Заштита података у електронској трговини

Један од начина заштите података који се користи у електронској трговини, познат као криптографија

Заштита података у електронској трговини је процес обезбеђивања и заштите информација односно података од губитка или оштећења, а који се користи у електронској трговини (енгл. Electronic commerce).

Електронска трговина представља било коју трансакцију преко рачунарске мреже, која укључује пренос власништва или права за коришћење роба или услуга[1], док податак представља информацију, поруку и документ сачињен, послат, примљен, забележен, складиштен или приказан електронским путем, укључујући пренос интернетом и електронску пошту.[2] Приликом обављања електронске трговине, често се дешава да се податакподаци изгубе, као и то да доспеју у руке неовлашћених особа и самим тим постану предмет неовлашћеног коришћења и многих других злоупотреба. Због тога је у циљу безбедности података у савременом пословању потребно пронаћи механизам који ће обезбедити:

  • Заштиту тајности информација (спречавање откривања њиховог садржаја)
  • Интегритет информација (спречавање неовлашћене измене информација)
  • Аутентичност информација (дефинисање и провера идентитета пошиљаоца)

Електронска трговина

Главни чланак: Електронска трговина

Електронска трговина, (енгл. Electronic commerce), односи се на куповину и продају производа или услуга путем електронских система као што су Интернет и других рачунарских мрежа. Електронска трговина се заснива на таквим технологијама као електронски трансфер средстава и управљање ланцем снабдевања, Интернет маркетинг, онлајн трансакција, електронска размена података (ЕДИ), система за управљање инвентара, као и аутоматизованих система за прикупљање података. Модерна електронска трговина обично користи ВВВ и може да обухвати шири спектар технологија као што су е-поште, мобилних уређаја и телефона.

Електронска трговина се углавном сматра аспектоm продаје е-пословања и може се поделити на[3]:

Безбедносне функције

У циљу остваривања заштите тајности, интегритета и аутентичности информација, безбедносне функције се деле на следеће главне категорије[4]:

Аутентификација

Аутентификација је процес у оквиру кога корисник или извор информација доказују да су то за шта се представљају - другим речима, процес утврђивања идентитета корисника који покушава да приступи систему. Два рачунара која користе СМТП размењују аутентификационе кодове. Под аутентификацијом се подразумева коришћење било које технике која пријемнику омогућава аутоматско идентификовање и одбацивање порука које су намерно измењене или су измењене због грешака у каналу. Осим тога, може да се користи за обезбеђивање позитивне аутентификације пошиљаоца поруке, мада је могуће користити алгоритме са тајним (симетричним) кључем, ради неке врсте аутентификације, пре него што се било какве тајне поделе између страна које размењују поруке[5].

Основни web.config фајл треба да садржи информацију-директиву о типу аутентификације. Иницијално, овде стоји Microsoft Windows. Пример тага за аутентификацију: 

<authentication mode="Forms" >
       <forms loginUrl="~/Login.aspx"></forms>
</authentication>

Ауторизација

Токен и смарт картица

Општа дефиниција ауторизације јесте да је то процес који се односи на проверу да појединац или организација која је затражила или иницирала радњу има право да то учини[6]. Друга дефиниција, у ужем смислу се односи на рачунарски приступ: Ауторизација је процес одобравања или негирања приступа корисника безбедном систему[7]. Постоји неколико начина ауторизације. За приватне кориснике су то најчешће токени или ТАН-ови, док правна лица у правилу користе смарт-картице.

  • Токен је уређај налик џепном калкулатору. Један се такав уређај уступа клијенту на привремено коришћење приликом регистрације за услугу Интернет банкарства[8].
  • Смарт-картица је картица у којој се налази или микропроцесор и меморијски чип или само меморијски чип с непрограмабилном логиком[9]. На картици која садржи микропроцесор постоји могућност уписивања података, брисања или неке друге врсте манипулације подацима. Картица која има само меморијски чип може изводити само предефинисане функције. Смарт-картице, за разлику од картица са магнетном траком, садрже све потребне функције и информације потребне за ауторизацију, због чега у тренутку трансакције није потребан приступ удаљеним базама података.

Криптографија

Главни чланак: Криптографија

Криптографија је наука која се бави методима очувања тајности информација[10]. Када се личне, финансијске, војне или информације државне безбедности преносе са места на место, оне постају рањиве на прислушкивачке тактике. Овакви проблеми се могу избећи криптовањем (шифровањем) информација које их чини недоступним нежељеној страни.

