizorilor.
2. Restricționarea accesului fizic la informațiile legate de cărțile de credit.
1.5 Asigurarea securității tranzacțiilor online
Sisteme de criptare
Există o mare varietate de programe utilizate pentru criptarea fișierelor sau comunicațiilor, însă toate se bazează pe câteva sisteme:
A. Criptografia simetrică (cu cheie secretă)
În criptografia simetrică, este folosită aceeași cheie atât la criptare cât și la
decriptare. Aceasta înseamnă că între persoanele care comunică există un accord prin care s-a stabilit o cheie unică, pe care expeditorul o folosește la criptarea textului inițial, iar destinatarul o folosește la decriptarea mesajului recepționat.
Pe Internet însă, se pune problema comunicării între persoane care nu s-au întâlnit niciodată, deci nu se pot pune de acord în prealabil asupra cheii. Această metodă poate fi utilizată în grupuri restrânse de utilizatori.
Criptografia cu cheie publică
Fiecare participant la criptare are o pereche de chei personale unice:
• Cheia publică, distribuită oricui o dorește;
• Cheia privată, pe care nu o cunoaște decât utilizatorul respectiv.
Mesajele criptate cu cheia privată pot fi decriptate numai cu cheia publică și invers. Pentru a trimite cuiva un mesaj, trebuie găsită cheia publică a persoanei respective și criptat mesajul. Mesajul astfel criptat nu va putea fi decriptat decât cu ajutorul cheii private a destinatarului.
Semnăturile digitale sunt rezultatul inversării mecanismului de criptare cu chei publice. Utilizatorul își creează propria semnătură digitală criptând un text anume cu cheia sa privată. Această semnătură o atașează apoi oricărui mesaj pe care îl trimite, criptând pachetul cu cheia publică a destinatarului. Destinatarul decriptează mesajul cu cheia privată, apoi decriptează semnătura expeditorului cu cheia publică. Reușita decriptării garantează identitatea expeditorului.
Plicuri digitale
Deși sistemele de criptografie asimetrică par foarte potrivite pentru Internet, ele totuși au un mare dezavantaj: sunt prea lente pentru transmiterea unor fișiere de dimensiuni mari. Soluția o reprezintă combinarea celor două sisteme.
Expeditorul generează o cheie secretă aleatoare numită cheie de sesiune, deoarece ea dispare după terminarea comunicării. Criptează mesajul folosind cheia de sesiune și un algoritm simetric la alegere. Criptează cheia de sesiune cu cheia publică a receptorului, creând un "plic digital". Trimite mesajul criptat, împreună cu plicul digital. Când receptorul primește mesajul, folosește cheia sa privată pentru a decripta cheia de sesiune, apoi o folosește pe aceasta din urmă pentru a decripta mesajul propriuzis. Mesajul este asigurat, pentru că este criptat cu algoritm simetric, cunoscut numai de emițător și receptor, iar cheia de sesiune este, de asemenea, asigurată pentru că este criptată în așa fel încât doar receptorul o poate decripta (cu cheia sa privată).
Autoritățile de certificare
Atunci când utilizarea cheie de criptare nu se face publică este o problemă: aceasta funcționează numai dacă știți cheia publică a receptorului. Întrucât pe Internet, există sute de mii de servere și milioane de oameni conectati, o persoană nu poate avea o listă la îndemână cu toate cheile de la toate persoanele. Pe de altă parte nu poate cere cheie printr-o conexiune nesecurizată , deoarece nu există nici o garanție că persoana de la capătul firului este într-adevăr, care se pretinde a fi. Cea mai bună soluție găsita până acum este dependența de o a treia persoană, numit un 'certificat de autoritate' (AC) și care se ocupă cu validarea de chei publice. AC sunt întreprinderi comerciale cunoscute și de încredere care garantează pentru identitatea persoanelor fizice sau juridice. Înainte de a trimite un mesaj la cineva, puteți solicita un certificat digital semnat de una dintre aceste AC indicând identitatea a certificatului și cheii publice. Cea mai cunoscuat firma care se ocupa cu eliberarea certificatelor digitale este VeriSign.
Există două tipuri mari de certificate: personale și pentru servere.
Certificatele personale (sau identitatea digitală – Digital ID) sunt asociate cu o adresă de e-mail și pot fi utilizate pentru a semna mesaje de e-mail sau primi mesaje criptate. Ele pot fi, de asemenea, utilizat ca un 'pașaport' pentru identificarea electronică la intrarea pe site cu acces restricționat.
Certificatele VeriSign criptează datele folosind SSL, standardul de protecție a comunicațiilor pe Internet, creat de Netscape. Tehnologia SSL este inclusă în cele mai multe browsere și servere, astfel încât simpla instalare a unui certificat digital de criptare permite oricui folosind acest protocol.
SET (Secure Electronic Transactions). Este un protocol specializat pentru
criptarea tranzacțiilor bazate pe cărți de credit, creat de un grup de companii condus de Visa și Mastercard. El asigură:
Autentificarea (clientului, comerciantului, a băncii care a emis cardul, a băncii comerciantului);
Confidențialitatea;
Integritatea mesajelor (nu pot fi modificate de terți);
Legătura (permite trimiterea unei persoane a unui mesaj cu o anexă ce nu poate fi citită decât de altă persoană – pentru a împiedica citirea numărului de card, permițând doar aprobarea tranzacției).
Protocolul SET reprezintă o suită de contacte între 4 părți: titularului de card de credit, banca emitentă a cardului de credit, comerciant bancare. Utilizați SET de perechi de chei publice/private și certificate pentru a stabili identitatea părților a semnat pentru a permite comunicarea între ele.
Achiziții frauduloase
Riscurile de atribuire frauduloase necesită derivat din două expuse online detailistul. Prima presupune că oricine încearcă să cumpere un produs cu un card de credit care a fost anunțat furat este nefuncțională retrase sau a depășeste limita de credit. Combaterea acestui fenomen este o chestiune de autoritate. În al doilea rând, există riscul ca cineva să încearce să folosească o carte de credit valabilă, care însă nu îi aparține, dar furtul nu a fost (încă) raportat. Aceasta este o problemă de autentificare.
Autorizarea
Magazinele online pot solicita autorizarea cardului de credit tranzacții manual, folosind un terminal, sau tranzacțiilor în timp real, folosind gateway-uri (portaluri). Un gateway de plată este un serviciu care se conectează la un procesor de plată online, numit rețeaua de plată. Acest procesor de plată este conectat la rețeaua de bănci și card de credit companii, oferind timp real procesarea plăților.
Dacă respectiva carte de credit a fost anulată, furată (și anunțată) sau nu are acoperire suficientă, plata va fi refuzată de compania financiară emitentă a cărții de credit. Acest proces, de autorizare a plății este asemănător cu cel desfășurat în cadrul magazinelor obișnuite când cumpărătorii plătesc cu cărți de credit.
