ΑΣΦΑΛΕΙΑ ΠΕΡΙΒΑΛΛΟΝΤΩΝ ΗΛΕΚΤΡΟΝΙΚΟΥ ΕΜΠΟΡΙΟΥ

Transcript

1 ΑΣΦΑΛΕΙΑ ΠΕΡΙΒΑΛΛΟΝΤΩΝ ΗΛΕΚΤΡΟΝΙΚΟΥ ΕΜΠΟΡΙΟΥ ΑΥΓΟΥΣΤΙΔΟΥ ΜΑΡΙΑ ΜΕΤΑΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ Επιβλέπων Καθηγητής: Τσαδήρας Αθανάσιος Εξεταστές: Τσαδήρας Αθανάσιος Τμήμα Πληροφορικής & Διοίκησης Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκη Ιούνιος 2007

2 2

3 Copyright Μαρία Αυγουστίδου, 2007 Με επιφύλαξη παντός δικαιώματος. All rights reserved. Η έγκριση της μεταπτυχιακής εργασίας από το Τμήμα Πληροφορικής & Διοίκησης του Αριστοτελείου Πανεπιστημίου δεν υποδηλώνει απαραιτήτως και αποδοχή των απόψεων του συγγραφέα εκ μέρους του Τμήματος. 3

4 ΠΕΡΙΕΧΟΜΕΝΑ Περίληψη Ασφάλεια Ηλεκρονικού Εμπορίου Βασικές Έννοιες- Χαρακτηριστικά Η επιταχυνόμενη ανάγκη για Ασφάλεια Ηλεκτρονικού Εμπορίου Αποτελεσματικότητα των μέσων προστασίας Ασφάλεια σε Περιβάλλον Διαδικτύου Απαιτήσεις και Λειτουργίες Ασφάλειας Ηλεκτρονικού Εμπορίου στο Διαδίκτυο Διαθέσιμες Τεχνολογίες Ασφάλειας Ηλεκτρονικού Εμπορίου στο Διαδίκτυο 3.1 Κρυπτογραφία Αντικείμενο-Σημασία της Κρυπτογραφίας Παρουσίαση Συστημάτων Κρυπτογραφίας EASYCRYPTO DELUXE ABC CHAOS CRYPTDECRYPT RIPCODER Συγκριτική μελέτη των λογισμικών κρυπτογραφίας Ψηφιακές Υπογραφές Ακεραιότητα Δεδομένων Τεχνολογίες Firewalls- Περιμετρική ή Συνοριακή Άμυνα (Border Defense) Γιατί είναι αναγκαία τα Firewalls Έλεγχος Προσπέλασης Β.Δ. Περιβάλλοντος Ηλεκτρονικού Εμπορίου Απαιτήσεις Ασφάλειας Βάσεων Δεδομένων Ηλεκτρονικού Εμπορίου Γενικό Πλαίσιο Ασφάλειας Συστημάτων Βάσεων Δεδομένων Διαχείριση Ασφάλειας Ηλεκτρονικού Εμπορίου Κύριες αιτίες δημιουργίας αδυναμιών ασφάλειας εφαρμογών Κίνδυνοι ασφάλειας εφαρμογών & επίδραση στο επιχειρησιακό περιβάλλον Κατηγοριοποίηση Επιθέσεων Κύριες Δικλείδες Ασφάλειας Εφαρμογών Απαιτήσεις ασφάλειας τεχνολογιών Υποδομής / Αντίμετρα Παρουσίαση συγκεκριμένων εφαρμογών Ηλεκτρονικού Εμπορίου

5 6.1 Ηλεκτρονικό Τιμολόγιο Ηλεκτρονική Έκδοση Εισιτηρίου Ηλεκτρονικό Πορτοφόλι Ηλεκτρονικές Επιταγές Πιστωτικές Κάρτες Ηλεκτρονικό Χρήμα Διαθέσιμα Συστήματα Ηλεκτρονικής Πληρωμής σήμερα Ηλεκτρονικές Προμήθειες Ηλεκτρονική Τράπεζα...96 Συμπεράσματα Βιβλιογραφία

6 ΠΕΡΙΛΗΨΗ Ηλεκτρονικό εμπόριο ονομάζεται κάθε είδος εμπορικής συναλλαγής μεταξύ προσώπων (φυσικών και μη) που πραγματοποιείται με ηλεκτρονικά μέσα. Είναι η διάθεση και αγοραπωλησία προϊόντων ηλεκτρονικά, η διεκπεραίωση εμπορικών λειτουργιών και συναλλαγών χωρίς τη χρήση χαρτιού, συνήθως μέσω δικτύων ηλεκτρονικών υπολογιστών. Πρόκειται για την αγοραπωλησία αγαθών, πληροφοριών και υπηρεσιών μέσα από δίκτυα ηλεκτρονικών υπολογιστών. Οι τεχνολογίες του ηλεκτρονικού εμπορίου δεν είναι όλες νέες. Οι περισσότερες από αυτές χρησιμοποιούνται εδώ και αρκετά χρόνια από συγκεκριμένες επιχειρήσεις ή κλάδους. Αυτό που τους έδωσε την απαιτούμενη ώθηση και έκανε την αντιμετώπισή τους ενιαία -κάτω από τη μορφή του ηλεκτρονικού εμπορίου- ήταν η αποδοχή διεθνών προτύπων και η ανάγκη για νέες μορφές οργάνωσης και λειτουργικής διαχείρισης. Έτσι, οι επιχειρήσεις θα μπορούσαν στο εξής να ανταπεξέλθουν στις συνθήκες που επιβάλλονται από τη διεθνοποίηση των αγορών, τις νέες καταναλωτικές αντιλήψεις και κοινωνικές συνθήκες.[97] Ένα πολύ σοβαρό θέμα που υφίσταται και σχετίζεται με το ηλεκτρονικό εμπόριο είναι η ασφάλειά του, η διασφάλιση δηλαδή όλων των δυνατών συναλλαγών που συμβαίνουν στα πλαίσια δράσης του ηλεκτρονικού εμπορίου. Προκειμένου να πραγματοποιηθεί η διαφύλαξη των συναλλαγών, έχει αναπτυχθεί λογισμικό, το οποίο βασιζόμενο στις υπάρχουσες τεχνικές ασφάλειας του ηλεκτρονικού εμπορίου, βοηθά σημαντικά στην αντιμετώπιση του προβλήματος. 6

7 ΚΕΦΑΛΑΙΟ 1 ΑΣΦΑΛΕΙΑ ΗΛΕΚΤΡΟΝΙΚΟΥ ΕΜΠΟΡΙΟΥ (E-COMMERCE SECURITY) Ο αγγλικός όρος security, φέρεται να είναι Λατινικής προέλευσης, αφού προέρχεται από της αντίστοιχες λατινικές λέξεις se που σημαίνει χωρίς και cura που σημαίνει φροντίδα. Δηλαδή η έννοια της ασφάλειας σε ένα σύστημα μπορεί και να ιδωθεί ως μια επιθυμητή ιδιότητα κατάστασή του, κατά την οποία οι χρήστες του απαλλάσσονται κάθε έγνοιας και φροντίδας ως της τη σωστή λειτουργία του. Παρόλο που ο όρος ασφάλεια φαίνεται να έχει μια προφανή σημασία, χρειάζεται να καταβληθεί σημαντική προσπάθεια προκειμένου να καταγραφεί το ακριβές της νόημα.[77] 1.1 Βασικές έννοιες Χαρακτηριστικά Μπορούμε να κατανοήσουμε καλύτερα την έννοια της ασφάλειας αν διακρίνουμε τις τρεις συνεχείς και διαφορετικές μεταξύ τους δράσεις που αυτή απαιτεί: Πρόληψη (prevention): Λήψη μέτρων που μας επιτρέπουν να προλαβαίνουμε τη δημιουργία επικίνδυνων καταστάσεων. Ανίχνευση (detection): Λήψη μέτρων που μας επιτρέπουν να αντιληφθούμε πως, πότε και από ποιόν έχει προκληθεί κάποια ζημιά. Αντίδραση (reaction): Λήψη μέτρων που μας επιτρέπουν να αποκαταστήσουμε τις ζημιές που έχουν προκληθεί. Και βέβαια χρειάζεται να γίνει περισσότερο σαφής η εικόνα των «επικίνδυνων καταστάσεων» ή «ζημιών». Τι ακριβώς διακυβεύεται; Οι επικρατούσες απόψεις διακρίνουν τις τρεις ακόλουθες βασικές έννοιες σε σχέση με τη διαχείριση ενός ασφαλούς συστήματος: 7

