Sunteți pe pagina 1din 26

1.

ASPECTE GENERALE LEGATE DE COMER UL ELECTRONIC

ranzac iile de afaceri folosind telefonul, card -ul bancar, ghi eele automate de banc (ATM), fax-ul reprezint toate ni te precursori ai comer ului electronic de azi. Abia n anii 70 a aparut cu adev rat ecommerce-ul, odat cu implementarea conceptului de EDI (Electronic Data Interchange). Cu ajutorul EDI tranzac iile de afaceri se desf urau pe re ele, ntre calculatoare, reducnd necesitatea folosirii hrtiei s au prezen ei umane. Acest concept a fost dezvoltat tocmai pentru a facilita comunicarea ntre marile companii i furnizorii acestora, pentru schimbul electronic de ordine de cump rare, facturi pro forme, pl i sau servicii, toate de-a lungul unor re ele private numite i i re ele cu valoare ad ugat .

Datorit faptului c EDI era accesibil doar unei anumite categorii de companii i dezvoltarea acestuia a fost limitat . Lucrurile au luat o turnur diferit odat cu apari ia Internetului ce a revolu ionat c onceptul de e-commerce. Prin multiplele facilit i pe care Internetul le prezint amintim accesul u or i ieftin la informa ii, comunicarea eficient a persoanelor aflate n diferite locuri ale globului. Tot mai multe companii au realizat ca pot folosi Int ernetul pentru dezvoltarea afacerilor, prin plasarea de informa ii utile despre produse le comercializate pe paginile web, posibilitatea comand rii acestora ct i achitarea lor prin multiple instrumente de plat , ntregul proces fiind mult mai simplu i ma i lipsit de costuri. n ziua de ast zi e-commerce a cunoscut o evolu ie extraordinar , tot mai multi oameni utilizeaz acest sistem fie pentru achizi ionarea biletelor de avion, produselor electronice, haine sau chiar mncare. De i acest sistem se bucur de un succes uria att din partea companiilor ct i a clien ilor de pretutindeni, exist nc firme care nu doresc sa ofere servicii de comer online rezumndu -se la realizarea unei pagini Web1. Cea mai mare problem care se ridic atunci cnd vine vorba de sisteme de comer electronic este siguran a tranzac iilor comerciale pe Internet. Securitatea informa iei are o importan deosebit pentru companiile care vor s implementeze afaceri electronice. Principala problem referitoare la securitatea acestora este c ns i natura informa iei mpreun cu mediul de creare, dezvoltare, stocare i transmisie - calculatoarele, re elele de comunica ii i n mod special Internetul, care este prin concep ie un mediu deschis i nesecurizat - sunt foarte greu de controlat. n ziua de ast zi este foarte u or s creezi, s modifici i s transmi i informa ia.
1.1. Definirea comer ul electronic

omer ul electronic reprezint multitudinea proceselor software i comerciale necesare proceselor de afaceri s func ioneze, numai sau n primul rnd, utiliznd fluxuri digitale de date. Comer ul electronic presupune utilizarea Internetului, a comunica iilo r digitale i a aplica ii software n cadrul proceselor de vnzare/cump rare, el fiind o component a procesului de e business.

WEB = n engleza cuvntul nseamn re ea

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

Comertul electronic este una dintre consecin ele dezvolt rii explozive a internetului i a tehnicii. Comer ul electronic sau e-commerce cunoa te o serie de de defini ii, fiind un concept foarte complex: 2  defini ia extensiv : comer ul electronic este ansamblul schimburilor de informa ii, opera ii i tranzac ii prin re ea i care afecteaz sfera afacerilor. n aceast defini ie sunt integrate att schimburile de informa ii, ct i publicitatea i tranzac iile comerciale; sunt cuprinse de asemenea rela iile dintre ntreprinderi -clien i, rela iile administrative, rela iile interne unei ntreprinderi.  defini ie selectiv : comer ul electronic reprezint utilizarea de c tre o ntreprindere, a informaticii ascociat cu re elele de telecomunica ii, pentru a interac iona cu mediul.  defini ie restrictiv : comer ul electronic reprezint ansamblul rela iilor comerciale ntre utilizatorii re elei de Internet. Comer ul electronic n concep ia Organizatiei Economice de Cooperare i Dezvoltare (OECD)3, reprezint desf urarea unei afaceri prin intermediul re elei de Internet, vnzarea de bunuri i servicii avnd loc offline sau online. Comer electronic (EC) nseamn n accep iune tradi ioanal , utilizarea n re ele cu valoare ad ugat a unor aplica ii de tipul transferului electronic de documente (EDI), a comunica iilor fax, codurilor de bare, transferul de fi iere i a po tei elect ronice. E-business (afaceri electronice) nu se limiteaz la cump rarea i vnzarea de bunuri sau servicii, incluznd servirea cump r torilor, colaborarea cu partenerii de afaceri sau conducerea unei organiza ii prin mijloace electronice. E-business reprezint mai degrab o strategie n ceea ce prive te modul de a face afaceri, cea mai important component a sa fiind e-commerce (comer ul electronic). E-trade reprezinta utilizarea totalit ii mijloacelor electronice pentru participarea la o activitate de comer . E-marketplace este pia a virtual unde cump ratorii i vnz torii se ntlnesc pentru a schimb a produse, servicii sau informa ii. Termenul de comer electronic cuprinde o gam larg de tehnologii, cum ar fi:  EDI (Electronic Data Interchange);  mesageria X.400;  po ta electronic ;  Internet / WWW;  Intranet-ul re eaua intern a unei companii, organizat dup principiile Internet-ului;  Extranet-ul re eaua care func ioneaz dup modelul Internet -ului i care asigur schimbul electronic de info rma ii ntre colaboratorii companiei: furnizori, clien i, b nci. Comer ul electronic nu este limitat numai de Internet, el incluznd un num r important de aplica ii n sistem, cum ar fi: videotext (band ngust ), teleshoping (band larg ), mediu off -line (cataloage CD-ROM), re ele proprii ale corpora iilor etc.
Daniela G r iman, Dreptul i Informatica, Ed. All Beck, Bucure ti 2003, pag. 59, citat n M d lina Sauca, Infrac iuni privind comer ul electronic, Editura Mirton, Timi oara, 2005 3 OCDE = organiza ie interna ional a acelor na iuni dezvoltate care accept principiile democra iei reprezentative i a economiei de pia libere. Organiza ia i are originile n anul 1948, sub numele de Organisation for European Economic Co-operation (OEEC).
2

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

Pentru unele firme, comer electronic nseamn orice tranzac ie financiar care utilizeaz tehnologia informa iei. Pentru altele, no iunea de comer electronic acoper circuitul complet de vnz ri inclusiv marketingul i vnzarea propriu -zis . Mul i oameni consider comer ul electronic ca fiind orice tranzac ie comercial condus electronic pentru cump rarea unor produse cum ar fi c r i, CD -uri, bilete de c l torie i altele. Dar, comer ul electronic are, n sens larg, un impact mult mai profund asupra evolu iei afacerilor i cuprinde, n fapt, nu numai noile achizi ii comerciale ci i totalitatea activit ilor care sus in obiectivele de marketing ale unei firme i care pot include, spre exemplu, publicitate, vnz ri, pl i, activit i post -vnzare, servicii c tre clien i, etc. Comer ul electronic d posibilitatea firmelor s devin mai eficiente i mai flexibile n modul intern de func ionare, s conlucreze mai strns cu furnizorii i s devin mai atente fa de nevoile i a tept rile clien ilor. Permite companiilor s selecteze cei mai buni furnizori, indiferent de localizarea lor geografic i s vnd unei pie e globale.
1.2. Componentele comer ului electronic

istemele e-business se bazeaz pe arhitectura Web, care confer acestora o fiabilitate, scalabilitate i flexibilitate ridicate. Web-ul este implementat prin interconectarea mai multor re ele de calculatoare, aceasta oferind n principal informa ii i servicii utilizatorilor. O aplica ie Web este orice aplica ie care utilizeaz tehnologiile Web, incluznd navigatoare Web, servere Web i protocoale Internet 4. O aplica ie Web este o extensie dinamic a unui server Web. O aplica ie Web obi nuit se conecteaz la alte servere, cum ar fi baze de date sau sisteme bazate pe tranzac ii (figura 1 ).
Server de aplica ii

Navigator

Tranzac ii comerciale

Server Web

Baza de

Client

Re ea public /Internet
Server de pl i

Server

Figura 1: Arhitectura sistemelor de comer electronic Principalele elemente ale unui sistem de comer electronic sunt: serverele organiza iei care ofer servicii on -line accesibile prin Internet ; clien ii (persoane fizice sau juridice) care se conecteaz la server folosind diverse tipuri de dispozitive (de
4

Internet Protocol (IP) este o metod sau un protocol prin care datele sunt trimise de la un calculator la altul prin intermediu Internetului. Fiecare calculator (cunoscut ca HOST), pe internet are cel pu in o adres IP unic , care l identific ntre toate computerele de pe internet.

