Рост электронной коммерции тормозится отсутствием стандартов на цифровые сертификаты
Многие корпорации хотели бы использовать Internet для того, чтобы напрямую предлагать и продавать свою продукцию заказчикам, уменьшить оборот бумажных документов и ускорить процесс оформления заказов.
Однако потенциальных пользователей беспокоят проблемы пиратства и сохранения тайны в Internet. Их пугает, что хакеры могут украсть информацию о кредитной карточке и начать тратить чужие деньги. Именно поэтому встает вопрос о цифровых сертификатах.
Интерес к заказу продукции электронным путем, или, другими словами, электронной коммерции, начал расти с тех пор, как стала развиваться Internet.
В настоящее время лишь небольшое число организаций (по некоторым данным, менее 5%) использует кредитные карточки при осуществлении электронных транзакций. По-видимому, это число не будет увеличиваться до тех пор, пока поставщики не предложат безопасных механизмов оформления заказов.
Зная об опасениях пользователей, разработчики систем безопасности приступили к созданию спецификаций и продуктов, которые укрепят слабые места электронных транзакций.
Простейшие стандарты уже поддерживаются существующими продуктами. Примером может служить протокол SSL (Secure Sockets Layer) 3.0 - спецификация, созданная группой Internet Engineering Task Force (целевая группа инженерной поддержки Internet) и обеспечивающая шифрование потока информации между клиентской и серверной системами. Корпорация Netscape Communications включила поддержку SSL 3.0 в свой Netscape Navigator, его также поддерживает и Microsoft Internet Explorer.
Другая спецификация под названием S/MIME (Secure Multipurpose Internet Mail Extension - многоцелевое расширение для безопасности почты в Internet) добавляет функции защиты к сессиям передачи электронной почты. Поставщики систем безопасности, разработчики браузеров и поставщики ПО для электронной почты начинают включать поддержку этой технологии в свои продукты. Например, Netscape планирует обеспечить поддержку S/MIME в своих браузерах к концу текущего года.
Такие стандарты, как SSL и S/MIME, обеспечивают аутентификацию приложений, но не всей компьютерной системы. Поэтому теоретически хакер все же может украсть имя и пароль пользователя, чтобы затем получить доступ к приложениям.
Цифровые сертификаты, программные элементы, сообщающие одному приложению информацию о другом, обеспечивают более высокий уровень аутентификации. В этом случае само приложение имеет уникальный идентификатор, который проверяется каждый раз, когда пользователь пытается связаться с Web-сервером.
Хакер по-прежнему может украсть имя и пароль пользователя, но без сертификата ему не удастся получить доступ к серверному приложению. По словам Майкла Сент-Джонса, разработчика сетей в корпорации @/HomeNet (Редвуд-Сити, шт. Калифорния), поставляющей системы безопасности для Web, большинство ведущих компаний отрасли согласны с тем, что цифровые сертификаты - это хорошая идея, однако, прежде чем такие сертификаты смогут хорошо работать с Web-приложениями, для них должны быть выработаны стандарты.
Различные организации по-разному подходят к этой проблеме. Internet Engineering Task Force сыграла главную роль в разработке SSL и S/MIME. Международная организация по стандартизации (International Standards Organization) предложила спецификацию Х.509 для цифровых сертификатов, которая служит для связи со стандартом на службы каталогов Х.500, ранее предложенным ISO.
Почтовое агентство США начало работу над спецификациями безопасности по передаче информации в госучреждения, например Налоговую службу. А Министерство обороны США, в свою очередь, приступило к созданию спецификаций на передачу секретной информации.
Более года назад ведущие ассоциации, выпускающие кредитные карточки, решили взять вопросы секретности и пиратства в Internet в свои руки. Объединив усилия, что невозможно было себе представить всего несколько лет назад, фирмы Visa International и MasterCard приступили к созданию спецификации SET (Secure Electronic Transaction - безопасная электронная транзакция). Большинство ведущих производителей ПО, включая IBM, Microsoft и Netscape, а также такие недавно появившиеся на рынке электронной коммерции компании, как фирма CyberCash и корпорация VeriFone, присоединились к ним.
В частности, MasterCard и IBM совместно осуществили несколько пилотных проектов (в Бельгии и в ряде мест в Японии), в которых испытывалась совместимость SET с финансовыми транзакциями, смарт-картами и всем чем угодно.
SET включает в себя три крупные ступени: одна регулирует обмен информации между покупателем и продавцом, вторая - между продавцом и ассоциацией по выпуску кредитных карточек, третья - между ассоциацией и финансовыми структурами. Например, в начале лета IBM должна выпустить комплект шлюзов для дополнения существующих банковских приложений поддержкой SET. В свою очередь, CyberCash встраивает поддержку SET в свою программу “электронного бумажника”, работающую на ПК пользователя.
Впрочем, масштабным проектам SET еще предстоит оправдать себя на американской почве. Хотя окончательный вариант спецификации SET 1.0 должен появиться в середине лета, ни один из банков США не испытал все три ее составные части. Дальше всех в этом направлении пошел Wells Fargo Bank в Сан-Франциско. Зимой были проведены совместные испытания с участием банка, ассоциации, выпускающей пластиковые карточки, и продавцов. Однако эксперимент проводился без участия потребителей.
Несмотря на то что стандарты еще находятся в стадии разработки, поставщики уже приступили к выпуску цифровых сертификатов для корпоративного рынка. Например, по данным журнала Ford, фирма VeriSign предлагает несколько сертификатов с различными степенями авторизации по цене от $25 до $300 в расчете на одного пользователя.
Поскольку цифровые сертификаты - вещь новая, предлагаемые сейчас поставщиками продукты на один-два шага опережают возникающие спецификации. Майкл Сент-Джонс из @/HomeNet подчеркивает, что в случаях, когда поставщики ПО уже добавили нестандартизованные расширения к своим продуктам, главной заботой пользователей должна стать совместимость. Он предсказывает, что широкое распространение из растущего списка продуктов и стандартов получат лишь немногие.
Как бы то ни было, никаких признаков снижения темпов развития в этой области пока не видно. “Отрасль нуждается в скорейшем принятии стандартов на электронные идентификаторы, - сказал Сент-Джонс. - Пользователи быстро переходят к работе в Internet, и им нужна безопасность электронных транзакций”.
Пол Корженевски, Джим Керстеттер