ΤΜΗΜΑ ΙΕΘΝΟΥΣ ΕΜΠΟΡΙΟΥ Η ΑΣΦΑΛΕΙΑ ΜΙΑΣ ΗΛΕΚΤΡΟΝΙΚΗΣ ΕΠΙΧΕΙΡΗΣΗΣ. ΟΙ ΜΕΘΟ ΟΙ ΑΞΙΟΛΟΓΗΣΗΣ ΚΑΙ ΠΙΣΤΟΠΟΙΗΣΗΣ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΤΗΣ

Transcript

1 ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙ ΕΥΤΙΚΟ Ι ΡΥΜΑ ( Τ.Ε.Ι.) ΥΤΙΚΗΣ ΜΑΚΕ ΟΝΙΑΣ ΠΑΡΑΡΤΗΜΑ ΚΑΣΤΟΡΙΑΣ ΤΜΗΜΑ ΙΕΘΝΟΥΣ ΕΜΠΟΡΙΟΥ Η ΑΣΦΑΛΕΙΑ ΜΙΑΣ ΗΛΕΚΤΡΟΝΙΚΗΣ ΕΠΙΧΕΙΡΗΣΗΣ. ΟΙ ΜΕΘΟ ΟΙ ΑΞΙΟΛΟΓΗΣΗΣ ΚΑΙ ΠΙΣΤΟΠΟΙΗΣΗΣ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΤΗΣ ΕΥΑΓΓΕΛΙΑΣ. ΠΡΟΕΣΤΟΠΟΥΛΟΥ ΝΙΚΟΛΑΟΥ ΣΠΥΡΟΣ Επιβλέπων : Καστοριά, Απρίλιος 2006

2 ΠΕΡΙΕΧΟΜΕΝΑ ΣΕΛΙ Α ΠΕΡΙΕΧΟΜΕΝΑ... 1 ΕΙΣΑΓΩΓΗ... 3 ΚΕΦΑΛΑΙΟ 1. ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΕΙΝΑΙ ΤΟ ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ Τι είναι το EDI; ΗΛΕΚΤΡΟΝΙΚΑ ΚΑΤΑΣΤΗΜΑΤΑ Οι πρωταγωνιστές στο e-commerce σήµερα ΕΙ Η ΗΛΕΚΤΡΟΝΙΚΟΥ ΧΡΗΜΑΤΟΣ ΠΡΟΤΕΡΗΜΑΤΑ ΚΑΙ ΜΕΙΟΝΕΚΤΗΜΑΤΑ ΤΟΥ ΗΕ Τρόποι Προστασίας από τους κινδύνους των Ηλεκτρονικών Συναλλαγών ΚΕΦΑΛΑΙΟ 2. ΑΣΦΑΛΕΙΑ ΣΤΟ ΗΛΕΚΤΡΟΝΙΚΟ ΕΠΙΧΕΙΡΕΙΝ ΠΩΣ ΛΕΙΤΟΥΡΓΕΙ Η ΚΡΥΠΤΟΓΡΑΦΙΑ Συµµετρική Kρυπτογραφία (Symmetric Cryptography) Κρυπτογραφία ηµόσιου Κλειδιού ΨΗΦΙΑΚΟΙ ΦΑΚΕΛΟΙ ΨΗΦΙΑΚΕΣ ΥΠΟΓΡΑΦΕΣ ΑΡΧΕΣ ΠΙΣΤΟΠΟΙΗΣΗΣ (CERTIFICATION AUTHORITIES) Ψηφιακά Πιστοποιητικά ΚΕΦΑΛΑΙΟ 3. ΠΡΩΤΟΚΟΛΛΑ ΑΣΦΑΛΕΙΑΣ ΤO ΠΡΩΤΟΚΟΛΛΟ SSL (SECURE SOCKET LAYER) Πώς να αποφεύγουµε τους κινδύνους ΤΑ ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ ΤΟΥ SSL ΠΡΩΤΟΚΟΛΛΟΥ Η SSL συναλλαγή ΤΟ ΠΡΩΤΟΚΟΛΛΟ SET Η SET συναλλαγή Λόγοι χρησιµοποίησης του SET έναντι SSL ΦΡΑΓΜΑΤΑ ΑΣΦΑΛΕΙΑΣ (Firewalls) Επιπρόσθετα χαρακτηριστικά των συστηµάτων Firewall

3 ΣΕΛΙ Α ΚΕΦΑΛΑΙΟ 4. ΕΥΡΩΠΗ-ΕΛΛΑ Α, Η ΗΛΕΚΤΡΟΝΙΚΗ ΤΟΥΣ ΟΙΚΟΝΟΜΙΑ Η ΑΝΟ ΙΚΗ ΤΑΣΗ ΣΤΗΝ ΕΥΡΩΠΗ ΝΟΜΙΚΟ ΠΛΑΙΣΙΟ Η ΠΑΡΟΥΣΑ ΚΑΤΑΣΤΑΣΗ ΣΤΗΝ ΕΛΛΑ Α Επιχειρηµατική χρήση του Internet από τις ελληνικές επιχειρήσεις Υπηρεσίες Ηλεκτρονικών Τραπεζικών Συναλλαγών (e-banking) Επιχειρηµατικές εφαρµογές και λειτουργίες ΕΝΕΡΓΕΙΕΣ ΚΑΙ ΦΟΡΕΙΣ ΗΛΕΚΤΡΟΝΙΚΟΥ ΕΜΠΟΡΙΟΥ Η Ενέργεια Παρακίνησης στον τοµέα του ΗΕ ΠΟΙΑ ΕΙΝΑΙ ΤΑ ΠΡΟΒΛΗΜΑΤΑ ΚΑΙ ΠΩΣ ΑΝΤΙΜΕΤΩΠΙΖΟΝΤΑΙ ΟΦΕΛΗ ΑΠΟ ΤΗΝ ΑΝΑΠΤΥΞΗ ΤΟΥ INTERNET Πώς ο Τουρισµός επηρεάστηκε από το ΗΕ ΚΕΦΑΛΑΙΟ 5. ΜΕΛΛΟΝ ΚΑΙ ΠΡΟΟΠΤΙΚΕΣ ΑΠΑΝΤΗΣΕΙΣ ΣΤΑ ΕΡΩΤΗΜΑΤΑ ΤΩΝ ΚΑΤΑΝΑΛΩΤΩΝ Μέθοδοι οικοδόµησης και αξιοποίησης της εµπιστοσύνης ΣΥΜΠΕΡΑΣΜΑΤΑ ΒΙΒΛΙΟΓΡΑΦΙΑ

4 ΕΙΣΑΓΩΓΗ Μέσα στα πλαίσια της ελεύθερης αγοράς ο ανταγωνισµός µεταξύ των επιχειρήσεων γίνεται όλο και πιο έντονος. Οι εµπορικές συναλλαγές αλλάζουν µορφή και εξελίσσονται µε βάση νέα πρότυπα και νέες απαιτήσεις των καταναλωτών, ενισχύοντας συγχρόνως το ανταγωνιστικό κλίµα που επικρατεί στο εµπορικό περιβάλλον. Τα στοιχεία τα οποία µπορούν να διαχωρίσουν τους ηγέτες ενός κλάδου από τους ανταγωνιστές τους, προκύπτουν από τα σύγχρονα τεχνολογικά επιτεύγµατα. Αυτά προϋποθέτουν όχι µόνο γνώση για τη χρήση της νέας τεχνολογίας, αλλά και τη συνεργασία πολλών παραγόντων για την επίτευξη µίας άρτια ολοκληρωµένης συναλλαγής χωρίς κινδύνους. Μέσα σε αυτή τη σχετικά νέα εµπορική πραγµατικότητα η έννοια του ηλεκτρονικού εµπορίου (e-commerce) είναι ιδιαίτερα διαδεδοµένη. Στον σκοπό της εργασίας, συγκαταλέγεται η προσέγγιση του όρου του ηλεκτρονικού εµπορίου, µελετώντας τον, κάτω από ένα ευρύ πρίσµα. Ο ορισµός αυτός προεκτείνεται όχι µόνο στις βασικές έννοιες του e-commerce αλλά και στο πως µπορεί η εφαρµογή του να επηρεάσει την εµπορική λειτουργία της επιχείρησης προς τον ασφαλέστερο και πιο αναπτυξιακό δρόµο. Αξιολογείται ότι οι σύγχρονες εφαρµογές του Internet σε συνδυασµό µε τις προηγµένες τεχνολογίες θα δώσουν µια νέα τροπή στην ήδη υπάρχουσα ηλεκτρονική αγορά, επηρεάζοντας σαφώς, µικρές και µεγάλες επιχειρήσεις, στην ελληνική και διεθνή αγορά. Ωστόσο, οι κίνδυνοι που παρουσιάζονται στα πλαίσια του ηλεκτρονικού εµπορίου καθιστούν απαραίτητη την αντιµετώπιση της αµφισβητούµενης ασφάλειας, για την οποία έχουν αναπτυχθεί διάφορα πιστοποιητικά και µηχανισµοί ασφαλείας. Βέβαια, δεν γινόταν να απουσιάζει από το κείµενο η παρουσία των κρατικών και ιδιωτικών φορέων, που διεξάγουν προσπάθειες απαλοιφής των παραπάνω προβληµάτων µέσα από ένα αρκετά αντιπροσωπευτικό θεσµικό πλαίσιο. Όλα αυτά δεν αποτελούν τετελεσµένα γεγονότα καθώς η εξέλιξη των σύγχρονων εφαρµογών του ΗΕ είναι καθηµερινή και συνεχής µε συνέπεια η τροχοπέδη του ηλεκτρονικού εµπορίου, που ήταν η δικαιολογηµένη ανασφάλεια των καταναλωτών, να αρχίσει σιγά σιγά να αντιµετωπίζεται αποτελεσµατικά. 3

