Wybrane aspekty bezpiecznej realizacji handlu elektronicznego

Pełen tekst

(1)Ryszard Tadeusiewicz Katedra Informatyki. Lidia Ogiela Akademia GÓrnle.zo"Hutnlcza Im. St. Staszica. Wybrane aspekty bezpiecmej realizacji handlu elektronicmego Streszczenie: Na tle rosnącej dostf;pności oruz popularności różnych zasobów, środków i naz Internetem zwiększa się także gospodarcze znaczenie technik teleinformatycznych. Uprawianie działalności gospodarczej z wykorzystaniem technik informacyjnych staje się cornz powszechniejsze, chociaż na drodze do elektronicznego biznesu nie brakuje istotnych trudno śc i i przeszkód, które staną się niebawem poważnq barierą dla wzrostu wszystkich sektorów internetowej gospodarki. Zwłaszcza problemy bezpiecznej komunikacji podmiotów gospodarczych w ramach e-commerce mogą stwarzać rosnące problemy. Wymaganie pewnej i bezpiecznej wymiany informacji gospodarczych jest warunkiem koniecznym każdej działalności handlowej. Dodatkowo wysłana informacja musi być niezaprzeczalna (to znaczy nadawca nie może się wyprzeć konsekwencji przestanych elektronicznie dyspozycji, nawet jeśli póżniej okażll się one dla niego niekorzystne). Szczególnego znaczenia problem ten nabrał właśnie w kontekście upo· wszechninnia się handlu elektronicznego, gdyż perspektywa mnóstwa kontrahentów wchodzących w kontakty handlowe poprzez sieć bez ograniczeń zwif}znnych z granicami, strefami czasowymi i systemami gospodarczymi rodzi tu szczególne zagrożenia. W związku z tym rośnie stale zapolne· bawanie na metody i narzędzia pozwalające na reali zowanie działalności gospodarczej metodami informatycznymi, glównie w Internecie - w sposób bezpieczny. Artykul przedstawia i omawia wybrane aspekty tego zagadnienia ze szczególnym uwzględnieniem zastosowania w dziedzinie elektronicznego handlu dwóch technik k.ryptografic znych: metody szyfrowania wiadomości z kin· rzędzi związanych. czem jawnym opartej na algorytmie RSA oraz algorytmu podpisów cyfrowych EIGamala. W pracy pokazano istotne elementy obydwu rekomendowanych metod oraz wskazano, dlaczego są one szczególnie godne polecenia w zadaniach handlu elek.tronicznego. Słowa kluczowe: Internet, spolcczcństwo informncyjnc, hnndel elektroniczny, kryptografia, bezpieczeństwo systemów informatycznych, elektroniczny podpis..

(2) Ryszard Tacleusiewicz, Lidia. 1.. Wstęp. W ostatnich latach notuje się bardzo szybki wzrost liczby transakcji realizowanych za pomocą środków i narzędzi handlu elektronicznego. Dziedzina ta nie ma jeszcze ustalonej terminologii w języku polskim, dlatego w artykule będziemy często mówić o niej używając angielskiego terminu eleetranie eommerce skracanego często do postaci e-commerce albo e-business. Bardzo ogólnie określa się tym mianem wszelkie operacje elektronicznego przetwarzania i transmisji danych wykorzystywanych w gospodarce: zarządzanie przedsię biorstwem, kontakty z partnerami, promocję i reklamę, handel, realizację zobowiązań finansowych itp. Pojęcie to obejmuje też używane w operacjach gospodarczych materialy i dokumenty na nośnikach magnetycznych i plytach CD-ROM, oraz stosowane w podobnych celach systemy lączności - telefony, faksy, teleksy, radiolinie, a także mniej lub bardziej rozbudowane sieci komputerowe (LAN, WAN), tworzące tradycyjne systemy elektronicznej wymiany dokumentów (EDI). Komitet Spraw Gospodarczych i Monetarnych oraz Polityki Przemyslowej Unii Europejskiej definiuje handel elektroniczny bardziej ściśle jako transakcje handlowe 'zawierane poprzez sieci telekomunikacyjne przy użyciu środków elektronicznych [4]. Mimo pozornej prostoty i pojemności znaczeniowej tej definicji, nie jest ona powszechnie uznawana. Na przyklad znana firma konsultingowa Arthur Andersen wyraźnie odróżnia e-biznes od e-handlu. Wedlug niej e-biznes oznacza zintegrowanie za pomocą technologii informatycznych (wła snej sieci, Internetu i specjalnego oprogramowania) firmy oraz jej partnerów, usprawnienie procesów wewnętrznych, wyeliminowanie papieru, faksu i ręcz nych operacji przy skladaniu, realizacji i kontrolowaniu zamówień. E-biznes obejmuje zatem całe środowisko, w którym funkcjonuje firma. E-eommeree (handel elektroniczny, e-handel), jest swego rodzaju podzbiorem i obejmuje handel, marketing oraz obsługę klienta w trybie on-line, za pośrednictwem sieci elektronicznych [8]. Jakkolwiek by nie definiować dziedziny elektronicznego biznesu Uest tych definicji jeszcze kilkanaście!) ogólnie wiadomo, że 'w dziedzinie tej wyróżnia się obecnie dwa oddzielne nurty: wykorzystanie środków eleku'onicznych (a zwłaszcza teleinformatycznych) w kontaktach handlowych między kontrahentami (tzw. business-to-business elee/ronie eommeree, krótko oznaczany jako B2B) oraz wykorzystanie analogicznych środków w kontaktach z klientami (tzw. business-to-eustomer eleetranie eommeree, krótko oznaczany jako B2e). Podana klasyfikacja, chociaż najczęściej przytaczana, nie wyczerpuje zresztą tematu, gdyż coraz częściej wprowadza się kołejne akronimy, mówiąc na przykład o modelu elektronicznej wymiany informacji w firmie i internetowego zarządzania kadrami (business-to-employee elee/ronie eomm.eree, B2E) a także sieciowej komunikacji handlowej firmy ze społeczeństwem (business-/o-publie elee/ronie eommeree, B2P). Spotyka się, choć już rzadziej, określenia takie jak B2A (business-to-administra/ion eleetranie eommeree) ,.