Autentificarea
Așa cum s-a arătat mai sus, obținerea autorizării plății nu este suficientă pentru a asigura securitatea tranzacției și a elimina frauda. Din moment ce comerciantul nu poate identifica persoana care plătește, riscul unei fraude persistă în ciuda autorizării plății. Mai grav este faptul că, în cazul unei tranzacții frauduloase băncile retrag ulterior autorizarea, cerând returnarea plății, caz în care comerciantul rămâne cu marfa livrată și cu plata returnată.
Metode de autentificare manuale
Este recomandat ca formularul de comandă să ceară specificarea atât a numărului de telefon de acasă cât și a numărului de la locul de muncă. Astfel comerciantul are posibilitatea să sune pentru confirmarea comenzii, mai ales în cazul unor mărfuri scumpe sau cantități mari.
Verificarea atât a adresei de livrare cât și a adresei de facturare.
Comenzile plasate folosind adrese (conturi) de e-mail gratuite (gen Hotmail,Yahoo!Mail) reprezintă alt potențial semn de fraudă. Folosirea acestor adrese arată dorința cumparătorului de a nu fi găsit, sau intenția de a îngreuna verificarea identității folosite.
Verificarea dacă adresa de e-mail folosită de către cumpărător este situată în apropierea adresei de facturare. Dacă de exemplu se primește o comandă de la o
adresă de e-mail din Israel iar adresa de facturare se află în SUA, există o șansă foarte mare ca acea comanda să fie frauduloasă.
Primirea de comenzi neobișnuite, ca de exemplu comenzi pentru mai multe
obiecte high-tech de mare valoare, cantități mari de produse sau combinații de produse care de obicei nu sunt comandate împreună trebuie să trezească suspiciunea comerciantului, determinându-l să inițieze verificări suplimentare. Livrare rapidă cerută pentru o cantitate mare de bunuri sau mărfuri de mare valoare este de asemenea semnul unei potențiale fraude.
Se impune o atenție sporită în cazul livrărilor către anumite țări care sunt recunoscute pentru rata ridicată a criminalității online. Cele mai cotate țări în acest sens sunt Columbia, Macedonia, Belarus, Rusia și din păcate România.
Premoniții asupra fraudelor
Mai jos sunt enumerate cele mai frecvente semne de fraudă. Una dintre cele mai importante indicii este țara de origine. Comenzile primite din tari precum Macedonia, Belarus sau România este foarte probabil ca frauda. Fraudă are mai puțin de relevanță în cazul comenzilor din America de Nord, Europa de Vest sau Japonia. Dar este încă o posibilitate. Următoarele sunt semne generale de o frauduloase comenzi:
Adresă de livrare suspectă. Cele mai multe comenzi frauduloase provin din Malaezia, Indonezia, Macedonia, Belarus, Pakistan, Rusia, Lituania și România.
Adrese de e-mail imposibil de verificat. În cazul comenzilor frauduloase de obicei se folosesc adrese de e-mail de pe servere gratuite, cum sunt Hotmail sau Yahoo!Mail.
Mărfuri foarte scumpe. Cele mai multe fraude vizează obiecte scumpe, în special de marcă.
Cantități mari. Este un semn foarte relevant de fraudă dacă cineva comandă trei ceasuri de mână și cinci casetofoane.
Livrări urgente. Comenzile frauduloase specifică termene de livrare foarte scurte, în general "peste noapte" sau cel mult "de la o zi la alta".
Adresa de livrare diferă de adresa de facturare. Dacă un comerciant vinde mărfuri foarte valoroase, este o politică foarte utilă să livreze bunurile numai la adresa de facturare.
Adrese de facturare suspicioase. Dacă adresa de facturare este 123 Strada Principală, comanda probabil este o fraudă. Se pot folosi hărți electronice (online) pentru a verifica dacă adresa există în realitate sau nu (de exemplu
Yahoo!Maps).
Site nou. Site-urile de comerț electronic nou deschise sunt mai des atacate poate în speranța că vânzătorul este neexperimentat.
Abandonează în fața ușii! Dacă cineva plasează o comandă foarte valoroasă și indică ca modalitate de livrare 'abandonează în fața ușii', poate însemna că se folosește adresa unei persoane neimplicate ca loc de livrare a mărfurilor. Soluția o reprezintă cererea unei semnături la livrare.Recomadarea generală este să nu se livreze niciodată obiecte scumpe croiască nu sunt verificate toate detaliile comenzii. Trebuie avut în vedere că (mai ales pentru livrări internaționale) obținerea autorizării din partea companiei emitente oana cărții de credit nu este o garanție că banii vor fi încasați în realitate.
Metode de autentificare computerizate
Verificarea adreselor
În plus față de metode manuale pentru verificarea de comenzi se dovedește foarte utilă folosirea adresa servicii de verificare. Aceste servicii sunt oferite de către organizații independente și debănci comercianții, costul lor, de obicei, este inclus în costul de închiriere de cont de comerciant. Un serviciu, de asemenea, verifică dacă facturare adresa și codul poștal furnizate de către cumpărător pe formularul de comandă online coincide sau nu cu adresa și codul poștal al titularului cardului de credit la Banca/societatea emitentă. Pentru comenzi online, comerciantul intrat atât adresa de facturare si adresa de livrare. Dacă cineva a furat cardul de credit sau proprietarul său l-a pierdut, persoana care intră în posesia cardului de credit va încerca să-l utilizați pentru a cumpăra bunuri pe Internet.
Algoritm de verificare a comenzilor suspicioase
În cazul în care o comandă primită este suspicioasă sau primește cod de verificare a adreselor nefavorabil, cei mai mulți comercianți recurg la cărțile de telefoane, clasice sau online, cum sunt Switchboard (www.switchboard.com) și InfoSpace (www.infospace.com) pentru a verifica adresele (atât de facturare cât și de livrare) și numerele de telefon ale cumpărătorilor. De asemenea se pot folosi așa numitele servicii de căutare inversă de pe Internet (ca de exemplu serviciul AnyWho al companiei AT&T), care determină numele și numărul de telefon pentru o adresă dată. Site-urile de hărți online, cum este MapQuest (www.mapquest.com), pot ajuta la localizarea adresei și verificarea acesteia. Având în vedere că numai numerele publice de telefoane apar în cărțile de telefoane, iar în cazul în care proprietarul cărții de credit s-a mutat, în cartea de telefoane va apare în continuare adresa veche, nu se poate presupune că o comandă este frauduloasă numai datorită faptului că nu poate fi verificată cu ajutorul unei cărți de telefoane.
Dacă informațiile primite pe comandă coincid cu cele din cartea de telefoan, comerciantul poate fi sigur în privința deținătorului numărului de telefon. Dacă în urma contactării, persoana respectivă respinge (neagă) acea comanda, comerciantul va știi imediat că tranzacția este frauduloasă. Pe de altă parte, în cazul în care deținătorul numărului de telefon confirmă comanda, incertitudinea comerciantului persistă, acesta neștiind dacă persoana respectivă este deținătorul cărții de credit folosit sau nu. Cu toate că este puțin probabil ca un hoț să-și completeze adresa și numărul de telefon propriu pe o comandă frauduloasă, și această posibilitate trebuie luată în calcul. Pentru verificarea identității persoanei (deținătorului numărului de telefon verificat mai înainte), de obicei se cere adresa pe care o are înregistrată banca și astfel se declanșează din nou procedura de verificare a adresei. Dacă persoana în cauză este cu adevărat deținătorul cărții de credit trebuie să fie în măsură să precizeze o adresă care să coincidă cu cea înregistrată la bancă, asigurând astfel un cod de verificare a adresi favorabil.