8 - Εμπιστευτικότητα (confidentiality): Είναι έννοια στενά συνδεμένη με την ιδιωτικότητα (privacy) και τη μυστικότητα (secrecy). Αφορά τη μη αποκάλυψη των ευαίσθητων πληροφοριών σε χρήστες που δεν έχουν την κατάλληλη εξουσιοδότηση. - Ακεραιότητα (integrity): Αφορά τη δυνατότητα τροποποιήσεων (προσθήκες, διαγραφές και μεταβολές) των πληροφοριών. Μόνο σε κατάλληλα εξουσιοδοτημένους χρήστες πρέπει το σύστημα να επιτρέπει τέτοιου είδους ενέργειες. Έτσι διαφυλάσσεται η ακρίβεια και η πληρότητα των περιεχομένων ενός πληροφοριακού συστήματος. -Διαθεσιμότητα (availability): Αφορά τη δυνατότητα άμεσης πρόσβασης στις πληροφορίες, στις υπηρεσίες και γενικότερα σε όλους τους πόρους πληροφορικής τεχνολογίας (IT resources) όταν ζητούνται, χωρίς αδικαιολόγητες καθυστερήσεις.[78] 1.2 Η επιταχυνόμενη ανάγκη για Ασφάλεια Ηλεκτρονικού Εμπορίου Ανάλογα με τη φύση τους, τα διάφορα πληροφοριακά συστήματα είναι περισσότερο ή λιγότερο «ευαίσθητα» στη δυνατότητα να υποστηρίξουν τα προαναφερθέντα χαρακτηριστικά της ασφάλειας. Γι αυτό και η προσέγγιση της ασφάλειας πληροφοριακών συστημάτων ξεκινάει από την ανάλυση των αναγκών και των σχετικών κινδύνων που παρουσιάζονται σε κάθε περίπτωση. Στη συνέχεια υπολογίζονται οι επιπτώσεις που θα έχει η εφαρμογή των μηχανισμών προστασίας των πληροφοριών στην απόδοση του συστήματος (ταχύτητα, κόστος επεξεργασίας, ευκολία στη διαχείριση, φιλικότητα στο χρήστη κλπ.) και τελικά διαμορφώνεται το κατάλληλο επίπεδο ασφάλειας ως η «χρυσή τομή» ανάμεσα στους κινδύνους που αποφεύγονται, στην συνολική απόδοση του συστήματος και στο κόστος ανάπτυξης και εφαρμογής των μηχανισμών ασφάλειας. Είναι όμως κοινά αποδεκτό ότι δεν υπάρχει πλήρης ασφάλεια, με την έννοια ότι τα μέτρα πρόληψης ποτέ δεν θα είναι ικανά να εμποδίσουν όλων των ειδών τις επικίνδυνες ενέργειες. Προνοώντας λοιπόν για κάθε ενδεχόμενο, μια ακόμη έννοια έρχεται να συμπληρώσει τα χαρακτηριστικά της διαχείρισης ασφάλειας: -Η υπευθυνότητα (accountability). Πρέπει το σύστημα να είναι ικανό να καταγράφει επιλεκτικά κάποιες ενέργειες των χρηστών, έτσι ώστε να είναι δυνατόν όσες επηρεάζουν την ασφάλειά του να μπορούν να «ερευνηθούν», και να «οδηγήσουν» 8

9 στο υπεύθυνο μέρος. Οπότε και είναι δυνατή η απόδοση ευθυνών στο κάθε χρήστη ανάλογα με τη δράση του. Ο όρος αδυναμία-απάρνησης (non-repudiation) ως χαρακτηριστικό ασφάλειας, αποτελεί μια ειδική περίπτωση της έννοιας της υπευθυνότητας και αναφέρεται ακριβώς στο ότι ένας χρήστης δεν μπορεί να αρνηθεί την ανάληψη της ευθύνης για κάποια πράξη που έκανε. Τέλος, υπάρχουν και όροι που έχουν κάποια σχέσηαναλογία με την ασφάλεια συστημάτων όπως η αξιοπιστία (reliability) ή σιγουριά (safety), δηλαδή η ικανότητα των συστημάτων να λειτουργούν σωστά κάτω από αντίξοες συνθήκες, και η εγκυρότητα (dependability) η οποία ενσωματώνει συνήθως τις έννοιες και της ασφάλειας και της αξιοπιστίας. Τα τελευταία έτη βιώνουμε την εκρηκτική αύξηση της χρήσης των τηλεπικοινωνιακών υπηρεσιών. Η τάση της αγοράς αναφορικά με τις υπηρεσίες που προσφέρονται μέσω των τηλεπικοινωνιών, έδωσε την απαραίτητη τεχνολογική ώθηση με αποτέλεσμα την αύξηση και βελτίωση των διαθέσιμων υπηρεσιών. Η συγκεκριμένη τάση παρουσιάζει ανοδική πορεία ενώ η περίοδος που διανύουμε είναι μία περίοδος σημαντικών αλλαγών στη βιομηχανία των τηλεπικοινωνιών. Οι σημαντικότεροι παράγοντες που προωθούν τις αλλαγές αυτές είναι οι ακόλουθοι: το τέλος των μονοπωλίων στην παροχή τηλεπικοινωνιακών υπηρεσιών, η επανάσταση στον χώρο των δικτύων λόγω της εισαγωγής των οπτικών ινών στην υλοποίηση δικτύων, η εκρηκτική αύξηση της χρήσης του Διαδικτύου, τα αυξανόμενα επίπεδα διείσδυσης στην αγορά για προϊόντα ΙΤ (Information Technology) με δυνατότητες μετάδοσης δεδομένων, καθώς και η ένωση των δικτύων τηλεφώνων και δεδομένων. Οι αυξανόμενοι ρυθμοί ενσωμάτωσης νέων χρηστών και νέων τεχνολογιών στο Διαδίκτυο, η έκρηξη στην κυκλοφορία δεδομένων μέσω του Διαδικτύου, η αυξανόμενη ζήτηση για πληροφορίες, είναι μερικά από τα σημεία που καταδεικνύουν την αύξηση του Διαδικτύου και την ανάγκη για το αυξανόμενο εύρος ζώνης. Η υπάρχουσα υποδομή δημόσιων δικτύων στερείται το εύρος ζώνης και την ευελιξία που απαιτούνται από τις νέες εφαρμογές. Συνεπώς, τα δημόσια δίκτυα πρέπει να μεταναστεύσουν στις νεότερες, ισχυρότερες υποδομές οι οποίες διαθέτουν το απαιτούμενο εύρος ζώνης και καλύπτουν τις απαιτήσεις λειτουργίας των εφαρμογών πολυμέσων. Τα ευρυζωνικά δίκτυα είναι η λύση σε αυτό που καιρό προσπαθούσαν να υλοποιήσουν οι ISP s και τα ιδιωτικά δίκτυα: αυξανόμενο εύρος ζώνης, γρηγορότερη 9

10 πρόσβαση, ευκολότερη διαχείριση, μείωση του κόστους και τέλος μεγαλύτερη αξιοπιστία. Οι Ευρυζωνικές τεχνολογίες πρόσβασης συμπεριλαμβάνουν ένα ευρύ φάσμα καλωδίωσης και ασύρματων λύσεων που επινοήθηκαν για να παρακάμψουν την δυσχέρεια του τελευταίου μιλίου και να προσδώσουν στις υπηρεσίες δεδομένων μεγαλύτερη ταχύτητα. Οι ψηφιακές γραμμές συνδρομητών (DSL), οι οπτικές ίνες, οι ασύρματοι τοπικοί βρόχοι είναι τα σημαντικότερα επιτεύγματα της τεχνολογίας των δικτύων. Ευρυζωνικότητα ορίζεται ως το προηγμένο, εφικτό και καινοτόμο περιβάλλον από πολιτική, κοινωνική, οικονομική και τεχνολογική άποψη, το οποίο αποτελείται από: Την παροχή γρήγορων συνδέσεων στο Διαδίκτυο σε ένα όσο το δυνατόν μεγαλύτερο μέρος του πληθυσμού, με ανταγωνιστικές τιμές (με τη μορφή καταναλωτικού αγαθού), χωρίς περιορισμούς στα συστήματα μετάδοσης και τον τερματικό εξοπλισμό των επικοινωνούντων άκρων. Την κατάλληλη δικτυακή υποδομή που: α) επιτρέπει την κατανεμημένη ανάπτυξη υπαρχόντων και μελλοντικών δικτυακών εφαρμογών και πληροφοριακών υπηρεσιών, β) δίνει την δυνατότητα αδιάλειπτης σύνδεσης των χρηστών σε αυτές γ) ικανοποιεί τις εκάστοτε ανάγκες των εφαρμογών σε εύρος ζώνης και δ) είναι ικανή να αναβαθμίζεται συνεχώς και με μικρό επιπλέον κόστος ώστε να εξακολουθεί να ικανοποιεί τις ανάγκες όπως αυτές αυξάνουν και μετεξελίσσονται σε ρυθμό και σε κόστος από την πρόοδο της πληροφορικής και της τεχνολογίας των επικοινωνιών. Τη δυνατότητα του πολίτη να επιλέγει: α) ανάμεσα σε εναλλακτικές προσφορές σύνδεσης που ταιριάζουν στον εξοπλισμό και στις ανάγκες του β) μεταξύ διαφόρων δικτυακών εφαρμογών και γ) μεταξύ διαφόρων υπηρεσιών πληροφόρησης και ψυχαγωγίας και με πιθανή συμμετοχή του ίδιου του πολίτη στην παροχή υπηρεσιών. Το κατάλληλο ρυθμιστικό πλαίσιο αποτελούμενο από πολιτικές, μέτρα, πρωτοβουλίες, άμεσες παρεμβάσεις, αναγκαίες για την ενδυνάμωση της καινοτομίας, την προστασία του ανταγωνισμού και την εγγύηση της σοβαρής ισορροπημένης οικονομικής ανάπτυξης ικανής να προέλθει από την γενικευμένη συμμετοχή στην Ευρυζωνικότητα και την Κοινωνία της Πληροφορίας. Τα τρία βασικά μέρη μιας πληροφοριακής υποδομής ενός συστήματος Ηλεκτρονικού Εμπορίου που αποτελούν αντικείμενο επιθέσεων, δηλαδή προσπαθειών παραβίασης της κανονικής λειτουργίας τους, είναι το υλικό, το λογισμικό και τα δεδομένα. Οι αδυναμίες ασφάλειας των πληροφοριακών συστημάτων οφείλονται στα μέρη αυτά 10

