NBS 2009/01

Technika szyfrowania danych: Księga szyfrów czyli nauka skrywania tajemnic

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

nbs.2009.01.foto.47.a.150xZakupy w normalnym sklepie to niewielkie ryzyko, nawet, gdy coś okaże się nie tak, wiemy, gdzie wrócić i oczekujemy zawsze uczciwego potraktowania. Kiedy jednak handlujemy za pośrednictwem Internetu, sprawa nie przedstawia się tak prosto.

Rozkosze zakupów online mogą okazać się iluzoryczne. Skąd bowiem konsument ma wiedzieć (przed ujawnieniem danych ze swojej karty kredytowej), że firma jest godna zaufania i jest tą, za jaką się podaje? Jaka jest pewność, że owa firma pozostanie tam jutro? Z drugiej strony, skąd handlowiec ma wiedzieć, czy klient nie posługuje się danymi z karty skradzionej lub podrobionej? Czy obie strony transakcji mogą mieć pewność, że ich transakcja odbywa się poufnie, bez świadków, a ponadto bez nieuprawnionej ingerencji w czasie przesyłania danych poprzez sieć? A gdy sprawy się tak źle potoczą, to jakimi dowodami dysponują obie strony przy dochodzeniu swych roszczeń?

Strażnik w sieci

Zaufanie i bezpieczeństwo to dwa najważniejsze elementy każdej transakcji elektronicznej, które są również podawane jako największe bariery w rozwoju e-biznesu. Nie jest to dziwne jeżeli zważyć, że obie strony transakcji nigdy się nie spotykają, nie znają swoich miejsc pobytu, a tylko pragną zrobić interes; coraz częściej opiewający na znaczne kwoty. Najbardziej podstawową sprawą jest zapewnienie ochrony informacji przesyłanej poprzez sieć. Dlatego tak ważną rolę odgrywa w transakcjach elektronicznych szyfrowanie.

Atak w internecie może obejmować wykradanie i odgadywanie haseł, stosowanie systemu operacyjnego oraz aplikacji w rodzaju „furtek” lub pokonywanie pocedur uwierzytelniania użytkownika

Gdy więc dialog pomiędzy konsumentem i dostawcą zostanie już zabezpieczony, trzeba sprawdzić tożsamość obu stron, nim rozpoczną w dobrej wierze zawieranie transakcji handlowej. Każdy uczestnik transakcji pragnie ponadto mieć pewność, iż druga strona jest godna zaufania. Innym, często spotykanym problemem jest zapobieganie.uchylaniu się od zobowiązań, czyli niezaprzeczalność (non reputiation). W przypadku e-biznesu potrzebne są środki pozwalające nam udowodnić, kiedy i komu dany towar dostarczono.

Tajne szyfry używane były od dawna, aby zapewnić poufność informacji przesyłanej nie zabezpieczonymi kanałami, takimi jak publiczna sieć telekomunikacyjna. Niektóre z najwcześniej znanych szyfrów sięgają czasów starożytnych Egipcjan. W e-biznesie szyfrowanie (czym zajmuje się kryptografia) musi być silniejsze z uwagi na obecny rozwój kryptoanalizy, którą posługują się potencjalni intruzi, mający nieraz dostęp do dużych komputerów i wyspecjalizowanego oprogramowania.

Bezpośredni atak

Atakujący ma na celu zalogowanie się do aplikacji z zamiarem posługiwania się nią jak prawowity użytkownik, lecz w ukrytych zamiarach. Atak może obejmować wykradanie lub odgadywanie haseł, stosowanie systemu operacyjnego lub aplikacji w rodzaju „furtek” (niczego nie podejrzewający użytkownicy mogli ładować i używać programy zawierające „konia trojańskiego” wprowadzającego tego rodzaju „furtkę”, np. program Back Office (atakujący komputery PC) lub pokonywanie procedur uwierzytelniania użytkownika.

Dane przechwytuje się w czasie transmisji, a potem można użyć ich w celach kryminalnych. Urządzenia służące do podsłuchu w sieci LAN i WAN są już dostępne i mogą zostać użyte do tych nielegalnych celów. Dane modyfikuje się w czasie transmisji (np. po zakupie towaru za 1000 USD atakujący zmieni dane tak, iż wykaże kupno towaru za jedyne 10 USD). Atakujący może podawać się po prostu za uprawniony serwer (strona WWW o podobnym wskaźniku zasobów URL). Wyrafinowane narzędzia skanujące służą wówczas do systematycznego przeszukiwania naszego serwera w celu znalezienia słabych punktów systemu zabezpieczeń (np. SATAN). Wiele bardzo skutecznych narzędzi hakerskich moż...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI