Transaksionet e Sigurta Elektronike
Transaksionet e Sigurta Elektronike
Historiku
[Redakto | Redakto nëpërmjet kodit]Transaksionet e sigurta elektronike (Ang : Secure Electronic Transaction, SET) mbështetet në shkencën e kriptografisë - artin e kodimin dhe deshifrimit e mesazheve. Kriptografia daton shumë shekuj më parë madje edhe në kohën e Jul Cezarit, enkriptimi është përdorur për ruajtjen e sekretit të mesazheve. Ruajtja e fshehtësisë së transaksioneve nuk është e ndryshme, edhe pse janë përdorur algoritme të forta për enkriptim. Avancimet e enkriptimit kanë ardhur në lidhje me aplikimin e tyre nga ushtria, dhe me përparimet në lëmin e informatikës dhe matematikës.
Para specifikimeve zyrtare të SET, kanë qenë fillimisht dy pretendent për zhvillimin e një metodë të sigurt të transaksionit online. Këto zhvillime të veçanta janë :
- Teknologjia e transaksioneve te sigurta (STT) zhvilluar nga VISA dhe Microsoft në 1995
- Protokolli i sigurt i pagesës (Sepp) zhvilluar nga MasterCard, Netscape dhe IBM në të njëjtën kohë si të STT.
Shqetësimi kryesor i sjellë në vëmendjen nga (IETF) ishte se të dy sistemet ishin të papajtueshme dhe se pavarësisht nga të dy duke pretenduar se ata ishin burime të hapura, dhe smund të jetë miratuar nga IETF, sepse procesi i standardizimit është kryer jashtë kontrollit të tyre. Së fundi, bankat i detyruan të dy grupet për të zhvilluar atë që ne tani e klasifikojnë si version 1.0 e SET, e cila vetë u lirua më 31 maj 1997.
Hyrje
[Redakto | Redakto nëpërmjet kodit]SET është një protokoll standard nga MasterCard dhe Visa për sigurimin e kredisë online dhe pagesave me kartelë nëpërmjet internetit. Ai përdor certifikatat digjitale për të siguruar identitetin e të gjitha palëve të përfshira në një blerje dhe kodon informatat e kredit kartelës para se të dërgon atë nëpër internet, pra një transaksion tre-palësh që përfshin përdoruesit tregtarë dhe bankar. Të dhënat e kredit kartelës dhe certifikatave digjitale (për autentifikim) janë të ruajtura në një plug-in në Web browser-in e përdoruesit. Serveri i aktivizuar SET kalon informacionin e koduar të pagesave nga tregtaret në bankë. Miratimi dërgohet në formë elektronike tek tregtari. SET lejon qe identiteti i tregtareve të jetë i vërtetuar me anë të certifikatave digjitale.
Bazuar kryesisht në kërkesat e biznesit, IETF ka vendosur që SET protokolli për të punuar ai duhet të plotësojë disa kushte të cekura më poshtë :
- Fshehtësia e pagesës dhe urdhërimin e informacionit
- Integriteti i të dhënave të transmetuara
- Autentifikimi i klientit të rregullt a është një përdorues legjitim i kredit kartës
- Vërtetimi se një tregtar mund të pranojë transaksionet me kartë krediti
- Shitës të pavarur dhe të ndërveprueshëm për të mbrojtur të gjithë pjesëmarrësit.
SET është një protokoll që garanton transaksione të sigurta përmes internetit. Ai është i bazuar në idenë që transferimi i fondeve te behet direkt ne mes tregtareve dhe klientëve, por ata përdorin një pale të tretë ndërmjetësuese. Ajo ofron një grup të protokolleve dhe formatet që i lejon përdoruesit përdorimin e sigurt te kartës së kreditit për pagesat në internet.