11 καθ αυτά αλλά και στους τρόπους αλληλεπίδρασης και ενοποίησής τους. Πολύ σημαντική εστία δημιουργίας προβλημάτων αποτελούν οι επικοινωνίες μεταξύ των πληροφοριακών συστημάτων. Η γρήγορη εξέλιξη μάλιστα της τεχνολογίας κάνει τα όρια ανάμεσα στην απομονωμένη και στη δικτυακή χρήση, ακόμη πιο δυσδιάκριτα. Λογισμικό που εκτελείται σε ένα μηχάνημα δεν είναι απαραίτητα αποθηκευμένο σε αυτό. Μπορεί να προέρχεται από έναν τοπικό εξυπηρετητή δικτύου ή ακόμη και από έναν Web εξυπηρετητή. Έτσι οι σύγχρονοι υπολογιστές πλησιάζουν ολοένα και περισσότερο στη λειτουργία ενός στενά συνδεδεμένου δικτύου εξαρτημάτων, καταργώντας στη πράξη και τα όρια ανάμεσα στις απειλές των δικτύων και των μεμονωμένων πληροφοριακών συστημάτων. Βασικός στόχος της ασφάλειας πληροφοριακών συστημάτων παραμένει η διαφύλαξη της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας όλων των συστατικών τους μερών. Όμως, είναι αλήθεια ότι κάθε εξέλιξη της τεχνολογίας μοιάζει να δημιουργεί νέα προβλήματα ασφάλειας. Η μεγαλύτερη πρόκληση στο χώρο της ασφάλειας οφείλεται ακριβώς στο ότι απαιτεί την άμεση εκμετάλλευση τεχνολογιών αιχμής για την αντιμετώπιση των νέων προβλημάτων που συνεχώς αναδύονται.[72] Η Αποτελεσματικότητα των μέσων προστασίας. Η αποτελεσματικότητα (effectiveness) των μέτρων εξαρτάται από το πόσο σωστά χρησιμοποιούνται. Ορισμένοι βασικοί παράγοντες που επηρεάζουν την αποτελεσματικότητα των αντίμετρων είναι: Επίγνωση του μεγέθους του προβλήματος. Τα άτομα που εφαρμόζουν τα μέτρα, ή ακόμη περισσότερο αυτά που είναι υπεύθυνα για τη διαμόρφωσή τους, πρέπει να έχουν πειστεί για την ανάγκη για ασφάλεια και για το επίπεδο της ασφάλειας που προβλέπεται σε κάθε περίπτωση. Περιοδικές αναθεωρήσεις. Η αμφισβήτηση της αποτελεσματικότητας ενός μέτρου πρέπει να είναι συνεχής. Το περιβάλλον λειτουργίας είναι δυναμικό αφού συνεχώς οι συνθήκες, οι απειλές και οι ανάγκες εξελίσσονται. Είναι πολύ λογικό λοιπόν τα περισσότερα μέτρα προστασίας 11

12 να παύουν να είναι αποδοτικά αν δεν γίνουν οι κατάλληλες προσαρμογές και αντικαταστάσεις. Αλληλοεπικάλυψη μέτρων. Στις περισσότερες περιπτώσεις η ορθή αντιμετώπιση μιας ευπάθειας απαιτεί την εφαρμογή διαφορετικών μεταξύ τους αντίμετρων. Ένας συνδυασμός φυσικών, δικτυακών-επικοινωνιακών και υπολογιστικών μέτρων προστασίας ελαχιστοποιεί τις υπαρκτές απειλές, ενώ συχνά η συνολική αξιοπιστία του συστήματος προστασίας στηρίζεται στις δυνατότητες αλληλοσυμπλήρωσης και αλληλοεπικάλυψης των μέτρων αυτών. Αυτό φυσικά δεν σημαίνει ότι το κάθε μέτρο μεμονωμένα δεν είναι ανθεκτικό και ισχυρό. Άλλωστε, σύμφωνα με τη φιλοσοφία του «ασθενέστερου σημείου»(weakest point philosophy) οι ειδικοί στην ασφάλεια πληροφοριακών συστημάτων πρέπει να συνυπολογίζουν όλα τα υπάρχοντα ρήγματα ασφάλειας, διότι οχυρώνοντας μόνον κάποια από αυτά, απλώς κάνουν τις υπόλοιπες ευπάθειες πιο ελκυστικές για όσους κακοήθεις σκοπεύουν να εκδηλώσουν επιθέσεις. Συχνά λέγεται ότι η ασφάλεια έχει παρόμοια συμπεριφορά με μια αλυσίδα: η ισχύς της είναι τόση όση και η ισχύς του πιο ασθενούς κρίκου της. Πιθανότητες χρησιμοποίησης. Σύμφωνα με την «αρχή της αποτελεσματικότητας» (principle of effectiveness), για να είναι αποτελεσματικά τα μέτρα πρέπει να χρησιμοποιούνται, να είναι επαρκή, κατάλληλα και εύκολα στη χρήση τους. Δηλαδή υπονοείται ότι πρωταρχική προϋπόθεση για την απόδοση ενός μέτρου είναι να βρίσκεται σε εφαρμογή τη κρίσιμη στιγμή. Αυτό σημαίνει ότι η χρήση των αντίμετρων δεν επηρεάζει αρνητικά τις εργασίες που αυτά προστατεύουν, αφού πρέπει να είναι «οικονομικά» ως προς τη κατανάλωση των πόρων του συστήματος (χρόνο, χώρο μνήμης, ανθρώπινη δραστηριότητα κλπ).[82] 12

13 ΚΕΦΑΛΑΙΟ 2 ΑΣΦΑΛΕΙΑ ΣΕ ΠΕΡΙΒΑΛΛΟΝ ΔΙΑΔΙΚΤΥΟΥ Το Διαδίκτυο (Internet), είναι το μεγαλύτερο σύμπλεγμα διαφορετικών δικτύων (internet of internets) που χρησιμοποιούν ως πρωτόκολλο επικοινωνίας το TCP/IP και βρίσκονται εγκατεστημένα σε κάθε γωνιά του πλανήτη. Επιτυγχάνει τη διασύνδεση ετερογενών δικτύων Η/Υ (INTERnetworking NETworks). Ο ιδιαίτερος χαρακτήρας του προκύπτει από την ανοχή που διαθέτει σε αναξιόπιστες συνδέσεις. Σχεδιάστηκε έτσι ώστε να υποστηρίζει πολλαπλές συνδέσεις μεταξύ των υπολογιστών με αποτέλεσμα να διατηρεί τη λειτουργικότητά του ακόμα και με κατεστραμμένους κλάδους. Πραγματικά είναι πολύ σημαντική η ικανότητά του κάθε υπολογιστή να μπορεί να στέλνει μηνύματα στους άλλους ακολουθώντας οποιοδήποτε διαθέσιμο δρόμο και όχι κάποιο σταθερό και προκαθορισμένο. Η ομάδα πρωτοκόλλων TCP/IP (Transmission Control Protocol / Internet Protocol), είναι αυτή που κατά κανόνα χρησιμοποιείται ως η προσυμφωνημένη μέθοδος επικοινωνίας και διαμεταγωγής δεδομένων στο Internet, και η οποία καθιέρωσε τη λογική του «πακέτου»: στο κόμβο του αποστολέα το μήνυμα μετάδοσης τεμαχίζεται σε μικρά τμήματα σταθερού μεγέθους τα οποία μεταδίδονται ανεξάρτητα μέσω του δικτύου. Κάθε πακέτο μεταφέρει ζωτικά στοιχεία για τη δρομολόγησή του (όπως πχ. η διεύθυνση προορισμού του) και ακολουθεί τη δική του διαδρομή μέσα στο δίκτυο. Στο κόμβο του παραλήπτη τα πακέτα θα συναρμολογηθούν για να σχηματιστεί το αρχικό μήνυμα. Φυσικά η όλη διαδικασία προϋποθέτει ότι κάθε υπολογιστής στο Διαδίκτυο έχει και τη δική του διεύθυνση επικοινωνίας (IP address). Με τον τρόπο αυτό, επιτεύχθηκε η δημιουργία κατανεμημένων δικτύων (distributed networks) τα οποία δεν εξαρτώνται από ένα κέντρο οργάνωσης ελέγχου και άρα δεν χρειάζεται να στηρίζονται σε ένα μεμονωμένο κεντρικό υπολογιστή-οικοδεσπότη (single centralized host). Το σημείο αυτό, ενοχλητικό για πολλούς, είναι που εξηγεί και την άναρχη δομή του Internet: κάθε υπολογιστής-οικοδεσπότης είναι ομότιμος μέσα στο δίκτυο χωρίς να υπάρχει κεντρική διαχείριση. Το Διαδίκτυο αποτελεί σήμερα τη θεμέλια βάση για την παγκοσμίου κλίμακας επικοινωνία και πρόσβαση απομακρυσμένων πόρων που απολαμβάνουν εκατομμύρια 13

