Безопасно, как в онлайне
Недоверие на пути прогресса
"НЭ" не устает призывать своих
читателей к активному освоению современных
финансовых технологий. В частности, немало
теплых слов было сказано в адрес интернет-банкинга.
Сегодня через Интернет можно оплачивать
услуги коммунальных служб, интернет-провайдеров
и операторов сотовой связи, покупать
иностранную валюту (не уплачивая при этом
комиссионных), переводить средства с одного
счета на другой, оплачивать покупки в
интернет-магазинах. Человек, "вкусивший"
интернет-банкинг, уже не сможет без него
обходиться. Это как автомобиль или сотовый
телефон. Нет его - и вроде не надо. Но стоит
чуть попользоваться...
Почему же россияне без особой охоты
приобщаются к "благам цивилизации"?
Заметим, это относится даже не к россиянам
вообще, а к тем из них, кто уже вовсю
пользуется Интернетом. По последним
оценкам, в стране насчитывается около 5 млн
активных посетителей Сети, но банковские
операции через Интернет совершают не более
10 тыс. человек.
Специалисты практически единодушны в
объяснении главной причины этой "неохоты".
Хотя в принципе к интернет-банкингу
благосклонно относятся 50- 80% клиентов
банков, предлагающих подобную услугу,
большинство из них не уверены в
безопасности интернет-транзакций.
Провода надежней рук
Немного житейских аналогий. Общеизвестно:
из-за частых авиакатастроф многие боятся
летать на самолетах. Сколько людей ежегодно
гибнет из-за крушения самолетов? Несколько
сот. А вот жертвами автомобильных аварий
становятся 20-30 тыс. человек ежегодно! И
никому не приходит в голову отказываться от
автотранспорта.
Так и здесь: вероятность быть ограбленным в
подворотне намного выше, чем стать добычей
"электронных" воров при осуществлении
интернет-транзакций. Фактически
электронные платежи более безопасны, чем
традиционные способы передачи денег.
Просто людям трудно довериться технике -
"железу".
Вообще, проблема обусловлена тем, что
осуществлять банковские операции через
Интернет - значит передавать секретную
информацию по открытым каналам. Этой
открытостью могут воспользоваться "взломщики".
Следовательно, ключевой вопрос
безопасности интернет-банкинга -
шифрование потоков данных и подтверждение
авторства информации на всех этапах "сеанса"
связи.
"Для этой цели используются специальные
математические алгоритмы, которые
позволяют защитить электронные документы
от подделки, искажений и просмотра,
установить авторство документа и
обеспечить невозможность отказа от него",-
утверждает Сергей ПОТАПКИН, ведущий
эксперт по безопасности компьютерных
систем из компании R-Style Softlab.
Ключ от счета, где деньги лежат
Криптография - пожалуй, самая темная для
обычного пользователя интернет-банковская
тема. Тем не менее идея достаточно проста,
считает Вадим ПОЛЕЩИКОВ, руководитель
проекта mdmbank.com в "МММ-Банке". Для
шифрования передаваемых данных
используется некий ключ. Шифрация
происходите помощью симметричных
алгоритмов, т.е. закодировать и
восстановить данные можно с помощью одного
и того же "пароля". Проблема в том, что
для гарантии защиты зашифрованных данных
ключ должен быть известен только
отправителю и получателю. Задача - передать
этот пароль через открытые каналы связи.
Эту проблему решает широко
распространенный протокол SSL. Он использует
несимметричные алгоритмы шифрования, т.е.
зашифровать данные можно с помощью одного
ключа, а дешифровать - с помощью другого. Эти
ключи математически связаны друг с другом.
Идея в том, что один из участников обмена
информацией сначала вырабатывает свой
уникальный ключ, он называется "закрытым",
а на его базе "нотариус" или доверенное
лицо всех участников обмена информацией,
так называемый Центр сертификации, с
помощью специальных алгоритмов создает
другой ключ, называемый "открытым", или
сертификатом пользователя. С его помощью
невозможно восстановить закрытый ключ, но
вместе с тем информация, зашифрованная с
его помощью, может быть дешифрована с
использованием закрытого ключа. Закрытый
ключ клиент должен хранить в тайне, не
сообщая его никому, даже сотрудникам банка.
