Zaštita podataka u elektronskoj trgovini

Zaštita podataka u elektronskoj trgovini je proces obezbeđivanja i zaštite informacija odnosno podataka od gubitka ili oštećenja, a koji se koristi u elektronskoj trgovini (engl. Electronic commerce).

Jedan od načina zaštite podataka koji se koristi u elektronskoj trgovini, poznat kao kriptografija

Elektronska trgovina predstavlja bilo koju transakciju preko računarske mreže, koja uključuje prenos vlasništva ili prava za korišćenje roba ili usluga^[1], dok podatak predstavlja informaciju, poruku i dokument sačinjen, poslat, primljen, zabeležen, skladišten ili prikazan elektronskim putem, uključujući prenos internetom i elektronsku poštu.^[2] Prilikom obavljanja elektronske trgovine, često se dešava da se podatakpodaci izgube, kao i to da dospeju u ruke neovlašćenih osoba i samim tim postanu predmet neovlašćenog korišćenja i mnogih drugih zloupotreba. Zbog toga je u cilju bezbednosti podataka u savremenom poslovanju potrebno pronaći mehanizam koji će obezbediti:

Zaštitu tajnosti informacija (sprečavanje otkrivanja njihovog sadržaja)
Integritet informacija (sprečavanje neovlašćene izmene informacija)
Autentičnost informacija (definisanje i provera identiteta pošiljaoca)

Elektronska trgovina uredi

Elektronska trgovina, (engl. Electronic commerce), odnosi se na kupovinu i prodaju proizvoda ili usluga putem elektronskih sistema kao što su Internet i drugih računarskih mreža. Elektronska trgovina se zasniva na takvim tehnologijama kao elektronski transfer sredstava i upravljanje lancem snabdevanja, Internet marketing, onlajn transakcija, elektronska razmena podataka (EDI), sistema za upravljanje inventara, kao i automatizovanih sistema za prikupljanje podataka. Moderna elektronska trgovina obično koristi VVV i može da obuhvati širi spektar tehnologija kao što su e-pošte, mobilnih uređaja i telefona.

Elektronska trgovina se uglavnom smatra aspektom prodaje e-poslovanja i može se podeliti na^[3]:

"Virtuelni storefronts“ na Veb lokacijama sa onlajn katalozima
Prikupljanje i korišćenje demografskih podataka preko Veb kontakata
Elektronska razmena podataka (EDI), biznis-biznis razmena podataka
Elektronska pošta i faks i njihova upotreba za potražnjom novih klijenata
Biznis-biznis kupovine i prodaje
Bezbednost poslovnih transakcija

Bezbednosne funkcije uredi

U cilju ostvarivanja zaštite tajnosti, integriteta i autentičnosti informacija, bezbednosne funkcije se dele na sledeće glavne kategorije^[4]:

Autentifikacija
Autorizacija
Kriptografija
Digitalni potpis
Digitalni sertifikat
Pristup i integritet podataka

Autentifikacija uredi

Autentifikacija je proces u okviru koga korisnik ili izvor informacija dokazuju da su to za šta se predstavljaju - drugim rečima, proces utvrđivanja identiteta korisnika koji pokušava da pristupi sistemu. Dva računara koja koriste SMTP razmenjuju autentifikacione kodove. Pod autentifikacijom se podrazumeva korišćenje bilo koje tehnike koja prijemniku omogućava automatsko identifikovanje i odbacivanje poruka koje su namerno izmenjene ili su izmenjene zbog grešaka u kanalu. Osim toga, može da se koristi za obezbeđivanje pozitivne autentifikacije pošiljaoca poruke, mada je moguće koristiti algoritme sa tajnim (simetričnim) ključem, radi neke vrste autentifikacije, pre nego što se bilo kakve tajne podele između strana koje razmenjuju poruke^[5].

Osnovni web.config fajl treba da sadrži informaciju-direktivu o tipu autentifikacije. Inicijalno, ovde stoji Microsoft Windows. Primer taga za autentifikaciju:

<authentication mode="Forms" >
       <forms loginUrl="~/Login.aspx"></forms>
</authentication>

Autorizacija uredi

Token i smart kartica

Opšta definicija autorizacije jeste da je to proces koji se odnosi na proveru da pojedinac ili organizacija koja je zatražila ili inicirala radnju ima pravo da to učini^[6]. Druga definicija, u užem smislu se odnosi na računarski pristup: Autorizacija je proces odobravanja ili negiranja pristupa korisnika bezbednom sistemu^[7]. Postoji nekoliko načina autorizacije. Za privatne korisnike su to najčešće tokeni ili TAN-ovi, dok pravna lica u pravilu koriste smart-kartice.

