E-TICARET’TE GUVENLİK SİSTEMLERİ BTEP 301 – KONU 9
E-TICARETİN HEDEFLERİ Basit Düzenli Hızlı Verimli Güvenli 24 saat – 365 gün devamlılık
AMAÇ Maliyetleri düşürmek, Zamanlamayı azaltmak, Kaliteyi arttırmak, Rekabet ve küresel ölçekte ticaret.
ELEKTRONİK ÖDEMELERDEKİ SORUNLAR Kredi kartı, Akıllı Kart (Smart kart), E-para E-çek, Ödeme sistemlerinin problemleri; Güvenlik, Gizlilik, Kimlik belirleme, Kötü amaçlar için kullanabilme.
İNTERNETTE GÜVENLİK Yazılım ve ağ altyapısından kaynaklanan sorunlar, Güvenlik Duvarları (Firewall) kullanılmaması Virüs Geçitleri (Virus Gateway) Bilgilerin veritabanında şifreli olarak tutulmaması Teknik açıklar nedeniyle kötü niyetli kişilerin araya girmesine karşı; SSL SET güvenlik önlemlerinin alınması.
E-TİCARETTE GÜVENLİK SORUNU Giriş yetkisi verilmeyen ağ kaynaklarına giriş Bilgi ve ağ kaynaklarını imha etmek,zarar vermek Bilgiyi değiştirmek,karıştırmak, yeni şeyler eklemek Yetkisiz kişilere bilginin iletilmesi Bilgi ve ağ kaynaklarının çalınması Alınan hizmetlerin inkar edilmesi Ağ hizmetlerinin kesilmesi ve bozulmasına sebep olmak
ÇÖZÜMLER Güvenlik Duvarları (Firewall) Şifreleme Kriptografi türleri Sayısal (Dijital) imza Sayısal (Dijital) sertifikalar İnternet Protokolleri, SET SSL S/MIME PGP PPTP
ÇÖZÜMLER Elektronik ticarette alıcı ve satıcı birbirlerini görmeksizin iş yaptıklarından karşılıklı olarak güvenin sağlanması için ek bir takım önlemler almaya ihtiyaç duyarlar. Öncelikle alıcı ve satıcı taraflar birbirlerinin kimliklerinden emin olmak isterler. İşte bu ihtiyaçtan dolayı daha sonra bahsedeceğimiz sayısal imza ve sayısal sertifika kavramları geliştirilmiştir.
ÇÖZÜMLER Sanal alış veriş hizmeti veren firmalar, kredi kartı bilgilerinin güvenliği ve gizliliğini sağlamak için yaygın olarak SSL ve SET gibi güvenlik standartlarını kullanmaktadırlar. Kullancı, işyeri ve banka arasındaki veri akışı sırasında bilgilerin şifrelenerek aktarılması esasına dayanan güvenlik sistemleri sayesinde bilgilerin başka bir kişinin eline geçmesi durumunda çözülebilmesi (yani kullanılabilmesi) önlenir. Böylece kart bilgilerinin gizliliği ve alış verişin güvenliği sağlanmış olur. Burada önemli bir noktada, gizlilik sağlansa da müşteriye itiraz hakkının verilip verilmeyeceğidir. (Kuruluşlar genelde itiraz hakkı verirler.)
SSL ve SET 128 bit şifreleme anahtarı kullanırlar
Güvenlik İçin Kullanılan Protokoller İnternet üzerinde dolaşan bilgi paketleri, bir takım güvenlik protokolleri yardımıyla "şifrelenerek" gönderilir. Bunlardan en popülerleri SSL (güvenlikli web oturumu ve karşılıklı bilgi değiş-tokuşu) ve SET (kredi kart uygulamalar)dır. SSL (Secure Sockets layer) ve SET (Secure Electronic Transaction) sayesinde, bilgi güvenli bir şekilde "sadece" doğru kişiye iletilir ve bilgiyi gönderen bilgisayar ile alan bilgisayar arasında güvenli bir veri iletişimi kurulur.
SSL (Secure Socket Layer) Güvenli Giriş Katmanı 1994 yılında Netscape tarafından geliştirilmiş bir program katmanıdır.TCP/IP protokolü üzerinde çalışır. Sunucu ile tarayıcı arasında bilgi akışını korur. SSL ulaşım (transport) katmanında yer alır. Esnektir ve protol bağımsızlığı sağlar. SSL, simetrik şifreleme algoritması, mesaj özü fonksiyonu ve kimlik tanımlaması seçiminde esnektir. SSL veriyi sıkıştırmayı dahili olarak destekler.
SSL (Secure Socket Layer) Güvenli Giriş Katmanı SSL, web sunucularına (Apache vb), bir modül olarak yüklenir ve böylece web sunucuları güvenli erişime uygun hale gelir. SSL, hem istemci (bilgi alan) hem de sunucu (bilgi gönderen) bilgisayarda bir doğrulama (authentication: iki bilgisayarın karşılıklı olarak birbirini tanıması) mekanizması kullanır. Böylece, bilginin doğru bilgisayardan geldiği ve doğru bilgisayara gittiği teyit edilir.
SSL 3 Temel Tipte Güvenlik Sağlar. Sunucu girişleri (Server authentication) Kriptografi (Encryption) ile gizlilik saglama Verilerin bütünlüğü
SSL Nasıl Çalışır? Bilgisayarlarn birbirlerini "tanıma" işlemi, açık-kapalı anahtar tekniğine (public-private key encryption) dayanan bir kripto sistemi ile sağlanır. Bu sistemde, iki anahtardan oluşan bir anahtar çifti vardır. Bunlardan açık anahtar (public key) herkes tarafından bilinebilen ve gönderilen mesaj "şifrelemede" kullanılan bir dijital anahtardır. Ancak, açık anahtar ile şifrelenen mesaj sadece bu anahtarın diğer çifti olan "kapalı anahtar" (private key) ile açılabilir (deşifre edilebilir). Kapalı anahtar da, sadece sizin bildiğiniz bir anahtar olduğundan, mesaj güvenliği sağlanmış olur.
