SSL: Защита с гарантией в 1 млн. долларов
С развитием банковской деятельности и конкуренции в банковской сфере предоставление онлайн-доступа к своим услугам стало для игроков рынка необходимым условием удержания позиций. Но как гарантировать безопасность при проведении транзакций через интернет? Как избежать искажения данных и кражи паролей? Часть проблем может быть успешно решена с помощью стандартных средств протокола HTTPS – SSL-сертификатов.
Веб-технология совершила заметный прорыв в области безопасности пользования услугами банков через интернет. Хотя в глобальной сети перехватить и исказить информацию проще, чем, например, в телефонной, стандартные средства безопасности протокола HTTPS (стандартный вебовский HTTP, защищенный технологией SSL – Secure Socket Layer) обеспечивают значительно большую защищенность и надежность. Во-первых, это полное шифрование всего потока передаваемых и принимаемых данных. Во-вторых, решение проблемы, которая первоначально даже не ставилась перед разработчиками протокола – возможность подтверждения подлинности того сайта, на который заходит пользователь.
Актуальной эта проблема стала в последние год-два, после появления массовых хакерских атак (фишинг, сниффинг) и попыток подстановки пользователю сайтов, похожих на сайт банка, с целью сбора приватной информации о клиентах: номера карт и счетов, параметры доступа и т.п.
Для того чтобы пользователь был уверен, что он действительно заходит на сайт банка, а не на подставную страничку, предназначена система сертификатов и подписей на основе технологии открытых и закрытых ключей. Она использует математический метод шифрования данных, при котором информация, зашифрованная закрытым ключом, хранящимся в тайне, может быть расшифрована только парным открытым ключом, который свободно доступен всем желающим.
Получить из открытого ключа закрытый математически невозможно, и это гарантирует 100% верную идентификацию. Во главе системы сертификатов SSL стоит ряд организаций, именуемых сертификационными центрами, главные (корневые) открытые ключи которых встроены во все популярные веб-браузеры. Когда пользователь заходит на сайт банка или веб-магазина, браузер читает предоставляемую веб-сервером подпись (сертификат сайта), зашифрованную закрытым ключом сертификационного центра. Затем, применяя открытый ключ этого сертификационного центра, он проверяет подлинность предъявленного сертификата. Таким образом, если проверка прошла успешно, пользователь гарантированно находится на нужном сайте.
Существует также административный уровень сертификации, который дополнительно гарантирует, что сайт, на который зашел пользователь, действительно принадлежит компании, которая указана на сайте, и эта компания действительно существует легально. Ведь в отличие от оффлайна пользователь должен решиться отдать или доверить свои деньги компании, в офисе которой он ни разу не был и не будет, людям, с которыми он незнаком и никогда их не узнает лично. Для такой сертификации у компании запрашивается ряд документов, проводится проверка их соответствия сертификационным центром.
Выдачей подписей сайтов занимаются либо непосредственно центры, либо их дилеры. Один из наиболее известных и распознаваемых браузерами сертификационных центров – компания Thawte, представителем которой в России является "Хостинг-Центр РБК". Компания предоставляет широкий спектр сертификационных услуг, начиная от подписи цифровых ключей банка и заканчивая сертификатами уровня крупных предприятий с глубокой проверкой их деятельности. Отличительная особенность работы с "Хостинг-Центром РБК" – работа в российском правовом поле с российской компанией, с учетом специфики российских документов, рублевые платежи за услуги на российское юридическое лицо. При этом цены на сертификацию невысоки: стоимость годового SSL-сертификата составляет от 183 долл."
Некоторые компании ограничиваются полумерами, используя самоподписанные SSL-сертификаты. Отличие последних в том, что они позволяют шифровать данные, но не обеспечивают проверку их подлинности. При посещении сайта, где установлен подобный сертификат, браузер выдает предупреждающее сообщение.
Для регистрации SSL-сертификата необходимо направить запрос (CSR), в котором указываются криптографические ключи сайта и информация о нем. Сертификационный центр анализирует данные и осуществляет цифровую подпись предоставленной информации, после чего результат возвращается обратно. В дальнейшем полученный подписанный сертификат можно использовать в системе.
Долгий путь к SSL
Системы удаленного доступа к банковским системам возникли давно. Для повышения удобства пользователей, а заодно и для большей автоматизации банковской деятельности были придуманы системы клиент-банк, идеей которых было прямое взаимодействие клиента с банком посредством каналов связи. Чтобы клиент мог, не выходя из дома или офиса, в любой момент дня или ночи получить банковскую выписку, отправить перевод или сделать другие действия со своими счетами.
В первое время, когда сети интернет еще не было, основным средством соединения банка и клиента была прямая телефонная связь с модемным пулом банка, а авторизация пользователя производилась по паролю в терминальном режиме. При этом сам канал связи не шифровался, и в принципе перехватить информацию было достаточно просто (по крайней мере, это стоило несравнимо меньше, чем возможный “доход” от воровства денег со счетов).
Потом на смену терминальному доступу пришли клиент-серверные приложения, устанавливаемые на компьютер пользователя. Многие из них в качестве транспорта использовали технологию и программное обеспечение любительской компьютерной сети FIDONet в качестве транспортного уровня, сами же данные шифровались с использованием разнообразнейших алгоритмов и систем хранения ключевой информации (дискеты, разнообразные устройства, которые подключались к компьютеру и т.д.). Основным недостатком такого решения были жесткие требования к операционной системе и аппаратному обеспечению, установленной на компьютере клиента. Причем требования зачастую такие, что даже при смене версии Windows ПО клиент-банка отказывалось работать.
Все изменилось с приходом эры Интернет. Получил развитие интернет-банкинг, система клиент-банк стала представлять собой веб-сайт, на котором клиентская часть зашита в Java-апплеты. Такой подход произвел революцию в этой области. Для того, чтобы работать с клиент-банком, пользователю теперь достаточно иметь доступ к сети интернет и веб-браузеру. А эти условия реализуемы практически в любой точке земного шара 24 часа в сутки, 7 дней в неделю. Для связи с банком можно использовать самые разные устройства, от рабочего персонального компьютера до терминала в интернет-кафе или даже мобильного телефона или PDA. Наличие стандартного средства шифрования и идентификации сайтов, которым являются SSL-сертификаты, значительно облегчает жизнь пользователям, да и самим компаниям.
Естественно, даже самые надежные системы защиты пасуют перед человеческой беспечностью. Компании, выдающие SSL-сертификаты, готовы нести материальную ответственность за ущерб, причиненный вследствие взлома или подделки сертификата, причем гарантированные суммы могут составлять миллионы долларов. Но только пользователь отвечает за собственные действия и решает, обратить ли внимание на предупреждение системы, разрешить ли безопасное соединение с сайтом, на котором нет SSL-сертификата.
* Мнение Редакции MoneyNews может не совпадать с мнением авторов оригинальных материалов. Комментировать
Комментировать статьи на сайте возможно только в течении 30 дней со дня публикации.