Патентирани IDEA алгоритам, који се користи за веома брзе енкрипције, на пример за електронску пошту

.

Шифра и дигитални потпис су криптографске технике које се користе да би се имплементирали безбедносни сервиси. Основни елемент који се користи назива се шифарски систем или алгоритам шифровања. Сваки шифарски систем обухвата пар трансформација података, које се називају шифровање и дешифровање. Шифровање је процедура која трансформише оригиналну информацију (отворени текст) у шифроване податке (шифрат). Обрнут процес, дешифровање, реконструише отворени текст на основу шифрае.

Приликом шифровања, поред отвореног текста, користи се једна независна вредност која се назива кључ шифровања. Слично, трансформација за дешифровање користи кључ дешифровања. Број симбола који представљају кључ (дужина кључа) зависи од шифарског система и представља један од параметара сигурности тог система[11]. Криптоанализа је наука која се бави разбијањем шифри, односно откривањем садржаја отвореног текста на основу шифре, а без познавања кључа. У ширем смислу, криптоанализа обухвата и проучавање слабости криптографских елемената, као што су, на пример, хеш функције или протоколи аутентификације. Различите технике криптоанализе називају се напади.

Основни елементи криптографије[12]:

  • шифровање - поступак трансформације читљивог текста у облик нечитљив за онога коме тај текст није намењен.
  • дешифровање - поступак враћања шифрованог текста у читљив облик
  • кључ - почетна вредност алгоритма којим се врши шифровање.

Криптографија може бити[12]:

  • Симетрична криптографија: исти кључ се користи и за шифровање и за дешифровање
  • Асиметрична криптографија: За разлику од симетричне криптографије, Асиметрична криптографија користи два кључа — јавни и приватни. Принцип је следећи: у исто време се праве приватни и одговарајући јавни кључ. Јавни кључ се даје особама које шаљу шифроване податке. Помоћу њега те особе шифрују поруку коју желе да пошаљу. Када прималац добије шифрат, дешифрује га помоћу свог приватног кључа. На тај начин сваки прималац има свој приватни кључ а јавни се може дати било коме, пошто се он користи само за шифровање, а не и дешифровање.
  • Функција за сажимање – хеш функција: Горенаведени алгоритми шифровања не штите интегритет односно веродостојност поруке која је шифрована. Ово је врло важно из разлога јер је могуће да је кључ проваљен и да нам нападач шаље лажне поруке, али и могућности да је дошло до грешке приликом шифровања, тако да примљена порука није идентична оригиналном документу. Из тог разлога креиране су функције за сажимање или хеш (могу се сусрести и под именима енгл. one-way, hash function, message digest, fingerprint) алгоритми. Најпознатији и најкоришћенији хеш алгоритми су SHA-1, MD5, RIPEMD-160 итд. Хеш алгоритми се сврставају у криптографске алгоритме без кључа.

Дигитални потпис

Дијаграм који показује како је дигитални потпис примењен а потом и верификован

Дигитални потпис (енгл. Digital signature) представља дигиталну верзију ручног потписа. Користи се за доказ ауторства и омогућава да документ који се преноси преко Интернета има исту валидност као ручно потписан документ. Дигитални потпис није исто што и електронски потпис, већ представља доста ужи појам тј. често улази у састав електронског потписа. У Закону о електронском потпису Републике Србије електронски потпис се дефинише као:

За доказ аутентичности неког документа потписаног дигиталним потписом користе се два криптографска кључа који се називају: јавни кључ(енгл. public кеy) и тајни кључ(енгл. private кеy). За криптографију јавним кључем најчешће се користи RSA алгоритам(назван по својим проналазачима Рону Ривесту, Адију Шамиру и Леонарду Ејдлману).[14]

Особине дигиталног потписа

Дигитални потпис има следеће особине:

  • Аутентичност - којом се потврђује идентитет потписника.
  • Интегритет - којим се потврђује да садржај документа није мењан након што је оверен дигиталним потписом.
  • Непорецивост - пошиљалац не може да порекне да је послао одређену поруку коју је потписао својим тајним кључем
  • Некривотворљивост - за потпис се користи тајни кључ који је познат само особи која потписује документ. Једини начин незаконитог искоришћавања потписа је вишеструко коришћење истог потписаног документа (енгл. Resend-attack). Ова злоупотреба потписа се може спречити навођењем времена и датума приликом потписивања(енгл. timestamping).

