Elektroninio verslo saugumas- SSL-PROGRAMŲ SISTEMŲ KATEDRA – VU -referatas

Įvadas
Elektroninė komercija ir elektroninis verslas – neseniai pradėti vartoti terminai. Kasdien girdime pasakojimus apie interneto bendrovių sėkmę. Elektroninė komercija apima visas santykių, susijusių su tarptautinių ir nacionalinių sandorių sudarymu elektroniniu būdu, rūšis: pirkimą, pardavimą, tiekimą, užsakymus, reklamą, konsultavimą, įvairius susitarimus bei dalykinio bendradarbiavimo formas.
Vien tik perduodamų duomenų kodavimo nepakanka, kadangi jis neduoda galimybės patikrinti užkoduotos informacijos siuntėjo asmens tapatybės.
Skaitmeniniai sertifikatai išsprendžia šią problemą, elektroniniu būdu patikrindami asmens tapatybę. Naudojami perduodamos informacijos kodavimu, skaitmeniniai sertifikatai tuo pačiu užtikrina būtiną saugumą bei visų asmenų, dalyvaujančių duomenų apsikeitime, tapatybės nustatymą.
1.    Kas yra SSL?
Secure Socket Layer (SSL) yra protokolas, kurį sukūrė JAV kompanija “Netscape” 1996-aisiais metais,  kuris greitai buvo pripažintas kaip saugaus duomenų perdavimo standartu. SSL naudoja dauguma interneto naršyklių bei WEB serverių, nes jo dėka duomenis internetu galima perduoti itin saugiai. SSL naudoja viešą- privatų raktų (public-and-private key encryption system) šifravimo sistemą, kurią  sukūrė RSA.
SSL protokolas reikalauja, kad serveryje būtų instaliuota skaitmeninis sertifikatas. Skaitmeninis sertifikatas yra elektroninis dokumentas, kuris leidžias nustatyti svetainės tapatumą. Skaitmeninis sertifikatas tarnauja kaip skaitmeninis pasas, kuris patvirtina serverio autentiškumą  prieš  sukuriant SSL ryšio kanalą. Dažniausiai  skaitmeninius sertifikatus pasirašo nepriklausomi bei patikimos trečiosios šalys, kurios užtikrina sertifikato galiojimą bei pagrįstumą. Sertifikatų pasirašančioji šalis yra žinoma kaip “Sertifikato Autoritetas” (angl. Certification Authority ). Pavyzdžiui:  “thawte” ar “VeriSign”.
SSL užtikrina saugų bendravimą kombinuodamas šiuos du elementus:
1.    Autentifikaciją. Autentifikacija atliekama naudojant skaitmeninius sertifikatus. Jie yra saugių elektroninių sandorių pagrindas, nes identifikuoja sandorio dalyvius ir lengvai patikrina kitų dalyvių identifikaciją.
2.    Duomenų šifravimas.  Šifravimas yra procesas, kuriuo metu duomenys yra užšifruojami, kad juos neperskaitytu nepageidaujami asmenys.  Šiuos duomenys gali būti perimami trečiosios šalies, bet jų nebus įmanoma perskaityti, nes trečioji šalis neturi šifro rakto.
SSL dažniausiai naudojama užtikrinti perduodamų duomenų saugumą tarp interneto naršyklės bei WEB serverio. Taip pat SSL gali būti naudojamas užtikrinant serverių bendravimą.
Paprastai skaitmeninis sertifikatas susideda iš:
•    Savininko viešo rakto
•    Savininko vardo
•    Viešo rakto galiojimo termino
•    Skaitmeninį sertifikatą teikiančios organizacijos (CA) pavadinimo
•    Skaitmeninio sertifikato serijinio numerio
•    Sertifikatą teikiančios organizacijos skaitmeninio parašo.
2.    Kaip vartotojai mato kad Jūsų svetainė yra apsaugota?
Pirmasis požymis, kuris parodo, ar interneto svetainė naudoja SSL sertifikatus, yra spynos ikona naršyklės lango apatinėje juostoje (angl. browser status bar). Microsoft Internet Explorer naršyklėje, kai puslpais nenaudoja SSL sertifikatus, spynos ikona nėra rodoma. Tačiau, kai SSL sesija yra pradėta, spynos ikona pasirodo. Netscape Navigator naršyklėjė yra „užrakinta“ bei „atrakinta“ spynos ikonos, kurios parodo ar puslapis naudoja SSL sertifikatus. Naršyklės apatinėje juostoje pele spustelėjus ant nupieštos spynos, bus atidaromas langas, kuriame bus pateikta informacija, ar informacija yra perduodama šifruotu kanalu.
Kitas požymis yra adreso juosta. Jeigu saugaus ryšio kanalas tarp naršyklės ir WEB serverio yra nustatytas, tai „http:“ web adreso dalis pasikeis į „https“, pavyzdžiui: “http://www.thawte.com” taps “https://www.thawte.com”.
Norėdami patikrinti kaip yra apsaugota svetainė, kurioje yra įdiegtas sertifikatas, reikia du kartus spustelėti pele ant apatinėje juostoje nupieštos spynos. Atsidariusiame lange bus galima pamatyti visą informaciją, susijusią su naudojamu serverio sertifikatą.
3.    Kaip atrodo SSL sertifikatas?
Norėdami sužinoti, kokį sertifikatą naudoja svetainė, du kartus paspauskite ant spynos ikonos, kuris yra naršyklės lango apatinėje juostoje.
Paveiksle 1 yra pateikia sertifikato informacija, kai naudojama „Netscape“ bei IE naršyklėmis.