5 ΚΕΦΑΛΑΙΟ 1. ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ 1.1. ΤΙ ΕΙΝΑΙ ΤΟ ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ Ο όρος Ηλεκτρονικό Εµπόριο (ΗΕ) 1 χρησιµοποιείται για να περιγράψει την χρήση τηλεπικοινωνιακών µέσων (κυρίως δικτύων) για κάθε είδους εµπορικές συναλλαγές ή επιχειρηµατικές δραστηριότητες µεταξύ επιχειρήσεων και ιδιωτών. Με άλλα λόγια, κάθε εµπορική δραστηριότητα που πριν από µερικά χρόνια ήταν δυνατή, µόνο χάρη στην φυσική παρουσία και µεσολάβηση ανθρώπων ή υλικών µέσων, σήµερα µπορεί να επιτευχθεί αυτόµατα, ηλεκτρονικά και εξ αποστάσεως. Το ηλεκτρονικό εµπόριο ή αλλιώς e- commerce είναι η παροχή αγαθών και υπηρεσιών, µέσω Internet. Για παράδειγµα, συνδεόµαστε µε µια ιστοσελίδα, η οποία προσφέρει κάποια συγκεκριµένη υπηρεσία, συµβουλευόµαστε τον κατάλογο, επιλέγουµε το προϊόν, που θέλουµε και συµπληρώνουµε την εντολή αγοράς, διευκρινίζοντας τον τρόπο πληρωµής (π.χ. πιστωτική κάρτα, επιταγή ή εξόφληση τοις µετρητοίς, κατά την παραλαβή του προϊόντος). Σε αυτό περιλαµβάνεται και η παροχή µη υλικών αγαθών, όπως µουσική ή προγράµµατα λογισµικού. Είναι, πλέον, γνωστό σε όλους µας ότι αρκεί µια απλή πληκτρολόγηση του αριθµού της πιστωτικής µας κάρτας, ώστε να κατεβάσουµε το τραγούδι ή το λογισµικό της επιλογής µας. Μπορούµε να παρακολουθούµε τις µετοχές στη Σοφοκλέους και να διενεργούµε αγοραπωλησίες, αν θέλουµε, µέσω των on-line υπηρεσιών, που πολλές χρηµατιστηριακές εταιρίες προσφέρουν. Ακόµη και πλειστηριασµοί µπορούν να γίνουν, µέσω internet, στο λεγόµενο e-marketplace, µια εικονική αγορά, όπου πωλητές και πιθανοί αγοραστές συναλλάσσονται, εκ του µακρόθεν. Το τελευταίο χρονικό διάστηµα, ένας καινούριος όρος, η ψηφιακή τηλεόραση, µπαίνει στην πραγµατικότητα του ηλεκτρονικού εµπορίου και ονοµάζεται telecommerce. Πόσο είναι πρόσφορο το έδαφος του e-commerce να δεχτεί το τηλεοπτικό εµπόριο θα φανεί σε λίγα χρόνια. Βλέπουµε λοιπόν, ότι το ΗΕ δεν αποτελεί µία και µόνη τεχνολογία. Οι τεχνολογίες που χρησιµοποιούνται για τις εφαρµογές του ηλεκτρονικού εµπορίου συµπεριλαµβάνουν όλες τις µορφές ηλεκτρονικών µηνυµάτων, ηλεκτρονικής ανταλλαγής δεδοµένων (Electronic Data Interchange, EDI), 1 Αν. Τσουφλάς (2003), Εισαγωγή στο Ηλεκτρονικό Εµπόριο, Σελ.:

6 ηλεκτρονικής µεταφοράς κεφαλαίων (Electronic Funds Transfer, EFT), ηλεκτρονικού ταχυδροµείου (Electronic Mail, ), ηλεκτρονικών καταλογών, υπηρεσιών ηλεκτρονικού πίνακα ανακοινώσεων (Bulletin Board Services, BBS), κοινών βάσεων δεδοµένων και οδηγών, συστηµάτων συνεχιζόµενης αγοράς και υποστήριξης για όλο τον κύκλο ζωής των προϊόντων, καθώς και κάθε άλλη µορφή ηλεκτρονικής µετάδοσης δεδοµένων για εµπορικούς σκοπούς. Το ΗΕ προσπαθεί, έτσι, να αναπτύξει την εκτέλεση των επιχειρησιακών συναλλαγών µέσα από διάφορα δίκτυα. Αυτή η ανάπτυξη αναφέρεται σε µεγαλύτερη απόδοση (καλύτερη ποιότητα, µεγαλύτερη ικανοποίηση πελατών και καλύτερη λήψη αποφάσεων), µεγαλύτερη οικονοµική χρησιµότητα (χαµηλότερο κόστος) και πιο γρήγορες συναλλαγές (µεγάλη ταχύτητα, αλληλεπίδραση πραγµατικού χρόνου). Το όραµα όσων ασχολούνται µε το ΗΕ είναι η οµογενοποίηση (χάρη στην εφαρµογή νέων τεχνολογιών) όλων των οικονοµικών λειτουργιών των επιχειρήσεων και οργανισµών µε τέτοιο τρόπο που κάθε δραστηριότητα να µπορεί: 1) να εκτελείται σε ηλεκτρονική µορφή, 2) να µεταφέρεται εύκολα από τον ένα συναλλασσόµενο στον άλλο (π.χ. ένα ψηφιακό τιµολόγιο από τον πωλητή στον αγοραστή), 3) να είναι προσιτή σε κάθε µέλος της ηλεκτρονικής οικονοµικής αγοράς. Η ιδέα, στην οποία βασίζεται το ηλεκτρονικό εµπόριο, είναι σχετικά πρόσφατη, αν λάβει κανείς υπόψη του ότι το πρώτο µηχανογραφηµένο πολυκατάστηµα στον κόσµο δηµιουργήθηκε το Πρόκειται για το Telemart, στο Σαν Ντιέγκο της Καλιφόρνια. Τότε, δεν υπήρχε Ίντερνετ και οι πελάτες χρησιµοποιούσαν το αναλογικό τηλέφωνο, για να επιλέξουν τα προϊόντα, που επιθυµούσαν να τους αποσταλούν στο σπίτι. Σήµερα, 30 και πλέον χρόνια µετά το πρώτο πείραµα, το ηλεκτρονικό εµπόριο είναι πια διαδεδοµένο, γνωστό στην πλειοψηφία των χρηστών του Ίντερνετ Τι είναι το EDI; Ένας καλός ορισµός της EDI 2 είναι: Η ηλεκτρονική ανταλλαγή δεδοµένων που διευκολύνει την ανταλλαγή της πληροφορίας σε µια 2 (2001), Τι είναι το EDI 5

7 οργανωµένη µορφή, µεταξύ των παραγόντων που αποφάσισαν να συναλλαχθούν µε αυτόν τον τρόπο. Οι δυο εικόνες παρακάτω δείχνουν την αντίθεση ανάµεσα στην συνηθισµένη ανταλλαγή πληροφορίας και στην ηλεκτρονική ανταλλαγή δεδοµένων - EDI. Ένα τυπικό σενάριο EDI περιλαµβάνει ένα κατάστηµα λιανικών πωλήσεων, όπως φαίνεται και στο παρακάτω σχήµα, που δέχεται πληροφορίες για τις πωλήσεις και παραγγελίες από τα υποκαταστήµατα του. Αυτή η πληροφορία προβάλλεται και οι παραγγελίες ετοιµάζονται και στέλνονται µέσω EDI. Με απλά λόγια, η πληροφορία διακινείται από τον ένα υπολογιστή µέσω του δικτύου στον άλλον κι έτσι εξοικονοµείται πολύτιµος χρόνος, ενώ παράλληλα η ασφαλή και έγκαιρη µεταφορά της πληροφορίας είναι βέβαιη. Σχήµα 1.1. Η διαδικασία EDI Πηγή: Οικονοµίδης Αν. κ.ά., (1999), ΕΤΕ (Εργαστήριο Τεχνολογίας & Εκπαίδευσης) Τα πλεονεκτήµατα της ηλεκτρονικής ανταλλαγής δεδοµένων (EDI) είναι γνωστά καθώς αναπτύσσει στενότερες εµπορικές σχέσεις, αυξάνει την αποτελεσµατικότητα της επιχείρησης και µειώνει το κόστος. Πολλές εταιρίες ιδιωτικού τοµέα, κυρίως στις ΗΠΑ, όπως για παράδειγµα η Federal Express, η Kodak, η American Airlines, η Nike και άλλες σηµαντικές χρησιµοποιούν EDI. Μα βάση την παραπάνω έρευνα η EDI χρησιµοποιείται πολύ διαδεδοµένα και στη βιοµηχανία, στον τραπεζικό τοµέα, στις ασφάλειες και σε άλλου είδους εργοστάσια. 6

8 1.2. HΛΕΚΤΡΟΝΙΚΑ ΚΑΤΑΣΤΗΜΑΤΑ Μια από τις σηµαντικότερες εφαρµογές του ΗΕ είναι και τα ηλεκτρονικά καταστήµατα, κυβερνοεµπορικά κέντρα (electronic shops, cyberwalls). Κάθε χρήστης του Internet µπορεί µέσα από την οθόνη του υπολογιστή του να βλέπει τα προϊόντα ενός καταστήµατος και να αγοράζει αυτά που τον ενδιαφέρουν, πληρώνοντας φυσικά το ανάλογο αντίτιµο. Το προϊόν φθάνει στον καταναλωτή µέσω courier. Ωστόσο, η απουσία του µεσάζοντα διευρύνει σηµαντικά το περιθώριο κέρδους µε αποτέλεσµα η επιχείρηση στις περισσότερες φορές να µπορεί εύκολα να απορροφήσει τα έξοδα µεταφοράς. Η προβολή του προϊόντος µπορεί να γίνει από τα κλασικά Μέσα Μαζικής Ενηµέρωσης ή µέσω Internet. Η δηµιουργία ηλεκτρονικού καταστήµατος είναι µια σχετικά απλή διαδικασία. Είναι βέβαια δυνατόν να ακολουθηθούν διαφορετικές διαδροµές, ανάλογα µε τις πωλήσεις που αναµένει η επιχείρηση και συνεπώς την επένδυση που είναι διατιθεµένη να πραγµατοποιήσει. Η πλέον αυτόνοµη και δαπανηρή κάπως λύση είναι η αγορά των εφαρµογών που θα δηµιουργήσουν το ηλεκτρονικό κατάστηµα του εξοπλισµού σε υλικό και λογισµικό όπως επίσης και η µίσθωση της γραµµής που θα εξασφαλίσει τη µόνιµη σύνδεση µε το Internet. Αυτή ακριβώς η µίσθωση, σε συνδυασµό µε το κόστος της γραµµής σύνδεσης ενός Web server (εξυπηρετητή) µε το Internet καθιστά, σχεδόν, ακριβή αυτή τη λύση για την µικροµεσαία επιχείρηση, η οποία θέλει να δοκιµάσει την είσοδό της σε αυτήν την νέα αγορά µε το µικρότερο επενδυτικό ρίσκο. Για αυτές τις επιχειρήσεις η βέλτιστη λύση είναι η ενοικίαση ενός ηλεκτρονικού καταστήµατος, απαλλασσόµενες έτσι από τον πάγιο εξοπλισµό και τα τηλεπικοινωνιακά έξοδα. Έτσι για παράδειγµα, ένα ηλεκτρονικό κατάστηµα αποτελείται από το περιβάλλον προβολής των προϊόντων, την αποθήκη, το λογιστήριο και το ταµείο. Ο καταστηµατάρχης µπορεί να έχει πρόσβαση σε όλες τις περιοχές σε αντίθεση µε τον πελάτη, ο οποίος έχει πρόσβαση µόνο στην προβολή και το ταµείο, µέσω ενός οποιουδήποτε browser αρκεί αυτός να υποστηρίζει ασφαλείς συναλλαγές. Για την σύνθεση του περιεχοµένου του ηλεκτρονικού καταστήµατος απαιτείται να υπάρχει µια περιγραφή για κάθε είδος που πρόκειται να πωληθεί 7