(3) Wvbl'lwe aspekty bezpiecznej realizacji handlu. co oznacza komunikację i interesy pomiędzy firmami a administracją państwo wą, C2C (eonsumer-to-eonsumer eleetronie commerce) - bezpośrednia wymiana między konsumentami (np. aukcje, ogłoszenia) i coraz więcej innych. Niektóre interpretacje pojęcia B2B zaliczają do tej kategorii całokształt obrotów handlu elektronicznego, w tym transakcje dokonywane przy użyciu EDI (elektronicznej wymiany dokumentów), gdyż są to również transakcje dokonywane drogą elektroniczną pomiędzy firmami. Może to jednak spowodować mylne wyolbrzymienie roli Internetu w tej dziedzinie. Firmy korzystające z EDI nie korzystały jak dotychczas do tego celu z sieci Internet, a ponadto EDI pojawiło się o wiele wcześniej niż ta sieć. Z uwagi na niezwykle szybki rozwój wszystkich wymienionych gałęzi elektronicznego handlu istotnym wydaje się zwrócenie uwagi na zagadnienie dotyczące zapewniania bezpieczeństwa w realizacji handlu elektronicznego. Zagadnienie to wskazywane jest zgodnie przez większość autorów jako kluczowy warunek rozwoju handlu elektronicznego zarówno w modelu B2B, jaki i B2C, chociaż możliwe są struktury wykorzystujące elementy handlu elektronicznego nie wymagające w istocie specjalnych zabezpieczeJ\ przy przesyłaniu czy przekazywaniu informacji (por. rys. 1).. )11 ~. uwagi klientów. I!IID. '--- informacje o produktach. Serwer WWW. pracowników,. odpowiedzialnych za komunikację z klientami. ~. I. SystemERP. Rys. 1. Struktura systemu, w którym możliwe jest rozwijanie elektronicznego handlu bez uwzględniania problematyki bezpieczeństwa komputerowej telekomunikacji Żródło: opracowanie własne.. Jeśli jednak mamy rozważać systemy elektronicznego handlu, w których ma miejsce całkowicie elektroniczna komunikacja między systemem informatycznym wewnątrz przedsiębiorstwa (reprezentowanym tu przez najpopularniejsze systemy klasy ERP) a środowiskiem zewnętrznym, przekazującym informacje handlowe do i z przedsiębiorstwa z pomocą systemów teleinformatyki w sposób pośredni (rys. 2) lub bezpośredni (rys. 3), to zagadnienia bezpieczelIstwa transmisji zaczynają wyłaniać się jako problem zdecydowanie priorytetowy..

(4) Tadellsiewicz, Lidia Ogiela. Dane z 7..amówień. Ceny produktów. Rys. 2 System pośrednio zintegrowany elekU'onicznie z otoczeniem Źródło: opracowanie własne.. '~"~I ~ _-----~-~~C-cC~-\e_, Ceny akcji. ' - . . ceny akcji. Serwer. www. I. System. transakcyjny. Rys. 3 System be zpoś rednio zintegrowany elektronicznie z otoczeniem Żródlo:. opracowanie własne.. Rozwiązanie problemów wiążących się z ochroną informacji przesylanej między kontrahentami oraz ich klientami oraz z zapewnianiem ich poufności. podczas transmisji internetowych stanowi w tych systemach czynnik, który decyduje o stosowaniu określonych form elektronicznego handlu lub o jego odrzuceniu - zarówno przez przedsiębiorstwa , jak i przez klientów. Zagadnienie to trzeba traktować jako bardzo ważne, gdyż zadecyduje ono tak naprawdę o losach rynku transakcji internetowych. Wybrane charakterystyki tego rynku zostaną przedstawione w kolejnym rozdziale pracy, z uwzględnie niem najpoważniejszych problemów, z którymi mamy tu w istocie do czynienia..

(5) · handlu elektronicznego. 2. Rozmiary elektronicznego handlu I lego dynamika na świecie I w Polsce Poniżej podano zestawienie wielkości charakteryzujących elektroniczną gospodarkę, dla lepszego odniesienia - w zestawieniu z danymi charakteryzującymi daną działalność jako całość. Liczby dotyczące działalności elektronicznej należy traktować jedynie jako szacunkowe, wskazujące rząd wielkości. Nie podajemy tu dokładnych wartości, gdyż te potrafią się znacząco różnić w różnych źródłach. Ze względu na te nieścisłości postanowiono się także skoncentrować w tym przeglądzie wyłącznie na danych historycznych, unikając prognoz (za wyjątkiem danych dla Polski).. Tabela l. Handel B2B w USA, Europie Zachodniej i w Polsce USA (1998 r.) [2J. Europa Zachodnia (1998 r.) [2J. Polska (1999 r.)[3J. Obroty handlu między firmami Obroty handlu mi'tdzy firmami Jntcmctowy handel B2B: - 9500 mld USD - 7400 mld USD - 80 mln USD Wykonanie w formie Wykonanie w formie elektronicznej: elektronicznej: 700 mld USD, z czego: 200 mld USD, z czego: - 602 mld USD to EDI -170 mld USD toEDI - 98 mld USD to B2B - 30 mld USD to B2B w Intemecie w Internecie Żr6dlo:. [2, 3J.. Podając dane o PoJsce, warto nadmienić, iż "Warsaw Voice" [6], cytując wyniki Instytutu Pentora z czerwca 2000, podał za Instytutem liczbę 2,5 mln jako reprezentującą liczbę Internautów w Polsce, z czego ok. 2%, czyli 50 tys. osób miało (rzekomo) dokonywać zakupów on-line. Nawet jeśli te dane są mocno przesadzone - i tak jest to godne uwagi i zastanowienia. Dla poprawnego zakreślenia istniejącej tendencji, należy również dodać, iż prognozy przewidują w ciągu najbliższych trzech lat wzrost wartości sprzedaży na rynku B2B: w USA do 100% rocznie [13], w Europie o ok. 90% [2], a na rynku B2e: w USA o ok. 50% [13] i w Europie o ok. 80% rocznie [5]. Te wielkości orientacyjne wskazują, iż analitycy przewidują coroczne podwajanie się wartości handlu B2B zarówno w Europie Zachodniej, jak i w USA. Przewidywany jest nieco wolniejszy wzrost handlu B2e w USA, spowodowany przec1lOdzeniem tego handlu w dojrzalsze fazy oraz szybki wzrost handlu B2e w Europie, która pozostaje w tyle za USA (w 1999 l'. w USA ok. 1% handlu detalicznego przeprowadzono przez Internet, w Europie bylo to ok. 0,2%)i rozpoczynająca się dopiero moda na e-commerce w Europie przełoży się na wysokie wzrosty procentowe..