14 χρήστες υπολογιστών. Τα πλεονεκτήματα που προέκυψαν για τη παγκόσμια κοινότητα από τη χρήση του Internet, είναι διαθέσιμα και στις επιχειρήσεις μέσω των intranets, δηλαδή των ιδιωτικών δικτύων υπολογιστών που χρησιμοποιούν το λογισμικό και τα πρότυπα του Διαδικτύου αλλά δεν προσφέρουν ελεύθερη προσπέλαση σε όλους τους χρήστες. Ένα intranet, χρησιμοποιεί το πρωτόκολλο TCP/IP τόσο για τοπικής εμβέλειας όσο και για ευρείας εμβέλειας μεταφορά πληροφοριών. Χρησιμοποιεί ακόμη τα πρωτόκολλα HTTP, SMTP και άλλα «ανοικτά» Διαδικτυακά πρότυπα, για να μεταφέρει πληροφορίες ανάμεσα στους πελάτες και τους διανομείς, προσανατολισμένο αυστηρά σε χρήστες που ανήκουν στην επιχείρηση ή έχουν κάποια συνεργασία μαζί της. Στη δικτυακή αρχιτεκτονική μιας τέτοιας επιχείρησης, συνήθως περιλαμβάνεται μια σειρά από υπολογιστέςδιανομείς (πχ. web server, SQL server, application server και database server), οι οποίοι είναι συνδεδεμένοι μεταξύ τους, όχι απαραίτητα μέσω ενός τοπικού δικτύου. Υπάρχουν όμως ακόμη, θέματα σχετικά με την ασφάλεια στο Internet που κάνουν τους χρήστες να το αποφεύγουν για τη διακίνηση ευαίσθητων δεδομένων. Κλασικό παράδειγμα η εισαγωγή του αριθμού πιστωτικής κάρτας για τη προμήθεια αγαθών ή υπηρεσιών μέσω Διαδικτύου. Είναι γενικά αποδεκτό ότι ο σημαντικότερος παράγοντας που επηρεάζει τη περαιτέρω διάδοση της χρήσης του Internet, είναι αυτός της δημιουργίας κλίματος μεγαλύτερης εμπιστοσύνης και αξιοπιστίας σε αυτό. Σύμφωνα με την επισκόπηση Third Annual Ernst & Young/Information Week Information Security Survey, όπως σημειώνεται στον Ahuja, το 87% αυτών που χρησιμοποιούν το Διαδίκτυο, το 66% αυτών που δεν το χρησιμοποιούν ακόμη και το 83% αυτών που σκοπεύουν να συνδεθούν μέσα σε ένα χρόνο, δηλώνουν ότι θα χρησιμοποιούσαν το Internet για εμπορικές συναλλαγές αν διευρυνόταν σημαντικά η παρεχόμενη ασφάλεια του.[77] 2.1 Απαιτήσεις και Λειτουργίες Ασφάλειας Ηλεκτρονικού Εμπορίου στο Διαδίκτυο Πιο αναλυτικά, η διαχείριση ασφάλειας (security management) οφείλει να υποστηρίξει τις ακόλουθες υπηρεσίες ασφάλειας (security services) γνωστές και ως λειτουργίες ασφάλειας (security functions): Εμπιστευτικότητα δεδομένων (data confidentiality): 14

15 Η προστασία ενάντια σε μη-εξουσιοδοτημένες αποκαλύψεις πληροφοριών. Η τεχνολογία της κρυπτογράφησης (encryption or cryptography) είναι σχεδόν συνώνυμη της λειτουργίας αυτής, λόγω του κυρίαρχου ρόλου της. Υπάρχει όμως και μια ειδική κατηγορία απειλών εμπιστευτικότητας που απαιτεί ειδικά μέτρα αντιμετώπισης: Εμπιστευτικότητα ροής δεδομένων (traffic flow confidentiality): Πολλές φορές όχι το περιεχόμενο, αλλά απλά η ύπαρξη κάποιων μηνυμάτων αποτελεί ευαίσθητη πληροφορία και άρα χρειάζεται προστασία. Και αυτός ο κίνδυνος διαρροής πληροφοριών γίνεται σοβαρότερος στις περιπτώσεις που κάποιος εισβολέας έχει καταφέρει να δημιουργήσει ένα κρυφό κανάλι1 (covert channel) στο δίκτυο, από όπου καταγράφοντας την εμφάνιση σποραδικών bits μπορεί να εξάγει συμπεράσματα σχετικά με την επικοινωνία που παρακολουθεί. Οι απόπειρες υποκλοπής εδώ, εκδηλώνονται με επιθέσεις τύπου traffic analysis και μπορούν να εξουδετερωθούν με δυο κυρίως μεθόδους ελέγχου κίνησης δικτύου (traffic controls): 1. Παρεμβολές στη κίνηση (traffic pad): Ο διαχειριστής ασφάλειας εισάγει «θόρυβο» στο δίκτυο, δηλαδή πλαστά μηνύματα, με σκοπό να διαταραχθεί η κανονική ροή των πληροφοριών και να συγκαλύψει τις πραγματικές ποσότητες στη κυκλοφορία των δεδομένων. 2. Έλεγχος δρομολόγησης (routing control): Ο διαχειριστής προσπαθεί να επέμβει ενεργά στη διαδρομή που ακολουθούν τα μηνύματα. Έτσι περιοδικά, καθυστερεί πακέτα δεδομένων, αλλάζει τους ενδιάμεσους κόμβους που επισκέπτονται ή ακόμη και σβήνει ορισμένα (δεν υπάρχει πρόβλημα, αφού το TCP/IP έχει ανοχές αρκετές ώστε να ξαναζητάει από τους διανομείς τα χαμένα πακέτα δεδομένων). Ακεραιότητα δεδομένων (data integrity): Η δυνατότητα εντοπισμού παραποίησης και ανάκτησης των δεδομένων. Για τη προστασία της εγκυρότητας των δεδομένων εκτός της κρυπτογράφησης, χρησιμοποιούνται μηχανισμοί δημιουργίας περιλήψεων μηνυμάτων (message digests) και ψηφιακών υπογραφών (digital signatures). Αδυναμία απάρνησης (non-repudiation): Η προστασία από την μη-ανάληψη ευθύνης ενός αποστολέα ότι αυτός έστειλε συγκεκριμένα δεδομένα (nonrepudiation of origin), καθώς και από την άρνηση ενός παραλήπτη ότι παρέλαβε κάποια δεδομένα (non-repudiation of delivery). Χρησιμοποιούνται οι προαναφερθέντες μηχανισμοί προστασίας ακεραιότητας δεδομένων, μαζί με 15

16 υποδομές υποστήριξης και διακίνησης ψηφιακών πιστοποιητικών (X.509 certificates). Εποπτείες ή Αρχές Πιστοποίησης (Certification Authorities) αναλαμβάνουν την ευθύνη, ως τρίτες έμπιστες συμβολαιογραφικές αρχές (3rd party trusted notaries) για την δημιουργία κλίματος εμπιστοσύνης στα επικοινωνούντα μέρη. Αναγνώριση και πιστοποίηση (identification and authentication): Η απαίτηση πληροφοριών πιστοποίησης, οι οποίες διακινούνται συνήθως κρυπτογραφημένα, και οι οποίες μπορούν να επιβεβαιώνουν τη ταυτότητα των μερών που επικοινωνούν. Ο έλεγχος αυθεντικότητας αφορά δυο διακεκριμένες περιπτώσεις: 1) την ταυτότητα των χρηστών (user or entity authentication). Συνήθωςσυμβαίνει στην αρχή μιας τοπικής σύνδεσης (local logon) και οι μηχανισμοί που χρησιμοποιούνται ονομάζονται πρωτόκολλα αυθεντικότητας (authentication protocols). Παραδείγματα τέτοιων μηχανισμών είναι η χρήση αναγνωριστικού και συνθηματικού (user-id & password), οι τεχνικές πρόκλησης-απόκρισης (challengeresponse techniques) και άλλες μορφές διαπιστευτηρίων (credentials). 2) την ταυτότητα των συστημάτων ως αφετηρίες πηγές προέλευσης μηνυμάτων (origin authentication). Χρησιμοποιείται και ο όρος πιστοποίηση κατανεμημένων συστημάτων (authentication of distributed systems). Η λειτουργία αυτή έχει συναφές έργο με την λειτουργία της αδυναμίας απάρνησης αποστολέα (non-repudiation of origin) και συνεπώς στηρίζεται στις μηχανισμούς ψηφιακών υπογραφών πιστοποιητικών και αξιοποίησης έμπιστων τρίτων μερών (trusted third parties). Έλεγχος προσπέλασης (access control) και εξουσιοδοτήσεις (authorizations): Η προστασία ενάντια σε μη-εξουσιοδοτημένη χρήση των πόρων, είτε είναι υλικό (δικτυακό υλικό, μονάδες επεξεργασίας αποθήκευσης κλπ.), είτε λογισμικό (κώδικας που εκτελείται ή πρόκειται να εκτελεστεί), είτε δεδομένα. Μηχανισμοί όπως οι λίστες ελέγχου προσπέλασης (Access Control Lists-ACLs) και οι ετικέτες ασφάλειας (security labels), χρησιμοποιούνται για το περιορισμό στην προσπέλαση των πόρων. Γενικότερα, υποστηρίζουν πολιτικές ασφάλειας που παρέχουν μια πολλαπλών επιπέδων και διαφοροποιημένη προσπέλαση πόρων (supporting different levels of resource access) στους χρήστες ανάλογα με το επίπεδο εμπιστοσύνης που μπορούν να τεκμηριώσουν. Τα δικαιώματα προσπέλασης (access rights) είναι οι απαραίτητες πληροφορίες που συσχετίζουν ένα σύστημα πελάτη με ένα σύστημα διανομέα και καθορίζουν αν ο πελάτης θα αποκτήσει συγκεκριμένου τύπου προσπέλαση σε ένα 16

17 συγκεκριμένο πόρο του διανομέα. Να τονιστεί εδώ, ότι στη περίπτωση του Internet πολύ συχνά και ανάλογα με τη χρονική στιγμή, οι ρόλοι αλλάζουν και ένας διανομέας λειτουργεί προσωρινά ως πελάτης και το αντίστροφο. Οπότε η ασφάλεια πρέπει κάθε φορά να «βλέπει» και προς τις δυο κατευθύνσεις ροής των πληροφοριών. Επιπλέον σημαντικές παράμετροι για την διαχείριση ασφάλειας στο Διαδίκτυο, αποτελούν οι μηχανισμοί: Επίβλεψης (auditing) και υπευθυνότητας (accountability): Καταγράφουν τις δηλώσεις ταυτότητας και τις ενέργειες των χρηστών (αλλά και των συστημάτων) που αποκτούν πρόσβαση σε προστατευμένους πόρους. Ελέγχου αποδοτικότητας δικτύου (efficiency controls): Πρόκειται για μηχανισμούς που καταγράφουν και παρακολουθούν τη συνολική απόδοση του συστήματος και τη κίνηση του δικτύου, με σκοπό την αποτροπή καταστάσεων άρνησης εξυπηρέτησης (prevention of Denial of Service). Υποστήριξης συνεργασίας των υπηρεσιών ασφάλειας που προσφέρονται από εφαρμογές (callable security services from applications): Οι εφαρμογές που εκτελούνται στο Διαδίκτυο, διαθέτουν ενδεχομένως χαρακτηριστικά ασφάλειας που πρέπει να μπορούν να κληθούν και να λειτουργούν με ενιαίους τρόπους. Η βασική έννοια της υποστήριξης ενός βασικού πλαισίου συνεργασίας ασφαλών εφαρμογών (Security Application Program Interface) προωθείται μέσω των τεχνολογιών Generic Security Service API, Generic Cryptographic Service API και Generic Audit Service API).[77] 17