Programe de detectare a fraudelor
Cele mai multe programe de detectare a fraudelor sunt bazate pe tehnologiile rețelelor neuronale, având capacitatea de a analiza structura si componenta datelor furnizate în contextul de comenzi online și de a distinge o ordine legitim unui potențial fraudulos. Cererile de detectare a fraudelor analizează mai multe factori prost pentru a identifica tranzacțiile frauduloase potențial. Printre altele, programul va verifica IP-ul cumpărătorului și va determina dacă această adresă este în imediata apropiere a adresa de facturare. Dacă, de exemplu, IP-ul este în Cairo și adresa de facturare din New York, tranzacția va fi acordat statutul de fraudă potențial. Utilizatorii acestor cereri (comercianți) va primi un punctaj atribuit fiecărei comenzi primite, care prezintă probabilitatea că ordinea este frauduloase. Pe baza acestor informații, Negustorul puteți decide dacă să accepte sau nu.
Autentificarea plătitorului
În 2000, Visa (www.visa.com) a anuntat punerea în aplicare a unui serviciu online pentru a identifica plătitorul numit VPAS (Visa plătitorul serviciul de autentificare).Acest serviciu a fost numit Verificate de către Visa. Verificate de către Visa este un mod de confirmă că persoana care plaseaza o comanda online utilizând un card de credit, este proprietarul real al ei.Avantajul major al serviciului Verificat de Visa rezidă în faptul că este mult mai simplu de implementat, mult mai ușor de înțeles și răspunde nevoilor comercianților în ce privește prevenirea fraudelor pe Internet.
În vederea folosirii serviciului Verificat de Visa, deținătorii cărților de credit nu trebuie să dețină un program informatic sau un echipament special. În vederea obținerii Certificatului Verificat de Visa, deținătorul cărții de credit trebuie să parcurgă un simplu proces de completare a unei fișe de pe site-ul băncii emitente a cărții de credit. Întregul proces de înregistrare durează câteva minute,parcurgerea lui fiind facultativă. Participarea băncilor programul verificate de către Visa este, de asemenea, opțional. Este evident că pentru un client pentru a putea participa este necesar ca banca emitentă a cardului de credit la rândul lor să participe la programul.
Asigurarea consumatorilor că magazinul online este sigur
Din statisticile care pot fi consultate pe Internet rezultă:
"Aproape 2/3 din utilizatorii Internetului sunt îngijorați că numerele cărților lor de credit sunt stocate pe site-urile magazinelor online în vederea utilizării viitoare".
"81% din comercianții online consideră că vânzările ar crește vertiginous dacă consumatorii nu ar fi atât de îngrijorați de frauda online.”
Este important ca firmele care vând bunuri și servicii pe Internet, pe lângă efortul de vânzare, să acționeze și în următoarele două direcții:
Să reamintească tuturor că tranzactiile lor online sunt sigure;
Să arate exact ce demersuri au făcut pentru a proteja informațiile legate de cărțile de credit ale consumatorilor. În primul rând, comerciantul trebuie să-și asigure cumpărătorii, că tranzacțiile pe Internet în general și cele desfășurate pe site-ul comerciantului în special sunt sigure.
Ca urmare a evoluției criptografiei, în prezent se estimează că un hacker ar nevoie de mai multe milioane de ani pentru o a sparge cea mai sigură formă de criptare, și anume SSL de 128 biți, care este folosita de cele mai multe online magazine. Chiar în cazul în care magazinul online nu utilizează SSL, sansa pentru cineva pentru a obține numere de card de credit, în timp ce acestea sunt transmise prin Internet este nesemnificativă. Deși în fiecare zi sute de mii de tranzacțiile cu cărți de credit pe Internet în ultimii ani au raportat doar câteva cazuri în care cardul de credit numere au fost furate în ceea ce au fost transmise pe Internet de pe un computer la altul.
Comerciantul trebuie să arate consumatorilor că a făcut demersuri importante pentru a asigura siguranța tranzacțiilor cu cărți de credit pe site-ul propriu. În încercarea de a câștiga încrederea consumatorilor, comercianții adesea pun la punct politici de "clădire a credibilității online".
În primul rând trebuie explicat modul de desfășurare a unei tranzacții online și etapele pe care aceasta le presupune. Etapele unei tranzacții trebuie prezentate făcând referire și la măsurile de securitate care s-au luat pentru evitarea fraudelor. În sfârșit se impune o trecere în revistă a tehnologiei utilizate, insistând asupra siguranței acesteia.
Recent, marile companii de cărți de credit – Visa, MasterCard, American Express – au implementat o politică de "responsabilitate zero" în favoarea deținătorilor de cărți de credit. Acest lucru înseamnă că în toate cazurile, consumatorii sunt absolviți de orice vină pentru tranzacțiile frauduloase cu cărtile de credit deținute.
Este o idee bună ca fiecare comerciantului să promoveze pe propriul site aceste politici de "responsabilitate zero" implementate de companiile de carduri de credit, asigurând consumatorii că nu au de ce să se teamă când fac cumpărături online.
Și nu în ultimul rând, securitatea în mediul Internet înseamnă vigilență continuă. Managerul trebuie să se informeze asupra noilor probleme care apar în domeniu și asupra modului în care furnizorii de servicii Internet și firmele de găzduire a site-urilor încearcă să le combată. Cel mai important lucru este monitorizarea continuă a riscurilor și ameninărilor care apar în mediul Internet și care ar putea afecta tranzacțiile online. În acest sens se poate obține gratuit caliatea de membru în cadrul Rețelei Internaționale de Prevenire a Fraudei în Domeniul Comerțului Electronic (Worldwide E-Commerce Fraud Prevention Network –
www.merchantfraudsquad.com), înființata de către companii ca Amazon.com, American Express și o varietate de alte companii de comerț electronic, obiectivul organizației fiind de a ajuta comercianții online de toate dimensiunile să combată frauda.
În cele din urmă, ar trebui recunoscut ca este o problemă de securitate online care le-am niciodată vadispărea. Gazduire site-uri de servicii, furnizorii de servicii Internet, card de credit companii, instituții financiare, companii de software și proprietarii de magazine online va continua să introducă noi, tehnologii inovatoare pe piață pentru a ajuta comercianților în abordarea lor de a proteja integritatea și securitatea tranzacțiilor. Deoarece piata de tehnologii de securitate online se schimbă foarte rapid, este important pentru antreprenori un monitor permanentă pentru a identifica noi produse și servicii care pot asigura propria securitate, atât ca în special siguranța consumatorilor. Cel mai simplu mod de a monitoriza progresul tehnic este analiza de concurenți, subliniind soluții și aplicații implementat pentru ei.