Procesi i Enkriptimit
[Redakto | Redakto nëpërmjet kodit]Protokolli SET mbështetet në dy mekanizma të ndryshëm të enkriptimit, si dhe një mekanizëm autentifikimi. SET përdor enkriptimin simetrik, në formën e DES, si dhe asimetrikose çelsave publik, për të transmetuar çelësat e enkriptuar random (rastësishëm) për transaksionet DES (IBM, 1998). Në vend se të ofrojë sigurinë dhe mbrojtjen e ofruar nga çelësi publik i kriptografisë, SET thjesht përdor çelësat random (56 bit), të cilat janë asimetrik - pjesën e mbetur të transaksionit e përdor enkriptimin simetrik në formën e DES-it. Kjo ka efekte shqetësuese për një protokoll "të sigurtë" për transaksione elektronike - sepse kriptografia publike kryesore është që përdoret vetëm për enkriptimin e çelësave, dhe jo për trupin kryesor të transaksionit. Pasqyrë e kriptimit simetrik dhe asimetrik modern është përdorimi i çelësave për enkriptim, të cilat mund të shifrohen (bllokohen) dhe deshifrohen(hapen) mesazhet kur një algoritëm për enkriptim është përdorur. Enkriptimi simetrik punon duke përdorur një çelës të vetëm, i cili duhet të jetë i njohur nga të gjitha palët që dëshirojnë të deshifruar mesazhin.
Nëse do të aplikoni një çelës të veçantë në një mesazh, duke përdorur një algoritëm të mirë, atëherë ai do të lexohet nga palët e paautorizuara. Nëse ne atëherë aplikojnë të njëjtin kyç për mesazhin e koduar, atëherë mesazhi do të rikthehet në formën e vet origjinale. Megjithatë, kjo paraqet një problem, sepse ne duhet të gjejmë një mjet të sigurt të transmetimit të rëndësishme për të gjitha palët.
Enkriptimi asimetrik, i njohur edhe si enkriptimi me çelësa publik, na liron nga ky kufizim. Algoritmet asimetrike përdorin dy çelësat - një publike dhe një çelës privat. Këto çelësat janë krejtësisht të pavarur - një çelës privat nuk mund të gjendet me lehtësi nga një publik. Kur ne të nënshkruajë një mesazh duke përdorur çelësin publik e dikujt, vetëm mbajtësi i të rëndësishme private mund ta lexoni atë. Në protokoll SET, dy algoritme të ndryshme për enkriptim janë përdorur - DES dhe RSA. Algorithm DES ka qenë përdorur që nga viti 1970. Ai besohet nga disa që Agjencia Kombëtare e Sigurimit (NSA) të Amerikës ka luajtur "një dorë e padukshme në zhvillimin e algoritmit" (Arthur Schneier, 1996), dhe se ata ishin përgjegjës për reduktimin e madhësisë së tij kryesore nga origjinali 128-bit të 56. DES shpejt u bë një standard federale në 1976, dhe ka qenë përdorur që nga ndonjëherë. Në protokoll SET, një çelës 56-bit DES është përdoret për të kriptuar transaksionet. Ky nivel i enkriptimit, duke përdorur DES, mund të deshifrohet lehtë duke përdorur pajisje moderne. Në 1993, një super makinë DES deshifruese ishte projektuar nga Michael Wiener - e cila ishte masivisht paralele. Për më pak se një milion dollarë (edhe në kuadër të buxhetit të shumë kompani të mëdha), një 56-bit çelës DES mund të deshifroj në kohën mesatare prej 3,5 orë. Për një miliard dollarë, e cila mund të konsiderohet ndryshim i vogël për një organizatë ushtarake apo të sigurisë të tilla si NSA apo një fuqie të huaj, një makinë paralele mund të ndërtohet që të çara DES 56-bit me një të dytë (Shnaider, 1996). Në mënyrë të qartë, ky është një shqetësim i madh, pasi DES kodon shumicën e një transaksioni SET. Si fuqinë e kompjuterëve rritet, dhe kostoja zvogëlohet ashtu që kodi mund të bëhet gjithnjë e më shumë i zakonshëm, pra këtu qëndron mangësia e SET.
Në një transaksion SET tipik, nuk ka informacion për privatësinë në mes të konsumatorëve dhe tregtareve dhe informacione të tjera për privatësinë në mes klientit dhe bankës. SET lejon të dy llojet e informacionit privat që të përfshihet në një transaksion të vetëm të mundësuara nga nënshkrimet digjitale.