Token je uređaj nalik džepnom kalkulatoru. Jedan se takav uređaj ustupa klijentu na privremeno korišćenje prilikom registracije za uslugu Internet bankarstva^[8].
Smart-kartica je kartica u kojoj se nalazi ili mikroprocesor i memorijski čip ili samo memorijski čip s neprogramabilnom logikom^[9]. Na kartici koja sadrži mikroprocesor postoji mogućnost upisivanja podataka, brisanja ili neke druge vrste manipulacije podacima. Kartica koja ima samo memorijski čip može izvoditi samo predefinisane funkcije. Smart-kartice, za razliku od kartica sa magnetnom trakom, sadrže sve potrebne funkcije i informacije potrebne za autorizaciju, zbog čega u trenutku transakcije nije potreban pristup udaljenim bazama podataka.

Kriptografija uredi

Kriptografija je nauka koja se bavi metodima očuvanja tajnosti informacija^[10]. Kada se lične, finansijske, vojne ili informacije državne bezbednosti prenose sa mesta na mesto, one postaju ranjive na prisluškivačke taktike. Ovakvi problemi se mogu izbeći kriptovanjem (šifrovanjem) informacija koje ih čini nedostupnim neželjenoj strani.

Patentirani IDEA algoritam, koji se koristi za veoma brze enkripcije, na primer za elektronsku poštu

.

Šifra i digitalni potpis su kriptografske tehnike koje se koriste da bi se implementirali bezbednosni servisi. Osnovni element koji se koristi naziva se šifarski sistem ili algoritam šifrovanja. Svaki šifarski sistem obuhvata par transformacija podataka, koje se nazivaju šifrovanje i dešifrovanje. Šifrovanje je procedura koja transformiše originalnu informaciju (otvoreni tekst) u šifrovane podatke (šifrat). Obrnut proces, dešifrovanje, rekonstruiše otvoreni tekst na osnovu šifrae.

Prilikom šifrovanja, pored otvorenog teksta, koristi se jedna nezavisna vrednost koja se naziva ključ šifrovanja. Slično, transformacija za dešifrovanje koristi ključ dešifrovanja. Broj simbola koji predstavljaju ključ (dužina ključa) zavisi od šifarskog sistema i predstavlja jedan od parametara sigurnosti tog sistema^[11]. Kriptoanaliza je nauka koja se bavi razbijanjem šifri, odnosno otkrivanjem sadržaja otvorenog teksta na osnovu šifre, a bez poznavanja ključa. U širem smislu, kriptoanaliza obuhvata i proučavanje slabosti kriptografskih elemenata, kao što su, na primer, heš funkcije ili protokoli autentifikacije. Različite tehnike kriptoanalize nazivaju se napadi.

Osnovni elementi kriptografije^[12]:

šifrovanje - postupak transformacije čitljivog teksta u oblik nečitljiv za onoga kome taj tekst nije namenjen.
dešifrovanje - postupak vraćanja šifrovanog teksta u čitljiv oblik
ključ - početna vrednost algoritma kojim se vrši šifrovanje.

Kriptografija može biti^[12]:

Simetrična kriptografija: isti ključ se koristi i za šifrovanje i za dešifrovanje
Asimetrična kriptografija: Za razliku od simetrične kriptografije, Asimetrična kriptografija koristi dva ključa — javni i privatni. Princip je sledeći: u isto vreme se prave privatni i odgovarajući javni ključ. Javni ključ se daje osobama koje šalju šifrovane podatke. Pomoću njega te osobe šifruju poruku koju žele da pošalju. Kada primalac dobije šifrat, dešifruje ga pomoću svog privatnog ključa. Na taj način svaki primalac ima svoj privatni ključ a javni se može dati bilo kome, pošto se on koristi samo za šifrovanje, a ne i dešifrovanje.
Funkcija za sažimanje – heš funkcija: Gorenavedeni algoritmi šifrovanja ne štite integritet odnosno verodostojnost poruke koja je šifrovana. Ovo je vrlo važno iz razloga jer je moguće da je ključ provaljen i da nam napadač šalje lažne poruke, ali i mogućnosti da je došlo do greške prilikom šifrovanja, tako da primljena poruka nije identična originalnom dokumentu. Iz tog razloga kreirane su funkcije za sažimanje ili heš (mogu se susresti i pod imenima engl. one-way, hash function, message digest, fingerprint) algoritmi. Najpoznatiji i najkorišćeniji heš algoritmi su SHA-1, MD5, RIPEMD-160 itd. Heš algoritmi se svrstavaju u kriptografske algoritme bez ključa.