Interesant de prezentat în continuare este un studiu realizat în anul 2001 de către Centrul de Monotorizare a Fraudei pe Internet, studiu realizat în urma primirii unui numar de 16.775 de plângeri privind fraudele online.
Fraudarea licitațiilor pe Internet ocupă primul loc în topul abuzurilor raportate, reprezentând 42,8% din total sesizărilor. Neprimirea mărfurilor sau neîncasarea plăților reprezintă 20,3%, iar fraudele de tip Scrisoare din Nigeria 15,5% (Acest tip de fraude sunt prezente șî în anul 2005!). Fraudele cu cărți de credit/debit și încălcările confidențialității rotunjesc lista celor 5 categorii de fraude care au avut cea mai mare rată de incidență și de raportare în 2001. În rândul indivizilor care au raportat o pierdere bănească, cele mai mari pierderi medii pe plângere s-au înregistrat în cazul înșelătoriilor de tipul Scrisoare din Nigeria (5.575 de dolari), furtul identității (3.000 de dolari) și fraudele legate de investiții (1.000 de dolari).
Rata pierderilor pe o plângere este influențată de o mulțime de factori.
Afacerile tind să piardă mai mult decât victimele individuale, iar bărbații tind să piardă mai mult decât femeile. Aceste diferențe pot fi generate atât de obiceiurile de cumpărare online diferențiate pe sexe cât și de tipurile de fraude care afectează în mod specific persoanele fizice. Cu toate că nu există o relație concludentă între vârstă și pierderi raportate, ponderea indivizilor care au raportat pierderi de 5.000 de dolari sau mai mari este maximă pentru categoria celor peste 60 de ani.
Mesajele de poștă electronică și site-urile Web reprezintă mijlocul preferat
de comitere a fraudelor. Aproape 70% din totalul plângerilor au raportat contact prin e-mail cu infractorul.
Fraudarea licitațiilor online
O mai bună înțelegere a modului în care funcționează licitatii pe Internet, atât cumpărătorii cât și a vânzătorilor.
Cercetarea modalității de funcționare a societății (proprietarul site-ului) și, dacă este posibil, să furnizeze bunurile in timpul transportului si tranzactiilor.
Examinarea vânzătorului, în special dacă singura informație despre acesta este o adresă de poștă electronică. În cazul în care acesta în spatele adresei este o companie, se pot consulta paginile Better Business Bureau, în vederea verificării localizării și trecutului firmei.
Evaluarea feedback-ului oferit de către firmă.În cazul în care vânzătorul nu răspunde la unele întrebări sau dă explicații evazive, sau păstreaza secret anumite informații este necesara evitarea oricarei tranzacție cu ea pentru prevenirea fraudelor posibile.
Verificarea modalității de plată cerute de vânzător și a destinației plăților. Se impun măsuri suplimetare de precauție în cazul în care adresa de destinație este de genul O.P. Nr.x.
Trebuie avut grijă în legătură cu diferențele dintre legile diverselor state din domeniul licitațiilor online. În cazul în care cumpărătorul și vânzătorul sunt localizați în țări diferite, eventualele dispute și neînțelegeri pot avea rezolvări imprervizibile.
Tranzacții frauduloase cu cărți de credit
Transmiterea online a numărului cărții de credit este recomandată numai în cazul în care securitatea și reputația site-ului comerciantului poate fi verificabilă. În cazul unor site-uri apar diverse simboluri iconice sau căsuțe cu text menite să-I asigure pe cumpărători că magazinul respectiv este sigur. Cu toate că aceste declarații nu reprezintă o garanție a securității, prezența lor generează încredere.
Înainte de a folosi un site comercial, trebuie verificat pachetul software de securitate/criptare folosit, care este menit să asigure siguranța tranzacțiilor.
Comercianții trebuie selectați cu atenție, făcând cumpărături numei din surse sigure, cu o reputație impecabilă.
Obținerea unei adrese fizice în locul celor de tip e-mail, O.P. sau numere de telefon. Adresele prezentate pe site-ul Internet al firmei pot fi confruntate cu informațiile privitoare la localizarea site-ului, deduse din numele de domenii.
Vânzătorii care nu furnizează aceste informații sau răspund evaziv la unele solicitări de informare ale clienților, trebuie evitați.
Se impune verificarea unor eventuale plângeri primite de instituțiile abilitate cu privire la comerciantul în cauză. Cercetarea altor site-uri cu privire la reputația și identitatea comerciantului poate preveni frauda.
Este recomandată evitarea ofertelor speciale, în special a celor venite sub forma mesajelor de poștă electronică nesolicitate.
Tranzacțiile dintre comercianți și consumatori din țări diferite impun atenție specială.
În cazul cumpărăturilor prin Internet se recomandă folosirea cărții de credit, deoarece deținătorul poate renunța ulterior la plata efectuată.
Trebuie verificată securitatea transmiterii numărului cărții de credit pe cale electronică.
Deținătorii cărților de credit sunt sfătuiți să verifice din când în când soldul și să păstreze informațiile de contact ale băncii emitente. În cazul în care își pierd cărțile de credit, emitenul trebuie anunțat cu operativitate.
Fraude investiționale
Trebuie evitate luarea unor decizii de investire pe baza aparențelor. Aspectulgrafic al site-ului nu reprezintă o garanție a legitimității tranzacțiilor derulate. Crearea unui site necesită câteva doar zile, costuri aproape nule și nici o autorizație. După o perioadă scurtă de funcționare, timp în care atrage fonduri, acesta poate să dispară fără urme.
În cadrul deciziilor de investire, trebuie analizată atât legitimitatea cât și securitatea instrumentului de investire propus.
Se impune cercetarea trecutului companiei/individului în vederea verificării credibilității și legitimității acesteia. Trebuie investigate și alte site-uri cu privire la comapina în cauză.
Trebuie respinse ofertele speciale de investire sau de economisire, în special cele primite sub forma mesajelor de poștă electronică nesolicitate. Se impune cunoașterea cât mai aprofundată a companiei ofertante.
Este recomandată verificarea tuturor termenelor și clauzelor contractului, atât în ce privește drepturile consumatorului cât și obligațiile care îi revin.
Regula generală: dacă sună prea frumos să fie adevărat, probabil nici nu este!
CAPITOLUL II
Semnătura digitală
2.1. Concept și definiție
Orientarea a tot mai multe activitati umane catre utilizarea tehnologiilor informatice face ca în Internet omenirea sa se regaseasca cu trasaturile ei definitorii, atât dintre cele pozitive cât si negative. Ca urmare, oamenii sunt preocupati nu numai de folosirea eficienta si dezvoltarea continua a domeniului tehnologiei informatiei si al Internet-ului ci si de stabilirea cadrului legal în care sa se desfasoare interactiunile în acest domeniu, numit si Cyberspace sau Global Village. Cunoasterea diferitelor legi ce guverneaza Internet-ul si hotarârea co-munitatii internationale de a acoperi toate golurile legale ale acestei noi lumi si de a le armoniza, este una foarte actuala. Internetul este o structura si în acelasi timp o societate care, cu exceptia unor parametrii tehnici, se dezvolta liber si neîngradit în raport cu prevederile legale ale statelor pe teritoriul carora se afla serverele retelei.