9 µέσω αυτού, ενώ θετικά στην πώληση θα µπορούσε να λειτουργήσει και η ύπαρξη πολυµέσων (φωτογραφία, ήχος, video κ.λ.π.). Ο καταστηµατάρχης µπορεί µέσα από ένα πολύ απλό στη χρήση Web Interface να ελέγχει την αποθήκη, να καθορίζει την πολιτική πωλήσεων κάνοντας εκπτώσεις και προσφορές και τέλος, να παρακολουθεί τους πραγµατοποιηµένους τζίρους. Το σηµείο κατά το οποίο ο πελάτης φτάνει στο ταµείο θα εξεταστεί παρακάτω αναλύοντας επιπροσθέτως και µε ποιους τρόπους µπορεί να πληρώσει. Τέλος, το συνολικό κόστος ενοικίασης ηλεκτρονικού καταστήµατος συντίθεται από τρία µέρη: 1) το κόστος δηµιουργίας βάσης δεδοµένων και προβολής των προϊόντων (setup fee), 2) το µηνιαίο ενοίκιο και 3) την προµήθεια επί των πωλήσεων. Καθένας εξ αυτών των παραγόντων διαµορφώνεται ανάλογα µε την εταιρία που ενοικιάζει το ηλεκτρονικό κατάστηµα. Αν για παράδειγµα τα προϊόντα της αριθµούν µερικές δεκάδες, το κόστος έναρξης του ηλεκτρονικού καταστήµατος θα είναι σαφώς χαµηλό. Επίσης, ανάλογα µε το προϊόν και τα περιθώρια κέρδους που αυτό έχει, διαµορφώνεται και η προµήθεια επί των πωλήσεων. Για να αντιληφθεί πλήρως τη σηµασία του ηλεκτρονικού εµπορίου, µια επιχείρηση πρέπει να εκπληρώσει τις παρακάτω φάσεις : Φάση 1: Ανάπτυξη ικτυακού Τόπου & Προώθηση προϊόντος 3 ηµιουργία Web site, ανάπτυξη, και φιλοξενία (hosting). ιαφήµιση και πρώτη εικόνα προϊόντων ή υπηρεσιών. Ζήτηση και διακίνηση πληροφοριών µέσω του Internet. Φάση 2: Κατασκευή Λογισµικού & ιαχείριση Βάσεων εδοµένων Παραγγελία προϊόντων ή υπηρεσιών µέσω του Internet. Λύσεις διαχείρισης βάσης δεδοµένων που απαιτούν οι σύγχρονες πολύπλοκες υψηλές τεχνολογίες. Φάση 3: Πληρωµή & Επεξεργασία Συναλλαγών Αναγνώριση πιστότητας πιστωτικής κάρτας και παραγγελία µέσω Internet. 3 Πανεπιστήµιο Μακεδονίας, (2001), Ηλεκτρονικό Εµπόριο, Κεφάλαιο1 8

10 Ηλεκτρονική µεταφορά χρηµάτων. Φάση 4: Εκπλήρωση παραγγελιών & EDI ιανοµή αποθεµάτων : Αποστολή προϊόντος και αποθήκευση. Καταχώρηση παραγγελίας και καταστάσεων. Ηλεκτρονική παραγγελία διαµέσου EDI και εξειδικευµένη παρουσία πελατών στο Internet. Φάση 5: Υπηρεσίες Τηλεφωνικού κέντρου Υποστήριξη προϊόντων και ειδικά εκπαιδευµένοι αντιπρόσωποι για την εκπλήρωση ειδικών αναγκών των πελατών. Εξερχόµενο και εισερχόµενο direct marketing Οι πρωταγωνιστές στο e-commerce σήµερα Ορισµένοι από τους δικτυακούς τόπους, οι οποίοι, ανεξάρτητα από την κατάληξή τους, συνεισέφεραν στη δηµιουργία της ιδέας του ηλεκτρονικού εµπορίου είναι οι εξής: Amazon.com (Η.Π.Α.) Ο πλέον σηµαντικός δικτυακός τόπος e-commerce, σε παγκόσµιο επίπεδο. Ξεκίνησε ως online βιβλιοπωλείο και, σύντοµα, µεταµορφώθηκε σε πελώριο εικονικό σούπερ µάρκετ. ιακρίνεται για σταθερή πολιτική ελέγχου τιµών και για παροχές, όπως εκπτώσεις και δωρεάν αποστολές προϊόντων, οι οποίες είναι ιδιαίτερα ανταγωνιστικές και αρεστές στο κοινό. e-bay (Η.Π.Α.) Πρόκειται για το µεγαλύτερο οίκο δηµοπρασιών στο internet. Yahoo! (Η.Π.Α.) Μια από τις δύο πιο ισχυρές µηχανές αναζήτησης στον κόσµο, µε περίπου διακόσια εκατοµµύρια επισκέπτες, ανά τρίµηνο. Σε αντίθεση µε την πλειοψηφία των πυλών πληροφοριών ή portal, τα οποία βασίζονται, κυρίως, στις εισπράξεις από διαφηµίσεις, το Yahoo αξιοποιεί, ιδιαίτερα, το ΗΕ. Το 40% του κύκλου εργασιών του πραγµατοποιείται µε παροχή υπηρεσιών και on-line συναλλαγές 4. Etoys (H.Π.Α.) Από το 2000 είναι ένας από τους µεγαλύτερους ηλεκτρονικούς τόπους, στο εµπόριο παιχνιδιών και µια από τις πιο αξιοζήλευτες επιχειρήσεις. 4 EUROSTAT, (2004), 9

11 1.3. ΕΙ Η ΗΛΕΚΤΡΟΝΙΚΟΥ ΧΡΗΜΑΤΟΣ Το σηµαντικότερο στάδιο µιας εµπορικής συναλλαγής είναι η πληρωµή. Εφόσον το ηλεκτρονικό εµπόριο είναι η εξέλιξη του παραδοσιακού, φυσικό επακόλουθο είναι να έχει και πιο εξελιγµένους τρόπους πληρωµής. Όπως ειπώθηκε και παραπάνω είναι αναγκαία η αναφορά σε µερικούς τρόπους πληρωµής, έχοντας όµως υπόψη ότι η εξέλιξη στο διαδίκτυο και στην τεχνολογία γενικότερα, δεν είναι στατική οπότε οι τρόποι αυτοί µπορούν να αλλάξουν ή να αντικατασταθούν 5. E-cash : Αυτός ο τρόπος πληρωµής λειτουργεί µε ανταλλαγή tokens (ηλεκτρονικές εγγραφές σε υπολογιστές). Όταν δηλαδή, ο πελάτης αγοράζει κάτι τότε µια εγγραφή φεύγει από τον υπολογιστή του και πάει στον υπολογιστή του πωλητή. Η τεχνολογία αυτή βασίζεται στην κρυπτογράφηση ασύµµετρου κλειδιού που θα αναπτυχθεί παρακάτω. Η µορφή αυτή πληρωµών αποτελεί την πιο προβληµατική στο διαδίκτυο. Ηλεκτρονικές Επιταγές (Electronic checks) : Κάθε ηλεκτρονική επιταγή έχει µια σειρά από νούµερα τα οποία την καθιστούν µοναδική. Η επιταγή λειτουργεί ως εξής: ο πελάτης εισάγει τα νούµερα και η τράπεζα ειδοποιείται και ακυρώνει την επιταγή αν το επιτρέπει το υπόλοιπο του λογαριασµού του. Πιστωτικές Κάρτες (Credit Cards) : Στον τρόπο αυτό η πληρωµή γίνεται µε την µεταφορά των στοιχείων της πιστωτικής κάρτας µε κρυπτογραφηµένη µορφή προς το ηλεκτρονικό κατάστηµα-πωλητή. Με την σειρά τους τα στοιχεία αυτά αποστέλλονται στην τράπεζα για να γίνει η χρέωση. Έξυπνες Kάρτες (Smart Cards) : Οι κάρτες αυτές µοιάζουν µε τις πιστωτικές αλλά έχουν ένα µικροτσίπ, στο οποίο αποθηκεύεται το ηλεκτρονικό χρήµα. ηλαδή, στην κάρτα αυτή αποθηκεύονται η πίστωση, το χρέος και η αξία της. Οι παραπάνω τρόποι είναι αρκετά εξυπηρετικοί αλλά εµπεριέχουν και κάποιους κινδύνους. Τίθεται λοιπόν θέµα ασφάλειας και αυτό είναι ένα ζήτηµα που κάνει τους καταναλωτές επιφυλακτικούς απέναντι στο ηλεκτρονικό εµπόριο. 5 e-business, (2006), Τρόποι πληρωµής στο Internet 10