(6) Tadeusiewicz, Lidia Tabela 2. Handel B2C w USA, Europie i w Polsce. Europa Zuchodnia. USA. Polska (3). (2) Handel detaliczny razem - 2746 mld USD Sprzedaż wysylkowa -60 mld USD' Sprledaż B2C - 13 mld USD. 1998 r.: Sprzedaż B2C: I mld ECU, w tym 0,8 mld to zakupy w dcl_lu dokonane przez firmy, 0/15 mld - przez osoby fizyczne [9). Całkowita sprzedaż. Całkowita sprzedaż. SplLe daż. B2C: 1-4 mln USD. 1999 r.:. detaliczna:. 2993 mld USD Sprzedaż wysylkowa - 65 midUSD Spmdaż B2C -21 mld USD [I). Inne szacunki mówią o wartości B2C równej 19-24 mld USD dla 1998 r. i 33 [II )-80 [7) mld USD dla 1999 r. (oslatnia waltość prlekraczająca już. wartość sprlCd_ży. wysylkowej). detaliczna: Całkowita sprl.edaż detaliczna: 81 mld USD: B2C - od 3 mln 1750 mld ECU [CSrB] do 40 mln USD [AAB2C-3,5 mld ECU [10) wraz z obrotami intemetowymi biur maklerskich] 2000 r.: Całkowita sprzedaż detaliczna: 92 mld USD: B2C - od 15 mln [CSFB] do 48 mln USD [Wood&Co.). 2001 r.: Całkowita sprzedaż. detaliczna: 1011111d USD: B2C-od 88 mln [Wood & Co.] do 110 mln USD [CSFB). II Dane pochodzące z Departamentu Handlu USA: National Mail Order Association [14] na podstawie odrębnych badali podaje wyższą cyfrę: 109 mld USD - jest to sprzedaż produktów; sprzedaż usług tym kanałem wycenia na 185 miel USD; dodatkowo - już spoza świata konsumenta - przedsię biorstwa mialy kupić tą drogą towary i usługi za kolejne 104 mld USD Źródlo: 12. 3).. W Polsce badania rynku sprzedaży detalicznej dokonała w kwietniu 2000 r. firma Global eMarketing. Dane za 1999 r. opubłikowane przez tę firmę mówią o sprzedaży w wysokości 110 mln zł (20 mln zl w 1998 r.), z czego 4/5 zostało wydane w sklepach zagranicznych. "E-sprzedaż" na l osobę w Polsce w 1999 r. wyniosla więc ok. 0,7 USD; w USA dla analogicznego okresu było to ok. 100 USD, a w krajach Europy Zachodniej - ok. 8 USD. W 1999 r. istniało w Polsce 650 detalicznych sklepów internetowych. Około 50% sklepów nie przekroczyło rocznych obrotów w wysokości 10 tys . zł miesięcznie , podobna liczba sklepów nie osiągnęla liczby transakcji miesięcznie większej od 20'. Celem dostarczania zakupionych towarów blisko 83% korzysta lo z uslug Poczty Polskiej, 55%. I Wyniki te określane są przez cytowanego w artykule przedstawiciela firmy Arthur Andersen jako ..gorsze nii. osiągane przez jakikolwiek sklepik wiejski"..

(7) \\ybrane aspekty bezpiecznej. . handlu. wykorzystywało. firmy klll'ierskie, a ok. 3,6% sklepów ma własnych dostawców. Najczęściej (89%) sklepy przew idywały platność za zaliczeniem pocztowym, 17,4% sklepów umożliwia lo platność kartą kredytową. Tabela 3. Internetowy rynek reklamy USA 1999 r.: Całkowita wielkość wydatków reklamowych: 115 mld USD Reklama w Intcmccie: 850 mln USD [12] (ok. 0,7% calości). Europa. brak danych. Polska [3] 1999 r.: Rynek reklamy: 1850 mln USD [CSFB] Oli-lilie: ok. 2 mln USD 2000 r.: Rynek lUklamy: 2230 mln USD [CSFBI Oli -lilie: 3 mln [BN P Paribas] - la mln USD (ABN Amro] 2001 r.: Rynek reklamy: 2670 mln USD [CSFB] Oli-lilie: 5 mln [BNP Parlbas] - 14 mln USD [Ad Master]. ŻrócJlo:[3, 12] .. Pomimo iż wyniki za rok 1999 nie są rewelacyjne, aż 90% wlaścicieli ankietowanych firm było dobrej myśli co do perspektyw tej formy sprzedaży w przyszłości. Wydaje się, iż czynnikami, które mogłyby tę sprzedaż zwiększyć byłoby w pierwszej kolejności przyciągnięcie do polskich sklepów klientów dokonujących aktualnie zakupów za granicą oraz rozpowszechnienie wygodnych form płatności drogą elektroniczną. Przytoczone wyżej zestawienia tabelaryczne stanowiły rejestrację stanu obecnego handlu internetowego, jednak rozważając to zjawisko i oceniając jego konsekwencje trzeba koniecznie brać także pod uwagę fakt, jak szybki jest wzrost liczby posiadaczy domowych komputerów oraz gospodarstw domowych mających dostęp do Internetu . Zjawisko to ilustruje rys. 4. Wszystkie wymienione fakty świadczą więcej niż jednoznacznie o tym, że zagadnienia handlu elektronicznego nie można traktować jako zwykłej ciekawostki. Przeciwnie, mamy do czynienia ze zjawiskiem, które może przeorientować gospodarkę światową w niespotykanej dotychczas skali. Spróbujmy zastanowić się, czy będą to zmiany na lepsze, czy na gorsze..