Un element esential al acestei perioade, când hârtia tinde sa devina tot mai mult un mijloc secundar de prezentare a docu-mentelor, calea de transport si arhivare fiind cea
electronica, îl reprezinta înlocu-irea mijloacelor de autentificare a documentelor electronice cu servicii noi, adaptate noilor tehnologii informationale. În acest cadru, un
rol esential îl are semnatura electronica mijlocul de auten-tificare a continutului unui document electronic sau software si a emitentului acestuia. Rolul este decisiv în derularea tranzactiilor specifice comertului electronic.
Multa vreme semnaturile olografe (“de mâna”) au fost folosite pentru a proba ca o anumita persoana este de acord cu un anumit document.
Cerintele generale ce se pun în fata unei semnaturi sunt urmatoarele:
sa fie autentica, adica executata de autorul documentului;
sa fie nefalsificabila, adica sa dovedeasca ca documentul a fost produs de pretinsul semnatar;
sa fie nereutilizabila, adica sa nu poata fi mutata, de catre o persoana rau intentionata,pe un alt document;
sa fie nealterabila, adica odata documentul semnat, acesta sa nu poata fi modificat;
sa fie nerepudiabila, adica semnatarul sa nu mai recunoasca autenticitatea ei.
Noile servicii Internet si în special comertul electronic, au creat necesitatea unui serviciu
permanent de semnatura electronica (digitala) care, realizata prin mijloace electronice, sa garanteze tranzactiile Internet:
sa permita identificarea unei persoane fara a o întâlni;
sa creeze o proba, irefutabila în fata unei autoritati, a tranzactiei încheiate si executate.
În realitate, desi a fost folosita mii de ani, semnatura olografa nu respecta întrutotul aceste deziderate. Cu atât mai mult, ata-sarea unor semnaturi scanate la documentele electronice face banal procesul de falsificare.
Ca urmare, s-a creat un tip de semnatura electronica, numita si digitala, si care se realizeaza folosind metode criptografice cu chei publice. În literatura de specialitate nu se face, de cele mai multe ori, distinctia dintre termenul de semnatura electronica si cel de semnatura digitala, ti-nând cont de faptul ca tehnologia cea mai folosita în realizarea semnaturilor electro-nice o constituie azi criptografia.
Sistemele criptografice cu chei publice (asimetrice) “inventate” de Diffie si Hell-man, de la Univeritatea Stanford, folosesc un principiu diferit de acela al cifrarii “clasice”: în locul unei singure chei secrete, criptografia asimetrica foloseste doua chei diferite, una pentru cifrare, alta pentru descifrare . Una din chei, cheia privata (PRIV) este tinuta secreta si este cunoscuta doar de proprietarul ei. A doua cheie (perechea ei) numita cheie publica (PUB)- este facuta publica, de unde si numele de criptografie cu cheie publica. Ambele chei sunt de fapt niste siruri de biti, furnizate de un program capabil sa genereze aceste perechi. Daca cheia publica o puteti da oriunde în lume, pe cea privata trebuie sa o pastrati la loc sigur. Pentru a se asigura confidentialitatea unui mesaj, datele sunt cifrate la emisie cu cheia publica a receptorului. Ele pot fi descifrate doar de catre destinatarul autentic, cu cheia lui privata.
Daca însa se doreste semnarea digitala (electronica) a datelor în vederea verificarii autenticitatii, datele sunt prelucrate astfel (vezi figura 1):
Fig. 1 – Semnarea unui document electronic sau software
[1] Documentul M este cifrat cu cheia private a emitatorului, care astfel semneaza; în exemplul nostru este vorba de uti-lizatorul Dan care furnizeaza, prin intermediul unui card, cheia sa secreta, PRIVDan .
[2] Documentul este trimis la receptor;
[3] Receptorul verifica semnatura prin decriptarea documentului cu cheia publica a
emitatorului.
Protocolul de semnatura electronica satisfice mai bine conditiile prezentate anterior:
semnatura este autentica deoarece se verifica numai cu cheia publica a emitatorului;
semnatura este nefalsificabila deoarece numai emitatorul cunoaste cheia secreta proprie;
semnatura este nereutilizabila deoarece ea este functie de continutul documentului, ce care este criptat;
semnatura este nealterabila deoarece orice alterare a continutului documentului face ca semnatura sa nu mai fie verificabila cu cheia publica a emitatorului;
semnatura este nerepudiabila deoareceâ receptorul documentului nu are nevoie de ajutorul emitatorului pentru verificarea semnaturii.
În concluzie, semnatura digitala (electronica) reprezinta un atribut al unei persoane, fiind folosita pentru recunoasterea acesteia.
Semnatura digitala rezolva atât problema autentificarii emitatorului cât si pe cea a autentificarii documentului (numita si integritate).
Criptarea si semnarea unui document
Semnatura electronica este creata prin mijloace controlate exclusiv de semnatar. Este legata de documentul in forma electronica la care se raporteaza in asa fel incat orice modificare a documentului, ulterioara semnarii, sa duca automat la invalidarea semnaturii.
Schemele semnaturilor digitale tip cheie publica se bazeaza pe criptarea in cheie publica. Astfel, fiecare utilizator are cate o pereche de chei: una publica si una privata. Cheia publica este distribuita liber, iar cheia privata este tinuta secreta de catre utilizatorul ei. Cheia privata este un dispozitiv specializat (de obicei un sir de caractere) cu caracter de unicitate. Cheia publica este tot un cod digital, dar este perechea cheii private si este necesara verificarii semnaturii electronice. Alta cerinta este aceea ca ar trebui sa fie practic imposibil sa afli cheia private din cea publica.
In general, schemele semnaturilor digitale includ 3 algoritmi:
un algoritm de generare de cheie;
un algoritm de semnare;
un algoritm de verificare;
Atunci cand va dori sa transmita un document semnat digital de catre el, semnatarul va proceda astfel:
Semnatarul va genera un hash al documentului care va fi apoi protejat prin criptare, folosind cheia sa privata. Astfel s-a creat documentul semnat digital care apoi va fi transmis catre destinatar. Daca pe parcursul transmisiunii documentului acesta este cumva interceptat de catre un tert, chiar daca acesta nu-l va putea citi, el ar putea in mod malitios alterarea documentului. Modificarea documentului nu va fi posibila insa fara sa se realizeze si modificarea hash-ului.
Nici un destinatar nu poate fi absolut sigur ca presupusul expeditor este intradevar cel care a semnat, deoarece este posibil ca sistemul de criptare sa fi putut fi spart, sa se fi putut copia cheia, sau sa se fi evitat toata schema prin inginerie sociala.
Algoritmii si protocoalele pt semnatura digitala nu pot oferi o certitudine cu privire la data si ora la care documentul in cauza a fost semnat. Semnatarul poate sau nu sa includa si data o data cu semnatura, sau este posibil ca documentul insusi sa aiba o data mentionata pe el, dar cineva care l-ar putea citi mai tarziu nu ar putea fi sigur daca semnatarul nu a decalat cumva data semnaturii. Aceste probleme pot fi inlaturate prin folosirea unui “time stamp” pe langa semnatura digitala.