Начини шифровања

Најчешће коришћени начини шифровања су: метода симетричног шифровања, метода асиметричног шифровања и метода потписивања једносмерном функцијом. Метода симетричног функцијом је најстарија и она користи исти тајни кључ за шифровање и дешифровање.[15] Главна мана методе симетричног шифровања је низак ниво безбедности тајног кључа, јер постоји опасност од његове крађе несигурним комуникационим каналима. Методе једносмерног шифровања за шифровање података користе једносмерне функције које називамо и хеш функције. Код метода асиметричног шифровања користе се јавни и тајни кључ. Јавни кључ је доступан свима и служи да се помоћу њега шифрују подаци који ће бити послати другој особи. Та особа ће моћи да приступи подацима помоћу свог тајног кључа. Тајни кључ поседује само прималац поруке и он га не треба дистрибуирати осталим корисницима. Тајни кључ омоугћава примаоцу поруке да дешифрује податке који су шифровани његовим јавним кључем.[16]

Алгоритми јавног кључа

Алгоритми асиметричне криптографије познати су и под називом криптографија јавног кључа (енгл. public key cryptography). Алгоритме јавног кључа (енгл. public key algorithmics) можемо поделити у три основне групе[17]:

  1. алгоритми засновани на практичној немогућности факторизације великих простих бројева (RSA)
  2. алгоритми засновани на практичној немогућности израчунавања дискретних логаритама
  3. алгоритми засновани на елипсастим кривама
Метод шифровања тајним кључем

Шифровање тајним кључем (Симетрично шифровање) јесте шифарски систем код кога је кључ за шифровање идентичан кључу за дешифровање. Што значи да и пошиљалац и прималац поруке користе исти тајни кључ[12].

Метод шифровања јавним кључем

У њему сваки учесник у комуникацији користи два кључа. Један кључ је јавни и може се слободно дистрибуирати, док је други тајни и доступан је само његовом власнику.

Иако су различити, кључеви су међусобно повезани одређеним трансформацијама. Познавање једног кључа и алгоритма трансформације не омогућава добијање другог кључа.

Обезбеђење аутентичности информација тј. дефинисање и провера идентитета пошиљаоца постиже се употребом дигиталних потписа и дигиталних сертификата.

Сврха дигиталног потписа је да потврди аутентичност садржаја поруке (доказ да порука није промењена на путу од пошиљаоца до примаоца), као и да обезбеди гарантовање идентитета пошиљаоца поруке. Основу дигиталног потписа чини садржај саме поруке.

Пошиљалац применом одређених криптографских алгоритама прво од своје поруке која је произвољне дужине ствара запис фиксне дужине (пр. 512 или 1024 бита) који у потпуности осликава садржај поруке.[12].

Дигитални сертификат

Електронски сертификат (енгл. Digital certificate) је електронски документ који издаје сертификационо тело (енгл. Certification Authority - CA). Електронски сертификат може да се схвати као дигитална лична карта, јер садржи податке о кориснику сертификата и податке о издаваоцу дигиталног сертификата[18]. То је уверење којим се потврђује веза између података за верификацију електронског потписа и идентитета потписника, који је издат од стране акредитованог сертификационог тела. У оквиру дигиталног сертификата који се изда кориснику налази се поред осталог и корисников јавни криптографски кључ (енгл. Public key), који је пар његовом тајном криптографском кључу (Private Key). Сертификациони ауторитет гарантује тачност података у сертификату тј. гарантује да јавни кључ који се налази у сертификату припада кориснику чији су подаци наведени у том истом сертификату. Због тога, остали корисници на Интернету уколико имају поверење у сертификационо тело, могу да буду сигурни да одређени јавни кључ заиста припада кориснику који је власник припадајућег тајног кључа.

Електронски сертификат је електронски документ који је јавно доступан на Интернету[19]. Због тога што се у оквиру сертификата налазе јавни кључеви корисника сертификата, дистрибуцијом сертификата се дистрибуирају и јавни кључеви. Из тог разлога, омогућена је поуздана размена јавних кључева посредством Интернета између корисника који се никада нису срели, уз могућност верификовања идентитета корисника. Електронски сертификат је немогуће фалсификовати јер је потписан тајним криптографским кључем (енгл. Private key) сертификационог тела. За верификовање ваљаности дигиталног сертификата користи се јавни кључ тј. сертификат сертификационог тела.