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

exemplu: calculatoare, telefoane mobile sau televiziunea interactiv ); tranzac iile raportate la bunurile i serviciile cump rate.
1.3. Tipuri de comer electronic

Datorit complexit ii conceptului de comer electronic exist multe tip uri de ecommerce (vezi figura 2) , acestea fiind prezentate succint mai jos. - Business-to-Business (B2B) - Modelul B2B este forma cea mai r spndit a comer ului electronic, aflat n continu dezvoltare i include tranzac ii electronice ntre organiza ii i tranzac ii de tip IOS (Inte rorganizational Information Systems). Tipurile de sisteme interorganiza ii (IOS) pot fi: interschimbarea electronic a datelor EDI prin VAN -uri (Value Added Network), transfer electronic de fonduri EFT (Electronic Funds Transfer), Extranet-uri conectate securizat prin Internet, formulare electronice, po ta electronic i formularele electronice, managementul lan ului de aprovizionare ; - Business-to-Consumer (B2C) - se refer la tranzac iile cu am nuntul c tre cump r tori individuali i se bucur de un real s ucces n ultima perioad . Acest model este asem n tor cu cel de B2B deoarece companiile pot realiza vnz ri cu am nuntul unor clien i sau en -gross unor companii. n momentul de fa sunt multe companii care sunt reprezentate n ambele modele de comer electronic, cum ar fi de exemplu Amazon, Dell Computers, Wal-Mart Online; - Consumer-to-Consumer (C2C) - model n care consumatorii vnd direct consumatorilor. Exemplu: persoane care vnd propriet i, case, ma ini ale lor, cei care folosesc www.classifield2000.com pentru vnz ri, reclama pe Internet/Intranet-ul companiei pentru serviciile proprii individului, vnz ri de cuno tin e, expertize, licita ii individuale. Exemple Ebay.com, Half.ro; - Guvern-to-Business (G2B) - Model de comer electronic n care o institu ie guvernamental cump r sau vinde bunuri, servicii sau informa ii de la persoanele juridice (e -licitatie.ro); - Mobile Commerce (M-commerce) reprezint o nou form de comer electronic care folose te dispozitive hardware inteligente, de mici dimeniusni, mobile (agende notebook, PDA, telefoane mobile) conectate la Internet (mobileinfo.com);

Figura 2: Modele de afaceri n comer ul electronic

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

1.4.

Avantajele comer ului electronic

Din pozi ia consumatorului, avantajele sunt legate de: 5  timp: consumatorul poate vizita mai multe magazine virtuale ntr-un timp foarte scurt (mult mai scurt dect timpul pe care l implic prezen a fizic a unei persoane ntr-un magazin real);  libertatea de a alege: datorit num rului mare de magazine pe care consumatorul le poate vizita, acesta va avea posibilitatea d e a alege un produs n func ie de un num r mult mai mare de op iuni (pre , data livr rii, culoare, etc.); Din punctul de vedere al operatorilor economici ce utilizeaz comer ul electronic, se disting urm toarele avantaje:  cre terea semnificativ a vitezei de comunicare, n special pentru comunica iile interna ionale: mai multe companii pot stabili o platform de colaborare, prin intermediul c reia s poat s conceap i s dezvolte diverse produse mpreun ;  nt rirea rela iilor cu furnizorii i clien ii: printr-un site Web, clien ii companiei vor fi pu i la curent cu ultimele produse ap rute, li se va oferi suport tehnic pentru produsele cump rate, putnd chiar s ofere sugestii pentru eventuale mbun t iri ale produselor, serviciilor etc.; pe un ele site-uri consumatoriii pot construi produsul pe care vor s l cumpere (culori, materiale, nscrisuri etc.);  existen a unei c i rapide i comode de furnizare a informa iilor despre companie: prin intermediul unor site -uri Web, a intraneturilor i a e xtraneturilor;  canale alternative de vnzare: desf urarea afacerilor prin intermediul unui astfel de site.

http://www.eccromania.ro/teme/comert-electronic/comert-electronic

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

2. SECURITATEA COMER ULUI ELECTRONIC

tt clien ii ct i firmele sunt foarte preocupate de diferitele incertitudini legate de comer ul electronic. Se constat lipsa de ncredere n ceea ce prive te securitatea datelor personale n timpul transferurilor n cadrul tranzac iilor electronice. Clien ii sunt nc nencrez tori, dar exper ii sunt de p rere c tranzac iile n comer ul electronic au un grad mai mare de siguran dect banalele cump r turi efectuate prin cardul de credit. Sistemele de plat reprezint inte pentru infractori datorit banilor care circul prin aceste sisteme. Deoarece serviciile prin Internet sunt furnizate printr-o re ea accesibil tuturor, infrastructura comer ului electronic trebuie s prezinte o deosebit siguran mpotriva atacurilor ntr -un mediu n care scurgerea informa iilor i modi ficarea mesajelor este un lucru frecvent.

O serie de probleme sunt n aten ia speciali tilor interesa i n dezvoltarea aplica iilor de comer Internet: - securitatea intern o serie de rapoarte subliniaz c cel putin 75% dintre infrac iunile de securitate sunt f cute de c tre persoane din interior, lucru valabil i n cazul c r ilor de credit i al fraudelor comerciale; - atacurile xterne continue atacurile hacker-ilor i mijloacele de protec ie se amplific reciproc, fiin vorba de uin adev rat proces f r sfr it; - cod mali ios incerc rile de a crea secven e de cod r u inten ionat vor continua, mai ales n contextul utiliz rii tot mai frecvente a limbajului Java; - atacurile la servicii se vor extinde, ncernd s ocoleasc mecanismele tot mai perfec ionate de confiden ialitate i integritate. M surile speciale de securitate n cazul comer ului electronic prin Internet, n care pl ile se fac cu carduri, sunt concentrate, n principal n dou direc ii: - asgiurarea securit ii tranzac iilor n comer ul electronic; - asigurarea securit ii pl ilor n comer ul electronic;
2.1. Securit tea tranzac iilor n comer ul electronic

Orice aplica ie care asigur protec ia tranzac iilor comerciale prin Internet trebuia s aib n vedere urm toarele cerin e fundamentale de securitate: - Confiden ialitatea (secretizarea) protejeaz con inu tul tranzac iilor mpotriva citirii lor neautorizate, de c tre alte persoane dect receptorii specifica i de emi tor. Obiectivul acestei protec ii l constituie fie prevenirea ascult rii i nregistr rii neautorizate a traficului de pe liniile de comunica ii, fie obstruc ionarea accesului la cutiile de e -mail. Pentru mpiedicarea unor astfel de atacuri se prefer criptarea mesajelor; - Autentificarea originii tranzac iilor permite receptorului unui mesaj s determine n mod sigur identificarea expeditorului. Este un serviciu foarte necesar ast zi, cnd este relativ u or s simulezi emiterea unor mesaje n numele unor al i utilizatori. Rezolvarea autentific rii se face prin semn tur digital ; - Integritatea datelor n re ea furnizeaz receptorului unei tranzac ii siguran a c mesajul primit este identic cu mesajul emis la origine. Acest serviciu protejeaz mpotriva unor atacuri care vizeaz modificarea
6

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

mesajelor aflate n tranzit prin re ea. De i cele dou servicii de autentificare i de integrare sunt prezentate ca servicii separate, ele sunt furnizate de obicei n tandem cu ajutorul sistemelor de rezumare i semn tur digital . mpiedicarea nerecunoa terea tranzac iei de c tre expeditor (nerepudierea) garanteaz integritatea i originea tranzac iilor din punctul de vedere al expeditorului, nu al destinatarului. Se mpiedic astfel ca expeditorul unei tranzac ii s nege trimiterea ei. Aplicarea selectiv a unor servicii : uneori este necesar acoperirea unei p r i a unei tranzac ii, de exemplu cea con innd num rul cartelei de credit a unui client. Pentru aceasta se pot folosi sisteme criptografice cu chei publice, pentru a anvelopa num rul c r ii de credit a clientului.

Pentru furnizarea unor servicii care s asigure cerin ele de securitate prezentate, au fost propuse mai multe protocoale criptografice. Dac majoritatea acestor protocoale sunt similare n ceea ce prive te serviciile oferite i algoritmi criptografici folosi i, ele difer prin maniera de furnizare a serviciilor i prin situarea lor n raport cu ierarhia de protocoale TCP/IP. O serie de ini iative ncearc implemnetarea securit ii la nivel de IP, altele peste TCP la nivel de sesiune, altele ncearc extinderea unor protocoale la nivel de aplica ie (Ftp, HTTP, Telnet, e -mail) cu facilit i suplimentare de securitate.
FTP HTTP SMTP SSL TCP AH ESP TCP IP HTTP SMTP
S-HTTP

FTP

PEM S/MIME MOSS TCP IP

SET FTP HTTP TCP IP

PGP SMTP

NIVEL DE RE EA

NIVEL SESIUNE

NIVEL APLICA IE

SECURIZAREA SEPARAT A DOCUMENTELOR

Figura 3: Solu ii de integrare a serviciilor de securitate n ierarhia de protocoale (Victor Valeriu Patriciu, Securitatea comer ului electronic, p. 30)
2.1.1. Criptografierea

riptografia computa ional ofer cele mai puternice solu ii pentru problemele care privesc securitatea informatic a acestui mediu n care ne preg tim s tr im n anii urm tori i care se cheam Cyberspace. Folosit mult vreme pentru asigurarea confiden ialit ii comunica iilor n domeniul militar i diplomatic, criptografia a cunoscut n ultimii 20 de ani progrese spectaculoase datorate aplica iilor sale n securitatea datelor ele ctronice. Scopul criptografiei este de a securiza informa ia stocat i transmis indiferent dac transmisia respectiv este monitorizat sau nu.

Cri t rafia reali eaz aceste servicii ri cri tare. sistemul cri t rafic mesajul este cri tat f l si cheie, la expedit r, i apoi este trimis pri re ea. a desti atar, mesajul criptat este decriptat tot cu o cheie, ob i du -se mesajul ori i al. Exist dou metode primare de criptare folosite ast zi: cri t rafia cu cheie ecret criptografia simetric ) i cea cu cheie ublic criptografia asimetric ). l i mi i i i i im i - cazul c rora cifrarea i descifrarea se fac cu aceea i cheie au avantajul vitezei la criptarea fi ierelor. Cei mai cunoscu i algoritmi criptografici cu cheie simetric sunt ES ata Encryption ES Advanced Encryption Standard) i I E International ata Standard), Encryption Algorithm). n figura sunt prezentate principiile cript rii simetric e.

ext clar

Fi ura 4: Criptare folosind algoritmi criptografici cu cheie simetric up cum se poate observa din figura de mai sus se folose te aceea i cheie K i  aceea i func ie de criptare , at t la emisia mesajului FK ) ct i la recep ia sa FK 1 ). Securitatea cript rii simetrice depinde de protec ia cheii; managementul acestora fiind un factor vital n asigurarea securit ii datelor, iar procesul de distribuire sigur a cheilor este foarte dificil. Al i mi i i i i li SA

Un moment important n evolu ia criptografiei moderne l -a constituit crearea, n anul 6, de c tre hitfield iffie i artin ellman, cercet tori la Universitatea Stanford din California, a unui principiu diferit de acela al cifr rii simetrice. Ei au pus bazele cri t rafiei asi etrice cu chei ublice . n locul unei singure chei secrete, criptografia asimetric folose te dou chei diferite, una pentru cifrare, alta pentru descifrare. eoarece este imposibil deducerea unei chei din cea lalt , una din chei este f cut public , fiind pus la ndemna oricui dore te s transmit un mesaj cifrat. oar destinatarul, care de ine cea de -a doua cheie, poate descifra i utiliza mesajul. ehnica cheilor publice poate fi folosit i pentru autentif icarea mesajelor prin semn tur digital , fapt care i -a sporit popularitatea.

    
R R C R C M R C R
E editor
FK ( M )

ext ci rat

ext ci rat

 FK 1(C )

(' &

#"

Cheie Secret com

esti

tar

  )

%$

) 

ext clar

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

Pentru asigurarea confiden ialit ii unui mesaj, acesta este cifrat cu cheia public a destinatarului, opera ie care poate fi f cut de orice persoan care poate accesa fi ierul cu chei publice. O dat cifrat, mesajul nu va mai putea fi descifrat dect de c tre destinatar, singurul care posed cheia secret (privat ), pereche a celei publice. n figura 5 sunt prezentate principiile cript rii simetrice.

Figura 5: Criptare folosind algoritmi criptografici cu cheie public Algoritmul criptografic cu cheie public , care se bucur de o foarte mare apreciere, att n mediul guvernamental ct i n cel comercial, fiind sus inut prin lucr ri i studii de comunitatea academic , este RSA (Rivest-Shamir-Adleman). Acesta este un sistem de cifrare exponen ial realizat de trei cercet tori, Rivest, Shamir i Adleman, de la Massachusetts Institute of Technology, i reprezint standardul "de facto" n domeniul confiden ialit ii cu chei publice i al semn turilor digitale. Sub diferite forme de implementare, prin programe sau dispozitive hardware speciale, RSA este ast zi recunoscut ca cea mai sigur metod de cifrare i autentificare disponibil comercial. RSA este bazat pe cvasi-imposibilitatea actual de a factoriza numere (ntregi) mari, n timp ce a g si numere prime mari este u or; func iile de criptare/decriptare sunt exponen iale, unde exponentul este cheia i calculele se fac n inelul claselor de resturi modulo n6. Criptarea mesajelor ofer confiden ialitate, dar acest lucru nu este suficient. n cazul unei transmisii sau recep ii trebuie s existe certitudinea c cel care a generat mesajul este o persoan autorizat , motiv care a dus la ad ugarea de noi propriet i cum ar fi integritatea i autentificarea, acestea fiind asigurate cu ajutorul semn turii digitale.
Semn tura digital

ezvoltarea comer ului electronic este subordonat existen ei unei garan ii de securitate a transmisiilor de date i a pl ilor electronice. Gra ie unui sistem de codificare, aplicat mesajului transmis, semn tura electronic constituie un r spuns la aceast problem , garantnd att autenticitatea i integritatea datelor, ct i identificarea semnatarului. Semn tura digital , ca modalitate a semn turii electronice, garanteaz identitatea, autenticitatea i
6

Schneier, B. Applied Cryptography, John Wiley&Sons, 1996

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

integritatea p r ilo r implicate n contract. Semn tura digital reprezint un atribut al unui utilizator, fiind folosit pentru recunoa terea acestuia, i se bazeaz pe sisteme criptografice cu chei publice. Pentru semnarea digital a datelor, acestea sunt prelucrate astfe l:

Figura 6: Semnarea unui document electronic documentul M este cifrat cu cheia privat a emi torului, care astfel semneaz ; n exemplu de mai sus este vorba despre utilizatorul Dan, care furnizeaz , prin intermediul unui card, cheia sa secret , PRIVDan i folose te un algoritm cu chei publice cunoscut, cum este RSA (Rivest-Shamir-Adleman); documentul este transmis la receptor; receptorul verific semn tura prin decriptarea documentului cu cheia public a emi torului.

Semn turile digitale au dou propriet i importante: permit identificarea emitentului unui mesaj electronic i a oric ror modific ri aduse mesajului original. Aceste propriet i fac ca semn turile digitale s aibe un rol important la securizarea comer ului electronic deoarece ajut la: - demonstrarea autenticit ii unei tranzac ii electronice pentru a preveni falsurile; - confirmarea identit ii unei persoane; - asigur dovada transmisiei i recep ion rii tranzac iilor pentru a preveni repudierea mesajelor. Pentru a utiliza n practic semn turile digitale, trebuiesc utilizate o gam complex de tehnologii, standarde i practici, cunoscute sub numele de infrastructuri cu chei publice (PKI).
2.1.2. Securitatea la nivel de IP

ecuritatea la nivelul IPului adreseaz mecanismele implementate la nivelul protocolului re ea IP, pentru a asigura integritatea, autentifi carea i confiden ialitatea datelor n timpul transmiterii lor prin mediul deschis
10