12 1.4. ΠΡΟΤΕΡΗΜΑΤΑ ΚΑΙ ΜΕΙΟΝΕΚΤΗΜΑΤΑ ΤΟΥ ΗΕ Στο Ηλεκτρονικό εµπόριο τα οφέλη που σηµειώνονται για τους καταναλωτές είναι τα εξής: Μπορούµε να αγοράσουµε προϊόντα ή υπηρεσίες, που επιθυµούµε, όποτε θελήσουµε, 24 ώρες το 24ωρο, 7 ηµέρες την εβδοµάδα, όπου κι αν βρισκόµαστε. Μπορούµε να επισκεφτούµε, εύκολα και γρήγορα, πολλά ηλεκτρονικά καταστήµατα και να συγκρίνουµε τις τιµές και τα χαρακτηριστικά των ειδών που µας ενδιαφέρουν, πριν αγοράσουµε αυτό που επιθυµούµε. Μπορούµε να ενηµερωθούµε, πληρέστερα, για το προϊόν ή την υπηρεσία που αναζητάµε. Γλιτώνουµε χρόνο και ταλαιπωρία, µειώνοντας τις µετακινήσεις µας. Πολλά ηλεκτρονικά καταστήµατα κάνουν ειδικές εκπτώσεις, στους πελάτες τους. Η νοµοθεσία για την προστασία του καταναλωτή, όταν πρόκειται για αγορές από απόσταση, όπως είναι οι ηλεκτρονικές αγορές διασφαλίζει τα δικαιώµατά τους (π.χ. το δικαίωµα υπαναχώρησης κ.λπ.). Υπάρχουν όµως και για τους προµηθευτές οφέλη. Το ΗΕ αποτελεί µια εναλλακτική πρόταση, για το παραδοσιακό εµπόριο. Πουλώντας on-line, ο έµπορος µειώνει ή και καταργεί τη δική του αλυσίδα διανοµής εµπορευµάτων, ελαχιστοποιώντας πάγια έξοδα, όπως ενοίκια ή προσωπικό. Οι µικροµεσαίοι παραγωγοί µπορούν να προωθήσουν τα προϊόντα τους σε αγορές, οι οποίες, υπό οποιεσδήποτε άλλες συνθήκες, θα ήταν απρόσιτες για αυτούς. Εκτός από τα πλεονεκτήµατα στο ΗΕ υπάρχουν και µειονεκτήµατα που δηµιουργούν προβλήµατα στους καταναλωτές. Σύµφωνα µε έρευνα της Παγκόσµιας Οργάνωσης καταναλωτών 6, η ασφάλεια φαίνεται να είναι ο αδύναµος κρίκος του ηλεκτρονικού εµπορίου, στοιχείο, που λειτουργεί ανασταλτικά για τους υποψήφιους αγοραστές. 6 ΚΕΠΚΑ, (2004), Καταναλωτικά Βήµατα, Τεύχος Ιανουαρίου 11

13 Η ίδια έρευνα κατέληξε στο συµπέρασµα ότι οι Ευρωπαίοι, δύσκολα, θα εµπιστευτούν, στο µέλλον, το internet, για τις αγορές τους, καθώς: 1) Από τις παραγγελίες, που κατατέθηκαν, το ένα τρίτο αγνοήθηκε, παντελώς. 2) Ένας στους τρεις καταναλωτές δεν πήραν πίσω τα χρήµατά τους, αν και επέστρεψαν, εγκαίρως, το προϊόν, που αγόρασαν. 3) Στις περιπτώσεις πληρωµών µε πιστωτική κάρτα, µία στις τέσσερις χρεώσεις έγινε τη στιγµή της παραγγελίας. 4) Παρότι, σύµφωνα µε την οδηγία για τις πωλήσεις από απόσταση, ο καταναλωτής µπορεί να αλλάξει γνώµη και να επιστρέψει το προϊόν, χωρίς αιτιολόγηση, µέσα σε συγκεκριµένο χρονικό διάστηµα, ένα στα τέσσερα ηλεκτρονικά καταστήµατα, στα οποία επιστράφηκαν προϊόντα, ζήτησαν από τον καταναλωτή να αιτιολογήσει την απόφασή του. 5) Σχεδόν ένα στα δέκα ηλεκτρονικά καταστήµατα δεν έδιναν ακριβείς πληροφορίες, για το τελικό κόστος των προϊόντων. 6) Σχεδόν τα µισά καταστήµατα δεν παρείχαν επαρκείς πληροφορίες, για την προστασία των προσωπικών δεδοµένων των πελατών τους Τρόποι Προστασίας από τους κινδύνους των Ηλεκτρονικών Συναλλαγών Η ιεθνής Οργάνωση των καταναλωτών παρέχει πέντε συµβουλές 7 για να προστατεύσει τους καταναλωτές από την κακή χρήση προσωπικών δεδοµένων στο ηλεκτρονικό εµπόριο: 1) Περιορισµένη αποκάλυψη προσωπικών πληροφοριών. Να παρέχονται οι πληροφορίες, που είναι απαραίτητες, µόνο για να ολοκληρωθεί η συναλλαγή. Αποφυγή βιογραφικών στοιχείων και χρησιµοποίηση ψευδώνυµου, όπου είναι δυνατό. Αν υπάρχει η υποψία πως µια ιστοσελίδα ζητάει πάρα πολλές και όχι απαραίτητες πληροφορίες, καλό είναι να προτιµηθεί κάποια άλλη, αντίστοιχη, ιστοσελίδα. Συνίσταται να µην αποκαλύπτονται πληροφορίες λογισµικού του καθένα. Πολλά προγράµµατα, συµπεριλαµβανοµένων και των επεξεργαστών κειµένου, των παιχνιδιών και της πλοήγησης στο διαδίκτυο, συχνά στέλνουν πληροφορίες για το χρήστη στις 7 ΚΕΠΚΑ, (2002), Τεύχος Ιούνιο-Ιούλιος, Πέντε Συµβουλές για Προστασία 12

14 εταιρίες κατασκευής τους. Λίστα µε λογισµικό, το οποίο δεν επιτρέπει στα συγκεκριµένα προγράµµατα να στέλνουν στις εταιρίες τους τέτοιες πληροφορίες, είναι διαθέσιµο στην διεύθυνση Επιπροσθέτως, χρειάζεται προσοχή όταν συµµετέχει κανείς σε οµάδες αλληλογραφίας, δωµάτια διαλόγου, ιστοσελίδες και άλλα µέρη στο διαδίκτυο. Οι πληροφορίες αυτές, συχνά, αποθηκεύονται και είναι διαθέσιµες στην δηµοσιότητα. 2) ηµιουργία ξεχωριστού λογαριασµού ηλεκτρονικής αλληλογραφίας. Παρέχεται, σχεδόν από όλες τις εταιρίες, η δωρεάν δηµιουργία ηλεκτρονικής αλληλογραφίας, διαφορετικής από τον προσωπικό και τον επαγγελµατικό λογαριασµό του καθένα. Αυτοί οι νέοι λογαριασµοί θα χρησιµοποιούνται µόνο για ηλεκτρονικές αγορές ή µόνο για τη συµµετοχή σε οµάδες αλληλογραφίας, δωµάτια διαλόγου, κ.λ.π. Μερικές από τις ιστοσελίδες, που παρέχουν αυτούς τους λογαριασµούς, προσφέρουν παράλληλα και ανωνυµία και κωδικοποίηση, για να εµποδίζουν τρίτους να διαβάσουν την προσωπική αλληλογραφία. 3) Απόρριψη των cookies. Χρειάζεται ρύθµιση του προγράµµατος, που χρησιµοποιείται για την πλοήγηση στο διαδίκτυο έτσι, ώστε να διαγράφει όλα τα cookies. Αυτό γίνεται αν χρησιµοποιηθεί µια ρύθµιση στο µενού των επιλογών ή στο µενού των προχωρηµένων επιλογών γνωστών λογισµικών πλοήγησης στο διαδίκτυο. 4) Χρήση εργαλείων για τη διαφύλαξη των προσωπικών δεδοµένων. Υπάρχει µεγάλη πληθώρα λογισµικού, που µπορεί να χρησιµοποιηθεί για να προστατεύσει τα προσωπικά σας δεδοµένα. Ο υπολογιστής συχνά αποκαλύπτει προσωπικές πληροφορίες. Για να προστατευθούν τα προσωπικά δεδοµένα χρησιµοποιούνται υπηρεσίες, που επιτρέπουν την ανώνυµη πλοήγηση στο διαδίκτυο και εµποδίζουν τις ιστοσελίδες να συλλέξουν πληροφορίες για τους χρήστες, όπως κωδικοποίηση για ασφαλείς επικοινωνίες, τείχος προστασίας (firewall), οι οποίοι θα αναλυθούν παρακάτω, που αποτρέπουν από τον προσωπικό υπολογιστή να αποκαλύπτει πληροφορίες σε άλλους και ειδικές ρυθµίσεις. ιαθέσιµο ανάλογο λογισµικό βρίσκεται στη διεύθυνση 13

15 5) Καλή γνώση του Νοµοθετικού Πλαισίου. Σε πολλές χώρες υπάρχουν νόµοι, που προστατεύουν τα προσωπικά δεδοµένα των καταναλωτών. Η σχετική ανάλυσή τους βρίσκεται στη διεύθυνση Πολλές χώρες έχουν τοπικό ή εθνικό υπεύθυνο, για την προστασία των προσωπικών δεδοµένων και µπορεί να βοηθήσει, αν τα προσωπικά δεδοµένα κάποιου έχουν παραβιαστεί. Πριν προχωρήσει, λοιπόν η συναλλαγή, είναι ανάγκη να ελέγχεται από τον ενδιαφερόµενο, προσεκτικά, η ιστοσελίδα του ηλεκτρονικού καταστήµατος, η ταυτότητά του και τα συστήµατα ασφαλείας, που χρησιµοποιεί. Έτσι, εξετάζοντας αντίστροφα το θέµα της ασφάλειας µιας ηλεκτρονικής πληρωµής γίνεται αναφορά και στα χαρακτηριστικά που θα πρέπει να διαθέτει το σύστηµα και είναι τα εξής: ασφάλεια, αξιοπιστία, δυνατότητα µαζικής χρήσης, ανωνυµία, αποδοχή, ευρεία βάση πελατών, ευελιξία, µετατρεψιµότητα, αποτελεσµατικότητα συναλλαγών, µικρό κόστος και ευκολία χρήσης. Τα ένδεκα αυτά χαρακτηριστικά µπορούν να χρησιµοποιηθούν ως κριτήρια για την ανάλυση των µεθόδων ηλεκτρονικής πληρωµής που είναι σήµερα σε χρήση. Στο επόµενο κεφάλαιο διευκρινίζεται ο τρόπος µε τον οποίο παρέχεται η ασφάλεια σε µια ηλεκτρονική διαδικασία συναλλαγής. 14