18 ΚΕΦΑΛΑΙΟ 3 ΔΙΑΘΕΣΙΜΕΣ ΤΕΧΝΟΛΟΓΙΕΣ ΑΣΦΑΛΕΙΑΣ ΗΛΕΚΤΡΟΝΙΚΟΥ ΕΜΠΟΡΙΟΥ ΣΤΟ ΔΙΑΔΙΚΤΥΟ Στις κυριότερες διαθέσιμες τεχνολογίες ασφάλειας στο Διαδίκτυο περιλαμβάνονται η κρυπτογράφηση, οι ψηφιακές υπογραφές, οι υποδομές δημόσιου κλειδιού και τα συστήματα firewalls. Η κρυπτογραφία είναι στις μέρες μας κοινά αποδεκτή σαν το πλέον απαραίτητο εργαλείο ασφάλειας στο Διαδίκτυο. Δύο σημαντικές εφαρμογές κρυπτογραφίας είναι η κρυπτογράφηση και οι ψηφιακές υπογραφές. Η κρυπτογράφηση μπορεί να εξασφαλίσει ότι οι διακινούμενες πληροφορίες είναι εμπιστευτικές. Οι ψηφιακές υπογραφές βοηθούν στην επικύρωση της προέλευσης δεδομένων και επιβεβαιώνουν αν τα δεδομένα έχουν αλλοιωθεί. Περαιτέρω δυνατότητες προσφέρονται μέσω των υποδομών δημοσίου κλειδιού και διαχείρισης προνομίων, οι οποίες με την έκδοση των πιστοποιητικών ταυτότητας και χαρακτηριστικών, αποδεικνύονται ικανές για την υποστήριξη ενός μεγάλου μέρους των αναφερθέντων στο προηγούμενο κεφάλαιο λειτουργιών ασφάλειας στο Internet. Στην ενότητα αυτή, γίνεται επίσης μια αναλυτική περιγραφή των δυνατοτήτων και των περιορισμών μιας άλλης πολύ σημαντικής τεχνολογίας διασφάλισης στο Διαδίκτυο, των firewalls. Ένα σύστημα firewall καλείται να λειτουργήσει ως ένας μηχανισμός περιμετρικής άμυνας, ο οποίος δρα συμπληρωματικά με τους υπόλοιπους μηχανισμούς ασφάλειας. Σκοπός του είναι ο έλεγχος και η καταγραφή όλων των προσπαθειών προσπέλασης οι οποίες κατευθύνονται προς τις προστατευμένες δικτυακές υπηρεσίες, με το να επιτρέπει, να απαγορεύει ή να ανακατευθύνει τη ροή των δεδομένων μέσω των μηχανισμών του. Τα firewalls της χρήσης του Διαδικτύου παρουσιάστηκαν διάφορα προβλήματα ασφάλειας που αφορούν την εξασφάλιση της μυστικότητας και ακεραιότητας των αποθηκευμένων και διακινουμένων δεδομένων. Κάθε μεταφορά πληροφορίας, θα πρέπει βεβαίως να είναι ασφαλής και αξιόπιστη. Εάν οι χρήστες του Internet δεν έχουν την πεποίθηση ότι η επικοινωνία τους και τα δεδομένα που ανταλλάσσουν είναι ασφαλή από μη εξουσιοδοτημένη πρόσβαση ή παραποίηση, αυτό αποτελεί ανασταλτικό παράγοντα στην επιλογή τους να το χρησιμοποιήσουν ευρύτερα και ως μέσο διακίνησης των πιο κρίσιμων πληροφοριών τους (όπως τα ιατρικά τους δεδομένα, οικονομικής φύσεως 18

19 στοιχεία κλπ.). Στα ανοικτά δίκτυα πράγματι, τα μηνύματα είναι δυνατόν να υποκλαπούν και να μεταβληθούν, η εγκυρότητα των πληροφοριών είναι διαβλητή και τα προσωπικά δεδομένα μπορεί να καταχωρηθούν παράνομα. Έτσι σήμερα τα πιο σημαντικά ηλεκτρονικά έγγραφα συνήθως ανταλλάσσονται μόνο μέσα σε κλειστά δίκτυα, δηλαδή μόνο όταν εμπλέκονται χρήστες μεταξύ των οποίων ήδη υπάρχουν δεσμεύσεις από συμβόλαια αλλά και αμοιβαία εμπιστοσύνη. Το μοντέλο αυτό δεν μπορεί να μεταφερθεί απόλυτα στα ανοικτά δίκτυα διότι οι χρήστες στη πλειοψηφία τους δεν δεσμεύονται από τέτοιους όρους και δεν υπάρχουν ανάλογες σχέσεις μεταξύ τους. Αυτό έχει ως αποτέλεσμα να μην μπορούν να αξιοποιηθούν πλήρως οι δυνατότητες του Δικτύου. Ένα αποδεκτό επίπεδο ασφάλειας, μπορεί να προσφέρει η συνδυασμένη χρήση τεχνολογιών διασφάλισης συναλλαγών (transaction security) και διατάξεων διασφάλισης δικτύων (network security). Η χρησιμότητα της κρυπτογράφησης έχει εύστοχα παρομοιαστεί με αυτή των τεθωρακισμένων φορτηγών που φροντίζουν την ασφαλή μεταφορά χρημάτων από τράπεζα σε τράπεζα. Με την ίδια λογική, είναι φανερό ότι τα μέτρα προστασίας που λαμβάνονται κατά την διακίνηση πολύτιμων αγαθών αποδεικνύονται άχρηστα αν στη συνέχεια αυτά τα αγαθά μετά τη παράδοσή τους εγκαταλειφθούν σε χώρους ελεύθερης πρόσβασης. Έτσι, το ρόλο της φρουράς ελέγχου της εισόδου-εξόδου στις επιμέρους επικράτειες (domains) του όλου δικτύου, αναλαμβάνει η συνεχώς εξελισσόμενη τεχνολογία των firewalls. 3.1 Κρυπτογραφία (Cryptography) Η κρυπτογραφία (cryptography) ως επιστήμη της ασφαλούς επικοινωνίας προσφέρει διάφορες τεχνικές για την κρυπτογράφηση και την αποκρυπτογράφηση μηνυμάτων. Ο ρόλος της κρυπτογραφίας αρχικά, με τις συμβατικές τεχνικές υποστήριξης της εμπιστευτικότητας των διακινούμενων πληροφοριών, είχε σημαντικές αλλά περιορισμένες εφαρμογές στη επιστήμη της Πληροφορικής. Όμως από το 1976, με τη δημοσίευση της θεμελιώδους εργασίας των Diffie και Hellman άρχισε μια νέα εποχή για την κρυπτογραφία, η εποχή της κρυπτογράφησης του δημόσιου κλειδιού. Έτσι, σήμερα η κρυπτογραφία μπορεί να ανταποκριθεί στις ανάγκες των ευρύτερα 19

20 ανοικτών δικτύων με πλήθος εφαρμογών στη βιομηχανία, στις τράπεζες, στα νοσοκομεία κλπ.[82] Αντικείμενο σημασία της κρυπτογραφίας Σε ένα σύστημα κρυπτογράφησης, το αρχικό μήνυμα (plaintext) μετασχηματίζεται σε κρυπτογράφημα (ciphertext), δηλαδή σε ένα μήνυμα το οποίο είναι μη-αναγνώσιμο από τρίτους (εκτός από τον επιδιωκόμενο παραλήπτη). Οι μετατροπές κρυπτογράφησης αποκρυπτογράφησης (encryption-decryption) γίνονται με τη βοήθεια ενός αλγορίθμου κρυπτογράφησης (cipher) και ενός αρκετά μεγάλου αριθμού, του κλειδιού κρυπτογράφησης (key). Στην εποχή της τηλεπληροφορικής που τεράστιες ποσότητες ευαίσθητων πληροφοριών ανταλλάσσονται μεταξύ διαφόρων οργανισμών μέσω μη ασφαλών δημόσιων δικτύων, ο ρόλος της κρυπτογραφίας έχει διευρυνθεί για να ανταποκριθεί στη νέα πραγματικότητα. Ένας ολόκληρος επιστημονικός κλάδος, αυτός της κρυπτολογίας, έχει δημιουργηθεί με αντικείμενο τέτοιου είδους ζητήματα. Η κρυπτολογία περιλαμβάνει δύο επιμέρους κλάδους: την κρυπτογραφία και την κρυπτανάλυση. Στην κρυπτογραφία μελετώνται μέθοδοι εξασφάλισης της μυστικότητας και γνησιότητας των μηνυμάτων που ανταλλάσσονται μεταξύ δύο ή περισσοτέρων οντοτήτων. Αντίθετα στην κρυπτανάλυση μελετώνται μέθοδοι για την αποκάλυψη ή πλαστογράφηση των μηνυμάτων. Υποθέτουμε ότι ένας χρήστης Α και ένας χρήστης Β θέλουν να έχουν μια ασφαλή επικοινωνία. Αρχικά, πρέπει να διαλέξουν ή να ανταλλάξουν ένα ζεύγος κλειδιών (e,d). Στη συνέχεια, όταν ο Α (αποστολέας) θελήσει να στείλει μυστικά δεδομένα m στον Β (παραλήπτη), εφαρμόζεται μια μαθηματική συνάρτηση Ε, η οποία χρησιμοποιεί ως παράμετρο το κλειδί e, με σκοπό τον υπολογισμό του κρυπτογραφήματος c = Ε (m, e). Το κρυπτογράφημα c αποστέλλεται στον Β. Μόλις αυτός το λάβει, εφαρμόζεται μια αντίστροφη μαθηματική συνάρτηση D, η οποία χρησιμοποιεί το άλλο κλειδί d, με σκοπό τον υπολογισμό του m = D (c, d). Οπότε ανακτώνται τα αρχικά δεδομένα m. 20