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

al Internetului. Obiectivele principale ale recentelor eforturi n acest domeniu, n principal apar innd membrilor grupului de lucru pentru securitatea IP (IPSec) din cadrul IEFT7, au urm rit cre terea robuste ei mecanismelor de securitate bazate pe criptografie la nivelul IP, pentru utilizatorii ce doresc securitate. Multe dintre aplica iilor existente furnizeaz servicii de securitate la nivelul transport (clien ii WEB care folosesc protocolul SSL) ce urmeaz a fi studiat n partea urm toare a referatului. Spre deosebire de acestea, includerea serviciilor de securitate la nivelul re ea permite sistemului s furnizeze aceste servicii n mod generic tuturor aplica iilor, chiar i celor ce nu sunt con tiente de existen a securit ii. De-a lungul ultimilor ani, grupul de lucru de IPSec din cadrul IEFT a nregistrat mari progrese n ad ugarea de tehnici de securitate criptografice la standardele pentru infrastructura Internetului. Arhitectura de securitate specific pentru IP furnizeaz servicii de securitate ce suport combina ii de autentificare, integritate, controlul accesului i confiden ialitate. Standardul pentru Arhitectura de Securitate IP, descris n RFC 2401, prezint mecanismele de securitate pentru IP versiunea4 (IPv4) i p entru IP versiunea 6 (IPv6). La ora actual exist dou tipuri de antete (header-e) ce pot fi ata ate la un pachet IP pentru realizarea securit ii. Acestea sunt: - Antetul de autentificare AA (Authentication Header) care furnizeaz servicii de integritate i autentificare; - nveli ul de securitate IS (Encapsulating Security Payload) care furnizeaz confiden ialitate i, n func ie de algoritmi i de modurile folosite, poate furniza de asemenea, integritate i autentificare. Cele dou antete, respecti v mecanisme de securitate, pot fi folosite independent unul de cel lalt sau combinate.
2.1.3. Securitatea la nivel de transport (SSL i TLS)

n prezent, securitatea telecomunica iei dintre calculatorul personal al cump r torului i serverul de g zduire al sitelui comerciantului, precum i aceea dintre acest server i procesatorul acceptatorului se realizeaz prin protocolul SSL sau prin succesorul acestuia, TLS. Ambele protocoale asigur toate elementele fundamentale ale unei transmisiuni sigure: criptarea mesajelor care asigur confiden ialitatea, verificarea integrit ii con inutului mesajului i autentificarea entit ilor de la ambele capete ale transmisiunii. Protocolul SSL (Secure Sockets Layer), ajuns ast zi la versiunea 3.0, a fost proiectat de compania american Netscape Communications n anul 1995 i s -a r spndit n lumea ntreag , fiind instalat n toate navigatoarele importante (Internet Explorer i Netscape) i n toate serverele de g zduire de situri i devenind un standard de facto al securit ii telecomunica iilor pe Internet . Acest protocol
IETF, prescurtare de la Internet Engineering Task Force, este o comunitate deschis de arhitec i de re ele, operatori, comercian i i cercet tori ale c rei puncte de interes sunt evolu ia arhitecturii Internet i functionarea coerent a Internetului.
7

11

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

implementeaz autentificarea att la nivelul server -ului ct i al clientului. Este un protocol independent de aplica ie, permi nd protocoalelor de pe nivelul superior (de exemplu HTTP, FTP, TELNET etc.) transparen total n ceea ce prive te securizarea canalului de comunica ie. nainte ca datele s fie trimise c tre aplica ia de nivel nalt, SSL negociaz cheile de criptare i autentific serverul. n procesul de cunoa tere reciproc (cunoscut n englez sub numele de Handshake), protocolul SSL poate trece prin dou etape autentificarea serverului i op ional a clientului. Protoclului urmeaz urm toarele ac iuni (figura 7): - serverul r spunde clientului trimi nd certificatul i cifrul s u preferat; - clientul genereaz o cheie primar , pe care o cripteaz cu o cheie public primar de la server i o trimite server-ului; - server-ul recupereaz cheia primar i autentific clientul, trimi nd un mesaj criptat cu cheia primar ; datele urm toare sunt criptate cu chei derivate din cheia primar ; - n faza a doua, serverul trimite o interogare clientului; - clientul autentific server-ul, returnnd interogarea, care va con ine semn tura digital i certificatul public al cheii clientului.

Hello (transmis de client) Certificat Cheie Client Verificare certifcat Schimbare parametri criptografici y Terminare
y y y y

y Hello (transmis de Server) y Certificat (op ional) y Cerere certifcat (op ional) y Cheie server y Schimbare parametri criptografici y Terminare

Datele aplica iei

Datele aplica iei

Figura 7: Stabilirea conexiunii SSL (Victor Valeriu Patriciu, Securitatea comer ului electronic, pag. 67) Protocolul TLS (Transport Layer Security) a fost elaborat de IETF (Internet Engineering Task Force), organiza ia de standardizare a Internetului, pe baza SSL 3.0 i reprezint o mbun t ire a acestuia n mai mu lte privin e. Este de a teptat ca aceasta s se substituie treptat protocolului SSL.
2.1.4. Securitatea la nivel de aplica ie

aralel cu protocoalele la nivel de sesiune s-au f cut o serie de eforturi pentru securizarea aplica iilor standard Internet. Din acest punct de vedere, comer ul electronic este inetesat n special de dou dintre acestea: mesageria (po ta) electronic i World Wide Web. Aplica iile de
12

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

mesagerie electronic , incluznd aici programele pentru po ta electronic i aplica iile cu capabilit i de transfer de mesaje sunt un bun exemplu de clas de aplica ii ale c ror necesit i de securitate nu pot fi acoperite d oar prin m surile de securitate ale re elei. Vulnerabilitatea po tei electronice din punct de vedere al securit ii , datorat mediului nesigur pe care mesajele l tranziteaz n drumul lor de la expeditor la destinatar, reprezint una din probleme actua le ale comunica iei n re elele de calculatoare. n ultimii ani s-au g sit o serie de solu ii la aceast problem , unele din ele fiind deja adoptate ca standarde, altele fiind nc subiectul unor ample dezbateri.
Securitatea la nivel de mesagerie electr onic a) Standardul PEM

copul proiectului PEM (Privacy Enhanced Mail) l constituie asigurarea securit ii transmisiilor ntre utilizatorii po tei electronice din Internet. Eforturile au nceput n 1985 n cadrul comisiei PSRG (Privacy and Security Research Group), sub auspiciile consiliului IAB (Internet Architecture Board). Rezultatele cercet rii s-au concretizat n RFC-urile (Request for Coment) 1421-1424 care constituie propuneri de standarde Internet. Aceste RFC -uri sunt produsul grupului de lucru PEM din interiorul IEFT (Internet Engineering and Task Force), care face parte din IAB. Standardul PEM ofer o varietate de servicii de securitate pentru utilizatorii po tei electronice:  Confiden ialitatea protejeaz con inutul mesajelor mpotriva citirii lor neautorizate, de c tre alte persoane dect receptorii specifica i de emi tor. Obiectivul acestei protec ii l constituie fie ascultarea i nregistrarea neautorizat a traficului de pe liniile de comun ica ii, fie posibilitatea accesului la cutiile de scrisori, care sunt de fapt ni te fi iere disc; mpotriva unor astfel de atacuri se prefer secretizarea (criptarea) mesajelor.  Autentificarea originii mesajelor permite receptorului unui mesaj prin po ta electronic s determine n mod sigur identitatea emi torului scrisorii. Este un serviciu de securitatea foarte necesar ast zi, cnd n sistemele de po t electronic este relativ u or s for ezi emiterea unor scrisori n numele unor al i utilizatori. Acest lucru creeaz mari semne de ntrebare asupra credibilit ii mesajelor primite pin po t .  Integritatea leg turii n re ea furnizeaz receptorului c mesajul primit este identic cu mesajul emis la origine. Acest serviciu protejeaz mpotriva unor atacuri care vizeaz modificarea mesajelor aflate n tranzit prin re ea. S observ m c , de i cele dou servicii de autentificare i de integritate au fost descrise separat, ele sunt furnizate de obicei n tandem.  mpiedicarea nerecunoa terii mesajului de c tre expeditor (nerepudierea mesajelor) garanteaz integritatea i originea datelor din punctul de vedere expeditorului, nu al destinatarului. Se mpiedic astfel ca expeditorul unui mesaj de po t electronic s nege transmiterea scrisorii. De asemenea, se permite scrisorilor s fie transmise mai departe la al i destinatari, care s poat verifica identitatea originii (nu numai a intermediarului) mesajului. La recep ie, se poate verifica c mesajul nu a fost alterat, inclusiv (ulterior) de
13

