|
А.М. Рыбников
Платежные системы
Учебное пособие – Симферополь: ТНУ, 2011. – 228 с.
Глава 5. Специфика действия зарубежных платежных систем
5.4. Электронная коммерция с использованием средств Internet
5.4.3. Методы защиты платежей в сети Internet
Слабым местом
сетевой инфраструктуры являются незащищенные каналы связи, где имеется
возможность появления несуществующих платежей, перехвата и несанкционированного
использования платежных данных, других проявлений мошенничества и
злоупотреблений. Такие случаи бывали в Іntеrnеt. Существуют два пути защиты
передачи информации: изолирование сети, которая используется для обработки
платежей, то есть использование частных сетей, и шифрование данных.
Общепризнанно,
что асимметрические алгоритмы шифрования обеспечивают высший уровень надежности
и безопасности. Наиболее распространено шифрование с помощью открытых ключей.
Для расшифровки используются тайные ключи. Количество возможных комбинаций,
пригодных для расшифровки зашифрованной с помощью открытых ключей информации, зависит
от длины ключа в битах. Употребление длинных последовательностей в роли ключей
разрешает опережать возможности современных компьютеров, обеспечивая надежную
защиту важнейшей информации. До недавнего времени в Іntеrnеt для защиты
информации наиболее часто применялись ключи длиной 40 бит, но эти ключи были
легко раскрыты (следует отметить, что использование такого ненадежного средства
было следствием очень жестких ограничений на экспорт в США мощных шифровальных
средств). Сейчас в Іntеrnеt распространены ключи длиной 1024 бит или даже
длиннее.
В платежных
системах важная задача - идентификация участников платежа (аутентификация). Это
делается для ограничения доступа к платежным средствам, предоставляя право на
такой доступ лишь их собственникам, и для обеспечения возможности получать
сообщение о платежных операциях лишь тем, кому они адресованы. Надежная
аутентификация оказывает содействие также повышению уровня взаимного доверия
между участниками электронной коммерции. На текущий момент в Іntеrnеt применяются
разнообразные средства аутентификации. К ним належит персональный
идентификационный код (ПИН-код), который необходимо ввести перед выполнением
финансовой операции. Но незначительная длина таких кодов разрешает мошенникам
довольно легко одолевать такие методы защиты.
Более удачным
для защиты оказалось использование компьютерных паролей, имеющих большую длину
и более сложную структуру, что делает их более трудными для расшифровки и
взлома. Этот метод довольно широко применяется Іntеrnеt, поскольку в нем доступ
к локальным системам контролируется путем использования паролей, но надежный
результат можно иметь лишь при условии правильного использования.
Очень
эффективным средством защиты является электронная подпись. Ее применение
предусматривает наличие у того, кто эту подпись проверяет, открытого ключа,
который отвечает примененному личному ключу (подписи) отправителя электронного
документа. Однако, при получении такого открытого ключа не исключено
мошенничество, вследствие которого будет передан поддельный открытый ключ,
который аутентифицирует поддельные сообщения. Чтобы предотвратить такую
возможность, применяется практика сертификации (подтверждения) открытых ключей
со стороны уполномоченного на это учреждения или организации, заслуживающей
доверия. Такое учреждение или организацию называют сертифицирующей, и она
ставит свою электронную подпись на открытых ключах, которые предоставляются
пользователям платежной системы. Открытый ключ сертифицирующего учреждения
должен предоставляться с использованием надежно защищенных каналов. Это
учреждение сертифицирует открытые ключи участников системы лишь после проверки
их тождественности с использованием защищенных каналов или других методов,
которые обеспечивают достаточный уровень безопасности, и лишь подтвержденные ею
открытые ключи считаются действующими.
|