21 Ένα θεμελιώδες ερώτημα που προκύπτει είναι γιατί είναι απαραίτητο να εμπλέκονται στην όλη διαδικασία τα κλειδιά. Έχοντας εισάγει στις συναρτήσεις τα κλειδιά ως παραμέτρους, επιτυγχάνονται τα εξής: Αν κάποια στιγμή αποκαλυφθούν οι αλγόριθμοι, δεν είναι ανάγκη αυτοί να αντικατασταθούν, αλλάζοντας εκ βάθρων το κρυπτογραφικό σύστημα. Πρέπει απλά να αλλάξουν τα κλειδιά. Ακόμη, δεν απαιτούνται διαφορετικοί αλγόριθμοι για την παραγωγή διαφορετικών κρυπτογραφημάτων από το ίδιο αρχικό κείμενο. Αρκεί η χρήση διαφορετικών κλειδιών. Πραγματικά, τα κλειδιά έχουν το πιο κρίσιμο ρόλο στη λειτουργικότητα των κρυπτογραφικών αλγορίθμων, για αυτό το λόγο και αποτελεί ορθή και σώφρονα πρακτική κρυπτογραφίας η συχνή αλλαγή τους. Η σύγχρονη κρυπτογραφία δεν στηρίζεται στη μυστικότητα των αλγορίθμων της. Το αντίθετο μάλιστα, επιδιώκει τη δημοσιοποίηση τους βασιζόμενη σε ανοικτές προς όλους διαδικασίες αποτίμησης της ανθεκτικότητάς τους. Η χρήση κοινόχρηστων δημόσιων αλγορίθμων (public algorithms), αποτελεί μια απαίτηση των πληροφοριακών συστημάτων της σημερινής πραγματικότητας, τα οποία καλούνται να υποστηρίξουν μια μεγάλη κοινότητα χρηστών με ενδιαφέροντα ανταγωνιστικά μεταξύ τους τις περισσότερες φορές. Οι δημόσιοι αλγόριθμοι εξελίσσονται με ανοικτές διαδικασίες αξιολόγησης (open evaluation) και συχνά βάσει εκ των πραγμάτων τυποποιήσεων προτύπων (de-facto standardization). Τα χαρακτηριστικά αυτά εξυπηρετούν μια βασική ανάγκη των σύγχρονων δικτυακών περιβαλλόντων: δίνουν τη δυνατότητα στο κάθε μέρος να κάνει με τα δικά του κριτήρια τις δικές του εκτιμήσεις περί της ανθεκτικότητας των αλγορίθμων κρυπτογράφησης και άρα του παρεχόμενου επιπέδου ασφάλειας. Έτσι διευκολύνονται όσα νέα μέρη θέλουν να συμμετάσχουν σε υπάρχουσες δικτυακές υποδομές, εφόσον μειώνονται οι δισταγμοί τους ως προς την υποστηριζόμενη ασφάλεια επικοινωνιών. Συνοψίζοντας, το κλειδί που χρησιμοποιείται σε μια κρυπτογραφική μετατροπή πρέπει ουσιαστικά να αποτελεί το μοναδικό αντικείμενο προστασίας, ενώ ο αλγόριθμος πρέπει να θεωρείται γνωστός. Αυτή ηπροσέγγιση είναι γνωστή στη κρυπτογραφία ως Αρχή του Kerckhoffs. Βεβαίως μια σειρά από ζητήματα που αφορούν τα κλειδιά τίθενται: Που και πώς παράγονται; Που αποθηκεύονται; Πώς αποστέλλονται; Πώς και πότε ανακαλούνται ή αντικαθιστώνται; [82] 21

22 3.2 Παρουσίαση Συστημάτων Κρυπτογραφίας Παρακάτω ακολουθεί η παρουσίαση ορισμένων συστημάτων κρυπτογράφησηςαποκρυπτογράφησης. Τα συστήματα που μελετώνται είναι τα εξής: EasyCrypto Deluxe ABC CHAOS CryptDecrypt Ripcoder EASYCRYPTO DELUXE Το σύστημα EasyCrypto Deluxe είναι ένα σύστημα με τη βοήθεια του οποίου μπορεί κανείς να κρυπτογραφήσει αυτόνομα αρχεία αλλά και ολόκληρους φακέλους. Το υψηλό επίπεδο ασφάλειας επιτυγχάνεται με τη χρήση του πολύ γνωστού, με κλειδιά των 128 bits, του αλγορίθμου BlowFish. Μπορεί κανείς να κτίσει επίσης κρυπτογραφημένα και συμπιεσμένα αρχεία και να τα στείλει σε άλλους. Το πρόγραμμα προσφέρει τις ακόλουθες δυνατότητες: Self-extracting EasyCrypto συμπιεσμένα αρχεία- Το μόνο πράγμα το οποίο χρειάζεται ο παραλήπτης για να εξάγει τα κρυπτογραφημένα αρχεία είναι ο σωστός κωδικός. Η μηχανή αποκρυπτογράφησης και αποσυμπίεσης βρίσκεται ενσωματωμένη μέσα στο αρχείο. Συμπιεσμένα αρχεία EasyCrypto- Μία άλλη δυνατότητα την οποία προσφέρει το πρόγραμμα είναι ότι μπορεί κανείς να προσθέσει αρκετά αρχεία ή ολόκληρους φακέλους μέσα σε ένα κρυπτογραφημένο συμπιεσμένο EasyCrypto αρχείο. Όταν αυτό το αρχείο σταλεί σε κάποιον, ο παραλήπτης το μόνο το οποίο χρειάζεται είναι να εγκαταστήσει το πρόγραμμα για να εξάγει τους φακέλους. Ασφαλής απομάκρυνση αχείων - Αφού γίνει η κρυπτογράφηση των αρχείων, το EasyCrypto απομακρύνει με ασφάλεια τα αρχικά αρχεία. 22

23 Πολυγλωσσική Υποστήριξη- Το EasyCrypto εκδίδεται σε δέκα διαφορετικές γλώσσες. Μπορεί κανείς να επιλέξει τη γλώσσα την οποία επιθυμεί από τη λίστα με τις γλώσσες που υπάρχει μέσα στο πρόγραμμα. Οι γλώσσα αλλάζει άμεσα και δε χρειάζονται επιπρόσθετες ενέργειες, για τη χρήση του προγράμματος. Συνεργασία με τον Windows Explorer- Μπορεί κανείς να κρυπτογραφήσει και να αποκρυπτογραφήσει αρχεία και φακέλους κατευθείαν από τον Windows Explorer. Για να γίνει αυτό επιλέγει κανείς τα αρχεία και τους φακέλους που επιθυμεί να επεξεργαστεί και στη συνέχεια κάνοντας δεξί κλικ επιλέγει την επεξεργασία που επιθυμεί (Κρυπτογράφηση-Αποκρυπτογράφηση) από το πτυσσόμενο μενού του Explorer. Ανατροπή της τελευταίας λειτουργίας- Το EasyCrypto μπορεί να αναστρέψει την τελευταία διαχείριση των αρχείων (κρυπτογράφηση-αποκρυπτογράφηση). Αυτό το χαρακτηριστικό είναι κατάλληλο όταν αποκρυπτογραφεί κανείς ένα αρχείο και το χρησιμοποιεί για πολύ μικρό χρονικό διάστημα (π.χ. για διάβασμα ή εκτύπωση). Αφού το αρχείο έχει χρησιμοποιηθεί μπορεί κανείς να κρυπτογραφήσει το αρχείο με τον ίδιο κωδικό χρησιμοποιώντας το χαρακτηριστικό της ανατροπής της τελευταίας λειτουργίας. Έλεγχος των αρχείων πριν από την επεξεργασία- Για να αποφευχθούν καταστάσεις κατά τις οποίες κάποιος προσπαθεί να κρυπτογραφήσει ένα αρχείο το οποίο είναι ήδη κρυπτογραφημένο ή να αποκρυπτογραφήσει ένα μη-κρυπτογραφημένο αρχείο, το EasyCrypto έχει τη δυνατότητα να ελέγχει τα αρχεία προκειμένου να δει εάν αυτά είναι κρυπτογραφημένα ή απλά, πριν αρχίσει η επεξεργασία. Η δύναμη της ασφάλειας- Εάν ένας Η/Υ σβήσει, τα δεδομένα του χρήστη θα παραμείνουν άθικτα. Το πρόγραμμα πάντα αντιγράφει τα αρχεία πριν από την επεξεργασία. Ονομασμένοι Κωδικοί Το πρόγραμμα επιτρέπει στο χρήστη να ορίσει ονόματα για τους κωδικούς που χρησιμοποιεί. Στη συνέχεια μπορεί αυτός να αναφερθεί στον κωδικό της κρυπτογράφησης με το όνομα αντί να πληκτρολογεί των κωδικό και το κλειδί επιβεβαίωσης κάθε φορά που κρυπτογραφεί αρχεία ή φακέλους. Για την 23

