В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
При дистанционном взаимодействии особая роль уделяется идентификации участников, ведь весьма затруднительно использовать привычные идентификаторы "реального мира" такие, как, например, паспорт или водительское удостоверение. Беглый взгляд на многообразие деятельностей в рамках e-commerce наталкивает на мысль об использовании разных механизмов идентификации и аутентификации в разных видах электронной коммерции. Действительно, при покупке в интернет-магазине, скажем, планшета клиенту в большинстве случаев достаточно предоставить e-mail и контактный телефон, а процедура аутентификации (проверка подлинности соответствия "виртуального клиента" живому человеку, желающему совершить покупку) производится посредством голосового подтверждения заказа по телефону. Более критичные в финансовом плане сервисы (ДБО, ЭДО, торговые площадки и т.д.) резонно требуют более серьезного подхода. Рассмотрим этот вопрос для различных моделей электронной коммерции.
Начнем с наиболее урегулированных в России моделей: B2G и G2B. Резкий рост секторов этих моделей обусловлен максимальным переводом взаимодействия государства и бизнеса в электронный вид с достаточной нормативной поддержкой. Сюда относятся всевозможные виды декларирования, взаимодействие в рамках предоставления государственных услуг и т.д., ну и, конечно же, нельзя не упомянуть уникальную систему закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд. В качестве идентификатора субъектов взаимодействия в этих сервисах используется квалифицированный сертификат ключа проверки ЭП. Этот документ фактически связывает уполномоченное лицо организации с его ключом проверки подписи. В процессе аутентификации пользователь фактически доказывает владение вторым ключом в уникальной связанной ключевой паре (ключом формирования подписи), который должен храниться в секрете. Сертификат заверяется аккредитованным Удостоверяющим центром, и его получение возможно только при предоставлении достаточно широкого перечня документов и личного присутствия лица или законного представителя. На сегодняшний момент аутентификация с помощью методов открытой криптографии наиболее безопасна при, как ранее упоминалось, сохранении в тайне закрытого ключа (ключа формирования ЭП). Для целей безопасного хранения и использования данного ключа применяются специальные устройства (смарт-карты и USB-токены) с аппаратной реализацией криптографических алгоритмов. Эти устройства позволяют производить все операции с закрытым ключом внутри защищенной памяти, то есть в доверенной среде. К сожалению, именно в сервисах моделей B2G и G2B по-прежнему широко распространено использование криптографических средств с извлекаемыми ключами, что позволяет расценивать риск кражи и несанкционированного использования ключевых контейнеров как высокий.
Наибольший "зоопарк" с идентификацией и аутентификацией происходит в сервисах моделей B2B. С одной стороны, повсеместно используются логины и пароли. Например, даже в таком сегменте, как торговля ценными бумагами и валютой часто можно встретить в качестве идентификатора простое наименование адреса e-mail. С другой, – в сфере дистанционного банковского обслуживания юридических лиц давно прочно применяются ранее описанные методы с использованием PKI-инфраструктуры.
Если вернуться к общей модели B2B, то стоит отметить стремительный рост сервисов ЭДО. Мощным локомотивом развития послужила легализация обмена счет-фактурами и прочими документами в электронном виде. Так как эта сфера находится в зоне интересов фискальных органов, то и методы идентификации/аутентификации применяются такие же, что и для моделей B2G и G2B.
Осталось р ассмотреть последние две широко распространенные модели B2C и C2C. Сервисы модели C2C не требуют специальных методов идентификации/аутентификации. На порталах, представляющих из себя доски с электронными объявлениями, зачастую требуется только идентификация продавца по логину и паролю, а степень доверия формируется на основании отзывов предшествующих покупателей. Сервисы модели B2C пестрят разнообразием. Большинство интернет-магазинов позволяют сделать заказ, просто указав номер телефона (дальнейшее оформление сделки ведется фактически устно). В свою очередь, сервисы, имеющие отношение к финансам, практически повсеместно требуют подтверждения посредством ввода одноразового пароля, пришедшего пользователю в виде SMS-сообщения.
Законодательные инициативы последнего времени существенно расширяют круг продуктов, получаемых в электронном виде (например, страховые полисы, микрокредиты и т.д.). Таким образом, российский сегмент B2C будет пополняться сервисами с документами, имеющими юридическую силу, что требует более серьезного подхода к вопросам идентификации и аутентификации субъектов. Решением может стать популяризация технологии ЭП на SIM-карте. При таком подходе в каждом мобильном телефоне уже будет устройство безопасности (смарт-карта), то есть у каждого гражданина будет технологическая возможность иметь и использовать электронный паспорт (сертификат ключа ЭП) в электронном мире.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2014