Digitalni potpis uredi

Dijagram koji pokazuje kako je digitalni potpis primenjen a potom i verifikovan

Digitalni potpis (engl. Digital signature) predstavlja digitalnu verziju ručnog potpisa. Koristi se za dokaz autorstva i omogućava da dokument koji se prenosi preko Interneta ima istu validnost kao ručno potpisan dokument. Digitalni potpis nije isto što i elektronski potpis, već predstavlja dosta uži pojam tj. često ulazi u sastav elektronskog potpisa. U Zakonu o elektronskom potpisu Republike Srbije elektronski potpis se definiše kao:

„

skup podataka u elektronskom obliku koji su pridruženi ili su logički povezani sa elektronskim dokumentom i koji služe za identifikaciju potpisnika.^[13]

”

Za dokaz autentičnosti nekog dokumenta potpisanog digitalnim potpisom koriste se dva kriptografska ključa koji se nazivaju: javni ključ(engl. public кеy) i tajni ključ(engl. private кеy). Za kriptografiju javnim ključem najčešće se koristi RSA algoritam(nazvan po svojim pronalazačima Ronu Rivestu, Adiju Šamiru i Leonardu Ejdlmanu).^[14]

Osobine digitalnog potpisa uredi

Digitalni potpis ima sledeće osobine:

Autentičnost - kojom se potvrđuje identitet potpisnika.
Integritet - kojim se potvrđuje da sadržaj dokumenta nije menjan nakon što je overen digitalnim potpisom.
Neporecivost - pošiljalac ne može da porekne da je poslao određenu poruku koju je potpisao svojim tajnim ključem
Nekrivotvorljivost - za potpis se koristi tajni ključ koji je poznat samo osobi koja potpisuje dokument. Jedini način nezakonitog iskorišćavanja potpisa je višestruko korišćenje istog potpisanog dokumenta (engl. Resend-attack). Ova zloupotreba potpisa se može sprečiti navođenjem vremena i datuma prilikom potpisivanja(engl. timestamping).

Načini šifrovanja uredi

Najčešće korišćeni načini šifrovanja su: metoda simetričnog šifrovanja, metoda asimetričnog šifrovanja i metoda potpisivanja jednosmernom funkcijom. Metoda simetričnog funkcijom je najstarija i ona koristi isti tajni ključ za šifrovanje i dešifrovanje.^[15] Glavna mana metode simetričnog šifrovanja je nizak nivo bezbednosti tajnog ključa, jer postoji opasnost od njegove krađe nesigurnim komunikacionim kanalima. Metode jednosmernog šifrovanja za šifrovanje podataka koriste jednosmerne funkcije koje nazivamo i heš funkcije. Kod metoda asimetričnog šifrovanja koriste se javni i tajni ključ. Javni ključ je dostupan svima i služi da se pomoću njega šifruju podaci koji će biti poslati drugoj osobi. Ta osoba će moći da pristupi podacima pomoću svog tajnog ključa. Tajni ključ poseduje samo primalac poruke i on ga ne treba distribuirati ostalim korisnicima. Tajni ključ omougćava primaocu poruke da dešifruje podatke koji su šifrovani njegovim javnim ključem.^[16]

Algoritmi javnog ključa uredi

Algoritmi asimetrične kriptografije poznati su i pod nazivom kriptografija javnog ključa (engl. public key cryptography). Algoritme javnog ključa (engl. public key algorithmics) možemo podeliti u tri osnovne grupe^[17]:

algoritmi zasnovani na praktičnoj nemogućnosti faktorizacije velikih prostih brojeva (RSA)
algoritmi zasnovani na praktičnoj nemogućnosti izračunavanja diskretnih logaritama
algoritmi zasnovani na elipsastim krivama

Metod šifrovanja tajnim ključem uredi

Šifrovanje tajnim ključem (Simetrično šifrovanje) jeste šifarski sistem kod koga je ključ za šifrovanje identičan ključu za dešifrovanje. Što znači da i pošiljalac i primalac poruke koriste isti tajni ključ^[12].

Metod šifrovanja javnim ključem uredi

U njemu svaki učesnik u komunikaciji koristi dva ključa. Jedan ključ je javni i može se slobodno distribuirati, dok je drugi tajni i dostupan je samo njegovom vlasniku.

Iako su različiti, ključevi su međusobno povezani određenim transformacijama. Poznavanje jednog ključa i algoritma transformacije ne omogućava dobijanje drugog ključa.