24 αποκρυπτογράφηση βέβαια, θα πρέπει να γνωρίζει κανείς και να εισάγει τον κατάλληλο κωδικό. Διαφορετικά Backgrounds Δίνεται στο χρήστη η δυνατότητα να επιλέξει ανάμεσα από έντεκα διαφορετικά παραθυρικά υπόβαθρα, έτσι ώστε να μπορεί να διαμορφώσει την εμφάνιση των προϊόντων. Χρήσιμες Συμβουλές Στο επάνω μέρος του παραθύρου υπάρχουν πληροφορίες σχετικά με το πώς μπορεί κανείς να χρησιμοποιήσει το πρόγραμμα με τον πιο αποτελεσματικό και κατάλληλο τρόπο. Online υπηρεσίες- Σε περίπτωση που κάποιος χρειαστεί περισσότερη βοήθεια, μπορεί να κάνει κλικ στην Υποστήριξη Προϊόντος που βρίσκεται στο μενού Βοήθεια και να συνδεθεί με τις υπηρεσίες υποστήριξης μέσω του Διαδικτύου. Παρακάτω παρουσιάζεται και στην πράξη το περιβάλλον του προγράμματος EasyCrypto. Αρχικά παρατίθεται το αρχικό μενού του προγράμματος. Στο επάνω μέρος έχει κάποιες επιλογές ανάμεσα στις οποίες βρίσκεται και η Βοήθεια στην οποία αναφερθήκαμε προηγουμένως. Οι επιλογές που δίνονται στο χρήστη είναι για Κρυπτογράφηση και Αποκρυπτογράφηση αρχείων καθώς και για δημιουργία αρχείων. Παρατηρούμε επίσης ότι στο κέντρο του παραθύρου υπάρχει η δυνατότητα για προσθήκη αρχείων προκειμένου αυτά να επεξεργαστούν, για έλεγχο των αρχείων αλλά και για επιλογή της επιθυμητής γλώσσας. Στο κάτω μέρος του παραθύρου υπάρχει ο χώρος στον οποίο προστίθενται τα αρχεία που θα επιλέξει ο χρήστης.[71] 24

25 3.1) Το κύριο μενού του προγράμματος 25

26 3.2) Προσθήκη αρχείων Κάνοντας κάποιος την επιλογή ADD FILES εμφανίζεται το παραπάνω παράθυρο μέσω του οποίου μπορεί να αναζητήσει το αρχείο που θέλει να επεξεργαστεί. 26

27 3.3) Πραγματοποίηση Κρυπτογράφησης 1 Αφού επιλέξει τώρα το αρχείο, αυτό προστίθεται στο κάτω μέρος της οθόνης. Τα χαρακτηριστικά του αρχείου που παρατίθενται είναι το όνομά του, το ακριβές μονοπάτι που οδηγεί στην εύρεσή του και ο τύπος του. Στην παραπάνω εικόνα παρουσιάζεται επίσης και το μενού με τις γλώσσες που μπορεί να επιλέξει ο χρήστης. 27

28 3.4) Πραγματοποίηση Κρυπτογράφησης 2 Στην παραπάνω οθόνη παρουσιάζεται η προσπάθεια ενός χρήστη να κρυπτογραφήσει το αρχείο το οποίο έχει επιλέξει. Πατώντας επάνω στην επιλογή ENCRYPT FILES ( Κρυπτογράφηση Αρχείων), εμφανίζεται ένα παράθυρο το οποίο του ζητάει να δώσει κάποιον κωδικό και στη συνέχεια να πιστοποιήσει τον κωδικό αυτό. Δίνεται επίσης η δυνατότητα στο χρήστη να επιλέξει εάν θέλει το κωδικός του να αποκρύπτεται ή να φαίνεται. Παράλληλα εμφανίζεται ένα παράθυρο με χαρακτήρες, το οποίο μπορεί να χρησιμοποιήσει ο χρήστης για να δημιουργήσει τον κωδικό του. 28

29 3.5) Πραγματοποίηση Κρυπτογράφησης 3 Η κρυπτογράφηση έχει πραγματοποιηθεί κάτι το οποίο μας το πιστοποιεί το αντίστοιχο μήνυμα και ο χρήστης μπορεί να βρει το αρχείο που είχε επιλέξει στην ίδια θέση αλλά κλειδωμένο πλέον. 29

30 3.6) Πραγματοποίηση Αποκρυπτογράφησης 1 Παραπάνω παρουσιάζεται η προσπάθεια για αποκρυπτογράφηση ου αρχείου το οποίο έχουμε ήδη κρυπτογραφήσει. Επιλέγεται το αρχείο με τη βοήθεια του αντίστοιχου παράθυρου που εμφανίζεται, ενώ στη συνέχεια ζητείται στο χρήστη να προσθέσει τον κωδικό του, κάτι το οποίο φαίνεται στην παρακάτω οθόνη. 3.7) Πραγματοποίηση Αποκρυπτογράφησης 2 30

31 Για την πραγματοποίηση της ενέργειας γίνεται η επιλογή DECRYPT NOW, και η οθόνη που εμφανίζεται είναι η ακόλουθη. 3.8) Δημιουργία συμπιεσμένων αρχείων στο EasyCrypto. Για τη δημιουργία τώρα αρχείων με τη βοήθεια του προγράμματος, ο χρήστης κάνει την επιλογή Create Archive, στη συνέχεια επιλέγει τα αρχεία που επιθυμεί, ενώ έχει και τη δυνατότητα να επιλέξει εάν τα αρχεία τα οποία θα δημιουργήσει θα είναι selfextracting ή θέλει απλώς να τα στείλει σε κάποιον παραλήπτη ταχυδρομικά. Αφού πραγματοποιηθούν αυτές οι επιλογές, και αφού έχει εισάγει ο χρήστης των κωδικό του, πραγματοποιεί την επιλογή build now και δημιουργείται ένα αρχείο κρυπτογραφημένο, συμπιεσμένο, το οποίο στα αρχεία του EasyCrypto. 31

32 3.2.2 ABC CHAOS Το πρόγραμμα ABC CHAOS είναι πρόγραμμα που χρησιμοποιείται για την κρυπτογράφηση και την αποκρυπτογράφηση αρχείων και φακέλων. Επιτρέπει την κρυπτογράφηση και την αποκρυπτογράφηση αρχείων και φακέλων αλλά και την απόκρυψη των αρχείων αυτών σαν αρχεία τύπου.jpg,.gif,.doc,.rtf ά αρχεία άλλων τύπων. Το πρόγραμμα είναι πολύ γρήγορο σε ταχύτητα και επιτρέπει τη χρήση κλειδιών ποικίλλου μήκους, κάνοντάς το περισσότερο αξιόπιστο αλλά και εύκολο στη χρήση του. Οι αναβαθμίσεις του προγράμματος δίνονται δωρεάν σε κάποιον που είναι ήδη χρήστης του, ενώ το πρόγραμμα είναι συμβατό με όλες τις εκδόσεις των Windows. Οι αλγόριθμοι που χρησιμοποιούνται είναι ο Blowfish o με μήκος κλειδιών 448 bits, ο AES με 256 bit μήκος κλειδιού, ο Gost με 256 bit μήκος κλειδιού, και ο 3DES με 168 bits μήκος κλειδιού. Παρακάτω παρουσιάζεται το περιβάλλον του ABC CHAOS στην πράξη. Ακολουθεί το περιβάλλον που συναντάει ο χρήστης κατά την εισαγωγή του στο πρόγραμμα. Αριστερά υπάρχει ο χώρος με τη βοήθεια του οποίου πραγματοποιείται η αναζήτηση των επιθυμητών από το χρήστη αρχείων του Abc Chaos. Στη δεξιά τώρα πλευρά υπάρχει ο χώρος στον οποίο πραγματοποιείται αναζήτηση αρχείων από το χρήστη. Στο κέντρο υπάρχει ο χώρος στον οποίο εισάγεται το αρχείο μετά την αναζήτησή του. Στο κάτω μέρος της οθόνης υπάρχουν οι επιλογές : Έξοδος από το πρόγραμμα, Βοήθεια, Επιλογές, καθώς και η επιλογή Κρυπτογράφηση. Στο κάτω μέρος της οθόνης εμφανίζονται επίσης και οι οδηγίες που καθοδηγούν το χρήστη στη σωστή κρυπτογράφηση και αποκρυπτογράφηση.[71] 32

33 3.9) Το κεντρικό μενού του προγράμματος ABC CHAOS 33

34 Επιλέγοντας κανείς το κουμπί Options δηλαδή επιλογές, εμφανίζεται στο κέντρο της οθόνης μια λίστα με επιλογές που μπορεί ο χρήστης να πραγματοποιήσει, κάτι το οποίο φαίνεται και παρακάτω. Το παράθυρο αυτό εμπεριέχει επιλογές όπως είναι το να διαγράψει κανείς αρχεία μετά την κρυπτογράφηση, να διαγράψει κανείς αρχεία του CHAOS μετά την κρυπτογράφηση, να αλλάξει αυτόματα το μονοπάτι για ένα αρχείο του CHAOS ή για ένα αποκρυπτογραφημένο αρχείο, να βάλει ή όχι ήχο κατά τη χρήση του προγράμματος κ.α. 3.10) Εμφάνιση της λίστας επιλογών που δύναται να κάνει ο χρήστης 34

35 Αφού ο χρήστης πραγματοποιήσει τις επιλογές του, στη συνέχεια επιλέγει τα αρχεία τα οποία θέλει να κρυπτογραφήσει. Αυτόματα εμφανίζεται στο κάτω μέρος μια περιοχή στην οποία καλείται ο χρήστης να εισάγει τον κωδικό του αλλά και να επιβεβαιώσει τον κωδικό τον οποίο έχει επιλέξει. Η παρακάτω εικόνα είναι ενδεικτική: 3.11) Επιλογή των αρχείων που ο χρήστης επιθυμεί να κρυπτογραφήσει και κρυπτογράφησή τους. 35