Masuri de securitate aditionale
Toate sistemele de criptare in cheie private/publica depind in totalitate de tinerea sub secret a cheii private. O cheie privata poate fi stocata in computerul utilizatorului, si protejata de exemplu de o parola locala, insa acest lucru are doua dezavantaje: utilizatorul poate semna doar documente pe acel calculator particular si de asemenea, securitatea cheii private depinde complet de securitatea computerului, fiind de notorietate faptul ca nu putem baza pe majoritatea PC-urilor si sistemelor de operare din punctual acesta de vedere.
O alternativa mult mai sigura este sa stocam cheia privata pe un smart card. Multe smart card-uri au fost create in mod special urmarindu-se sa fie cate mai rezistente. In implementarea tipica, hash-ul
trimis catre smart card, al carui CPU cripteaza hash-ul utilizand cheia private stocata si il returneaza. Tipic, un utilizator trebuie sa -si activeze smart card-ul prin introducerea numarului de PIN (ceea ce obliga la o autentificare dubla). Aceasta solutie reduce schema de securitate la PIN-ul sistemului, dar este fara indoiala o alternativa mai sigura decat majoritatea PC-urilor.
2.2 Funcționarea sistemului de semnare si verificare a semnaturii electronice
XYZMO
xyzmo® Seal Client- xyzmo® Seal for Windows
xyzmo® Seal Client reprezinta punctul de intrare in lumea xyzmo® a
semnaturilor digitale. xyzmo® Seal for Windows permite protejarea proprietatii intelectuale si urmarirea drumului comunicatiilor de afaceri. Produsul are un design simplu si se foloseste ca si o imprimanta pentru Windows.
Pasii ce trebuie urmati pentru semnarea digitala a unui document folosind xyzmo, sunt:
Deschiderea documentului pe care dorim sa il semnam;
Urmand comanda standard “Print”, se va alege in sectiunea de imprimante (printer) “xyzmo® Seal”;
Selectarea unui logo din fereastra urmatoare;
Urmatorul click transforma documentul intr-un document PDF semnat digital- acest document reprezinta acum originalul;
Documentul rezultat poate fi acum arhivat sau trimis. La primirea unui document astfel semnat, destinatarul poate determina identitatea autorului si se poate asigura de integritatea acestuia. Tot ce este necesar a fi facut este un click pe linkul de test din semnatura (“click to verify”), si, in cateva secumde se va emite un certificat ce contine informatia referitoare la autenticitatea si identitatea semnatarului.xyzmo® Seal for Windows este potrivit pentru semnarea digitala individuala sau multipla, cat si pentru verificarea individuala si multipla a documentelor semnate. Semnatura digitala poate fi evidentiata in toate formatele, in format digital ca si semnatura electronica, pe hartie ca o asa-numita “digital to paper hard copy”, si, natural ca si microfilm. In plus, o semnatura manuala digitala poate fi integrata ca si un nivel in plus de securitate. Semnarea are loc in mod conventional.
xyzmo® DIG2P Hardcopy
Pentru situatiile in care este indispensabila si o copie de hartie a unui document semnat digital, xyzmo® a dezvoltat si produsul xyzmo® DIG2P Hardcopy. xyzmo® DIG2P Hardcopy permite printarea pe hartia pe care este printat documentul a unui cod de bare care contine toata informatia necesara. Citirea poate fi facuta in orice moment prin simpla scanare a codului de bare atatsat documentului, ceea ce permite convertirea in secventa de date ce reprezenta semnatura digitala.
xyzmo® SIGNificant
Acest produs este deosebit de util in a evita printarea documentelor doar pentru a putea fi semnate. Majoritatea companiilor deja si-au automatizat procesul de desfasurare a activitatii lor, lasand astfel ca singur element ce necesita folosirea hartiei, stadiul de aprobare a documentelor. Procesul electronic este oprit numai pentru a obtine o semnatura, ceea ce necesita ca apoi acest document sa fie scanat pentru a fi adaugat in arhiva electronica.
Folosing SIGNificant, semnatura de mana devine o parte inerenta a fluxului de documente. SIGNificant este o aplicatie web-based, care permite
semnarea unui document din orice locatie fizica, fara sa fie nevoie tiparirea acestuia. Semnarea unui document electronic cu SIGNificant, este la fel de
simpla ca si o semnatura facuta pe hartie cu pixul. Pus si simplu “Click to sign” si foloseste un sitlou digital pe un TabletPC, display sau o desktop digital tablet. Semantura va aparea imediat pe document.
SIGNificant ataseaza documentului semnatura electronica, informatia referitoare la utilizator si parametrii biometrici ai semnaturii. Semnatura grafica poate fi vazuta atat pe ecran, cat si pe copia tiparita, si devine parte din intregul document.
SIGNificant este o aplicatie web-based, astfel, utilizatorii au nevoie doar de acces la internet. Nu este nevoie de instalare sau download pentru a putea functiona. Cei care calatoresc pot semna din orice locatie, evitand astefel amanarile aprobarilor.
xyzmo® Server si xyzmo® Appliance
xyzmo® Server formeaza inima platformei xyzmo®, cuprinzand: interfete de comunicare, servicii de autentificare, livrare in siguranta a documentelor, serviciu de time stamping, formate de semnaturi standard, dar si de noua generatie, servicii de verificare a documentelor, tehonlogie DIG2P, formulare electronice.
xyzmo® Appliance este o solutie hardware out-of-the-box pentru server
pentru orice tip de semnare in masa a documentelor. Folosind conectorii xyzmo® (xyzmo® Connectors) adecvati, sistemul utilizatorului poate comunica
cu serverul si poate transfera documente pentru a fi semnate. Functiile xyzmo® Appliance sunt:
– semnarea documentelor;
– selectia pentru formatul semnaturii (xyzmo® Seal, Adobe PDF, CMS/PKCS#7, XMLDSIG) ;
– tipuri de semnaturi: semnatura simpla, semnatura avansata, semnatura calificata;
– procesare pe baza de reguli (de exemplu: o semnatura avansata este aplicata pentru toate documentele ce au la expeditor
[anonimizat], folosind procedura xyzmo® Seal Signature; apoi acestea sunt trimise prin e-mail si stocate pe file server)
poate emite o cantitate de documente pentru semnat;
concept Plug-in pentru formarea de legaturi cu oricati conectori xyzmo® (xyzmo® C
Securitatea:
O data ce un document sau formular este semnat in mod automat folosind ApproveIt Desktop, integritatea datelor este securizata si o ruta de audit
este atasata in mod permanent la document. Semnatura electronica rezultata este invalidata in mod clar, daca sunt facute cumva modificari neautorizate. Solutia poate fi de asemenea combinata cu o varietate de solutii pentru autentificarea utilizatorului, incluzand PKI sau smart cards.