1 pav. Skaitmeniniai sertifikatai

4.    SSL veikimas
Kai jus prisijungiate prie patikimo web serverio, pvz https://www.thawte.com, serveris turi patvirtinti savo autentiškumą su interneto naršyklės skaitmeniniu sertifikatu, prieš  sukuriant SSL ryšio kanalą.
Paveikslas 2 iliustriuoja žingsnius, kurie reikalingi prieš  sukuriant saugų SSL ryšio kanalą:

2 paveikslas: SSL ryšys.

Be viso šito, interneto naršyklė patikrina:
•    Ar sertifikatas buvo išduotas žinomo sertifikavimo paslaugų teikėjo. Jeigu sertifikatas yra išduotas nežinomo paslaugų teikėjo, naršyklė apie tai informuoja vartotoją.
•    Ar sertifikato galiojimas nėra pasibaigęs.
Skaitmeninių sertifikatų veikimas yra pagrįstas kodavimo viešuoju raktu technologija, veikiančia naudojant porą tarpusavyje “surištų” raktų – privatų ir viešą. Viešasis raktas turi būti žinomas visiems, kas nori susisiekti su raktų poros savininku. Jis gali būti panaudotas pranešimo, pasirašyto privačiuoju raktu, patikrinimui arba pranešimo, kuris galės būti iššifruotas tik privačiuoju raktu, kodavimui. Tokiu būdu užšifruotų pranešimų saugumas yra pagrįstas privataus rakto saugumu, kuris turi būti gerai apsaugotas nuo neteisėto priėjimo.

Tam, kad patikrinti gautos žinutės vientisumą, sukuriamos papildomos žinutės vientisumą patikrinančios santraukos (toliau santraukos). Santraukos yra užkoduojamos naudojant siuntėjo asmeninį raktą ir tokiu būdu suformuojamas elektroninis parašas. Šis parašas gali būti atkoduotas tik viešuoju tos pačios raktų poros raktu. Gavėjas iššifruoja žinutės elektroninį parašą ir tada pagal gautą pranešimą sukuria savo santrauką. Ši nauja santrauka palyginama su iš skaitmeninio parašo gauta santraukos reikšme. Jeigu abidvi reikšmės sutampa, galima daryti išvadą, kad žinutė nebuvo pakeista. Kadangi pranešimas yra iššifruojamas viešuoju raktu, galima teigti, kad pranešimas buvo užkoduotas atitinkamu asmeniniu raktu, kurį gali žinoti tiktai siuntėjas. Šis autentifikavimo procesas yra integruotas į bet kurią naudojamą saugumo programą, į kurią yra įtraukta saugumą užtikrinanti funkcija.
Taigi, galiojantis sertifikatas garantuoja klientų privačių duomenų konfidencialumą.
5.    Viešas ir privatus raktai
Kai jūs reikalaujate sertifikatą, jums sugeneruojamas raktų porą – viešas raktas bei privatus raktas. Kai raktų pora yra sugeneruojama komercinei veiklai, jūsų privatus raktas yra paskiriamas jūsų tarnavimui, ir labai svarbu, kad niekas kitas neturėtų priėjimo prie jo. Jūsų privatus raktas sukuria skaitmeninį parašą, kuris naudojamas jūsų autentiškumui patvirtinti. Labai svarbu, kad raktas būtų labai saugomas, kadangi jeigu jį prarandate, tai jūs nebegalėsite daugiau naudotis savo  sertifikatu.
Skaitmeniniai sertifikatai gali užtikrinti, kad viešas raktas priklauso būtent tam žmogui. Sertifikatą galime įsivaizduoti kaip asmens pasą. Tai dokumentas nurodantis jūsų asmenybę, pasą jums suteikė valstybė ir jis užtikrina jūsų identiškumą. Jūs jį saugote, nes jums pametus pasą kitas žmogus gali apsimesti jumis.
Jūsų viešas raktas yra instaliuojamas į jūsų web serverį, kaip skaitmeninio sertifikato dalis. Privatus ir viešas raktai yra matematiškai susiję, bet ne vienodi. Klientas, kuris nori susiekti su jumis privačiai(naudodamas SLL), naudoja viešų jūsų sertifikato raktą, informacijai užšifruoti prieš siųsdamas ją jums. Tiktai web serverio privatus raktas gali dešifruoti informaciją.
Kiekvienas sesijos raktas naudojamas tik vieną kartą, t.y. kiekvienos sesijos metu su kiekvienu vartotoju sukuriamas naujas sesijos raktas. Tokios apsaugos priemonės užtikrina, kad informacijos negali matyti ir perimti tretieji asmenys.
6.    SSL naudojimo sritys
Yra dvi SSL naudojimo sritys:
1.    Užtikrinti bendravimo saugumą tarp naršyklės bei Web serverio.
Įdiegtas Jūsų Web serveryje skaitmeninis sertifikatas yra savotiškas elektroninis svetainės dokumentas, leidžiantis Jūsų lankytojams nustatyti jos tapatumą bei saugumą.. Ši paslauga yra būtina norint atlikti bet kokias elektroninės komercijos operacijas, susijusias su apmokėjimu už prekes ir paslaugas.
2.    Užtikrinti bendravimo saugumą tarp serverio ir serverio.
Daugiau ir daugiau kompanijų naudoja SLL sertifikatus užtikrinant bendravimo saugumą tarp serverio ir serverio. Šiuo metu SLL sertifikatas dažniausiai naudojamas užtikrinti bendravimą tarp elektroninio pašto serverių. Be to, yra galimybė apsaugoti ftp tinklalapius, duomenų bazes ir kt.
Išvados
Skaitmeniniai sertifikatai gali būti panaudoti įvairioms elektroninėms operacijoms, susijusioms su svarbių duomenų perdavimu internetu. Tai gali būti elektroninio pašto laiškų siuntimas, elektroninė komercija, o taip pat elektroninės finansinės operacijos.
Pavyzdžiui, perkant bet kurioje interneto parduotuvėje reikia nustatyti tiek pardavėjo, tiek pirkėjo tapatybę. Nenustatęs pardavėjo tapatybės, pirkėjas negali patikėti pardavėjui tokios informacijos, kaip kreditinės kortelės numeris.
Taigi, SSL yra būtina elektroninės komercijos dalis.