16 ΚΕΦΑΛΑΙΟ 2. ΑΣΦΑΛΕΙΑ ΣΤΟ ΗΛΕΚΤΡΟΝΙΚΟ ΕΠΙΧΕΙΡΕΙΝ Όταν οι άνθρωποι αναφέρονται στην ασφάλεια του Ηλεκτρονικού Εµπορίου, το πρώτο πράγµα που τους έρχεται στο µυαλό είναι συνήθως η κρυπτογραφία. Αυτό οφείλεται στην αφύπνιση των καταναλωτών όσο αφορά τους κινδύνους για την µετάδοση προσωπικών πληροφοριών µέσω Internet. Οι πελάτες ενός δικτυακού τόπου θα στείλουν για παράδειγµα τον αριθµό της πιστωτικής τους κάρτας µόνο εάν είναι απολύτως σίγουροι ότι αυτός θα µεταδοθεί µε ασφάλεια ΠΩΣ ΛΕΙΤΟΥΡΓΕΙ Η ΚΡΥΠΤΟΓΡΑΦΙΑ Η λέξη κρυπτογραφία είναι ελληνική και αναφέρεται στη «µυστική γραφή». Με τον όρο κρυπτογράφηση 8 εννοούµε την κωδικοποίηση πληροφοριών µε τη χρήση ενός αλγόριθµου και ενός µυστικού κλειδιού για την δηµιουργία µιας σειράς χαρακτήρων που είναι µη αναγνώσιµοι. Η κρυπτογράφηση επιτρέπει την µετάδοση εµπιστευτικών πληροφοριών µέσα από ανασφαλή δίκτυα χωρίς να υπάρχει φόβος για υποκλοπή ή ανεπιθύµητες παρεµβάσεις, ενώ επιτρέπει στις δύο πλευρές που επικοινωνούν να πιστοποιήσουν τις ταυτότητες τους, χωρίς να χρειάζεται να συναντηθούν αυτοπροσώπως. Όλα τα συστήµατα κρυπτογραφίας ανεξάρτητα από την πολυπλοκότητα τους έχουν τα τέσσερα ακόλουθα µέρη: 1) Plain text ή clear text (απλό κείµενο): Είναι το µήνυµα πριν γίνει σε αυτό οποιαδήποτε παρέµβαση και αναγνώσιµο από τον άνθρωπο. 2) Cipher text (κρυπτογραφηµένο κείµενο): Είναι το µήνυµα αφού το έχουµε τροποποιήσει ώστε να του αποδώσουµε σε µη-αναγνωρίσιµη µορφή. Η διαδικασία µετατροπής του plain text σε cipher text ονοµάζεται κωδικοποίηση (encryption), ενώ η αντίστροφη διαδικασία είναι γνωστή ως αποκωδικοποίηση (description). 3) Cryptographic Algorithm (Αλγόριθµος Κρυπτογράφησης): Είναι η µαθηµατική διαδικασία που χρησιµοποιείται προκειµένου να µετατρέψουµε το «καθαρό» σε κρυπτογραφηµένο και αντιστρόφως. 8 Ποµπόρτσης Αν. κ.ά., (2004), Εισαγωγή στο Ηλεκτρονικό Εµπόριο, Σελ.:

17 4) Key (Κλειδί): Είναι ένα µυστικό κλειδί που χρησιµοποιείται για την κωδικοποίηση και /ή την αποκωδικοποίηση του µηνύµατος. Κάθε κλειδί µετατρέπει το ίδιο plain text σε διαφορετικό cipher text. Αν το σύστηµα κρυπτογράφησης δουλεύει σωστά, µόνο όσοι γνωρίζουν το σωστό κλειδί µπορούν να αποκωδικοποιήσουν ένα κοµµάτι του cipher text. Σχήµα 2.1. Βασικά µέρη κρυπτογραφίας. Πηγή: Ποµπόρτσης Αν. κ.ά., (2004), Εισαγωγή στο ΗΕ, Σελ:143 Βασικό πυρήνα της κρυπτογραφίας αποτελεί το γεγονός ότι το cipher text µπορεί να µεταδοθεί µέσα από ανασφαλή, δηµόσια κανάλια επικοινωνίας. Ακόµη και αν το cipher text υποκλαπεί, είναι άχρηστο για κάποιον που δεν κατέχει το κλειδί για την αποκωδικοποίηση. Το plain text, το cipher text και το κλειδί είναι ακολουθίες από πληροφορίες σε δυαδική µορφή, µε αποτέλεσµα βίντεο, ήχοι και λογισµικό να µπορούν να κωδικοποιηθούν το ίδιο εύκολα όσο και ένα κείµενο. Ένα βασικό χαρακτηριστικό των καλών συστηµάτων κρυπτογράφησης είναι ότι η ασφάλεια του συστήµατος εξαρτάται ολοκληρωτικά από την µυστικότητα του κλειδιού κωδικοποίησης. Το cipher text µπορεί να «σπάσει» και να γίνει γνωστό σε µη εξουσιοδοτηµένους χρήστες µε διάφορους τρόπους. Ένας τρόπος λοιπόν είναι η κρυπτογραφική ανάλυση (cryptanalysis). Εκπαιδευµένοι κρυπτογράφοι αναλύουν το cipher text για δείγµατα που έχουν αποµείνει από το αυθεντικό plain text. Κάθε τέτοιο υπόλειµµα µπορεί να χρησιµοποιηθεί για να κατασκευαστεί είτε το αρχικό µήνυµα είτε το κλειδί που χρησιµοποιήθηκε για να κατασκευαστεί αυτό. Εποµένως ένας καλός αλγόριθµος κρυπτογράφησης δεν θα πρέπει να αφήνει κανένα ίχνος του αρχικού µηνύµατος. Αυτός είναι και ο λόγος για τον οποίο είναι σηµαντικό το µήκος του κλειδιού. Ένα κλειδί που είναι των 16-bit έχει 216 = 65,536 διαφορετικές επιλογές και µπορεί να δεχθεί επίθεση αµέσως. Τα κλειδιά που χρησιµοποιούνται για την κωδικοποίηση σηµαντικών πληροφοριών έχουν µήκος 128-bit δηλαδή 2128 (1038 πιθανούς κώδικες, 16

18 περισσότερους από τον αριθµό των µορίων νερού σε όλους τους ωκεανούς του πλανήτη) ή και περισσότερο Συµµετρική Κρυπτογραφία (Symmetric Cryptography) 9 Σύµφωνα µε την ιστορία της Κρυπτογραφίας, οι αλγόριθµοι κωδικοποίησης ήταν συµµετρικοί (symmetric-key- cryptography ή secretkey cryptography) µε την έννοια ότι γινόταν χρήση του ίδιου µυστικού κλειδιού (συµµετρικό κλειδί) τόσο στην κωδικοποίηση όσο και στην αποκωδικοποίηση ενός µηνύµατος. Γι αυτό το λόγο ο αποστολέας και ο παραλήπτης έπρεπε να ήταν γνώστες του κλειδιού αυτού. Ένα βασικό πρόβληµα που προέκυπτε ήταν ότι για να επικοινωνήσουν ο αποστολέας και ο παραλήπτης µε ασφάλεια, θα έπρεπε πρώτα να βρουν ένα τρόπο ώστε να ανταλλάξουν το µυστικό κλειδί µε ασφάλεια. Μια εναλλακτική µέθοδος για την ασφαλή µεταφορά του µυστικού κλειδιού είναι µε τη χρήση Κέντρων Κατανοµής Κλειδιών (Key Distribution Center, KDC) τα οποία αναλαµβάνουν την ασφαλή αποστολή µυστικών κλειδιών στους αποστολείς και παραλήπτες των διαφόρων µηνυµάτων. Σχήµα 2.2. Συµµετρική Κρυπτογράφηση Πηγή: Γεωργόπουλος Ν. κ.ά., (2001), Ηλεκτρονικό Επιχειρείν, Σελ:380 Οι πιο κοινοί συµµετρικοί αλγόριθµοι που είναι πιθανό να συναντήσουµε είναι οι ακόλουθοι: 9 Γεωργόπουλος Ν. κ.ά., (2001), Ηλεκτρονικό Επιχειρείν, Σελ:

19 1) DES: O DES (Data Encryption Standard) αναπτύχθηκε από το National Security Agency και την ΙΒΜ τη δεκαετία του πενήντα. Το κλειδί µήκους 56bit που χρησιµοποιεί ο DES ήταν ασφαλές τις πρώτες δυο δεκαετίες της χρήσης του. 2) Triple-DES, DESX, GDES, RDES: Αυτές είναι παραλλαγές του DES οι οποίες µειώνουν τον κίνδυνο από οργανωµένες επιθέσεις, µε τη χρήση µεγαλύτερου µήκους κλειδιών. Σήµερα, η Κυβέρνηση των Ηνωµένων Πολιτειών βρίσκεται στη διαδικασία επιλογής ενός νέου πιο ασφαλούς προτύπου συµµετρικής κρυπτογράφησης µε την ονοµασία Advanced Encryption Standard (AES). Το νέο αυτό πρότυπο θα είναι διαθέσιµο παγκοσµίως και θα χρησιµοποιεί µυστικά κλειδιά µήκους 128, 192 και 256 bits. Υπολογίστηκε ότι µε τη σηµερινή τεχνολογία απαιτούνται 149 τρισεκατοµµύρια χρόνια για την παραβίαση ενός συστήµατος που χρησιµοποιεί ένα 128-bit AES κλειδί κρυπτογράφησης. 3) RC2, RC4, RC5: Αυτοί οι αλγόριθµοι ανακαλύφθηκαν από την RSA Data Security, INC. Χρησιµοποιούνται κλειδιά µε ποικίλα µήκη φτάνοντας τα 2048-bit. Οι RC2 και RC4 είναι οι πιο διαδεδοµένοι. 4) IDEA: O International Data Encryption Algorithm είναι περισσότερο δηµοφιλής στην Ευρώπη από ότι στις Ηνωµένες Πολιτείες. Χρησιµοποιείται 128-bit κλειδί, το οποίο θεωρείται πιο ασφαλές από ότι του DES. Είναι ένας από τους πιο δηµοφιλείς αλγόριθµους για την κωδικοποίηση µηνυµάτων ηλεκτρονικού ταχυδροµείου. υστυχώς οι συµµετρικοί αλγόριθµοι παρουσιάζουν προβλήµατα κατά τη χρήση τους στο Internet, στις περιπτώσεις εκείνες όπου οµάδες πρέπει να επικοινωνήσουν χωρίς να γνωρίζονται εκ των προτέρων. Μια ακόµα ενοχλητική απαίτηση στη κρυπτογραφία του Internet είναι και η ανάγκη για πολλαπλή επικοινωνία. Συνήθως πολλοί άνθρωποι θέλουν να επικοινωνήσουν µε τον ίδιο server (εξυπηρετητή). Από τη στιγµή που αποκαλύπτεται ένα συµµετρικό κλειδί, κάθε µήνυµα που έχει κωδικοποιηθεί µε αυτό χάνει την αξία του. Τότε ένα νέο κλειδί θα πρέπει να επιλεχθεί και να διανεµηθεί ξανά από την αρχή Κρυπτογραφία ηµόσιου Κλειδιού Κατά τη διάρκεια του 1970 ένας νέος τύπος αλγόριθµου κρυπτογράφησης, γνωστός ως κρυπτογράφηση δηµόσιου κλειδιού (public- 18