(8) Ryszard. Lidia. w,-------------------------------------, E. SlD. §. 501- --------------------------------------770--, 42.1,' 41,5 O • 40 .-~------------.- -----------,.-.-----~------"l---.-.. ~og.. ". ~. N. '5 ~ f;' ~. U o. ,,0 komputer ,," 36 ,6. I. /. 30 ,- - - -- ---------------,-,·-- ---,,--- - 1. ~. "8 ~ll. ~~. ł. 20+--------------~~-~~----~~-~-~ 101-~~-~~-~~---- ---. ! 1984. Rys. 4. Wzrost odsetka gospodarstw domowych posiadajQcych komputery domowe oraz majQcych dostęp do Internetu (dane dla USA) Źródło:. opracowanie własne.. 3. Handel elektroniczny lako czynnik wzrostu Internetu W literaturze p o święconej rozwojowi sieci komputerowych, a zwłaszcza Internetu, pojawiają się niekiedy opinie (wywodzące się g łównie z kręgów akademickich), że pojawienie się w tej sieci działalności handlowej "zamordowało" Internet, który przestał być wyłącznie domeną nauki i stał się obszarem dwuznacznej morałnie komercji. Otóż można stwierdzić, że jest dokładnie odwrotnie - ogółnoś wiatowa s ieć dopiero wtedy zaczęła si ę naprawdę rozwijać, gdy w 1995 r. Kongres Stanów Zjednoczonych zniósł wszełkie restrykcje odnośnie komercyjnych zastosowań Internetu, a NSF przekazał utrzymywanie sieci operatorom prywatnym (dokonał prywatyzacji Internetu), przedsiębiorstwa na dobre wkroczyły do sieci. Można to bardzo wyraźnie obejrzeć na rys. 5, pokazującym liczbę domen w sieci. Szybki wzrost liczby domen po 1995 r. jest tu ewidentny Z przedstawionej (zdecydowanie skrótowej i ograniczonej) analizy jednoznacznie wynika. że handeł w Internecie jest zjawiskiem ważnym, dynamicznie się rozwijającym, a także Ueśli brać pod uwagę wszystkie jego uwarunko-.

(9) · handlu elektronicznego. wania i następstwa) - zdecydowanie pozytywnym. Jeśli zatem przyjąć, że społecznie ważnym zadaniem badań naukowych jest tworzenie przesłanek dla dalszego rozwoju pozytywnych zjawisk i tendencji, to łatwo się zgodzić, że jednym z ważniejszych zadań nauki na przełomie XX i XXI wieku jest torowanie drogi szybkiemu rozwojowi elektronicznego biznesu. Aby zadanie to spełnić, nauka musi ustalić, jakie czynniki stanowią główną przeszkodę w rozwoju tendencji, którą uznaje się za korzystną, a także trzeba podjąć badania, jak te przeszkody przezwyciężyć. 1600 000 1400000. ~ .g il'" ~. 1200000 1000000 800000 600 000 400000 200000. o. A. '"oc~. c;::. .jjp.. .~. '". ~. AAAA". '"'"'" '"'"~ '"'"~ '"'"<" '"'"~ .... ~. ~. ,~. ,~. ,~. ~. .~. .~. ·i ~ '! 2" ! ~ .~. N. u. 1l. ~. ?I-. ~. a. "'"'" "1B ~. .jj .El p.. ,~. "" ~e. '". ~. ~. 'El'. on. -o -o b; <--. '"~ '"~ '"~. ~. ,~. ,~. u. 1 :ł ~. El. 'i;j. ~. '"~ .~. ~ uru. p.. Rys, 5. Zmienna w czasie liczba domen zarejestrowanych w Internecie Żródło: opracowanie własne.. Wydaje się bezsporne, że jednym z głównych czynników limitujących rozwój handlu w Internecie są kwestie bezpieczeństwa, W dalszym ciągu tej pracy skupimy więc uwagę na tym, jakie czynniki determinują bezpieczeństwo handlu internetowego oraz jakie środki współczesnej nauki i techniki mogą zostać zaangażowane w to, by stan bezpieczeństwa tego handlu znacząco podnieść na wyższy poziom, Dalsza część tego artykułu poświęcona będzie analizie i dyskusji tego właśnie zagadnienia,.

(10) Ryszard Tadeusiewicz. Lidia Ogiela. 4. Problemy. bezpieczeństwa. w sieciach komputerowych. Aspekt bezpieczeństwa należy uwzględniać zawsze, ilekroć mamy do czynienia z informacją hancllową, jednak zazwyczaj okoliczności zewnętrzne (np. ulokowanie komputera, na którym znajduje się ważna baza danych, w trudno dostępnym i sekretnym miejscu) pozwalają uzyskać zadowalający poziom bezpieczeństwa bez stosowania specjalnych rozwiązań kryptograficznych. Problem utajniania, szyfrowania i weryfikowania danych elektronicznych trzeba jednak traktować jako kluczowy przy omawianiu zagadnietl dotyczących wszelkich systemów handlowych odwołujących się do transmisji danych w sieciach komputerowych. Najbardziej ogólnie bezpieczetlstwo takich systemów powinno cechować się trzema podstawowymi atrybutami. Są to: - dostępność rozumiana jako oczekiwany poziom ciągłości usług i zasobów, - integralność utożsamiana z wiernością, zgodnością z oryginałem, czy też rozumiana jako gwarancja pewności i zaufania do gromadzonych i przetwarzanych danych, - poufność traktowana jako dostępność danych i zasobów sprzętowych tylko dla uprawnionych użytkowników z jednoczesnym zachowaniem ich prywatności. Powyższy. wykaz pożądanych atrybutów narzędzi handlu elektronicznego jest wprawdzie jednym z wielu możliwych, ale jest jednocześnie jednym z najdokładniejszych. Zagadnienie bezpieczeństwa przechowywania informacji oraz ich przesyłania za pomocą sieci komputerowych stało się zagadnieniem bardzo istotnym w warunkach funkcjonowania dzisiejszego świata, ale przede wszystkim stało się również podstawą w przypadku fizycznej realizacji handlu elektronicznego. Jak nietrudno sobie wyobrazić, podstawą funkcjonowania electronic commerce jest właśnie bezpieczeństwo transmisji internetowych. Warto bowiem uświa domić sobie, że z każdą transakcją handlową wiąże się przynajmniej kilka transmisji informacji pomiędzy osobą (lub firmą) kupującą towar lub usługę a firmą, która jest sprzedawcą (rys. 6). Jest rzeczą powszechnie wiadomą, że dane zawarte w systemie komputerowym, a także informacje wymieniane pomiędzy komputerami są dobrem takim samym jak inne, dlatego uświadomienie czytelnikowi tegoż artykułu faktu, iż na wyżej wspomniane dane "czyhają" różnego rodzaju zagrożenia nie będzie rzeczą trudną. Wystarczy przytoczyć nazwy najczęściej spotykanych w dzisiejszych czasach zagrożeń, do których niewątpliwie należy zaliczyć takie komputerowe przestępstwa, jak: - fałszerstwo komputerowe, - włamanie do systemu, czyli tzw. hacking, - oszustwo, a w szczególności manipulacja danymi,. - manipulacja programami,.