Открытый ключ может свободно
распространяться среди всех участников
обмена данными.
В результате обмен данными происходит
следующим образом.
Отправитель с помощью открытого ключа
партнера шифрует некий пароль, называемый
"сессионным ключом". Дешифровать
сессионный ключ может только владелец
соответствующего закрытого ключа. В
дальнейшем механизм обмена происходит
стандартным образом - стороны обмениваются
данными, зашифрованными с помощью только им
известного сессионного ключа.
Подпись длиною в тысячи знаков
Каким образом банк узнает, что это именно вы,
а не "взломщик", входите в систему и
совершаете операции? Каким образом банк
защищается от отказа со сторо-шенную им
сделку и наоборот? Для этого придуман
механизм так называемой электронно-цифровой
подписи опережают последовательность
ПСИХОЛОГИЮ знаков, формируемая путем
преобразования с помощью специальной
программы исходного электронного
документа. ЭЦП подтверждает подлинность,
целостность и авторство электронного
документа. Гражданский кодекс России
признает ЭЦП аналогом собственноручной
подписи (ст. 160, п. 2).
Вадим ПОЛЕЩИКОВ объясняет устройство
механизма электронно-цифрового "подписания":
"Для ЭЦЛ используется описаный выше
протокол SSL.
Подписывая документ, клиент формирует ЭЦЛ с
помощью только ему известного закрытого
ключа. При этом фиксируется так называемая
контрольная сумма документа,
представляющая собой нечто вроде
математического выражения исходного
набора знаков. Так что, если в тексте
переместится хотя бы одна запятая,
контрольная сумма тоже изменится. Исходный
документ передается получателю вместе с
ЭЦП.
Адресат вновь вычисляет контрольную сумму
документа и сравнивает ее с суммой, которую
он получил, дешифровав подпись с помощью
имеющегося у него открытого ключа. При
совпадении этих цифр документ считается
подписанным отправителем".
Зная открытую часть ключа вашей ЭЦП,
злоумышленник не сможет вычислить ее
закрытую часть, а значит, не сможет
осуществлять операции от вашего имени. Из-за
сложности алгоритма и большой длины ключа
(512, 268, 1024 бит), даже имея в своем
распоряжении самые мощные вычислительные
ресурсы, он должен будет потратить годы,
чтобы "вскрыть" подпись, то есть
получить закрытый ключ.
Дополнительным подтверждением того факта,
что именно вы являетесь владельцем счета в
банке, является способ подключения вашего
компьютера к банку через Интернет. Для
этого используется защищенное соединение,
в рамках которого вся информация
автоматически шифруется с помощью уже
упоминавшегося SSL-протокола. Подключиться,
таким образом, могут только
зарегистрированные интернет-клиенты, то
есть владельцы соответсвующих
сертификатов пользователей.
Брелок? Нет, лучше сейф
Обычно закрытый ключ ЭЦП интернет-клиента
хранится на дискете. Реже используются
специальные аппаратные устройства,
например, смарт-карты или устройства Touch Memory
(часто их называют "таблетками" и
используют в качестве ключей было, ни в коем
случае нельзя допустить, чтобы закрытый
ключ ЭЦП стала известен кому-либо, кроме вас.
Сергей ПОТАПКИН советует соблюдать
следующие правила:
- тщательно сохраняйте в тайне пароль и при
малейших подозрениях меняйте его,
связываясь со службой технической
поддержки банка;
- получив необходимые сведения с сервера
банка, полностью завершите сеанс связи
перед просмотром других сайтов. Лучше всего
закрыть окно браузера для удаления из
памяти всякой конфиденциальной информации;
- сотрудникам банка ваш пароль никогда не
понадобится, поэтому не отвечайте на
запросы якобы из банка (например, по
электронной почте) с просьбой сообщить ваш
пароль;
- не оставляйте компьютер без присмотра во
время сеанса связи с банком. По окончании
работы закрывайте окно браузера:
- храните дискеты с ключами в месте,
недоступном для посторонних (например, в
сейфе). Не переписывайте файлы секретных
ключей на жесткие диски.
Петр Михеев
Новая экономика
|
|