20 key cryptography) 10, ανακαλύφθηκε. Στα συστήµατα δηµόσιου κλειδιού, τα κλειδιά είναι µε τη µορφή ζευγαριών, όπου το ένα χρησιµοποιείται για την κωδικοποίηση και το άλλο για την αποκωδικοποίηση. Για να στείλουµε λοιπόν ένα ασφαλές µήνυµα σε κάποιον αρκεί να βρούµε το δηµόσιο κλειδί του και µε αυτό να κωδικοποιήσουµε το µήνυµα. Σχήµα 2.3. Κρυπτογραφία ηµόσιου Κλειδιού. Πηγή: Ποµπόρτσης Αν. κ.ά., (2004), Εισαγωγή στο ΗΕ, Σελ:147 Με αυτόν τον τρόπο το µήνυµα µπορεί να σταλεί µέσα από ένα ασφαλές κανάλι χωρίς τον φόβο υποκλοπής. Αυτή η συµπεριφορά είναι ιδανική για το Internet. Σε αντίθεση µε την συµµετρική κρυπτογραφία, υπάρχουν ελάχιστοι αλγόριθµοι δηµόσιου κλειδιού: 1) RSA: Είναι ο πιο διαδεδοµένος αλγόριθµος δηµόσιου κλειδιού. Αποτελεί τη βάση για τη δηµιουργία ασφαλών εφαρµογών διαδικτύου, συστηµάτων ηλεκτρονικού εµπορίου και λογισµικού ηλεκτρονικού ταχυδροµείου. Χρησιµοποιεί µεταβλητό µήκος κλειδιού το οποίο ποικίλει από 512 έως και τα 1024 bits. 2) PGP (Pretty Good Privacy): Αποτελεί ένα σύστηµα κρυπτογράφησης δηµόσιου κλειδιού που χρησιµοποιείται ευρέως για την κρυπτογράφηση µηνυµάτων ηλεκτρονικού ταχυδροµείου. Είναι ελεύθερα διαθέσιµο για την εµπορική χρήση. 3) ElGamal: Χρησιµοποιεί µήκη κλειδιών τα οποία ποικίλουν από 512 ως 1024 bit. Η χρήση του περιορίστηκε εξαιτίας µιας διαµάχης για καταπάτηση της πατέντας µε τους εφευρέτες του αλγόριθµου Diffie- Hellman, η οποία έληξε τον Απρίλιο του Ποµπόρτσης Αν. κ.ά., (2004), Εισαγωγή στο Ηλεκτρονικό Εµπόριο, Σελ.:

21 2.2. ΨΗΦΙΑΚΟΙ ΦΑΚΕΛΟΙ Αν και τα συστήµατα κωδικοποίησης δηµόσιου κλειδιού φαίνονται ιδανικά για το Internet, έχουν ένα σοβαρό µειονέκτηµα. Ακόµη και η πιο γρήγορη υλοποίηση του RSA, για παράδειγµα, αλγόριθµου είναι χιλιάδες φορές πιο αργή από ένα τυπικό συµµετρικό αλγόριθµο, καθιστώντας τον έτσι µη πρακτικό για την κωδικοποίηση µεγάλων µηνυµάτων, µε αποτέλεσµα να είναι ασύµφορα για την µεταφορά µεγάλων εγγράφων. Η λύση σε αυτό το πρόβληµα είναι ο συνδυασµός και των δυο συστηµάτων µε τη χρήση ενός ψηφιακού φακέλου (digital envelope) 11. Σύµφωνα µε αυτήν την τεχνική, ένα µήνυµα (plaintext) κρυπτογραφείται χρησιµοποιώντας ένα συµµετρικό µυστικό κλειδί το οποίο στη συνέχεια και αυτό µε τη σειρά του κρυπτογραφείται χρησιµοποιώντας ένα δηµόσιο κλειδί. Ακολουθεί το εικονογραφηµένο σχετικό παράδειγµα. Σχήµα 2.4. Ψηφιακοί Φάκελοι. Πηγή: Τσουλφάς Αν. κ.ά., (2004), Εισαγωγή στο ΗΕ, Σελ: ΨΗΦΙΑΚΕΣ ΥΠΟΓΡΑΦΕΣ Ένα σηµαντικό όφελος που έχουµε από την κρυπτογραφία δηµόσιου κλειδιού είναι ότι µας δίνει τη δυνατότητα να δηµιουργήσουµε ψηφιακές υπογραφές (digital signatures) 11 οι οποίες δεν επιδέχονται πλαστογραφία. Για τη δηµιουργία µιας ψηφιακής υπογραφής, ο αποστολέας πρώτα εφαρµόζει στο αρχικό µήνυµα (plaintext) µια hash συνάρτηση (hash function), η οποία 11 Ποµπόρτσης Αν. κ.ά., (2004), Εισαγωγή στο Ηλεκτρονικό Εµπόριο, Σελ.:149 20

22 είναι ένας µαθηµατικός υπολογισµός που δίνει στο µήνυµα µια hash τιµή (hash value) ή message digest. Στο σηµείο αυτό πρέπει να τονίσουµε ότι δεν υπάρχει τρόπος να αποκωδικοποιήσουµε µια hash συνάρτηση και να πάρουµε το αρχικό µήνυµα. Ένα βασικό πλεονέκτηµα των ψηφιακών υπογραφών σε σχέση µε τις χειρόγραφες υπογραφές που όλοι γνωρίζουµε, είναι ότι οι χειρόγραφες υπογραφές είναι ανεξάρτητες από το έγγραφο το οποίο υπογράφουν. Εάν δηλαδή κάποιος πλαστογραφήσει µία χειρόγραφη υπογραφή, µπορεί στη συνέχεια να τη χρησιµοποιήσει σε πολλά άλλα έγγραφα. Σε αντίθεση, µια ψηφιακή δηµιουργείται µε βάση το περιεχόµενο του εγγράφου έχοντας άµεση εξάρτηση από αυτό. Ο αλγόριθµος που έχει σχεδιαστεί γι αυτόν τον σκοπό είναι ο Digital Signature Algorithm (DSA). Αυτός ο αλγόριθµος χρησιµοποιεί κλειδί µήκους που ποικίλλει από 512 ως 1024 bit. Οι πιο κοινές hash συναρτήσεις που είναι πιθανό να συναντήσουµε είναι οι MD4,5 και η SHA ΑΡΧΕΣ ΠΙΣΤΟΠΟΙΗΣΗΣ (CERTIFICATION AUTHORITIES) Η χρήση της κρυπτογράφησης δηµόσιου κλειδιού προϋποθέτει τη δηµιουργία ενός δηµόσιου και ενός ιδιωτικού κλειδιού. Ο κάτοχος του ιδιωτικού κλειδιού οφείλει να το διαφυλάξει αλλά ωστόσο οφείλει να δηµοσιεύσει το δηµόσιο κλειδί στους παραλήπτες του µηνύµατος είτε µε είτε µε κάποιον άλλο τρόπο. Οι αρχές πιστοποίησης (certificate authorities) ουσιαστικά αναλαµβάνουν τη δηµοσίευση των δηµόσιων κλειδιών. Εφόσον λαµβάνουν το κλειδί του αποστολέα προσπαθούν να το δηµοσιεύσουν µε έµπιστο τρόπο. Στη περίπτωση που ένας χρήστης λαµβάνει µέρος σε διάφορες συναλλαγές οφείλει να γνωστοποιήσει και άλλα στοιχεία για το άτοµο του που να πιστοποιούν τη ταυτότητα του. Στη περίπτωση όπου στις συναλλαγές λαµβάνει µέρος µια επιχείρηση τότε είναι απαραίτητο να παραχωρήσει και άλλες πληροφορίες που πιστοποιούν την φυσική της αλλά και τη νοµική της υπόσταση. Αυτό είναι απαραίτητο να γίνει γιατί όσοι συµµετέχουν σε αυτές τις συναλλαγές επιθυµούν να ζητήσουν την αυθεντικοποίηση του δηµόσιου κλειδιού από την αρχή πιστοποίησης. 21

23 Ψηφιακά Πιστοποιητικά Ένα ψηφιακό πιστοποιητικό ουσιαστικά πρόκειται για µια ψηφιακή δήλωση που γίνεται από µια αρχή πιστοποίησης όπου: Προσδιορίζει την αρχή πιστοποίησης που το εξέδωσε. Περιέχει το όνοµα, το δηµόσιο κλειδί και κάποια άλλα χαρακτηριστικά του συναλλασσόµενου και περιλαµβάνει και την ψηφιακή υπογραφή της αρχής πιστοποίησης που το εξέδωσε. Για την ικανοποίηση των παραπάνω χρησιµοποιούνται τα πιστοποιητικά ασφαλείας, που εγγυώνται την ταυτότητα των συναλλασσοµένων ή την ασφάλεια µιας τοποθεσίας Web. Yπάρχουν δύο είδη πιστοποιητικών: Τα προσωπικά πιστοποιητικά, τα οποία είναι ένα είδος εγγύησης ότι ο χρήστης είναι αυτός που ισχυρίζεται. Σε αυτά καταχωρούνται προσωπικές πληροφορίες, όπως όνοµα χρήστη και κωδικός πρόσβασης. Στη συνέχεια, αποθηκεύονται σε ένα πιστοποιητικό το οποίο χρησιµοποιείται όταν στέλνονται προσωπικές πληροφορίες σε ένα διακοµιστή ελέγχου ταυτότητας που απαιτεί πιστοποιητικό. Τα πιστοποιητικά των ικτυακών τόπων, τα οποία περιέχουν πληροφορίες που πιστοποιούν ότι η συγκεκριµένη ικτυακή τοποθεσία είναι γνήσια και ασφαλής. Aυτό διασφαλίζει ότι καµία άλλη τέτοια τοποθεσία δεν µπορεί να παρουσιαστεί µε την ταυτότητα της γνήσιας, ασφαλούς τοποθεσίας. Όταν προσπαθείτε να συνδεθείτε µε το Παγκόσµιο ύκτιο ενός οργανισµού, το πρόγραµµα ανάγνωσης επαληθεύει τη διεύθυνση Internet που είναι αποθηκευµένη στο πιστοποιητικό και ελέγχει την ηµεροµηνία λήξης του. Eάν οι πληροφορίες αυτές δεν είναι έγκυρες, εµφανίζεται προειδοποίηση. Μία από τις πιο γνωστές εταιρίες Παροχής Πιστοποιητικών είναι η Verisign ( η οποία έχει εκδώσει πάνω από ψηφιακά πιστοποιητικά 12. Οι µεγαλύτερες εταιρίες ΗΕ στον κόσµο εµπιστεύονται την Verisign για την ασφαλή επικοινωνία µε τους πελάτες τους. Τα ψηφιακά πιστοποιητικά της εταιρίας λειτουργούν σε συνδυασµό µε το πρωτόκολλο SSL το οποίο θα αναλύσουµε στην επόµενη ενότητα (2005) 22