(11) "and/u elek/ronicznego. - oszustwa,jakim są manipulacje wynikami, - sabotaż komputerowy, - piractwo , - podsłuch, - niszczenie danych oraz programów komputerowych.. zapytanie ofertowe. oferta. O. 2. zamówienie. 3 ~. UGf. ... 5. powiadomienie o wysylce. 4.. faktura. 4b. towar. 4c. ~. potwierdzenie zapłaty. Rys. 6. Transmisje informacji towarzyszące transakcji handlowej Zródlo: opracowanie własne.. To najczęściej dzisiaj spotykane przestępstwa komputerowe, chociaż ich lista jest o wiele dłuższa niż ta przytoczona powyżej. Stwierdzenie zatem, że wszelkiego rodzaju dane w handlu elektronicznym muszą podłegać ochronie nie jest niczym nowym, czy wywołującym zdziwienie u użytkownika systemu komputerowego. Ważnym natomiast jest zagadnienie mówiące, w jaki sposób i za pomocą jakich technik problem ten można rozwiązać . Odpowiedź na to pytanie zawarta jest częściowo w tej pracy.. 5. Metody zabezpieczania danych w handlu elektronIcznym Rekomendowany w tej pracy sposób zwiększenia bezpieczeI\stwa danych komputerowych wykorzystywanych w handlu elektronicznym pochodzi z dziedziny wiedzy graniczącej z matematyką i informatyką czyli z współczesnej kryptografii. W cełu uzyskania bezpieczeI\stwa danych we-biznesie najczę ściej stosowane są tak zwane algorytmy kryptograficzne z kluczem jawnym,.

(12) Tadeusiewicz, Lidia Ogiela. takie jak algorytm RSA , czy algorytm podpisów cyfrowych E1Gamala. Służą one głównie do zapewniania ochrony danych podczas przesylania informacji za pomocą Internetu. Na początku jednak spróbujemy wskazać i scharakteryzować źródla głównych zagrożeń. Handel elektroniczny związany jest z realizacją i umożliwieniem dokonania zdalnych transakcji między dwoma lub więcej stronami z wykorzystaniem. sieci komputerowych przy zapewnieniu bezpiec ze ństwa realizacji tych transakcji, polegającego na zapewnianiu zarówno fizycznego bezpieczeństwa sieci komputerowej jak i poufności przekazywanych danych oraz prywatności stron realizujących daną transakcję.. W celu zapewnienia szeroko rozumianego bezpieczeństwa związanego z handlem elektronicznym wykorzystuje się algorytmy autoryzacji oraz procedur zabezpieczających przed podstawowymi niebezpieczeństwami, na jakie są narażone realizacje poszczególnych transakcji. Do najczęściej spotykanych tego rodzaju niebezpieczeństw zalicza się utratę lub zanik danych, wszelkiego rodzaju zmiany i modyfikacje danych, przecieki informacji, interferencję operacji, niewłaściwe użycia danych oraz niereprezentatywność. Jako jedną z podstawowych zasad prawidiowego funkcjonowania oraz wła ściwej realizacji handlu elektronicznego uważa się procedurę uwierzytelniania i potwierdzania tożsamości stron. Fakt ten oznacza konieczność wykorzystania dodatkowej instancji lub strony obdarzonej zaufaniem i jednocześnie poświadczającej lub weryfikującej rzetelność każdej ze stron w ten sposób, aby druga z nich miala większą pewność, że w wyniku realizacji zlecenia otrzyma to, o co się starala. Możliwe jest także korzystanie z usługi określającej tożsa mo ść nadawcy w dwojaki sposób. Po pierwsze za pomocą tzw. znaczników upływu czasu, a po drugie za pomocą dodania kolejnego elementu do realizacji transakcji gwarantującej pewien stopień anonimowości. Metoda oparta na wykorzystaniu znaczników upływu czasu pozwala określić, do jakiego momentu potwierdzony certyfikat tożsamości jest ważny, co w konsekwencji nie pozwala na użycie danych związanych z realizowaną transakcją w nie uzgodnionych dalszych transakcjach. Druga metoda wprowadzania pewnego stopnia zaufania, a opierająca się na dodaniu kołejnego elementu do realizacji transakcji, oparta jest na zagwarantowaniu pewnego stopnia anonimowości. W przypadku zastosowmiia tej metody nierozwiązanym pozostaje problem anonimowości nadawcy przy ewentualnym przesyłaniu doń odpowiedzi. Pewną alternatywą w tym przypadku może być wybór systemów autoryzacyjnych pozwalających jednocześnie na zapewnienie anonimowości oraz gwarantują cych wsteczną komunikację z nadawcą, do których zalicza się tzw. systemy pseudonimowe. Zaletą tych systemów jest to, iż dodatkowo gwarantują one poufność i unikalność w trakcie generowania odpowiednich identyfikatorów. Ważnym aspektem związanym z omawianym zagadnieniem dotyczącym handlu elektronicznego jest określenie standardów zawierających najważniej sze elementy transakcji elektronicznych, do których to podstawowych elemen-.