Пример антивирус софтвера
Илустрација, где би заштитни зид требало да се налази у мрежи

Приступ и интегритет података

Главни чланци: Антивирус и Заштитни зид

Постоји неколико осталих различитих начина да се спречи приступ подацима који се чувају на мрежи. Један од начина је да се користити антивирус софтвер како би заштитили своју мрежу без обзира на податке које имају. У е-трговини се препоручује обавезно коришћење антивируса јер онда можете бити сигурни да су информације које се шаљу и примају у њиховом систему чисте и без шпијунских програма односно тројанаца, који могу угрозити интегритет података.[20].

Други начин заштите података јесте коришћење заштитног зида. Заштитни зид (енгл. Firewall, у преводу ватрени зид, ватробран) се користи за ограничавање приступа приватним мрежама, као и јавним мрежама које могу да користе компаније. Заштитни зид такође има способност да пријави покушај уласка у мрежу и обезбеди упозорења о томе. Компаније које користе Вај-фај треба да размотре различите облике заштите, јер ове мреже предтављају најлакше мете упада неовлашћених лица.

Још једна опција је постојање система за детекцију упада. Овај систем обавештава када постоји могући упад у мрежу.

Види још

Референце

  1. ^ „Елецтронско пословање и управљање системима” (PDF). Архивирано из оригинала (PDF) 11. 10. 2010. г. Приступљено 10. 05. 2012. 
  2. ^ „Закон о електронској трговини” (PDF). Архивирано из оригинала (PDF) 17. 04. 2012. г. Приступљено 10. 05. 2012. 
  3. ^ E-commerce (electronic commerce or EC)
  4. ^ e-Commerce security: Attacks and preventive strategies
  5. ^ Authentication - autentifikacija
  6. ^ 1. General: Process used in verifying that the individual or organization who has requested or initiated an action has the right to do so. 2. Computer access: Process of granting or denying a user the access to a secure system. Most computer security systems are based on a two step process: (1) Authentication to ensure that the entity requesting access to the system is what or who it claims to be, and (2) Authorization to allow access only to those resources which are appropriate to that entity's identity. Read more Архивирано на веб-сајту Wayback Machine (3. јун 2012)
  7. ^ ASP.NET Authorization
  8. ^ Security token (authentication token)
  9. ^ SmartCard Detective Архивирано на веб-сајту Wayback Machine (23. мај 2012), Приступљено 5. 4. 2013.
  10. ^ Cryptology
  11. ^ An Overview of Cryptography
  12. ^ а б в г „Kriptografija”. Архивирано из оригинала 21. 05. 2011. г. Приступљено 10. 05. 2012. 
  13. ^ Закон о електронском потпису Републике Србије
  14. ^ James F. Kurose, Keith W. Ross, Umrežavanje računara, Cet, Beograd, (2009). стр. 701–705.
  15. ^ Siladi D., Pogled u digitalizaciju tinte, Mreža, broj 5. стр. 62—64., godina XI
  16. ^ Vrbanec T., Hutinski Ž., Data protection, identifications and autentification in applications and protocols, 21st Scientific Conference on Development of Organizational Sciences, Portorož. стр. 1011–1025., godina 2002.
  17. ^ A. Menezes, Elliptic Curve Public Key Cryptosystems, Kluwer Academic Publishers, Boston, 1993.
  18. ^ „Сертификационо тело МУП-а Републике Србије”. Архивирано из оригинала 17. 05. 2013. г. Приступљено 12. 05. 2012. 
  19. ^ Digitalni sertifikati[мртва веза]
  20. ^ Industry Canada | Industrie Canada. Industry Canada, 24 Aug. 2010. Web. 30 Nov. 2010.

Литература

  • Vrbanec T., Hutinski Ž., Data protection, identifications and autentification in applications and protocols, 21st Scientific Conference on Development of Organizational Sciences, Portorož. стр. 1011–1025., godina 2002.
  • James F. Kurose, Keith W. Ross, Umrežavanje računara, Cet, Beograd, (2009). стр. 701–705.

Спољашње везе
Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi

Kembali kehalaman sebelumnya