24 ΚΕΦΑΛΑΙΟ 3. ΠΡΩΤΟΚΟΛΛΑ ΑΣΦΑΛΕΙΑΣ Στο Internet υπάρχουν διάφορα πρωτόκολλα ασφάλειας. Κάθε ένα από τα οποία ειδικεύεται σε µια διαφορετική λειτουργία. Μερικά έχουν σχεδιαστεί για να προστατεύουν συγκεκριµένες µεθόδους επικοινωνίας, όπως το ηλεκτρονικό ταχυδροµείο ( ) και η αποµακρυσµένη πρόσβαση (remote login). Άλλα περιέχουν υπηρεσίες κρυπτογράφησης σε διαφόρους τοµείς των επικοινωνιών. Στο World Wide Web, το SSL (Secure Sockets Layer) 13 είναι το κυρίαρχο πρωτόκολλο για την κρυπτογραφηµένη επικοινωνία µεταξύ ενός browser και ενός server, ενώ το SET (Secure Electronic Transactions) 13 είναι ένα εξειδικευµένο πρωτόκολλο για την προστασία συναλλαγών µέσω πιστωτικών καρτών. Παρακάτω δίνεται µια λίστα µε τα υπάρχοντα πρωτόκολλα ανάλογα µε την λειτουργία που χρησιµοποιούνται. Πίνακας 3.1. Πρωτόκολλα σε συνάρτηση µε τη χρήση τους. Πρωτόκολλο CyperCash DNSSEC IPSec PCT PGP S/MIME S-HTTP Secure RPC SET SSL SSH TLS Σκοπός Ηλεκτρονικές τραπεζικές συναλλαγές Domain Name System (DΝS) Packet level κρυπτογράφηση TPC/IP level κρυπτογράφηση Web browsing Αποµακρυσµένες διαδικασίες κλήσεων Ηλεκτρονικές τραπεζικές συναλλαγές TPC/IP level κρυπτογράφηση Αποµακρυσµένη πρόσβαση TPC/IP level κρυπτογράφηση Πηγή: Τσουλφάς Αν. κ.ά., (2004), Εισαγωγή στο ΗΕ, Σελ: Ποµπόρτσης Αν. κ.ά., (2004), Εισαγωγή στο Ηλεκτρονικό Εµπόριο, Σελ.:

25 3.1. ΤΟ ΠΡΩΤΟΚΟΛΛΟ SSL (SECURE SOCKET LAYER) To πρωτόκολλο SSL (Secure Sockets Layer) είναι ένα ευέλικτο, γενικού σκοπού σύστηµα κρυπτογράφησης για την προστασία της επικοινωνίας µέσω του www, το οποίο είναι ενσωµατωµένο στα προγράµµατα πλοήγησης στον Παγκόσµιο Ιστό των εταιριών Netscape και Microsoft. Το πρωτόκολλο SSL παρέχει: Πιστοποιητικό Αυθεντικότητας (Certificate of Authentication): Το πιστοποιητικό αυτό επαληθεύει ότι ένας ικτυακός τόπος ανήκει στον πραγµατικό κάτοχο και όχι σε κάποιον τρίτο. Ακεραιότητα µηνυµάτων (Message integrity): Κατά τη διάρκεια αποστολής ενός µηνύµατος, οι υπολογιστές του αποστολέα και του παραλήπτη δηµιουργούν έναν κωδικό βασισµένο στο περιεχόµενο του µηνύµατος. Εάν έστω και ένα µικρό µέρος του µηνύµατος παραποιηθεί κατά τη διάρκεια µετάδοσης του ο κωδικός του υπολογιστή-παραλήπτη θα είναι διαφορετικός µε αποτέλεσµα το µήνυµα να απορριφθεί. Απόκρυψη δεδοµένων (Data encryption): Το πρωτόκολλο SSL κρυπτογραφεί όλες τις πληροφορίες που µεταδίδονται µεταξύ ενός Web server και των Web browsers των πελατών. Το πρωτόκολλο SSL έρχεται σε δυο εκδόσεις, µε µήκος κλειδιού 40-bit και µε 128-bit. Όσο πιο µεγάλο το µήκος του κλειδιού, τόσο πιο δύσκολη είναι η αποκρυπτογράφησή του. Οι τελευταίες εκδόσεις των προγραµµάτων πλοήγησης στον Παγκόσµιο Ιστό, όπως είναι ο Netscape Communicator 7.0, υποστηρίζουν κρυπτογραφηµένες συναλλαγές µέχρι και 128-bit Πώς να αποφεύγουµε τους κινδύνους. Μόλις ένας πελάτης συνδεθεί σε ένα ικτυακό τόπο ο οποίος υποστηρίζει το πρωτόκολλο SSL, δηµιουργείται αυτόµατα ένα ασφαλές κανάλι επικοινωνίας ανάµεσα στον server και τον Web server του χρήστη. Οι πελάτες ενός ηλεκτρονικού καταστήµατος µπορούν να είναι σίγουροι ότι οι συναλλαγές τους είναι ασφαλείς ελέγχοντας τα παρακάτω: Η διεύθυνση Παγκόσµιου Ιστού (URL) του προγράµµατος πλοήγησης (Web browser) εµφανίζει τη λέξη https αντί για http. (βλέπε Σχήµα 3.1) 24

26 Εάν ο χρήστης είναι συνδεδεµένος στο Internet Explorer εµφανίζεται στο κάτω µέρος του παραθύρου µία µικρή κλειδαριά που είναι κλειδωµένη όπως φαίνεται και κάτω χαµηλά στο ακόλουθο σχήµα. Σχήµα 3.1. SSL και Internet Explorer Πηγή: Υπολογισµένα βάση της πηγής: Τσουλφάς Αν. κ.ά., (2004), Εισαγωγή στο ΗΕ, Σελ:159 25

27 Κάνοντας double click στο εικονίδιο αυτό εµφανίζεται το παρακάτω παράθυρο, το οποίο µας δίνει πληροφορίες για την Αυθεντικότητα του ψηφιακού πιστοποιητικού και το επίπεδο ασφαλείας του συγκεκριµένου ικτυακού τόπου. Σχήµα 3.2. SSL και Internet Explorer Πηγή: Υπολογισµένα βάση της πηγής: Τσουλφάς Αν. κ.ά., (2004), Εισαγωγή στο ΗΕ, Σελ: ΤΑ ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ ΤΟΥ ΠΡΩΤΟΚΟΛΛΟΥ SSL Το πρωτόκολλο SSL λειτουργεί στο επίπεδο µεταφοράς του TCP/IP (TCP/IP transport layer). Ένα επίπεδο δηλαδή πιο κάτω από το επίπεδο που βρίσκονται τα πρωτόκολλα εφαρµογής όπως, είναι το ΝΝΤΡ (news), HTTP (Web), και SMTP ( ). Το χαρακτηριστικό αυτό δίνει στο SSL ευελιξία και ανεξαρτησία. Οποιοδήποτε πρόγραµµα χρησιµοποιεί το TCP, µπορεί να τροποποιηθεί για να χρησιµοποιήσει και ασφαλείς SSL συνδέσεις µε µερικές µόνο αλλαγές. Επιπλέον εκτός από τους Web browsers που υποστηρίζουν το 26

28 πρωτόκολλο SSL, υπάρχει και ένα πλήθος άλλων υπηρεσιών, όπως η σύνδεση από απόσταση και οι υπηρεσίες ηλεκτρονικού ταχυδροµείου (π.χ. ) που υποστηρίζουν το πρωτόκολλο αυτό. HTTP FT TELNET Application NNTP SSL Transport Internet Network Internet Physical layer Σχήµα 3.3. Προγράµµατα υποστήριξης του πρωτοκόλλου SSL. Πηγή: Κοινωνία της Πληροφορίας, (2002), Μέθοδοι Κρυπτογραφίας Το βασικό µειονέκτηµα της προσθήκης του πρωτοκόλλου SSL στο επίπεδο µεταφοράς (transport layer) του TCP/IP, είναι ότι επειδή δεν είναι ειδικά διαµορφωµένο για την συνεργασία του µε το HTTP πρωτόκολλο, το Web browsing (περιήγηση στον Παγκόσµιο Ιστό) µπορεί και να µην είναι και τόσο αποτελεσµατικό, όπως θα µπορούσε να ήταν. Για την πιστοποίηση, το SSL µπορεί να χρησιµοποιήσει τα RSA δηµόσια κλειδιά ή να λειτουργεί σε µία ανώνυµη κατάσταση, στην οποία χρησιµοποιείται ο αλγόριθµος ανταλλαγής κλειδιού Diffie-Hellman. Ο συνδυασµός του συµµετρικού αλγόριθµου κρυπτογράφησης, της µεθόδου συγχώνευσης µηνυµάτων και της µεθόδου πιστοποίησης, είναι γνωστός ως κρυπτογραφική συλλογή (cipher suite) Η SSL συναλλαγή Ο βασικός στόχος του πρωτοκόλλου SSL είναι να πιστοποιήσει τον server και προαιρετικά τον πελάτη (client) και να δηµιουργήσει ένα κλειδί συνοδού (session key) που και οι δυο θα χρησιµοποιήσουν για την αποστολή κρυπτογραφηµένων µηνυµάτων. Μόλις ένας πελάτης συνδεθεί σε έναν Web 27