Terminai
Certification Authority (CA)
CA yra viešai prieinami serveriai, kurie yra pripažįstami kaip patikima trečioji šalis (Trusted Third Parties). CA serverių funkcija yra būti įstaiga, patvirtinančia, kad skaitmeninio sertifikato savininkas yra būtent tas, kuo jis skelbiasi esąs, o ne kažkas kitas, juo apsimetantis. Tai yra nustatoma pagal viešų/privačių raktų poras.

Skaitmeniniai sertifikatai
Skaitmeniniai sertifikatai yra elektroniniai dokumentai, susidedantys iš dviejų susijusių dalių, kurių pagalba kompiuteriniuose tinkluose galima korektiškai identifikuoti vartotojus ir servisus.
Pirmąją sertifikato dalį sudaro sertifikato savininko vardas ar pavadinimas, jo viešas raktas, sertifikato galiojimo laikas ir įstaigos, išdavusios sertifikatą, pavadinimas (Certification Authority). Antra dalis yra CA skaitmeninis parašas.
Skaitmeninis parašas
Skaitmeninis parašas yra simbolių seka, pridedama prie siunčiamos žinutės. Skaitmeninis parašas gaunamas siuntėjo privačiu raktu užšifravus žinutės kontrolines sumas (message digest). Žinutės gavėjas su siuntėjo viešojo rakti pagalba gali dešifruoti šias kontrolines sumas ir palyginti su gaunamomis iš gautos žinutės. Jei kontrolinės sumos sutampa, reiškia, kad žinutė nebuvo pakeista siuntimo metu.
Šifravimas
Informacijos šifravimas yra informacijos kodavimas tokiu būdu, kad su informacija galėtų susipažinti tik tie asmenys, kurie turi priėjimo raktą ar žino slaptažodį. Yra du pagrindiniai informacijos šifravimo būdai:
1. Simetrinių raktų (arba Privačių raktų) sistema, kuri naudoja bendrą slaptą raktą, žinomą abiem pusėms (Siuntėjui ir Gavėjui). Šio metodo privalumas yra geras šifravimo greitis, silpnoji pusė – sudėtingas apsikeitimas šifravimo raktais (raktais reikia apsikeisti rankiniu būdu arba naudoti kitus metodus).
2. Asimetrinių raktų (arba Viešųjų raktų) sistema, kuri naudoja specialiai sugeneruotas susijusių raktų poras. Nežiūrint matematinio ryšio tarp šių raktų, žinant vieną raktą yra neįmanoma sugeneruoti ar kitaip atspėti kito rakto. Žinutės yra šifruojamos naudojant vieną raktą, o dešifruojamos gali būti tik kito rakto pagalba.

Literatūra
http://whitepapers.silicon.com/0,39024759,60117218p-39000558q,00.htm
http://whitepaper.informationweek.com/cmpinformationweek/search/viewabstract/65767/index.jsp
http://www.verisign.com/static/005568.pdf
http://www.ssc.lt/?name=menu&act=show&do=2&L=lt
http://www.elektronika.lt/theory/theme/160/793/