(13) "ybralle aspekty. handlu. zaliczyć należy: poufność i rzetelność podczas transmisji danych , identyfikację oraz uwierzytelnianie odpowiednich stron realizowanej transakcji oraz zapewnienie integralności wszystkich danych finansowych. Standardy te mają na celu zapewnienie i realizację szeroko pojętego bezpieczeństwa podczas transmisji internetowych, które w sposób szczegól ny powiązane są z zagadnieniem dotyczącym handlu elektronicznego.. tów. Handel elektroniczny bywa wykorzystywany coraz częściej do realizacji zamierzel\ z różnych dziedzin życia, najczęściej jednak podczas: wykonywania transakcji bankowych na linii dom-bank przy użyciu np. Internetu, dokonywania transakcji na światowych giełdach papierów wartościo wych, dokonywania różnego rodzaj u zakupów przez Internet, wyboru najkorzystniejszej oferty wczasowej z wybranego biura podróży, rezerwacji hotelu czy rezerwacji biletu lotniczego, podczas próby zapoznania się znajnowszymi publikacjami zamieszczonymi w Internecie itd. Najczęśc iej spotykanym wykorzystaniem handlu elektronicznego jest wykonywanie transakcji bankowych oraz transakcji dokonywanych za pomocą tzw. elektronicznych pieniędzy dostępnych w formie np . czeków lub kart kredytowych. Możliwość realizacji tego rodzaju transakcji jest dwojakiego rodzaju: bezpośrednio (on-liIJe) lub niebezpośrednio (off-line). Transakcje typu bezpośredniego mogą być realizowane tylko w przypadku zapewnienia bezpośredniego połączenia z bankiem, zaś transakcje typu oif-line są realizowane w przypadku braku polączenia bezpośredniego z bankiem. Niemniej każda z tych transakcji musi charakteryzować się bezpieczeństwem, anonimowością, niezawodnością oraz skalowalnością. Do celów związanych z zapewnieniem bezpieczeństwa danych wykorzystuje się algorytmy szyfrowania, podpisy cyfrowe oraz znaczniki czaslI. W celu zapewnienia niezawodności i skalowalności należy zapewnić konsumentów, iż ich pieniądze cyfrowe nie będą podlegać ani modyfikacji ani też zniszczeniu, czy skasowaniu przy jednoczesnym autentycznym przeliczeniu walut , j eśli takie przeliczenie musi nastąpić oraz reakcji na zmiany kursów walut. różnych. 6. Bezpieczne algorytmy reallzacll transakcli w sieciach komputerowych Najczęściej stosowanymi algorytmami kryptograficznymi z kluczem jawnym, mającymi na celu ochronę danych podczas transmisji internetowych wykorzystywanych w handlu elektronicznym, są algorytmy RSA i EIGamala.. 6.1. Szyfrowanie. wiadomości. algorytmem RSA. Algorytm RSA jest dzielem trzech kryptologów z MIT - R. Rivesta, A. Shamira i L. Adelmana. Zostal on zaproponowany w 1978 r. i wykorzystywany jest do dziś jako jedna z metod szyfrujących oraz do tworzenia podpisów cyfrowych. Algorytm RSA oparty jest na zadaniu, NP-trudnym,jakim jest fak-.

(14) Tadellsiewicz, Lidia. toryzacja dużych liczb, ponadto wykorzystuje on parę kluczy (klucz jawny i klucz tajny), które są funkcjami pary dużych liczb pierwszych. Metoda działania algorytmu RSA jest następująca (wymieniono najważniej sze kroki): [. Generacja pary kluczy - jawnego i tajnego: -losowy wybór dwóch liczb pierwszych p i q, - obliczenie iloczynu wybranych liczb pierwszych II = P . q, -losowy wybór klucza szyfrującego e, takiego, aby liczby e i (p - l)(q - l) byly względnie pierwsze, tzn. NWD (e, (p - I)(q - [) = l, - wyznaczenie odwrotności w ciele skOl\czonym za pomocą rozszerzonego algorytmu Euklidesa oraz wyznaczenie klucza deszyfrującego d, w ten sposób, aby e . d = lmod (p - l)(q - l). Odwrotność taka istnieje, bowiem e i iloczyn (p - I )(q - l) są względnie pierwsze, zatem klucz deszyfrujący jest określony jako ci = e-l mod(p - l)(q - l). Na podstawie tego wzoru widoczne jest, że liczby ci i II są względnie pierwsze, - publikacja klucza jawnego, którym są liczby e i II (liczba ci jest kluczem tajnym), - zatarcie śladu istnienia liczb p i q jako najbardziej poszukiwanych przez kryptoanalityka przy lamaniu szyfru RSA, za pomocą faktoryzacji dużej liczby II (problem ten będzie niżej dokładniej naświetlony). 2. Szyfrowanie pewnej wiadomości III przebiega w następujący sposób: - podzial wiadomości m na bloki liczbowe mi' każdy z bloków mi ma jednoznaczną reprezentację modula /1; - w przypadku danych binarnych wybiera się największą potęgę 2 mniej szą od 11, - w przypadku, gdy liczby P i q są liczbami pierwszymi posiadającymi po [00 cyfr dziesiętnych, to liczba II będzie miała mniej niż 200 cyfr, - każdy blok wiadomości m powinien przyjmować długość mniejszą niż 200 cyfr dziesiętnych; - zaszyfrowana wiadomość C składa się z bloków Ci o podobnych długościach,. - szyfrowanie bloku mi według wzoru: cj = m1 mod II, - deszyfrowanie bloku mj według wzoru: mi = c'l mod II, - możliwość zamiany po wygenerowaniu pary kluczy jawnego i prywatnego równoznaczna z wykonaniem szyfrowania kluczem ci i rozszyfrowania kluczem e. Ogólny schemat działania ałgorytmu RSA zamieszczono na rys. 7. Bezpieczeństwo zapewniane przez algorytm RSA zależy całkowicie od matematycznego problemu faktoryzacji dużych liczb. Istnieją odmiany algorytmu RSA, dla których udowodniono, że są tak trudne do złamania,jak rozwiązanie problemu faktoryzacji. Ponieważ obecnie "łatwo" są faktoryzowane liczby o długości 110 i 120 cyfr, zatem w implementacjach sprzętowych algorytmu RSA używa się łiczb o długości przynajmniej 512 bitów (154 cyfry dziesiętne)..