Suportul oferit proceselor business complexe ce implica mai multi utilizatori:
Un proces de aprobare in afaceri nu este intotdeauna la fel de simplu cum ar parea. Procesul devine din ce in ce mai complex cu cat exista mai multe persoane care semneaza, care isi asuma responsabilitatea pentru diferite parti ale documentului sau formularului si care apoi fac modificari autorizate asupra continutului semnat.Un process de aprobare in lumea electronica trebuie astfel sa ofere cu mult mai mult decat o semnatura electronica si capacitate de autenticitate a datelor. De asemenea trebuie sa administreze si sa automatizeze semnaturile ca si parte dintr-un proces intreg atutentificat de aprobare in afaceri.
Nici o semnatura digitala sau electronica nu s-ar putea apropia de capacitatea de a suporta asemenea procese fara niste programare in plus. Editarea sau adaugarea de informatie la un document semnat, chiar daca este doar adaugarea datei sau a numelui sau titlului unei persoane, poate invalida documentul, caci tehnologiile sunt programate sa detecteze toate modificarile ce sunt aduse documentului.
de complexitatea sau de numarul de semnaturi necesare.
ApproveIt Desktop permite semnarea unui document oricand, oriunde si
de catre oricine. Indiferent daca procesele de aprobare ale unei organizatii au loc intre cei patru pereti ai acesteia sau in fata clientilor, ApproveIt Desktop le
poate rezolva.
Procesul de semnare poate avea loc la calculatorul propriu, pe un laptop sau la o statie de semnare special desemnata pentru aplicatii interfata cu clientul. O semnatura electronica este aplicata toturor documentelor folosind un fisier electronic ce contine semnatura olografa a semnatarului, sau folosind un “pad” de semnare care capteaza semnatura “live” a persoanei.
ApproveIt Desktop poate fi combinata cu alte produse de autentificare pentru terti, incluzand certificate digitale PKI, CAC, sau smart-card-uri.
Spre deosebire de metodele DSS sau El Gamal, care pot fi folosite doar pentru semnatura digitala, RSA este un sistem criptografic ce poate fi folosit atât la criptare cât si la semnare. De aceea vom explica substratul matematic al ambelor servicii.
Baza teoretica a lui RSA este generalizarea lui Euler a Teoremei Fermat care stabileste
ca: Mj (n) =1 mod n
Aceasta proprietate implica necesitatea ca cele 2 chei, PUB si PRIV sa fie inverse
multiplicativ modulo j(n): PUB*PRIV = 1 mod j(n)
Fiecare utilizator, de exemplu Dan, obtine de la un administrator modulul n Dan si exponentii PUBDan si PRIVDan. Apoi userul Dan va înregistra într-un fisier public, cheia publica (nDan, PUBDan), tinînd secreta pe PRIVDan.
-functia de criptare cu RSA
Un alt utilizator, Ana, va putea emite un document M criptat utilizînd cheia publica a lui Dan, adica ridicarea la puterea PUBDan, modulo nDan, a documentului electronic,
interpretat ca un întreg: C = M PUBDan mod nDan
La receptie, utilizatorul destinatar Dan va obtine documentul în clar, tot prin ridicare la
putere, cu cheia sa secreta PRIVDan: M=C PRIVDan mod nDan = (M PUBDan )PRIVDan mod nDan.
-functia de semnatura digitala cu RSDan Utilizatorul Dan va putea semna un rezumatul H(M) al unui document M calculând, cu cheia sa secreta PRIVDan :
S = (H(M)) PRIVDan mod nDan,
Orice alt user, de exemplu Ana, va putea autentifica acest document, utilizînd cheia publica PUBDan a lui Dan si calculând, tot prin exponentiere, rezmatul H(M), din semnatura S receptionata: H(M)= S PUBDan mod nDan .
Daca rezumatul astfel calculat coincide cu cel calculat direct din documentul electronic,
semnatura se considera a fi valida.
2.3. Certificatele digitale si infrastructuri cu chei publice
În functionarea sistemelor de semnatura digitala este necesar un sistem de generare, circulatie si autentificare a cheilor folosite de utilizatori. Sa ne imaginam situatia când o persoana, sa zicem Vlad, doreste sa se dea drept altcineva, Dan, si vrea sa sem-neze în fals în numele lui Dan; falsifica-torul (Vlad) poate face acest lucru usor, generându-si propria sa pereche de chei si punând-o pe cea publica în fisierul public, în locul celei autentice a lui Dan. Documente semnate de Vlad cu cheia sa secreta vor fi verificate cu cheia publica ce pare a fi a lui Dan si orice persoana se va însela de autenticitatea documentelor semnate în numele lui Dan. Problema fundamentala este deci accea a încrederii absolute în cheile publice, cele cu care se face verificarea semnaturilor digitale. Acestea trebuie sa fie disponibile în retea, astfel ca orice client sa poata obtine cheia publica a unui emitent de document semnat. În acest context, solutia tehnica exista: crearea unei infrastructuri interna-tionale, bazat pe Autoritati de Certificare –AC (Certification Authority), care sa permita obtinerea cu usurinta si într-o ma-niera sigura
a cheilor publice ale persoa-nelor cu care se doreste sa se comunice prin Internet. Aceste
autoritati urmeaza sa distribuie, la cerere, certificate de chei au-tentificate.
Cel mai larg recunoscut si utilizat format pentru certificatele de chei publice este acela definit în standardul X.509 de catre ISO/IEC/ITU. Formatul X.509 pentru certificate a evoluat de-a lungul a trei versiuni.
Versiunea 3 (care a fost adoptata în 1996) a introdus câteva caracteristici noi. În timp ce
versiunile anterioare asigurau suport numai pentru sistemul de nume X.500, versiunea 3 suporta o mare varietate de forme pentru nume, incluzând adrese de email si URL-uri.
Versiunea 3 introduce niste extensii pentru certificate incluzând în acestea extensiile
standard, private sau cele definite la nivel de comunitat.
Infrastructurile de chei publice (PKI – Public Key Infrastructure) constau in multimea serviciilor necesare a fi asigurate atunci când tehnologiile de criptare cu chei publice sunt folosite pe o scara larga. Aceste servicii sunt atât de natura tehno-logica cât si legislativa iar existenta lor este necesara pentru a permite exploatarea tehnologiilor de chei publice la întreaga lor capacitate în vederea asigurarii suportului pentru comertul electronic. Elementele cheie ale infrastructurilor de chei publice sunt:
certificatele digitale,
Autoritatile de Certificare (AC),
facilitatile de management al certificatelor.
Când se încearca transpunerea acestor concept în lumea reala (în special în medii implicând organizatii si comunitati foarte diverse, care necesita sa interopereze în moduri complexe) apar o serie de aspect greu de solutionat. Infrastructurile de chei publice trebuie sa asigure suport atât pentru functii de criptare cât si pentru cele de semnatura digitala.