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

c tre emi torul s u autentic. O utilizare foarte important a acestui serviciu este n comer , cnd trebuie transmise prin e -mail ordine de comand sigure, care s fie apoi confirmate i a c ror recep ie s poat fi dovedit . b) PGP erin ele de securitate n po ta electronic au condus la realizarea mai multor pachete de programe destinate protec iei criptografice a scrisorilor trimise prin re ele. Dintre acestea, cel mai popular este PGP (Pretty Good Privacy) dezvoltat de Philip Zimmermann n S A. Acest pachet de programe a strnit serioase controverse, datorit r spndirii sale pe Internet i a folosirii lui n toat lumea, f r s se respecte drepturile de licen i de export, destul de rigide n privin a algoritmilor criptografici. Zimmerman a fost anchetat, n 1994, de o comisie federal , pentru acuza ia de nerespectare a legilor americane privind exportul de sisteme criptografice. FBI l-a nvinuit pe Zimmerman de punerea pe Internet a PGP ului, n arhive publice, ceea ce a condus la o r spndire necontrolabil a utiliz rii sale. PGP-ul este folosit ast zi de categorii de utilizatori diverse, de la simpli studen i i particulari pn la organiza ii na ionale, interna ionale i agen ii guvernamentale. PGP este un pachet de programe destinat protec iei po tei electronice i a fi ierelor, prin cifrare clasic i cu chei publice. Cu ajutorul s u se pot stabili modalit i sigure de comunica ie ntre persoane, nefiind necesar schimbarea prealabil a unor chei de cifrare. PGP include un sistem sigur de gestiune a cheilor, autentificarea datelor prin semn tur digital i compresia datelor. El func ioneaz pe diferite platforme: MS-DOS, NIX, VAX/VMS i altele. PGP satisface trei cerin e fundamentale: - caracterul privat al po tei electronice, ceea ce nseamn c doar destinatarul desemnat al scrisorii poate citi con inutul acesteia; - autentificarea emi torului; - autentificarea mesajelor.
c) Standardul MOSS-MIME

tandardul MIME (Multiporpose Internet Mail Extensions) define te formatul con inutului unui mesaj e-mail pe Internet, mesaj care poate avea orice format, nu numai cel de text. El const din dou p r i: corpul mesajului i header-e. Header-ele formeaz o colec ie de perechi cmp/valoare, structurate conform RFC 822, pe cnd corpul mesajului este structurat conform MIME. MOSS (MIME Object Security Services) se bazeaz , n cea mai mare parte, pe protocolul PEM, definit n RFC 1421. MOSS este un standard prin care se execut servicii de semn tur digital i criptare pentru obiecte MIME. Serviciile sunt oferite prin folosirea criptografiei cap t la cap t (end -to-end), ntre expeditor i destinatar, la nivel aplica ie. El este mult asem n tor standardului PEM descris anterior. Folosirea unui serviciu de semn tur digital MOSS presupune s se dispun de urm toarele componente: - datele pentru semnat; - cheia secret a expeditorului; Semn tura digital este creat prin aplicarea unei func ii hash asupra datelor ce se doresc a fi transmise i criptarea valorii ob inute cu cheia sec ret a expeditorului.
14

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

Serviciul de semn tur digital MOSS se aplic asupra corpului obiectului MIME. rm toarea secven de opera ii reprezint algoritmul de aplicare a unei semn turi digitale. a) corpul obiectului MIME trebuie adus n forma canonic , b) se genereaz semn tura digital i informa iile de control, c) se includ informa iile de control n tipurile corespunz toare din con inutul MIME; d) partea de informa ii de control i partea de date din corpul obiectului MIME include n tipul-con inut multipart/sign ed.
PEM VS. MOSS

cnd se folose te PEM, utilizatorul are nevoie de certificate pentru chei, MOSS nu folose te certificate; MOSS extinde formele numelui prin care utilizatorul i poate identifica cheia public , incluznd irul arbitrar, adresa de e -mail sau nume distincte; PEM suport doar mesaje e-mail bazate pe text, iar acestea trebuie s fie reprezentate ASCII; aceste restric ii nu sunt ntlnite la MOSS; PEM cere ca serviciile de criptare s se fac numai asupra corpurilor mesajului, care au fost semnate. Furnizarea separat a acestor servicii (ca la MOSS) face posibil aplicarea lor n orice ordine se dore te; MIME include opera ii de codificare pentru a se asigura transferul nemodificat al corpului obiectelor. PEM include aceste func ii, pe cnd M OSS nu le include; MOSS exclude managementul cheilor simetrice, bazndu -se doar pe existen a unor perechi de chei, cheie -secret /cheie-public ; MOSS cere ca toate datele ce se doresc semnate s fie reprezentate pe 7 bi i; PEM specific header-ul Content Domain care descrie tipul con inutului mesajului. MOSS include aceste informa ii n header -ul Content-Type; n MOSS, serviciul de management alcheilor este separat de serviciile de cripatare i semnare digital ; prin semnarea serviciilor de criptare i de semnare digital nu mai e nevoie de cmpul MIC-Info din header-ul asociat mesajului semnat.

Securitatea la nivel de aplica ie WEB Protocolul HTTP (S-HTTP)

TTP (HyperText Transfer Protocol) este protocolul folosit n comunca ia dintre clien ii i serverele WWW. Specifica ia ini ial a protocolului HHTP includea un suport destul de modest pentru securitate, care o dat cu extinderea folosirii acestuia s-a dovedit a fi insuficient. Grupul de lucru care se ocup de securitatea tranzac iilor Web (Web Transaction Security Work Group) din IETF a dezvoltat un set de cerin e i specifica ii pentru ad ugarea de servicii de securitate la tranzac iile ce folosesc protocolu l HTTP. Secure HTTP (S-HTTP) este exact ceea ce i numele lui sugereaz , adic o extensie cu capabilit i de securitate a protocolului HTTP. S -HTTP lucreaz la nivelul aplica iei i cripteaz mesajele dintre un client (de obicei un browser) i un server. S-HTTP este complet compatbil cu HTTP. S-HTTP poate realiza autentificarea att a clientului ct i a serverului, folosind semn turi digitale i poate
15

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

verifica integritatea datelor folosind MAC -uri (coduri de autentificare a mesajelor). Protocolul furnizeaz deci servicii de securitate pentru: - confiden ialitatea tranzac iilor; - integritatea datelor; - nerepudierea originii datelor.
2.1.5. Re ele private Vituale (VPN)

PN se poate defini ca fiind o re ea a unei companii care folose te ca infrastructur Internet-ul (sau o alt re ea public ) n locul unei re ele care este proprietatea companiei. Avantajele evidente sunt costul sc zut i aria larg de acoperire. Problema asigur rii securit ii este ns o problem deosebit de important . n compara ie cu o re ea privat tradi ional este de obicei administrat de societatea respectiv , iar traficul cu exteriorul este redus, motiv pentru care este considerat mai sigur . Acest serviciu este cea mai eficient cale de satisfacere a cerin elor clien ilor care au ntr-adevar nevoie de transmisii securizate de date, de capacitate ridicat i vitez mare. Serviciul permite realizarea unei re ele private n cadrul companiilor, ceea ce implic un risc minim din punct de vedere al securit ii transmisiilor. Suport viteze mari de transmisie date de pn la 34 Mb/s, folosind tehnologia radio de band larg . Se ofer astfel avantajul mobilit ii i al u urin ei n instalare i exploatare, ct i avantajul realiz rii de comunica ii folosind o l ime de band foarte mare. Traficul VPN poate fi transmis pe infrastructura public (ex: pe Intenet), folosind protocoale standard ( i deseori nesigure), sau peste re eaua unui provider de servicii de telecomunica ii care furnizeaz servicii VPN bine definite de SLA (Service Level Agreement) ntre consumatorul VPN i furnizorul de servicii VPN. VPN-urile securizate folosesc tuneluri criptate (principiul tuner rii) pentru a avea confiden ialitatea necesar , autentificarea p r ilor i integritatea mesajelor. Atunci cnd sunt corect alese, implementate i folosite, aceste tehnologii pot furniza comunica ii securizate peste re ele nesigure. Tehnologii pentru VPN-uri securizate pot fi folosite pentru mbun t irea securit ii sau ca p tur de securitate peste infrastructuri de re ea dedicate.
2.1.6. Securitatea prin firewall

tunci cnd o organiza ie i conecteaz re eaua privat la Internet, securitatea informa iilor devine una din principalele preocup ri. O prim barier de securitate pentru o firm care desf oar comer electronic pe Internet o reprezint controlul accesul ui dinspre re eaua proprie c tre Internet i viceversa. n literatura de specialitate, n diverse standarde au fost identificate o multitudine de defini ii ale conceptului. Cteva defini ii reprezentative ale conceptului de firewall sunt: - un firewall este un agent care ngr de te traficul de re ea ntr -un anumit mod, blocnd traficul pe care l consider nepotrivit i/sau periculos; - un firewall este un sistem sau un grup de sisteme care aplic o politic de control al accesului ntre dou re ele;
16

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

un firewall creeaz o barier prin care traficul, n fiecare direc ie, trebuie s treac . O politic de securitate a firewall-ului va decide care tip trafic este autorizat s treac n fiecare direc ie.

n firewall (zid de protec ie, perete antifoc) este un sistem de protec ie plasat ntre dou re ele care are urm toarele propriet i: - oblig tot traficul dintre cele dou re ele s treac prin el i numai prin el, pentru ambele sensuri de transmisie; - filtreaz traficul i permite trecerea doar a celui autorizat prin politica de securitate; - este el nsu i rezistent la ncerc rile de penetrare, ocolire, spagere exercitate de diver i. n firewall nu este un simplu ruter sau calculator care asigur securitatea unei re ele. El impune o politic de securitate, de control a accesului, de autentificare a clien ilor, de configurare a re elei. El protejeaz o re ea sigur din punct d e vedere al securit ii de o re ea nesigur , n care nu putem avea ncredere. Fiind dispus la intersec ia a dou re ele, un firewall poate fi folosit i pentru alte scopuri dct controlul accesului : - pentru monitorizarea comunica iilor dintre re eaua intern i cea extern (servicii folosite, volum de trafic, frecven a acces rii, distribu ia n timp de etc.); - pentru interceptarea i nregistrarea tuturor comunica i ilor dintre cele dou re ele; - pentru criptare n re ele virtuale.