(15) Wybrane aspekty. handlu elektronicznego. W niektórych implementacjach programowych stosuje się również liczby o długości 664 bitów (200 cyfr), a nawet o długości 1024 bitów (308 cyfr),. 1/Ii :::. elf mad 11. zatarcie liczb P i q. Rys 7, Schemat algorytmu RSA Źródlo: opracowanie własne.. Przyjmując długość liczby równą 664 bity i pamiętając o złożoności zadania faktoryzacji, otrzymujemy, że rozkład tej liczby na czynniki pierwsze wymaga 1023 kroków obliczeniowych, jeżeli natomiast rozpatrywać będziemy rozkład liczby o długości 1024 bity, to taki sam rozkład wymagać będzie 10 10 lat', Jednocześnie należy pamiętać, że odzyskanie pojedynczego bitu informacji z szy-. 2. Przyjmujemy, że. rozkład. na czynniki pierwsze wykonywany jest za. pomocą. rów, z których każdy może wykonać milion kroków w ciągu jednej sekundy oraz si~ z miliona takich komputerów,. sieci kompute-. że sieć. ta sklmla.

(16) ,.. Tadeusiewicz, Lidia. frogramu otrzymanego poprzez zastosowanie algorytmu RSA jest jednoznaczne z odszyfrowaniem calej wiadomości. 6.2. Uwiarygodnianie wiadomoścltechnlkq podpisów cyfrowych EIGamala. Kolejnym algorytmem wykorzystywanym podczas transmisji internetowych, w trakcie których mogłoby dojść do przejęcia danych lub ich całkowitego zniekształcenia, jest algorytm z kluczem jawnym podpisów cyfrowych EIGamala. Bezpieczeństwo tego algorytmu oparte jest na problemie "jednokierunkowym" obliczenia logarytmów dyskretnych. Algorytm ten często bywa wykorzystywany do tworzenia podpisów cyfrowych często pojawiających się i związanych z electronic comme/'ce, ale także bywa on wykorzystywany do szyfrowania przesyłanych danych najczęściej za pomocą sieci komputerowych. Metoda działania algorytmu EIGamala jest następująca: l. Generacja pary kluczy - jawnego i tajnego: -losowy wybór liczby pierwszej p oraz liczb łosowych g i x mniejszych od p, - wyliczenie wartości y = g'mod p, - publikacja klucza jawnego, który stanowią liczby y, g i p. - zatarcie śladu po liczbie x, która stanowi klucz tajny. 2. Realizacja podpisu informacji: -losowy wybór liczby k względnie pierwszej zp - I, tzn. NWD(k,p -l) = l, - obliczanie podpisu a = gkmod p, - obliczanie podpisu b z następującego równania M = ax + kb(mod p - l) za pomocą rozszerzonego algorytmu Euklidesa do obliczania odwrotności w ciałach skończonych, w celu otrzymania wiadomości przy znajomości podpisu oraz kluczy tajnych, - wartości a i b stanowią właściwy podpis cyfrowy, -liczba k powinna zostać utrzymana w sekrecie. 3. Weryfikacja podpisu poprzez sprawdzenie równania y"abmod p = gMmod p. Kolejne kroki poszczególnych etapów algorytmu podpisów cyfrowych E1Gamala przedstawiono na rys. 8. Ałgorytm ElGamala jest algorytmem opartym na metodzie Diffiego-HeJlmana. Algorytm Diffiego-Hellmana jest z kolei pierwszym wynalezionym algorytmem z kluczem jawnym, a jego bezpieczeństwo oparte jest na trudności obliczania logarytmów dyskretnych w ciałach skończonych. Najczęściej bywa on wykorzystywany do dystrybucji kluczy, lecz nie używa się go do szyfrowania i deszyfrowania wiadomości. Jego modyfikacją jest rozszerzony ałgorytm Diffiego-Hellmana podobnie jak jego poprzednik oparty na dzialaniach w ciałach SkOliczonych. T. ElGamal wykorzystal podstawową ideę algorytmu w celu opracowania algorytmu do szyfrowania oraz do podpisu cyfrowego. Warto dodać, że rozszerzony algorytm Diffiego-Hellmana działa w ciałach GaJois.

(17) handlu. l. Klucz jawny i tajny. 2. Podpisywanie. GZb ,g0 C. ~. yp. liczba k. Cg<p,x<p~. ~D(k,P-J)~. C klucz jawny p, y,g. 01ucz tajny. x~. 3. Weryfikacja. ~. podpis.. C= 0 tOlod. C. ~. podp is b. M=ax+kb(modp -I). Rys. 8. Schemat algorytmu podpisów cyfrowych EIGamala Żr6dl o:. opracowanie własne.. GF(2k )' . Istotną kwestią jest wybór dostatecznie dużego ciała w celu zapewnie-. nia bezpieczeństwa , gdyż zależne jest to od szybkości wykonywania obliczeń kryptograficznych.. 7. Podsumowanie W wyniku przeprowadzenia powyższej analizy stanu obecnego i perspektyw rozwojowych dziedziny e-biznesu wykazano, że jednym z podstawowych zadań naukowych związanych z inform atyką eko nomiczną jest rozwiązanie zagadniell realizacji bezpieczeństwa handlu elektronicznego, Dyskutując J Ciałem. nazywamy strukturę algebraicznI} (A, '" o) o następujących I. własnościach:. I) (A, *) jest grupą abel ową, 2) (A - {e'), o) jest grupą,. 3) działanie o jest rozdzielne względem dziahmia *. Jeżeli dodatkowo działanie o jest przemienne, to c iał o (A t >I: 10) nazywamy cialem przemiennym ..