Obezbeđenje autentičnosti informacija tj. definisanje i provera identiteta pošiljaoca postiže se upotrebom digitalnih potpisa i digitalnih sertifikata.

Svrha digitalnog potpisa je da potvrdi autentičnost sadržaja poruke (dokaz da poruka nije promenjena na putu od pošiljaoca do primaoca), kao i da obezbedi garantovanje identiteta pošiljaoca poruke. Osnovu digitalnog potpisa čini sadržaj same poruke.

Pošiljalac primenom određenih kriptografskih algoritama prvo od svoje poruke koja je proizvoljne dužine stvara zapis fiksne dužine (pr. 512 ili 1024 bita) koji u potpunosti oslikava sadržaj poruke.^[12].

Digitalni sertifikat uredi

Elektronski sertifikat (engl. Digital certificate) je elektronski dokument koji izdaje sertifikaciono telo (engl. Certification Authority - CA). Elektronski sertifikat može da se shvati kao digitalna lična karta, jer sadrži podatke o korisniku sertifikata i podatke o izdavaocu digitalnog sertifikata^[18]. To je uverenje kojim se potvrđuje veza između podataka za verifikaciju elektronskog potpisa i identiteta potpisnika, koji je izdat od strane akreditovanog sertifikacionog tela. U okviru digitalnog sertifikata koji se izda korisniku nalazi se pored ostalog i korisnikov javni kriptografski ključ (engl. Public key), koji je par njegovom tajnom kriptografskom ključu (Private Key). Sertifikacioni autoritet garantuje tačnost podataka u sertifikatu tj. garantuje da javni ključ koji se nalazi u sertifikatu pripada korisniku čiji su podaci navedeni u tom istom sertifikatu. Zbog toga, ostali korisnici na Internetu ukoliko imaju poverenje u sertifikaciono telo, mogu da budu sigurni da određeni javni ključ zaista pripada korisniku koji je vlasnik pripadajućeg tajnog ključa.

Elektronski sertifikat je elektronski dokument koji je javno dostupan na Internetu^[19]. Zbog toga što se u okviru sertifikata nalaze javni ključevi korisnika sertifikata, distribucijom sertifikata se distribuiraju i javni ključevi. Iz tog razloga, omogućena je pouzdana razmena javnih ključeva posredstvom Interneta između korisnika koji se nikada nisu sreli, uz mogućnost verifikovanja identiteta korisnika. Elektronski sertifikat je nemoguće falsifikovati jer je potpisan tajnim kriptografskim ključem (engl. Private key) sertifikacionog tela. Za verifikovanje valjanosti digitalnog sertifikata koristi se javni ključ tj. sertifikat sertifikacionog tela.

Primer antivirus softvera

Ilustracija, gde bi zaštitni zid trebalo da se nalazi u mreži

Pristup i integritet podataka uredi

Postoji nekoliko ostalih različitih načina da se spreči pristup podacima koji se čuvaju na mreži. Jedan od načina je da se koristiti antivirus softver kako bi zaštitili svoju mrežu bez obzira na podatke koje imaju. U e-trgovini se preporučuje obavezno korišćenje antivirusa jer onda možete biti sigurni da su informacije koje se šalju i primaju u njihovom sistemu čiste i bez špijunskih programa odnosno trojanaca, koji mogu ugroziti integritet podataka.^[20].

Drugi način zaštite podataka jeste korišćenje zaštitnog zida. Zaštitni zid (engl. Firewall, u prevodu vatreni zid, vatrobran) se koristi za ograničavanje pristupa privatnim mrežama, kao i javnim mrežama koje mogu da koriste kompanije. Zaštitni zid takođe ima sposobnost da prijavi pokušaj ulaska u mrežu i obezbedi upozorenja o tome. Kompanije koje koriste Vaj-faj treba da razmotre različite oblike zaštite, jer ove mreže predtavljaju najlakše mete upada neovlašćenih lica.

Još jedna opcija je postojanje sistema za detekciju upada. Ovaj sistem obaveštava kada postoji mogući upad u mrežu.