Semnaturi digitale de grup
Semnaturile digitale de grup extind conceptual de semnatura digitala obisnuita prin aceea ca implica participarea mai multor entitati: membrilor unui anumit grup le este permis sa semneze în numele între-gului grup. Aceste semnaturi pot fi verifi-cate folosind o singura cheie, numita cheie publica de grup. De asemenea, odata ce un document a fost semnat, nimeni, cu excep-tia unui membru special al grupului (numit manager de grup), nu poate determina ce membru al grupului a semnat acel docu-ment. Semnaturile de grup trebuie proiec-tate în asa fel încât nici un membru al grupului sa nu poata falsifica semnatura al-tui membru din grup pe un anumit document.
CONCLUZII
Internet-ul furnizeaza corporatiilor dar si micilor firme oportunitati pentru dezvolta-rea unui nou tip de afaceri de mare efi-cienta, cuprinse generic în paradigmele de e- commerce sau e-business. În acest context, securitatea informatica devine o provocare majora, care trebuie sa confere încredere în noua lume electronica.
Autentificarea entitatiilor implicate în desfasurarea tranzactiilor, autentificarea continutului pieselor de informatie schimbate sau distribuite prin Internet, reprezinta cerinte de securitate ce sunt abordate prin intermediul semnaturilor digitale individuale sau de grup. Existenta unor entitati emitente de certificate digitale si a unor infrastructuri care sa permita distributia sigura a acestor certificate reprezinta noi cerinte tehnologice, în curs de implemen-tare pentru securizarea spatiului cibernetic al Internet-ului
Semnatura digitala este un instrument deosebit de util si puternic totdata, care ofera urmatoarele facilitati:
Permite semnatarilor unui document sa oficializeze acest act chiar daca se afla la mare distanta geografica fata de locul unde trebuie semnat documentul;
Prin folosirea semnaturii digitale, destinatarul poate sa fie sigur de identitatea expeditorului;
Prin faptul ca orice modificare, cat de mica a documentului semnat digital duce automat la anularea semnaturii, destinatarul are convingerea ca documentul a ajuns in stare nealterata.
Pe de alta parte, un document semnat electronic se supune clauzei juridice de non-repudiere, adica semnatarul nu poate sustine ca nu a semnat acel document. Totusi, pierderea controlului asupra unei chei private de catre semnatar va insemna ca toate semnaturile digitale folosind acea cheie (deci primite “de la” acel utilizator) vor fi suspecte. O astfel de pierdere a controlului nu este o problema de criptare, ci una care tine de factorul uman. Datorita lipsei de protocoale pentru adresarea acestei probleme, semnaturile digitale nu pot oferi astfel non-repudiere completa.
Orice document semnat digital poate fi tiparit la imprimanta, continand informatia ca documentul original e cel electronic si ca acesta poarta semnatura electronica a semnatarului.
Implementarea semnaturii electronice aduce companiilor reducerea costurilor si cresterea randamentului
Intr-o companie, semnatura digitala poate fi utilizata atat pentru procesele interne cat si pentru cele externe. Procesele interne implica interactiuni intre angjati sau departamente ceea ce determina rapoarte de vanzare, rapoarte financiare etc. Procesele externe presupun trenzactii cu clintii, furnizorii, agentiile, guvernul etc., cre mplica o multime de documente cum ar fi: facturi, ordine de plata, contracte legale, acorduri.
Cele trei motive principale pentru care se recomanda folosirea semnaturilor digitale sunt:
Autenticitatea
Desi documentele digitale pot sa includa informatii despre idetitatea celui care le-a emis, aceste informatii pot sa nu fie corecte. Semnatura digitala poate fi folosita pentru autentificarea sursei documentului. Atunci cand dreptul de proprietate asupra unei semnturi digitale apartine unei anumite persoane, semnatura digitala arata ca documentul a fost eliberat de catre acea persoana. Importanta acestui aspect apare in dovedirea autenticitatii documentelor digitale in context financiar-contabil. De exemplu o actele contabile ale unei firme sunt trimise corect de catre firma de contabilitate catre administratorul firmei. Daca acesta va modifica aceste acte incercand sa schimbe informatiile financiare sau orice fel de informatii transmise ca fisier PDF/A semnat electronic, pentru a putea obtine un credit de la o banca, in momentul in care banca deschide acele documente, semnatura electronica va fi invalidata, deci firma de contabilitate nu va putea fi considerata responsabila de continutul documentului, persoana care a transmis documentul modificat nu va putea fi urmarita in justitie pentru fals si uz de fals, iar banca va fi asigurata ca nu cade in capcana acordarii unui credit pe baza unor documente false.
Integritatea
Semnatura digitala aplicata unui document electronic reprezinta o garantie a integritatii documentului atunci cand este validata de o autoritate publica. Cheia aleatoare se creeaza pe baza unor criterii multiple care includ printre altele si detalii despre continutul documentului. Orice modificare a continutului unui document digital inseamna o chaie aleatoare noua diferita de cheia aleatoare folosita pentru aplicarea semnaturii digitale. In clipa in care se solicita validarea documentului cele doua chei aleatoare din imaginea de mai sus vor fi diferite, iar documentul se va putea considera ca avand continutul alterat.
Imposibilitatea repudierii
Odata ce este emis un document digital semnat electronic, atata vreme cat semnatura electronica este valida pe documentul digital, autorul documentului nu isi poate declina raspunderea pentru continutul documentului cu semnatura electronica valida. In plus, nu poate nega faptul ca documentul a fost semnat personal, deoarece legislatia in vigoare prevede faptul ca detinatorul unei semnaturi digitale NU are dreptul sa instraineze/imprumute token-ul pe care exista certificatul digital calificat pe care il detine. Din acest punct de vedere, exemplul de mai sus in care firma de contabilitate transmite documentele financiare firmei pentru care le intocmeste, daca a comis greseli in intocmirea acestor acte, ramane responsabila pentru datele prezentate, cata vreme documentul digital transmis poarta o semnatura valida.
BIBLIOGRAFIE
Patriciu V., Pietrosanu M., “Securi-tatea comertului electronicl”, Ed.All, 2000, sub tipar Revista Informatica Economica, nr. 1 (17)/2001
Denning D.E.,"Encryption Policy and Market Trends”, RSA Data Security Conference, 1997;
Schneier B., “Applied Crypography”, John Wiley & Sons, 1996;
Mihai Tudose “Securitatea economica in era transformarilor globale” , 2008
Stefan Brands “Rethinking Public Key Infrastructures And Digital Certificates ” 2009;
www.regielive.ro
www.wikipedia.com;
www. basicinternetsecurity.org
BIBLIOGRAFIE
Patriciu V., Pietrosanu M., “Securi-tatea comertului electronicl”, Ed.All, 2000, sub tipar Revista Informatica Economica, nr. 1 (17)/2001
Denning D.E.,"Encryption Policy and Market Trends”, RSA Data Security Conference, 1997;
Schneier B., “Applied Crypography”, John Wiley & Sons, 1996;
Mihai Tudose “Securitatea economica in era transformarilor globale” , 2008
Stefan Brands “Rethinking Public Key Infrastructures And Digital Certificates ” 2009;
www.regielive.ro
www.wikipedia.com;
www. basicinternetsecurity.org
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Tehnologii de Securitate pe Internet. Semnatura Digitala (ID: 150692)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.