29 server ο οποίος υποστηρίζει το SSL, δηµιουργείται αυτόµατα ένα ασφαλές κανάλι επικοινωνίας ανάµεσά τους για την µεταφορά όλων των ιδιωτικών πληροφοριών του πελάτη, όπως είναι ο αριθµός της πιστωτικής του κάρτας, η διεύθυνσή του, το τηλέφωνό του κ.ά. Η όλη διαδικασία γίνεται µέσα σε λίγα δευτερόλεπτα. Είναι η πιο ενδιαφέρουσα περίπτωση, όπου ο Web browser και ο Web server διαπραγµατεύονται ένα διαµοιρασµένο από κοινού κλειδί συνόδου χωρίς να αναγνωρίζει ο ένας τον άλλον. Επειδή δεν υπάρχει ανταλλαγή πιστοποιητικού, η αλληλεπίδραση είναι εντελώς ανώνυµη ΤΟ ΠΡΩΤΟΚΟΛΛΟ SET (SECURE ELECTRONIC TRANSACTION) To SET είναι ένα πρωτόκολλο κρυπτογράφησης που αναπτύχθηκε από κοινού από την Visa, την MasterCard, την Netscape και την Microsoft. Αντίθετα µε το SSL, το οποίο είναι ένα γενικού σκοπού σύστηµα για την κρυπτογραφηµένη επικοινωνία, το SET είναι πολύ εξειδικευµένο. Χρησιµοποιείται µόνο για την ασφαλή συναλλαγή µέσω πιστωτικών καρτών και επιταγών ανάµεσα στους πελάτες και τους εµπόρους. Σε χαµηλό επίπεδο, το πρωτόκολλο SET παρέχει τις ακόλουθες βασικές υπηρεσίες: Πιστοποίηση: Όλα τα µέλη που παίρνουν µέρος σε µια συναλλαγή µέσω πιστωτικής κάρτας πιστοποιούνται χρησιµοποιώντας ψηφιακές υπογραφές. Αυτό περιλαµβάνει τους πελάτες, τον έµπορο, την τράπεζα που εκδίδει την πιστωτική κάρτα του πελάτη και την τράπεζα που διαχειρίζεται τον λογαριασµό του εµπόρου. Εµπιστευτικότητα: Η συναλλαγή είναι κρυπτογραφηµένη έτσι ώστε να µην µπορεί να παρακολουθηθεί. Ακεραιότητα µηνύµατος: Κανένας δεν µπορεί να επέµβει στην συναλλαγή µε σκοπό να µεταβάλλει τον αριθµό λογαριασµού ή το ποσό της συναλλαγής. ιασύνδεση: Το SET επιτρέπει σε ένα µήνυµα που στέλνεται σε ένα µέλος να περιέχει µία προσάρτηση (attachment) που µπορεί να διαβαστεί µόνο από ένα άλλο µέλος. 28

30 Σε υψηλό επίπεδο, το πρωτόκολλο SET υποστηρίζει σε πραγµατικό χρόνο όλες τις δυνατότητες του υπάρχοντος συστήµατος πιστωτικών καρτών, συµπεριλαµβανοµένου: Εγγραφή κατόχου πιστωτικής κάρτας. Εγγραφή εµπόρου. Αιτήσεις αγοράς. Πιστοποιήσεις πληρωµής. Μεταφορά διαθέσιµων χρηµατικών πόρων. Επιστροφές αµφισβητούµενων χρεώσεων. Πιστώσεις. Συναλλαγές µέσω επιταγών Η SET συναλλαγή Στο πρωτόκολλο SET εµπλέκονται τέσσερις φορείς: Ο κάτοχος της κάρτας, ο έµπορος, η τράπεζα που εκδίδει την πιστωτική κάρτα και η τράπεζα του εµπόρου. Όπως όλα τα πρωτόκολλα έτσι και το SET χρησιµοποιεί ένα δηµόσιο/ιδιωτικό ζεύγος κλειδιών και υπογεγραµµένες πιστοποιήσεις για να δηµιουργήσει κάθε ταυτότητα των µελών που παίρνουν µέρος στη συναλλαγή και για να τους επιτρέψει να στείλουν ιδιωτικά µηνύµατα µεταξύ τους. Κατά τη διάρκεια µιας συναλλαγής πώλησης ενός προϊόντος, το πρωτόκολλο SET λειτουργεί ως εξής: 29

31 Σχήµα 3.4. Η SET συναλλαγή Πηγή: Τσουλφάς Αν. κ.ά., (2004), Εισαγωγή στο ΗΕ, Σελ:172 Υπάρχουν βήµατα πιστοποίησης σε κάθε φάση του SET πρωτοκόλλου. Αυτό είναι σηµαντικό ώστε να εµποδίσουµε κάποιον άγνωστο να παρακολουθήσει την συναλλαγή. Τεχνικά, το πρωτόκολλο SET χρησιµοποιεί το αλγόριθµο κατακερµατισµού SHA, ο οποίος παράγει έναν 160-bit αριθµό Λόγοι χρησιµοποίησης του SET έναντι του SSL Είναι σίγουρα δυνατό να χρησιµοποιήσουµε το SSL για να εξυπηρετήσουµε πληρωµές µέσω πιστωτικών καρτών. Στην πραγµατικότητα, αυτός είναι ο τρόπος που χρησιµοποιείται στο Internet και είναι η βάση για τα ετοιµοπαράδοτα εµπορικά συστήµατα (commerce systems) που πωλούνται από µεγάλες εταιρίες (π.χ. η Netscape, η Microsoft κ.ά.). Παρόλα αυτά, υπάρχει ένας αριθµός µειονεκτηµάτων, σε σχέση µε το πρωτόκολλο SET, από την άµεση χρησιµοποίηση του SSL για την επίτευξη αυτών των συναλλαγών. A. Καταρχήν, αν και το πρωτόκολλο SSL λύνει το πρόβληµα της ασφαλούς µεταφοράς του αριθµού της πιστωτικής κάρτας από τον πελάτη µέχρι τον έµπορο, δεν βοηθάει όµως στην υπόλοιπη συναλλαγή, στον έλεγχο του αριθµού για εγκυρότητα, στον έλεγχο ότι ο πελάτης είναι πιστοποιηµένος να χρησιµοποιήσει τον συγκεκριµένο αριθµό της πιστωτικής κάρτας και στην πιστοποίηση της συναλλαγής µε την τράπεζα του πελάτη. Τα µεγάλα εµπορικά συστήµατα επιβεβαιώνουν της παραγγελίες αµέσως επικοινωνώντας µε έναν server που διατηρεί µια υπηρεσία πιστοποίησης πιστωτικών καρτών µέσω του SSL ή κάποιου πρωτοκόλλου. Τέτοια συστήµατα µπορούν να διαχειρίζονται επιτόκια, επιστροφές παραγγελιών, καταγραφή των συναλλαγών, on-line καταλόγους και καταλόγους απογραφής. B. Ένα όµως πλήρως λειτουργικό σύστηµα επεξεργασίας πιστωτικών καρτών, απαιτεί µεγάλη προγραµµατιστική προσπάθεια και είναι πολύ ακριβό. Ένα άλλο πρόβληµα µε την χρησιµοποίηση του SSL για συναλλαγές µέσω πιστωτικών καρτών είναι η αδυναµία των συστηµάτων να µεταχειρίζονται µε επιτυχία την διαδικασία δηµιουργίας αριθµών που αντιστοιχούν σε πιστωτικές κάρτες. 30

32 Το SET αποφεύγει αυτά τα προβλήµατα παρέχοντας ένα ενοποιηµένο σύστηµα που διαχειρίζεται ολόκληρη την συναλλαγή, συµπεριλαµβανοµένου της πιστοποίησης της πιστωτικής κάρτας. Για να αποτραπεί η κλοπή του αριθµού της πιστωτικής κάρτας, το πρωτόκολλο δεν δίνει ποτέ στον έµπορο απευθείας πρόσβαση στον αριθµό του πελάτη. Αντίθετα ειδοποιείται για το εάν ή όχι εγκρίθηκε η αγορά ΦΡΑΓΜΑΤΑ ΑΣΦΑΛΕΙΑΣ (FIREWALLS) Ένα από τα πιο βασικά εργαλεία για την ασφάλεια ενός δικτύου είναι το φράγµα ασφάλειας (firewall) 14. Το φράγµα ασφαλείας παρέχει ένα είδος άµυνας του εσωτερικό του δικτύου, π.χ. ενός LAN (Local Area Network ή Τοπικού ικτύου Η/Υ) από διάφορους εισβολείς που βρίσκονται στο εξωτερικό δίκτυο π.χ. το Internet. Το φράγµα ασφαλείας δρα ως ένα σύνορο ασφαλείας για τα δεδοµένα που µεταφέρονται από και προς το εσωτερικό δίκτυο. Για παράδειγµα µια πολιτική ασφαλείας ενός Firewall µπορεί να επιτρέπει όλη τη κίνηση που προέρχεται από το Web, να περνά από και προς το εσωτερικό προστατευόµενο δίκτυο, αλλά να µην επιτραπεί δεδοµένα από µια FTP (Υπηρεσία Μεταφοράς Αρχείων) ή Telnet υπηρεσία. Τα Firewall ταξινοµούνται ακολούθως: Φράγµατα ασφαλείας µε φιλτράρισµα πακέτων (Packet-filtering firewalls): Το είδος αυτού του φράγµατος ασφαλείας ελέγχει όλη την κίνηση που στέλνεται από ένα εξωτερικό δίκτυο στο εσωτερικό προστατευόµενο δίκτυο και απορρίπτει αυτόµατα, όποια πακέτα δεν επιτρέπονται, εξετάζοντας την διεύθυνση του αποστολέα, του παραλήπτη κ.ά. Πύλες επιπέδου εφαρµογής (Application-level gateways): Ένα πρόβληµα των φραγµάτων ασφαλείας µε φιλτράρισµα πακέτων (packet-filtering firewalls) είναι ότι ελέγχουν τις διευθύνσεις των πακέτων δεδοµένων που µεταδίδονται και όχι τα ίδια τα δεδοµένα. Το µειονέκτηµα αυτό έρχεται να καλύψει το δεύτερο είδος των φραγµάτων ασφαλείας. Μια πύλη επιπέδου εφαρµογής περιορίζει την πρόσβαση µόνο σε συγκεκριµένες υπηρεσίες. 14 Γεωργόπουλος Ν. κ.ά., Αθήνα (2001), Ηλεκτρονικό Επιχειρείν, Εκδόσεις ΜΠΕΝΟΥ 31