Vidi još uredi

Reference uredi

^ „Electronsko poslovanje i upravljanje sistemima” (PDF). Arhivirano iz originala (PDF) 11. 10. 2010. g. Pristupljeno 10. 05. 2012.
^ „Zakon o elektronskoj trgovini” (PDF). Arhivirano iz originala (PDF) 17. 04. 2012. g. Pristupljeno 10. 05. 2012.
^ E-commerce (electronic commerce or EC)
^ e-Commerce security: Attacks and preventive strategies
^ Authentication - autentifikacija
^ 1. General: Process used in verifying that the individual or organization who has requested or initiated an action has the right to do so. 2. Computer access: Process of granting or denying a user the access to a secure system. Most computer security systems are based on a two step process: (1) Authentication to ensure that the entity requesting access to the system is what or who it claims to be, and (2) Authorization to allow access only to those resources which are appropriate to that entity's identity. Read more Arhivirano na sajtu Wayback Machine (3. jun 2012)
^ ASP.NET Authorization
^ Security token (authentication token)
^ SmartCard Detective Arhivirano na sajtu Wayback Machine (23. maj 2012), Pristupljeno 5. 4. 2013.
^ Cryptology
^ An Overview of Cryptography
^ ^a ^b ^v ^g „Kriptografija”. Arhivirano iz originala 21. 05. 2011. g. Pristupljeno 10. 05. 2012.
^ Zakon o elektronskom potpisu Republike Srbije
^ James F. Kurose, Keith W. Ross, Umrežavanje računara, Cet, Beograd, (2009). стр. 701–705.
^ Siladi D., Pogled u digitalizaciju tinte, Mreža, broj 5. стр. 62—64., godina XI
^ Vrbanec T., Hutinski Ž., Data protection, identifications and autentification in applications and protocols, 21st Scientific Conference on Development of Organizational Sciences, Portorož. стр. 1011–1025., godina 2002.
^ A. Menezes, Elliptic Curve Public Key Cryptosystems, Kluwer Academic Publishers, Boston, 1993.
^ „Sertifikaciono telo MUP-a Republike Srbije”. Arhivirano iz originala 17. 05. 2013. g. Pristupljeno 12. 05. 2012.
^ Digitalni sertifikati
^ Industry Canada | Industrie Canada. Industry Canada, 24 Aug. 2010. Web. 30 Nov. 2010.

Literatura uredi

Vrbanec T., Hutinski Ž., Data protection, identifications and autentification in applications and protocols, 21st Scientific Conference on Development of Organizational Sciences, Portorož. str. 1011–1025., godina 2002.
James F. Kurose, Keith W. Ross, Umrežavanje računara, Cet, Beograd, (2009). str. 701–705.

Spoljašnje veze uredi

[1] „Electronsko poslovanje i upravljanje sistemima” (PDF). Arhivirano iz originala (PDF) 11. 10. 2010. g. Pristupljeno 10. 05. 2012.

[2] „Zakon o elektronskoj trgovini” (PDF). Arhivirano iz originala (PDF) 17. 04. 2012. g. Pristupljeno 10. 05. 2012.

[3] E-commerce (electronic commerce or EC)

[4] -Commerce security: Attacks and preventive strategies

[5] Authentication - autentifikacija

[6] 1. General: Process used in verifying that the individual or organization who has requested or initiated an action has the right to do so. 2. Computer access: Process of granting or denying a user the access to a secure system. Most computer security systems are based on a two step process: (1) Authentication to ensure that the entity requesting access to the system is what or who it claims to be, and (2) Authorization to allow access only to those resources which are appropriate to that entity's identity. Read more Arhivirano na sajtu Wayback Machine (3. jun 2012)

[7] ASP.NET Authorization

[8] Security token (authentication token)

[9] SmartCard Detective Arhivirano na sajtu Wayback Machine (23. maj 2012), Pristupljeno 5. 4. 2013.

[10] Cryptology

[11] An Overview of Cryptography

[Kriptografija-12] v ^g „Kriptografija”. Arhivirano iz originala 21. 05. 2011. g. Pristupljeno 10. 05. 2012.

[13] Zakon o elektronskom potpisu Republike Srbije

[14] James F. Kurose, Keith W. Ross, Umrežavanje računara, Cet, Beograd, (2009). стр. 701–705.

[15] Siladi D., Pogled u digitalizaciju tinte, Mreža, broj 5. стр. 62—64., godina XI

[16] Vrbanec T., Hutinski Ž., Data protection, identifications and autentification in applications and protocols, 21st Scientific Conference on Development of Organizational Sciences, Portorož. стр. 1011–1025., godina 2002.

[17] A. Menezes, Elliptic Curve Public Key Cryptosystems, Kluwer Academic Publishers, Boston, 1993.

[18] „Sertifikaciono telo MUP-a Republike Srbije”. Arhivirano iz originala 17. 05. 2013. g. Pristupljeno 12. 05. 2012.

[19] Digitalni sertifikati

[20] Industry Canada | Industrie Canada. Industry Canada, 24 Aug. 2010. Web. 30 Nov. 2010.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]