Informacioni për qëllim të bankës është i koduar duke përdorur çelës publik të bankës ndërsa për tregtar është e koduar me çelës publik të tregtareve. Kjo do të thotë që tregtaret nuk kanë qasje në të dhënat e kartës së kreditit dhe në këtë mënyrë një burim i mashtrimit është eliminuar.
Përveç kësaj dy grupe të informacionit janë nënshkruar digjitalishtë. Së fundi këto dy nënshkrimet janë të kombinuara për të prodhuar një firmë që mbulon gjithë transaksion.
SET për të punuar në internet pjesëmarrësit e mëposhtme duhet të bashkëpunojnë :
- Klientët
- Tregtarët
- Bankat
- Autoriteti Certifikues
Ka tri pjesë në sistemin e SET :
- një softver "portofol" në kompjuterin e përdoruesit,
- një server tregti që shkon në faqen e internetit e tregtare, dhe
- serveri i pagesës që shkon në bankë tregtare.
Përdoruesi gjithashtu ka për të marrë një certifikatë digjitale nga banka e tyre ose agjencia certifikuese (CA) për çdo kartë krediti.
Për të përdorur SET, përdoruesit zgjedhin produktet nga Web sajti tregtar dhe pastaj ata zgjedhin për të paguar me anë të SET duke shtypur një buton në ekran. Kjo automatikisht ekzekuton programin e portofolios. Përdoruesi pastaj zgjedh kredit kartelën e dëshiruar për ta hapur portofolion dhe fillon shkëmbimin tregtar-server të certifikatave. Nëse këto janë pranuar, portofolio pastaj kodon dhe transmeton të dhënat e blerjes tek tregtari.
SET kërkon komponente specifike softverike për të lejuar të gjithë pjesëmarrësit për të komunikuar në mënyrë të sigurtë dhe efikase. Për shembull, një përdorues nuk mund fizikisht te tregoj kartën e tyre me kërkesën tregtarët, kështu që një portofol digjital është krijuar që të kryejnë këtë sjellje krahasuese.
Komponentët e veçanta softverike janë :
- portofolio dixhitale fundore për mbajtësit e kartës
- server tregtar dhe softver tregtarë me përmbajtje SET
- autoriteti vërtetues merret me të gjitha certifikatat e pjesëmarrësve SET
- porta lidhëse e pagesës tregtare me sistemet e përfituesve të saj të trashëgimisë.
Diagrami më poshtë tregon ku komponentët softverike ulen në lidhje me pjesëmarrësit që janë përshkruar më lartë.
Në formë të thjeshtë kjo mund të përshkruhet si :
- Banka vërteton se portfolio e përdoruesit a është ajo qe mendojnë ata,
- banka vërteton se portfolio e tregtarit a është e tregtarit që mendojnë ata,
- për të bërë një blerje të dhënat janë dërguar në portë për përpunimin, ku pagesa është larguar nga mbajtësi i kartës dhe eshte depozituar në llogarinë e tregtarit.
Autentifikimi është kritik për arritjen e besimit në tregtinë elektronike. Autentifikimi është arritur nëpërmjet përdorimit të nënshkrimeve digjitale. Duke përdorur një algoritëm për Hash, SET mund të nënshkruajë një transaksion duke përdorur çelësin privat të dërguesit Duke krahasuar mesazhin e transaksionit dhe të mesazhit ai do të tretet, së bashku me çelësin publik të dërguesit, ku vërtetësia e transaksionit mund të verifikohet. Nënshkrimet dixhitale kanë për qëllim arritjen e nivelit të njëjtë të besimit si një firmë e shkruar e ka në jetën reale. Kjo ndihmon në arritjen e suksesit ose ne rastin tjetër në arritjen e mossuksesit. SET është një protokoll revolucionar në E-commerce për shkak te sigurisë që na ofron por megjithatë edhe ky nuk është i pa thyeshëm.