Аутентификация — процесс идентификации, позволяющий удостовериться в личности, желающей получить интерактивный доступ к информации, услугам, заключить сделку и т. п. Аутентификация дает гарантию того, что стороны впоследствии не смогут отрицать своего участия в сделке, что очень важно в сфере заработка в интернете. Выполняется для обеспечения безопасности и гарантирования исполнения сделок, основывается на использовании паролей, специальных карточек, алгоритмах электронной цифровой подписи (ЭЦП) и др. В настоящее время подавляющее большинство операций электронной коммерции во всем мире обслуживается с использованием цифровой подписи. Механизм применения ЭЦП включает два криптографических преобразования: формирование ЭЦП под документом и проверку ее подлинности. Цифровая подпись реализуется так называемой криптографией с открытым ключом (асимметричной криптографией).
Криптография с открытым ключом — класс асимметричных криптографических методов, использующих двукпючевые шифры: открытый ключ и закрытый ключ. Открытый ключ владелец пары сообщает всем своим корреспондентам для декодирования получаемых от него сообщений, кодирования направляемых ему сообщений и проверки подлинности его ЭЦП под сообщениями. Закрытый ключ известен только его владельцу и используется для создания ЭЦП под документами и сообщениями и расшифровки сообщений, зашифрованных открытым ключом.
На использовании данного метода основывается механизм ЭЦП (что удобно при быстром заработке в интернете). Для формирования ЭЦП под документом владелец ключей сначала по стандартному алгоритму вычисляет свертку документа — его уникальный идентифицирующий код (синонимы — хэш, дайджест), а затем зашифрованная закрытым ключом свертка помещается в конце документа.
Рассмотрим принципиальную схему выработки и проверки ЭЦП с применением алгоритмов асимметричного шифрования.
Хэширование применяется для сокращения объема шифруемой информации и тем самым повышения производительности шифрования. Ввиду того, что теоретически не гарантировано однозначное соответствие хэша оригиналу, хэш-функция подбирается таким образом, чтобы было практически невозможно изменить документ, сохранив результат хэширования.
Получив такое послание, адресат выполняет свертку текста по такому же алгоритму и расшифровывает подпись открытым ключом отправителя. Если результаты свертки и расшифровки совпали, можно уверенно сделать два вывода: письмо составил именно владелец закрытого ключа и текст письма дошел до адресата в неизменном виде.
Закрытый ключ может храниться в защищенной области на диске или в памяти специализированного автономного носителя, например USB- брелка или смарт-карты. Как правило, ключ дополнительно шифруется с использованием пароля или ПИН-кода, известных только правомерному владельцу.
Аутентификация субъекта, основанная на данной технологии, сводится к доказательству того, что он владеет закрытым ключом, соответствующим опубликованному открытому. В криптосистемах, поддерживающих технологию ЭЦП, доказательство владения заключается в том, что субъект подписывает своим закрытым ключом присланный ему запрос и посылает его обратно. Если проверка подтверждает корректность подписи — субъект действительно обладает соответствующим закрытым ключом. Для того чтобы злоумышленник, перехвативший подписанный запрос, не мог впоследствии использовать его, выдавая себя за правомерного владельца закрытого ключа, достаточно, чтобы запрос был неповторяющимся. Для того чтобы злоумышленник не подменил находящийся в свободном доступе открытый ключ, используется другая схема.
Крупнейшие компании и нормативные организации, занимающиеся вопросами безопасности в Интернете, совместно разработали гибкую норму верификации электронной подписи. По мнению представителей консорциума World Wide Web Consortium (W3C), это соглашение позволит всем пользователям Интернета быстро и без опасений обмениваться электронными документами. Новый стандарт позволяет применять подпись не только ко всему документу, но и к какой-либо отдельной его части, удостоверяемой подписантом. Это необходимо в том случае, если один и тот же документ проходит через руки нескольких сторон. Каждая из уполномоченных сторон сможет прочитать документ, внести в него необходимые коррективы, подписаться под ними и направить другой стороне.
С коммерческой точки зрения такая технология может быть с успехом использована при многосторонних сделках. В данном случае каждый из контрагентов подписывает только ту часть документа, за которую он несет ответственность.
Криптография с открытым ключом — класс асимметричных криптографических методов, использующих двукпючевые шифры: открытый ключ и закрытый ключ. Открытый ключ владелец пары сообщает всем своим корреспондентам для декодирования получаемых от него сообщений, кодирования направляемых ему сообщений и проверки подлинности его ЭЦП под сообщениями. Закрытый ключ известен только его владельцу и используется для создания ЭЦП под документами и сообщениями и расшифровки сообщений, зашифрованных открытым ключом.
На использовании данного метода основывается механизм ЭЦП (что удобно при быстром заработке в интернете). Для формирования ЭЦП под документом владелец ключей сначала по стандартному алгоритму вычисляет свертку документа — его уникальный идентифицирующий код (синонимы — хэш, дайджест), а затем зашифрованная закрытым ключом свертка помещается в конце документа.
Рассмотрим принципиальную схему выработки и проверки ЭЦП с применением алгоритмов асимметричного шифрования.
Хэширование применяется для сокращения объема шифруемой информации и тем самым повышения производительности шифрования. Ввиду того, что теоретически не гарантировано однозначное соответствие хэша оригиналу, хэш-функция подбирается таким образом, чтобы было практически невозможно изменить документ, сохранив результат хэширования.
Получив такое послание, адресат выполняет свертку текста по такому же алгоритму и расшифровывает подпись открытым ключом отправителя. Если результаты свертки и расшифровки совпали, можно уверенно сделать два вывода: письмо составил именно владелец закрытого ключа и текст письма дошел до адресата в неизменном виде.
Закрытый ключ может храниться в защищенной области на диске или в памяти специализированного автономного носителя, например USB- брелка или смарт-карты. Как правило, ключ дополнительно шифруется с использованием пароля или ПИН-кода, известных только правомерному владельцу.
Аутентификация субъекта, основанная на данной технологии, сводится к доказательству того, что он владеет закрытым ключом, соответствующим опубликованному открытому. В криптосистемах, поддерживающих технологию ЭЦП, доказательство владения заключается в том, что субъект подписывает своим закрытым ключом присланный ему запрос и посылает его обратно. Если проверка подтверждает корректность подписи — субъект действительно обладает соответствующим закрытым ключом. Для того чтобы злоумышленник, перехвативший подписанный запрос, не мог впоследствии использовать его, выдавая себя за правомерного владельца закрытого ключа, достаточно, чтобы запрос был неповторяющимся. Для того чтобы злоумышленник не подменил находящийся в свободном доступе открытый ключ, используется другая схема.
Крупнейшие компании и нормативные организации, занимающиеся вопросами безопасности в Интернете, совместно разработали гибкую норму верификации электронной подписи. По мнению представителей консорциума World Wide Web Consortium (W3C), это соглашение позволит всем пользователям Интернета быстро и без опасений обмениваться электронными документами. Новый стандарт позволяет применять подпись не только ко всему документу, но и к какой-либо отдельной его части, удостоверяемой подписантом. Это необходимо в том случае, если один и тот же документ проходит через руки нескольких сторон. Каждая из уполномоченных сторон сможет прочитать документ, внести в него необходимые коррективы, подписаться под ними и направить другой стороне.
С коммерческой точки зрения такая технология может быть с успехом использована при многосторонних сделках. В данном случае каждый из контрагентов подписывает только ту часть документа, за которую он несет ответственность.
985 