Figura 8: Dispunerea unui sistem firewall (imagine disponibil la http://www.shop.marop.ro/index.php?cPath=1 )

17

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

2.2.

Securit tea pl

ilor n comer ul electronic

n sistem electronic de pl i se refer la totalitatea obiectelor care conlucreaz pentru asigurarea pl ii tranzac iilor ce se efectueaz . Sunt implicate, n general, trei entit i care interac ioneaz : o banca B, un cump r tor C i un vnz tor V. Sistemul electronic de pl i con ine i o mul ime de protocoale care permit cump r torului C s fac pl i c tre vnz torul V. Sistemele electronice de pl i pot fi privite ntr -o structur ierarhic pe nivele, derivate din arhitectura sistemelor ISO-OSI.
BANI ELECTRONICI BANI ELECTRONICI Emitent bani electronici

BANI REALI BANI

BANI REALI BANI ELECTRONICI

Emitent bani reali

Cump r tor cash cont

marf

servicii

Vnz tor

Figura 9: Arhitectura unui sistem electronic de pl i n domeniul mijloacelor electronice de plat , cercet rile sunt n plin desf urare. Exist numeroase sisteme n curs de experimentare, altele abia au fost cercetate i supuse analizei. Este normal ca pruden a i securitatea s fie cuvintele cheie ale acestor demersuri. Vom prezenta n continare cteva sisteme de pl i electronice mai cunoscute, grupate n patru categorii: - sisteme cu carduri bancare; - sisteme on-line: - microplati; - cecuri electronice.
2.2.1. Sisteme cu carduri bancare C r i ATM / C r i de debit: Aceste c r i sunt foarte utilizate n Europa i sunt cunoscute sub numele de EC cards. Avantajul major pe care l ofer comerciantului const n costurile semnificativ mai mici aferente tranzac iilor, n compara ie cu cele efectuate prin intermediul cecu rilor obi nuite.

18

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

C r i de cump r tor: Acestea au acela i rol ca i c r ile de credit firmele emit astfel de c r i de cump r tor pentru angaja ii lor n vederea cump r rii de produse i servicii din anumite domenii de afaceri. Volumul tranzac iilor derulate prin c r ile de cump r tor (80 miliarde de Euro n S A, n 2005) va determina transformarea acestui gen de tranzac ii n tranzac ii de tip B -2-B pe Internet. Cardurile inteligente (smart card) sunt populare n Europa Occidental i permit stocarea informa iilor suplimentare despre clien i n afar de p strarea banilor pe cipul cardului. Banii de pe card sunt salva i ntr -o forma criptat i sunt proteja i printr o parol . Pentru a pl ti este necesar introducerea acestuia ntr -un terminal hardware. Dispozitivul necesit o cheie special emis de banc pentru a se transfera banii n alt direc ie. Putem merge la banc , nc rca cardul i s pl tim prin Internet. Avantaje: securitate, simplitatea utiliz rii, efectuarea direct f r intermediari, costul sc zut al tranzac iilor( Mondex - Marea Britanie, Geld-Karte Germania). 2.2.2. Sisteme on-line ECash reprezint un exemplu de sistem electronic de pl i, care folose te po ta electronic sau Web-ul pentru implementarea unui concept de portofel virtual. A fost dezvoltat de c tre firma DigiCash Co. din Olanda, firm fondat de c tre celebrul cercet tor al sistemelor criptografice, David Chaum. Prima demonstra ie a sistemului a fost f cut n 1994 la prima Conferin WWW, printr -o leg tur Web ntre Geneva i Amsterdam. lterior a fost implementat de b nci din S A (Mark Twain Bank of Missouri), Finlanda i din alte ri. Este prima solu ie totalmente soft pentru pl ile electronice.

ECash reprezint un sistem de pl i complet anonim, ce folose te conturi numerice n b nci i tehnica semn turilor oarbe. Tranzac iile se desf oar ntre cump r tor i vnz tor, care trebuie s aib conturi la aceea i banc . Cump r torii trebuie s n tiin eze banca cu privire la faptul c doresc s transfere bani din conturile lor obi nuite n a a numitul cont eCash Mint. n orice moment, cump r torul poate interac iona de la distan , prin calculatorul s u, cu contul Mint i, folosind un client soft, poate retrage de aici fonduri pe discul calculatorului sau. Ca urmare, discul cump r torului devine un veritabil portofel electronic. Apoi, se pot executa pl i ntre persoane individuale sau c tre firme, prin intermediul acestor eCash.
NetCash reprezint un alt exemplu de sistem electronic de pl i de tip on -line. A fost elaborat la Information Science Institute de la niversity of Southern California. Cu toate c sistemul nu asigur anonimitatea total a pl ilor ca eCash (banii pot fi identifica i), NetCash ofer alte mijloace prin care s se asigure pl ilor un anumit grad de anonimitate. Sistemul se bazeaz pe mai multe servere de monede distribuite, la care se poate face schimbul unor cecuri electronice (inclusiv NetCheque) n moned electronic . Sistemul NetCash const din urm toarele entit i: cump r tori, vnz tori i servere de moned (SM). 2.2.3. Micropl i

Sub form de concept i proiecte experimentale, micro-pl ile se adreseaz nevoii existen ei unei scheme simple, ieftine, care s poat suporta economic pl i foarte mici, c iva dolari, cen i i chiar frac iuni de cen i.
19

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

MilliCent este un protocol simplu i sigur pentru comer ul electronic n Internet. A fost creat pentru a accepta tranzac ii comerciale n care sunt implicate costuri mai mici de un cent. Este un protocol bazat pe o validare descentralizat a banilor electronici pe serverele vnz torilor, f r comunica ii adi ionale, cript ri scumpe sau proces ri separate.

Cheia inova iei MilliCent este aceea de a introduce utilizarea brokerilor i a scrip urilor. Brokerii (cei care vnd scrip -uri) au ca sarcin managementul conturilor, factur ri, men inerea func ionalit ii conexiunilor i stabilirea de conturi cu vnz torii. Scrip-ul este moned digital , specific fiec rui vnz tor n parte. Vnz torii au sarcina de a valida local scrip -ul pentru a preveni furtul, cum ar fi de exemplu dubla cheltuire din partea clien ilor. Sistemul de micro-pl i CyberCoin poate realiza n Internet pl i de la sume mici de c iva cen i, pn la 10 $, acoperind astfel o zon n care sistemul ce utilizeaz c r ile de credit nu este economic. Vnz torii de pe Web ce vnd servicii i produse la pre uri foarte mici i doresc s livreze imediat respectiva marf , au nevoie de o metod de plat diferit de cartelele cu microprocesor, dar asem n tore cu plata cash ce se efectueaz i n magazine. Serviciul CyberCoin de la CyberCash a fost lansat n septembrie 1996, ca un prim sistem de micro -pl i n Internet. Consumatorii pot folosi conturile existente deja n b nci pentru a transfera valori n softul portofel electronic propriu. Alt posibilitate este de a nc rca fonduri direct de pe o carte de credit, printr-o tranzac ie obi nuit cu astfel de mijloace. n ambele cazuri, banii reali r mn n custodia b ncilor.
2.2.4. Cecuri electronice

