Вопросы безопасности

К сожалению, электронные деньги находятся пока в стадии разработки даже на «родине» Интернет в Соединенных Штатах. Однако существуют вполне надежные инструменты для реализации варианта оплаты при помощи кредитных карточек банка или собственных карт компании. Значительное число коммерческих Web-серверов и броузеров имеет встроенные механизмы обеспечения секретности передаваемых данных. В частности, Netscape Navigator может при необходимости использовать так называемый Secure HTTP (S-HTTP) — протокол для передачи конфиденциальных данных, включающий алгоритм RSA для обмена секретными ключами. Следует, однако, отметить, что законодательством США запрещен экспорт программных продуктов, применяющих алгоритм шифрования RSA с длиной ключа более 512 бит. Если вы не собираетесь продавать в своем электронном магазине элитные автомобили или самолеты, то ключа длиной в 512 бит будет более чем достаточно.
Перед тем как предлагать пользователю ввести какую-либо конфиденциальную информацию, сервер вашего электронного магазина должен проверить, поддерживает ли броузер пользователя шифрование передаваемых данных. Если нет, то необходимо вывести соответствующее сообщение и запретить доступ к секретной странице. Верхом вежливости было бы тут же предложить потенциальному покупателю скопировать на свой компьютер один из броузеров поновее и вернуться в магазин для совершения покупки. Для этого полезно не отсылать его (покупателя) на сервер компаний Netscape или Microsoft, которые, во-первых, доступны далеко не всегда, а во-вторых, далеко не каждый потенциальный покупатель оттуда вернется, а всегда иметь на своем сервере последние версии наиболее популярных броузеров, а именно Netscape Navigator и Microsoft Internet Explorer.
Кроме того, московская компания COMPNET (см. при-ложение Б) уже включила в список своих услуг установку и сопровождение систем Клиент—Банк. К сожалению, сервер данной компании находился на реконструкции и более полная информация во время написания этой книги была недоступна.
Возможно, что к моменту ее выхода вы найдете на сервере COMPNET именно то, что вам нужно.

Существенным препятствием к внедрению электронных денег является отсутствие анонимности. Многие люди не хотят выставлять напоказ свои покупки. Это особенно актуально в России, поскольку на рынке вращается большое количество «дурно пахнущих» денег. В настоящее время существует метод обеспечения анонимности электронных платежей, который называется «слепая подпись».
Он основан на том факте, что операции шифрования по алгоритму RSA и умножения на целое число можно производить в произвольном порядке, или, как говорят математики, они «коммутируют».
Электронная банкнота (ее серийный номер) создается не банком, а компьютером клиента с помощью генератора случайных чисел. Серийный номер умножается на некоторое произвольное число, известное только пользователю, и банкнота отсылается в банк вместе с требованием присвоить ей необходимый номинал. Банк имеет набор секретных ключей, каждый из которых соответствует конкретному достоинству. При получении подобного запроса банк проверяет, имеется ли на счете клиента достаточное количество средств, снимает с него причитающуюся сумму, подписывает банкноту с помощью соответствующего ключа и отправляет ее обратно. При этом реальный номер банкноты неизвестен, поскольку он умножен на случайное число. Получив банкноту, пользователь убирает свой множитель, деля зашифрованный серийный номер на известное только ему число, и получает заверенную банкноту с заказанным номером.
На первый взгляд, метод кажется достаточно сложным, чтобы запутать любого. Но большая часть всех этих операций совершается внутри компьютера без непосредственного участия пользователя, от которого требуется только ввести пароль и, возможно, номер счета.
Давайте разберемся, как это могло бы происходить при помощи обычных средств связи. Клиент банка, желающий сохранить анонимность сделок, может вложить в конверт листок бумаги и копирку и послать его в банк с просьбой выписать чек на один доллар. Если бы он послал один листок, то в банке могли бы, например, снять отпечатки пальцев и по ним опознать чек, когда он будет предъявлен к оплате. В банке на конверт, не вскрывая его, ставят штамп «1 доллар», подписываются и отправляют конверт обратно. Клиент открывает конверт и достает чек, на котором через копирку отпечатались штамп и подпись банка. Теперь он может использовать его для оплаты любого товара без опаски, поскольку банк никогда не видел чек и не сможет определить, кому он был выдан. Однако банк обязан принять его к оплате, так как на листке стоит его подпись.

Содержание главы

Cодержание статьи