(18) Ryszard TadeusielVicz, Lidia Ogiela dostępne wspólcześnie. metody zapewnienia bezpieczeństwa informacji przekazywanych i przechowywanych w związku z zadaniami e-biznesu w artykule wykazano, iż bezpieczeństwo to zależy ocl wlaściwego wyboru i konsekwentnego zastosowania odpowiednich algorytmów kryptograficznych . Algorytmów takich jest obecnie bardzo dużo , a w dodatku są one (w zakresie szczególów swego działania) mczej słabo znane wśród podmiotów gospodarczych chcą cych prowadzić działalność w zakresie e-biznesu. Dlatego w pracy omówiono pokrótce algorytmy działania dwóch najbardziej przydatnych Uak się wydaje) algorytmów kryptograficznych z kluczem jawnym wykorzystywanych do zapewniania bezpieczeństwa związanego z handlem elektronicznym. Opisane algorytmy RSA i EIGamala są najczęściej wskazywane tak że w literaturze jako najodpowiedniejsze dla rozwiązywania problemów e-biznesu, zatem ich poznanie wydaje się szczególnie ważne. W pracy zwrócono także uwagę na zagrożenia, jakim ulec mogą dane podczas tmnsmisji internetowych, z którymi często utożsamia się electronie eommeree, co powinno pomagać w ich unikaniu przy podejmowaniu w tym zakresie dzialań praktycznych także w Polsce. Literatura Koblitz N. [2000], Algebraicwe aspekry kryptografii, WNT, Warszawa. Koblitz N. [1995), Wyklady z teorii liczb i kryptografii, WNT, Warszawa, Kutylowski M .. Strothmann W. B. [1998), Klyptografia - teoria i praktyka zabezpieczellia. systemów kompwerowych, Oficyna Wydawnicza ReadMe, Warszawa. Ogiela M.R. [2000), Podstawy kryptografii, AGH, Kraków. RobIing Denning D. E. [1992), Kryptografia i ochrolla dallyeh,WNT, Warszawa, Schneier B. [1994], Applied Cryprography Protocols, Algoritllllls alld Code ill C, John Wiley & Sons Inc. Stallings W. [1997), Oc/u'olla dallych IV sieci i illtersieci, WNT, Warszawa. Tadeusiewicz R., Moszner P., Szydelko A. [1998], Teoretyewe podstmvy illformatyki, WSP, Kraków. Zimmermann p, R. [1998], Cryplograplly fOl'llIe IlItemet, "Scientific American".. Źródła internetowe. [l] A 1999 U.S. Rewii Sales, Mail Sales, alld Depm·tmellt Store Sales RevielV, Dougal M. C.sey, red. Michael Baker, lntern"tional Council or Shopping Centers 2000, http://www.icsc.orglsrch/rsrch/wp/99sloresnlesreview.hlml [2J E,Colllmeree : Research, The Boston Consulting Graup, 2000, http://www.bcg.com/practice/ecommerce/btb_ecommerce_bu Iletin ,asp [3J "e-Statystyka Polska", Andrzej Radziewicz, Magazyn On-line Valuc, 12.11.2000, http://www.value.hg.pllstatyslyka.hlml [4} European Jnitiative Oli E-commerce, Komitet Spraw Gospodarczych i Monetarnych oraz Polityki Przemysiowej Unii Europejskiej , 1998, hUp:/Ierikamann.com/ccom/initialive,html. [5] Europe leaps to e-commerce, Molly Upton, IDC E-business trends, 18 ,05.2000, http://www.idc.com/ebusinesstrends/ebt2000-05-18.stm.

(19) lM,h,",,,,". aspekty. handlu elektronicznego. [6] How Safe is Your Network?, Andrzej Ratajczyk, "The Warsaw Voice" nr 31 (614), 30 lipca, http://www.warsawvoice.com.pl/v614/BusinessOO.htm1 [7] International Data Corporation (IDC), 1999, http://www.yahoo.com [8] llIternet IV Biznesie, Arthur Andersen 2000, http://www.arthurandersen.com.pl/zaa/ index5 .nsf/web-all/BC_prez.e-business .htm I [9] Telecomnumicatiolls Watch, Trans European Telecom Networks - Ten Telecom, 2000, http://156.54.253.12/tentelecom/en/watpartA .html [lO] The Race for OnUlle Riehes - E-Retailillg ill Europe. The Boston Consulting Group, 2000, htlp://www.bcg.com [11] T/Je State ofOllline Retailillg, Shop.org Research, The Boston Consulting Group, 1999, htlp://www.shop.org [12] Ullderstanding the lIIte1'llet Eeonom)', Sanford On-Line Courses, 2000, hUp://www.sanford.com/ism4480/notes/ebusiness.htm [13] US e-eommeree 1998-2003, Forrester Research, 2000,. http://www.nua.ie/surveys/analysis/graphs_chartsJcompal.isons/ecommerce_us,html [14]1998 Mail Order Sales Resuits, National Mail Order Association, 27 marcu 1999,. hUp://www.nmoa.org/Library/1998sale.htm. Selecled Aspecls of Safe Electronlc Commerce In the presence of increasing availability and popularity of various resources, means and tooIs connected with the Internet, there is ongoing growth of the economic significance of teleinformation techniques. Running a business with application of information techniques is more and more com mon, however, the deveIopment of electronic business encounters many meaningful difficulties and obstacles that will soon become serious barriers for the progress of all sectors of internet economy, Especially the issues ot' safe communication between business entities in e-commerce activity could create growing probIerns. The requirement of the reliabIe and secure exchange of information is an essential condition of nil trading activities. Additionally the sent infonnation has to be undeniable (Le. the sender cannot withdraw from consequences of electronically sent orders, even if they tum out to be disadvantageous for him or her). This issue is especially important in the context of widespread electronic commerce, because the prospect of many contracting parties trading by the computer network, which has no limitatians concerning borders, time zanes Ol' economic systems, creates -specific threats. ConsequentIy, there is an increasing need for tools and methods enabling running a business - with utilization of information techniques (mainly in the Internet) - in a secure way. The article presents and discusses selected aspects of this problem with particular consideration of the use of two cryptographic tcchniques in electronic commerce: the first one - message ciphering method with public key, based on RSA algorithm, and the second one - E1Gamal algorithm for numerical signatures. The study shows essential elements of bath of the recommended techniques and indicates the reasons why they are worth recommendation in electronic commerce tasks..

(20)