36 Από η στιγμή τώρα που έχει πραγματοποιηθεί η ενέργεια της κρυπτογράφησης, εμφανίζεται το κατάλληλο μήνυμα στο χρήστη, ότι δηλαδή η κρυπτογράφηση ολοκληρώθηκε επιτυχημένα. Αυτό φαίνεται και παρακάτω. 3.12) Εμφάνιση κατάλληλου μηνύματος μετά την κρυπτογράφηση 36

37 Σε περίπτωση τώρα που επιθυμεί ο χρήστης να αποκρυπτογραφήσει ένα αρχείο, η διαδικασία που ακολουθείται είναι η αντίστροφη. Επιλέγεται δηλαδή ένα κρυπτογραφημένο αρχείο, το οποίο εμφανίζεται στο κέντρο της οθόνης, όπως φαίνεται και παρακάτω. 3.13) Η διαδικασία της αποκρυπτογράφησης 37

38 Αφού εισάγει ο χρήστης τον κωδικό του και στη συνέχεια αφού κάνει την επιλογή Αποκρυπτογράφηση, πραγματοποιείται η ενέργεια και εμφανίζεται το αντίστοιχο μήνυμα στην οθόνη ότι δηλαδή οι πληροφορίες έχουν αποκρυπτογραφηθεί επιτυχώς. Σε περίπτωση λάθους όπως είναι λογικό, εμφανίζεται κάποιο άλλο αντίστοιχο μήνυμα. 3.14) Εμφάνιση κατάλληλου μηνύματος μετά την αποκρυπτογράφηση CRYPTDECRYPT Το πρόγραμμα CRYPTDECRYPT είναι ένα λογισμικό που παρέχει ηλεκτρονική προστασία των δεδομένων. Κρυπτογραφεί περιεχόμενα αρχείων και φακέλων με έναν κωδικό τον οποίο επιλέγει ο εκάστοτε χρήστης. Η ισχυρή κρυπτογράφηση που παρέχει εξασφαλίζει ότι κανένας δε θα μπορέσει να έχει πρόσβαση στις πληροφορίες, εκτός από τον ίδιο το χρήστη. Το CRYPTDECRYPT συμπεριλαμβάνει αρκετούς αλγόριθμους κρυπτογράφησης για την προστασία των δεδομένων. Αυτοί είναι οι AES, Triple-DES, GOST, RC2,RC4, και Windows Data Protection API. Είναι σημαντικό να παρατηρηθεί ότι σε περίπτωση που ο χρήστης ξεχάσει τον κωδικό του, τότε δε θα 38

39 μπορέσει να αποκρυπτογραφήσει τα δεδομένα και όλες οι πληροφορίες θα είναι μη επανακτήσιμες. Δεν υπάρχει κάποιος άλλος τρόπος για να μπορέσει κανείς να αποκρυπτογραφήσει τα δεδομένα σε αυτό το λογισμικό. Η γλώσσα που υποστηρίζει το πρόγραμμα είναι τα αγγλικά, ενώ τα Λειτουργικά Συστήματα τα οποία το υποστηρίζουν είναι τα Win95, Win98, WinME, WinNT 4.x, Windows2000, WinXP, και Windows2003. Στη συνέχεια παρουσιάζεται το περιβάλλον και ο τρόπος λειτουργίας του προγράμματος CRYPTDECRYPT.[71] Στην παρακάτω οθόνη παρουσιάζεται το κεντρικό μενού του προγράμματος CRYPTDECRYPT. 3.15) Κεντρικό μενού του προγράμματος CRYPTDECRYPT Στο επάνω μέρος υπάρχουν οι επιλογές File, Crypt, View, Help, ενώ πιο κάτω υπάρχει η επιλογή add με τη βοήθεια της οποίας προσθέτει κανείς στο πρόγραμμα το αρχείο που θέλει να κρυπτογραφήσει ή να αποκρυπτογραφήσει, καθώς και οι επιλογές Κρυπτογράφηση και Αποκρυπτογράφηση με τη βοήθεια των οποίων 39

40 πραγματοποιούνται οι αντίστοιχες ενέργειες. Στο κέντρο υπάρχει ο χώρος στον οποίο προστίθενται τα επιλεγμένα αρχεία. Τα στοιχεία των αρχείων που εμφανίζονται είναι το όνομά τους, ο τύπος τους, το μέγεθός τους, η τροποποίηση που έχουν υποστεί, ο αλγόριθμος που χρησιμοποιείται, η κατάστασή τους, και κάποια άλλα χαρακτηριστικά τους. Πατώντας ο χρήστης επάνω στο add, έχει τη δυνατότητα να επιλέξει το αρχείο που επιθυμεί να επεξεργαστεί. 3.16) Επιλογή του αρχείου το οποίο θα επεξεργαστεί ο χρήστης. 40

41 Κάνοντας λοιπόν αυτό, προστίθεται το αντίστοιχο αρχείο στο κέντρο της οθόνης, όπως φαίνεται και παρακάτω. 3.17) Εμφάνιση του επιλεγμένου αρχείου. 41

42 Στη συνέχεια, εφόσον θέλει να κρυπτογραφήσει τις πληροφορίες, κάνει την επιλογή Encrypt από το μενού, και εμφανίζεται ένα παράθυρο το οποίο του ζητάει να προσδιορίσει τον κωδικό του, να τον επιβεβαιώσει και να επιλέξει τον αλγόριθμο που επιθυμεί να χρησιμοποιηθεί. Η διαδικασία αυτή φαίνεται στην ακόλουθη οθόνη: 3.18) Κρυπτογράφηση του αρχείου. 42

43 Έτσι, το αρχείο κρυπτογραφείται και η κατάστασή του δηλώνεται, όπως φαίνεται και παρακάτω: 3.19) Εμφάνιση του κρυπτογραφημένου αρχείου. 43

44 Για να αποκρυπτογραφήσουμε τώρα ένα αρχείο, επιλέγουμε και πάλι το αρχείο αυτό το οποίο επιθυμούμε. Το τσεκάρουμε και επιλέγουμε αντίστοιχα την επιλογή της αποκρυπτογράφησης δηλαδή Decrypt. 3.20) Επιλογή του αρχείου και αποκρυπτογράφησή του 44

45 Έπειτα, μας ζητείται από το σύστημα να εισάγουμε τον κωδικό τον οποίο έχουμε προηγουμένως επιλέξει. Κάνοντας την παραπάνω ενέργεια και πατώντας επάνω στην επιλογή αποκρυπτογράφησης δηλαδή Decrypt, πραγματοποιείται η λειτουργία και η αντίστοιχα αλλάζει και η κατάσταση του επιλεγμένου αρχείου. 3.21) Εμφάνιση του αποκρυπτογραφημένου αρχείου RIPCODER Το πρόγραμμα Ripcoder αποτελεί έναν εύκολο τρόπο για να μπορέσει κανείς να κρυπτογραφήσει τα αρχεία του με τη βοήθεια κωδικού. Το πρόγραμμα συμπεριλαμβάνει πολλές μεθόδους κρυπτογράφησης. Είναι ασφαλές να κρατάει κανείς τα προσωπικά του αρχεία σε έναν κρυπτογραφημένο φάκελο που δημιουργείται από το Ripcoder. Αποτελεί λοιπόν ένα από τα γρηγορότερα και ασφαλέστερα προγράμματα κρυπτογράφησης. Το πρόγραμμα αυτό παράγει κλειδιά μεγάλου μήκους, και 3αναπαράγει όλες τις φορές που στο πρόγραμμα εισάγονται καινούρια bits δεδομένων. Ο χρήστης έχει επίσης τη δυνατότητα να επιλέξει τη μεταβλητή DEStimes, η οποία δείχνει πόσο θα χρησιμοποιηθεί η μέθοδος DES. Η 45

46 μεταβλητή αυτή δεν εμφανίζεται στα αρχεία Rip και προκειμένου να αποκρυπτογραφήσει κανείς ένα αρχείο το οποίο κρυπτογραφήθηκε με την παραπάνω μέθοδο, πρέπει να θυμάται τον κωδικό και τη μεταβλητή DEStimes. Η DES+ είναι μια μέθοδος κρυπτογράφησης με έναν νέο τύπο δομής, και τα κρυφά αρχεία τα οποία έχουν κρυπτογραφηθεί με τη βοήθειά του, μπορούν να διατηρούνται άφοβα σε οποιοδήποτε μέρος. Παρακάτω παρουσιάζεται το περιβάλλον του προγράμματος, αλλά και ο τρόπος με τον οποίο χρησιμοποιείται. Στην αρχική οθόνη του Ripcoder, παρατηρούμε ότι δίνεται στο χρήστη η δυνατότητα να επιλέξει με ποια μέθοδο επιθυμεί να πραγματοποιηθεί η κρυπτογράφηση. Έτσι, αριστερά στην οθόνη υπάρχουν όλες οι μέθοδοι, και ο χρήστης τσεκάρει αυτή την οποία επιθυμεί. Επίσης, υπάρχει το σημείο εκείνο, στο οποίο πρέπει ο χρήστης να εισάγει τον κωδικό του.[71] 3.22) Η αρχική οθόνη του Ripcoder Αφού πραγματοποιηθεί αυτό, και αφού ο χρήστης επιλέξει εάν θέλει ο κωδικός του να είναι φανερός ή όχι, επιλέγει την ενέργεια που επιθυμεί, δηλαδή την κρυπτογράφηση ή την αποκρυπτογράφηση. 46