SSL Nasıl Çalışır? Örnek olarak, size mesaj göndermek isteyen birine kendi açık anahtarınızı gönderirsiniz. Karşı taraf bu anahtarı kullanarak mesajını şifreler ve size gönderir. Şifrelenen mesajı, sadece sizde olan ikinci bir anahtar (kapalı anahtar yani private key) çözebilir ve bu anahtarı sadece siz bilirsiniz. Mesaj eğer üçüncü şahısların eline geçerse, bundan tarafların haberi olur.
SSL Nasıl Çalışır?
SSL Nasıl Çalışır? SSL, web sunucusunu tanimak için, dijital olarak imzalanan sertifikalar kullanır. Sertifika, aslında, o organizasyon hakkında bazı bilgiler içeren bir veri dosyasıdır. Aynı zamanda da, kuruluşun açık-kapalı anahtar çiftinin "açık" anahtar da sertifika içinde yer alır. Sunucu sertifikas da, o sunucuyu işleten kuruma ait bilgiler içeren bir sertifikadır. Sertifikalar, "güvenilir" sertifika kuruluşları tarafından dağıtılır (Örneğin VeriSign).
Sayısal İmza Sayısal (dijital) imza ,elektronik ortamda gönderilen bilginin veya e-mail’in kime ait olduğunu göstermek için kullanılır. Dijital imzaların oluşturulmasında ve doğrulanmasında dijital sertifikalar kullanılır. Gönderdiğiniz veriyi imzalamak için kendinize ait bir dijital sertifikanız bulunmalıdır.
Sayısal İmza Dijital imza, veri akışı sırasında bilgilerin içeriğini korur, bir başka kişinin eline geçmesini ya da değiştirilmesini engeller, bilginin sadece alıcıya gittiğini ve sadece alıcı tarafından okunacağını garanti eder. Dijital imza, veriyi gönderenin ve alanın kim olduğunun kanıtlanmasına imkan tanır. Yani imzalanmış bir dökümanı yollayan kişi onu yolladığını inkar edemez ve alıcıdan aldığını inkar edemez.
SSL ve SET Kullanımı
SET (Secure Electronic Transfer) Güvenli Elektronik İşlem Tarihcesi SET (Secure Electronic Transaction), elektronik ticarette, internet üzerinde güvenli bilgi aktarımını sağlamak amacıyla aralarında VISA, MasterCard ve IBM’in de olduğu kuruluşlar tarafından geliştirilen bir protokoldür. Garanti Bankası şubat 1998 de gerçekleştirdiği SET uyumlu alışverişle, bu protokolü kullanmaya başlayan Dünyada yedinci, Avrupada dördüncü ve Türkiye de ilk kuruluş olmuştur.
SET (Secure Electronic Transfer) Güvenli Elektronik İşlem İnternet üzerinden kredi kartıyla güvenli ödeme yapabilmektir. Protokolün amacı kullanıcının kredi kartı ikinci taraflarca okunmaması ve ödeme emrindeki mal miktarı, ödeme miktarı, zaman bilgisi vb. diğer bilgilerin, hem alıcı, hem satıcı hem de aracı kurum olarak banka tarafından inkar edilemez nitelikte olmasıdır.
SET (Secure Electronic Transfer) Güvenli Elektronik İşlem SET her müşteriye bir e-cüzdan (browser wallet) verilmesini öngörür. Açık anahtar şifrelemesini, DES ve RSA birleşimini kullanır. SET, özellikle on-line kredi kartı bilgi iletimi için geliştirilmiş bir standarttır. SET, kredi kartı ile yapılan online ödemelerde, bilgilerin internet üzerinden aktarımında gizlilik ve güvenlik entegrasyonunu sağlar.
SET (Secure Electronic Transfer) Güvenli Elektronik İşlem SET protokolünü kullanmak isteyenler, Kullanmak istedikleri herbir kredi kartı için sertifika otoritesinden birer SET sertifikası almalı, Bankadan sanal cüzdan programını alıp yüklemeli ve kredi kartlarını tanıtmalı, SET, SSL’e göre daha güvenlidir.
SET’in Güvenlik Seviyeleri Gizlilik, DES + RSA Mesaj Bütünlüğü Yetkilendirme
SSL ile SET Arasındaki Farklar SSL’de kart bilgilerini gönderen kişinin kart sahibi olduğu garanti edilememektedir. SET’de garanti edilir. SSL’de kart bilgileri internet üzerinden şifreleniyor. Mağaza kart bilgilerini görüyor. SET’de kart bilgilerini mağaza göremiyor. Sadece banka görebiliyor.
Araştırma Soruları Ateş duvar kullanımının, veritabanı ve sisteme sağladığı korumayı açıklayınız. Virus geçitlerinden sisteme ulaşabilecek tehditler nelerdir? Birer cümle ile açıklayınız. Bu tehditler sistemin hangi bölümlerini etkiler? En gelişmiş güvenliği sağlayan 3 farklı kriptografi/şifreleme methodundan bahsediniz.
Araştırma Soruları Dijital İmza ve Dijital Sertifika hakkını sağlayan kurumlardan bahsediniz. Her bireyin dijital imza sahibi olması için gerçekleştirmesi gereken adımları açıklayınız. Dijital İmza ve Dijital Sertifika e-ticarette nasıl çalışır. Birer paragrafla özetleyiniz.