Cecurile electronice au acelea i caracteristici ca i cecurile pe suport de hrtie. n forma lui cea mai simpl , acest sistem necesit completarea de c tre client a unui formular n cadrul magazinului electronic. Datele astfel furnizate vor fi transferate comerciantului, unde vor fi transpuse pe un cec obi nuit, prin listare l a imprimant pe formulare de cec necompletate. Dar, aceast modalitate de plat se afl nc n faz incipient . Cecurile electronice sunt create pentru a realiza pl i i alte func ii financiare ale cecurilor pe hrtie, prin utilizarea semn turilor digitale i a mesajelor criptate, pe suportul re elei Internet. Sistemul cecurilor electronice este proiectat pentru a asigura integritatea mesajelor, autenticitatea i nerepudierea propriet ii, toate condi ii suficiente pentru a preveni frauda din partea b ncilor sau a clien ilor lor. Cecurile electronice (e-cecurile) sunt bazate pe ideea c documentele electronice pot substitui hrtia, iar semn turile digitale cu chei publice pot substitui semn turile olografe. Prin urmare, e -cecurile pot nlocui cecurile pe hrtie, f r a fi nevoie s se creeze un nou instrument, nl turndu -se astfel problemele de legalitate, reglementare i practic comercial ce pot fi provocate de schimbarea i impunerea unui instrument de plat nou.

cre tere substan ial a securit ii tranzac iilor de plat se poate ob ine prin folosirea unor protocoale de autentificare al c ror rol este s autentifice
20

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

actorii principali ai tranzac iei ce are loc pe Internet: de in torul de card i cardul s u, comerciantul i acceptatorul acestuia i poarta de acces din Internet (gateway) c tre sistemul de pl i prin carduri. Aceast autentificare se face prin certificate de autenticitate, care necesit un sistem de chei publice (PKI, Public Key Infrastructure), fie prin alte metode, mai simple. Esen ial , r mne autentificarea de in torului de card, deoarece aici se afl sursa majorit ii fraudelor. Trei astfel de protocoale sunt ast zi n folosin protocolul SET proiectat n anul 1996 de Visa, MasterCard, IBM i al ii, protocolul 3-D Secure proiectat de Visa, i protocolul SecureCode proiectat MasterCard, ultimile dou n anul 2001. Cel care asigur securitatea maxim ntruct autentific pe to i actorii tranzac iei, este protocolul SET. Acesta este ns un protocol complicat, costisitor i dificil de implementat, motiv pentru care nu este r spndit, pare amenin at cu dispari ia..
a) Protocolul SET

n 1996, MasterCard i Visa au convenit s consolideze standardele lor de pl i electronice ntr-unul singur, numit SET (Secure Electronic Transaction). Protocolul SET i-a propus urm toarele obiective de securitate n e-Commerce: s asigure confiden ialitatea instruc iunilor de plat i a informa iilor de cerere care sunt transmise odat cu informa iile de plat ; s garanteze integritatea tuturor datelor transmise; s asigure autentificarea cump r torului precum i faptul c , acesta este utilizatorul legitim al unei m rci de card; s asigure autentificarea vnz torului precum i faptul c acesta accept tranzac ii cu carduri prin rela ia sa cu o institu ie financiar achizitoare; s foloseasc cele mai bune metode de securitate pentru a proteja p r ile antrenate n comer ; s fie un protocol care s nu depind de mecanismele de securitate ale transportului i care s nu mpiedice folosirea acestora; s faciliteze i s ncurajeze interoperabilitatea dintre furnizorii de soft i cei de re ea. Criptografia n SET - Pentru a asigura securitatea pl ilor, SET folose te perechi de chei RSA pentru a crea semn turi digitale pentru secretizare. Prin urmare, fiecare participant n procesul de tranzac ionare posed dou perechi de chei asimetrice: o pereche de chei de schimb folosit n criptare i decriptare i o pereche de semn tur , pentru crearea i verificarea semn turii digitale. De men ionat faptul c rolul cheilor de semn tur este inversat n procesul de semnare digital unde cheia privat este folosit pentru criptare (semnare), iar cea public este folosit pentru decriptare (verificare a semn turii).
b) Protocolul 3-D Secure

Dintre celelalte dou , mai simple i mai u or de implementat, protocolul 3 -D Secure tinde s devin un standard de facto, fiind acceptat i de MasterCard i de JCB. Protocolul de autentificare 3 -D Secure este prezentat de Visa sub marca Verified by Visa(VbV), prezent pe siturile comercian ilor ai c ror acceptatori au aderat la protocol. MasterCard ofer ns , sub marca proprie de SecureCode un num r de trei protocoale de autentificare distincte, la alegere pentru acceptatori: protocolul SPA/ CAF (primul care a purtat marca), protocolul CAP derivat din primul i implementarea proprie a protocolului 3 -D Secure.
21

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

Spre deosebire de SET, protocoalele 3 -D Secure i SPA/ CAF nu mai impun certificate de autenticitate pentru toate p r ile, ceea ce reprezint o simplificare major . Autentificarea de in torului de card se face n timpul tranzac iei, de c tre emitentul acestuia, numai pe baza numelui i a unui cuvnt de control (password) sau PIN (sau prin alte metode, la alegerea emitentului), certificatul de aut enticitate al cump r torului nemaifiind strict necesar. Protocolul SET 8folose te certificate de autenticitate i genereaz diverse chei pentru de in torul de card, pentru comerciant i pentru poarta de acces (gateway) la sistemul de pl i prin carduri. Poarta de acces se afl la nivelul acceptatorului, care are legatur cu si stemul de pl i prin carduri, i reprezint punctul de acces din Internet c tre acceptator i, mai departe, c tre sistemul de carduri. Certificatele de autenticitate sunt generate de Autorit i de Certificare diferite, aflate ntr-o ierarhie, la vrful c reia se afl o autoritate r d cin , care apar ine consor iului SET, numit SETCo. Aceast r d cin va certifica Autorit ile de Certificare ale sistemelor de carduri (Visa, MasterCard), care, la rndul lor, vor certifica emiten ii i acceptatorii. Fiecare emitent va fi apoi Autoritatea de Certificare pentru de in torii lui de carduri i cardurile acestora, iar fiecare acceptator va fi Autoritatea de Certificare pentru comercian i i por ile lor de acces (de la serverul de g zduire la acceptator). n prima faz a tranzac iei, p r ile se autentific reciproc: de in torul de card cu comerciantul (op ional), de in torul de card cu poarta de acces (op ional), comerciantul cu de in torul de card (obligatoriu) i comerciantul cu poarta de acces (obligatoriu). n cea de a doua, i ultima faz are loc autorizarea tranzac iei, n care, n maniera descris deja, datele cardului ajung la acceptator, care formuleaz o cerere de autorizare c tre emitent, al c rui r spuns l trimite apoi c tre calculatorul de in torului de card, trecnd prin poarta de acces i serverul de g zduire a sitului comerciantului. Protocolul 3-D Secure este mai simplu i mai u or de implementat, bazat pe un model de sistem de securitate care cuprinde trei domenii 9. Scopul celor trei domenii este acela de a defini clar responsabilit ile p r ilor implicate n tranzac ie. Aceste domenii sunt: Domeniul Emitentului, care cuprinde de in torii de card i emiten ii cardurilor lor, Domeniul Acceptatorului, cuprinznd comercian ii i acceptatorii lor, i Domeniul de Interoperabilitate, care asigur comunicarea ntre emiten i, acceptatori i sistemul Visa. Protocolul asigur , la fiecare tranzac ie, autentificarea num rului de card, a de in torului de card i a comerciantului. n modelul celor trei domenii, 3-D, la tranzac ia de plat autentificat particip direct emitentul cardului, i comerciantul. n momentul n care cump r torul ini iaz plata, comerciantul (modulul de 3-D Secure din situl lui) va cere mai nti autentificarea num rului cardului, iar apo i va cere emitentului s - i autentifice de in torul de card. Dup ce va primi autentificarea semnat , va urma autorizarea normal a pl ii (trimite la emitent, prin sistem, o cerere de autorizare etc.). Comerciantul va ncepe deci ntotdeauna prin a cere e mitentului s - i autentifice mai nti cardul i de in torul de card.
8 9

www.setco.org accesat pe 24.05.2010 http://www.international.visa.com

22

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

De in torul de card trebuie s se nregistreze (enrollment) n sistem la emitentul s u i s - i declare cel pu in un nume i o parol , prin care emitentul s -l poat autentifica n momentul tranzac iei, trimi nd apoi comerciantului aceast autentificare. Protocolul las emitentului libertatea de a alege i alte metode de autentificare a de in torului de card, care s arate, n momentul efectu rii tranzac iei, c este de in torul legitim al cardului cu care se face plata. Emitentul poate astfel cere de in torului de card s dispun de un certificat propriu de autenticitate, s foloseasc un card inteligent ca depozitar sigur al identit ii (printr -un cititor cuplat la calculatorul personal) sau s foloseasc metodele de autentificare din propriile servicii bancare electronice (eBanking). zual ns , de in torul de card e autentificat de emitent doar prin nume i parol . Dup ce l autentific , emitentul va genera un r spuns semnat elect ronic (un certificat de autentificare a de in torului de card), pe care l trimite comerciantului, pentru a -i confirma autenticitatea de in torului de card, iar comerciantul va putea trece la faza de autorizare normal a tranzac iei. De in torul de card es te liber s - i instaleze i un portofel electronic, ePortofel (eWallet) care va con ine informa iile de identitate (nume, adres , parol etc.) i cele de card (tip card, num r card, data de expirare) ,care i poate servi la automatizarea procesului de completare a formularului de plat (form filling) i la p strarea chitan elor pentru tranzac iile efectuate. Emitentul dispune de un serviciu de nregistrare n sistemul 3 -D Secure a cardurilor i de in torilor de card (nregistrarea se poate face i pri n Internet), p strnd ntr-un server de nregistrare (Enrollment Server) numerele de card, precum i numele i parola de in torilor participan i. Emitentul mai dispune i de un server de control al accesului (ACS, Access Control Server), care are rolul de a primi autentificarea acestuia verificnd num rul de card, numele i parola (sau o alt metod ), i de a trimite napoi la comerciant r spunsul semnat. n domeniul de interoperabilitate, Visa (MasterCard, care a aderat la sistem) dispune de un Director (Directory Service), care este un server central pe Internet (ce dispune de un certificat de autenticitate), n care se p streaz numerele de card ale tuturor cardurilor nregistrate n sistemul 3 -D Secure (nscrise de emiten i), precum i adresele de Internet ( RL) ale serverelor de control al accesului (ACS) ale emiten ilor cardurilor nregistrate. n acest Director se p streaz i o arhiv a tuturor autentific rilor date de emiten i, pentru a servi rezolv rii unor eventuale dispute. n domeniul accepta torului, acceptatorii trebuie s dispun de o poart de acces (payment gateway) la sistemul de plat prin carduri Visa/MasterCard, iar comercian ii lor trebuie s - i instaleze, pe lng (sau n locul, dac i preia func iile) modulul client de eComer , i un modul de 3-D Secure care poart numele standard de MPI (Merchant Plug-In module), adic modul de comerciant 3-D Secure instalat n sit. Acest modul de comerciant 3-D Secure va genera c tre emitent, prin intermediul Directorului, cereri de autentificare a cardului i a cump r torului iar dup primirea r spunsului va trimite cererea de autorizare a tranzac iei c tre poarta de acces a acceptatorului (prin intermediul modulului client de eComer ), care, la rndul lui, o va trimite, mai departe, n sistemul d e carduri prin acceptator. n cursul acestei opera ii, modulul MPI al comerciantului se va autentifica fa de Director printr -un certificat de autenticitate sau, mai simplu, printr-o parol (password), iar Directorul va face acela i
23

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

lucru fa de comerciant. n felul acesta, la fiecare tranzac ie, are loc i o autentificare a comerciantului. Dup primirea r spunsului de autorizare, modulul comerciantului va trimite cump r torului o pagin cu un raport asupra efectu rii tranzac iei. n cazul n care tranzac ia este ini iat de un card nenregistrat n sistemul 3 -D Secure, comerciantul va putea s ri peste etapa de autentificare a cump r torului, trecnd direct la autorizare, sau va respinge tranzac ia, dup cum a ales acceptatorul. Protocolul 3-D Secure verific , esen ialmente, autenticitatea cardului i a de in torului de card i d astfel comerciantului ncrederea c va fi pl tit dup livrarea produselor comandate. n principiu, protocolul poate fi folosit i pe alte canale de plat : telefoane mobile, asist en i digitali personali (PDA) sau televiziunea digital prin cablu.
c) Protocolul SecureCode

Protocolul SecureCode10: sub denumirea de SecureCode, MasterCard ofer membrilor s i trei protocoale de autentificare a de in torului de card: protocolul SPA/ CAF, protocolul CAP, care este o variant a primului, i protocolul 3 -D Secure, n versiunea MasterCard. Asemeni lui Visa i tot n anul 2000, MasterCard anun a introducerea protocolului SPA (Secure Payment Application), bazat pe utilizarea unui mecanism de transport de date prin re eaua sa (BankNet), denumit CAF ( niversal Cardholder Authentication token), utilizat pent ru a indica autentificarea de in torului de card care a f cut tranzac ia, motiv pentru care este numit SPA/ CAF. Protocolul CAP (Chip Card Authentication Program) este o variant a SPA pentru plata cu carduri inteligente i presupune, de regul , cuplarea l a calculator a unui cititor de astfel de carduri. MasterCard adopt apoi, n anul 2002, protocolul 3 -D Secure, ntr-o variant proprie i l prezint tot sub denumirea generic de SecureCode. Acceptatorii MasterCard au libertatea de a - i alege tipul dorit de protocol. Protocolul cere participarea direct a emitentului, care autentific cump r torul, i a comerciantului, care dispune de un modul client de eComer specific SPA, i impune ca fiecare cump r tor de in tor de card s - i instaleze n calculatorul sau un portof el electronic, care i va servi la autentificare i la efectuarea pl ii. Acest program (numit si SPA applet) are att func ia de ePortofel, care de ine datele de identificare i de card de plat , ct i rolul de a interac iona cu comerciantul i cu emi tentul cardului. Emitentul dispune de un server de ePortofel (wallet server sau SPA server) i distribuie cump r torilor care se nregistreaz cte un ePortofel, pe care ace tia i -l instaleaz apoi n calculatorul lor personal. n momentul nregistr rii (enrollment), cump r torul i va defini i o parol sau un PIN, prin care va fi autentificat ulterior. Cnd va ncepe tranzac ia, ePortofelul se va activa i va cere de in torului de card s se autentifice printr-un formular (se cere parola), dup care se va conecta la emitent, pentru a-i trimite aceste date i a-i cere o dovad a autentific rii. Serverul emitentului va compara datele introduse cu cele p strate la momentul nregistr rii n sistem i va genera un mesaj purt tor al unui semn de autentifica re (authentication token), pe
10

www.mastercardmerchant.com/securecode/getstarted.html accesat pe 24.05.2010

24

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

care l va ntoarce c tre ePortofel. Acest semn de autentificare poart numele de AAV (Accountholder Authentication Value), valoarea de autentificare a de in torului de cont de card, i arat , n esen , dac parola introdus este corect , caz n care de in torul de card este declarat autentic. Comercian ii au un modul client de eComer , specific protocolului, care le este furnizat de acceptatorul participant la sistem. Acest modul interac ioneaz cu cump r torii i cu ePortofelele lor, precum i cu poarta de acces a acceptatorului (unde se afl modulul server de eComer ). n momentul n care cump r torul va declan a cump r tura, comerciantul va ad uga la datele tranzac iei i semnul de autentificare (ce se va p stra n cmpul CAF din structura mesajelor care circul prin re eaua BankNet a MasterCard) i va trimite totul c tre acceptator. Acesta va trimite mai departe cererea de autorizare a tranzac iei i semnul de autentificare, prin re ea la emitent. Emitentul va compara semnul de autentificare primit cu cel pe care l a generat anterior, n momentul autentific rii cump r torului, i, dac acestea coincid, trece la procedura de autorizare, ca urmare a c reia napoiaz acceptatorului un r spuns la cererea de autorizare.

25

CONSIDERA II PRIVIND SECURITATEA COMER ULUI ELECTRONIC

BIBLIOGRAFIE C r i

1. M d lina Sauca, Infrac iuni privind comer ul electronic , EdituraMirton, Timi oara, 2005 2. Victor Valeriu Patriciu, Monica Ene-Pietro anu, Ion Bica, Securitatea comer ului electronic, Editura Bic All, Bucure ti, 2001 3. Ion Gh. Ro ca, Cristina-Mihaela Bucur, Comer ul electronic concepte, tehnologii i aplica ii , Editura Economica, Bucure ti, 2004 4. Curiac Daniel, Sisteme informatice pentru comer electronic, Editura Mirton, Timi oara, 2005
Articole

1. Ion Ivan, Paul Pocatilu, Marius Popa, Semnatura electronic i securitatea datelor n comer ul electronic, Revista Informatica Economica, nr. 3(23)/2002, disponibil la http://revistaie.ase.ro/content/23/ivan.pdf , accesat la 24.05.2010 2. Comer electronic, disponibil la http://www.eccromania.ro/teme/comertelectronic/comert-electronic, accesat la 25.05.2010
Site-uri

1. http://www.shop.marop.ro/index.php?cPath=1 accesat pe 23.05.2010 2. http://www.softnet.ro/library/files/papers/Introducere_in_Comert_electronic.pdf accesat pe 26.05.2010 3. www.setco.org accesat pe 24.05.2010 4. http://www.international.visa.com accesat pe 24.05.2010 accesat pe 5. www.mastercardmerchant.com/securecode/getstarted.html 26.05.2010

26