Читайте также:
|
|
Это первый из критериев — набор параметров, обеспечивающий, техническую сторону защиты информации. В этот параметр включены: криптографические методы шифрования, аутенфикация и доступ при помощи специального аппаратного обеспечения (в самом примитивном случае — с помощью USB-ключей).
Ни для кого не секрет, что основным критерием защиты информации в техническом плане является, конечно, шифрование данных, а конкретнее - криптографические алгоритмы, с помощью которых они реализованы. Известно также, что чем больше длина ключа, тем труднее расшифровать его и, соответственно, получить доступ к конфиденциальной информации. Три из «испытуемых» систем используют широко известный и широко уважаемый алгоритм RSA: Webmoney, «Яндекс.Деньги», Cyberplat. В E-Port применяется шифрование через SSL-протокол версии 3.0. Фактически шифрование реализовано с помощью SSL-ключей, которые уникальны и генерируются во время сессии, поэтому и названы сеансовыми ключами. Длина SSL-ключа в системе E-Port варьируется в пределах от 40 до 128-ми бит, что, по оценкам экспертов, вполне достаточно для приемлемого уровня безопасности транзакций.
В системах Webmoney, «Яндекс.Деньги» и Cyberplat, для шифрования данных используется криптографический алгоритм RSA. При этом системы используют ключи разной длины. К примеру, в Webmoney и «Яндекс.Деньги» применяется ключ длиной 1024 бита (очень высокий показатель, взломать такой ключ методом простого перебора практически невозможно), а в Cyberplat используется ключ в два раза короче — 512 бит. Соответственно, для первых двух систем по этому критерию получаем максимальный балл — 3. Cyberplat, из-за того что применяет ключ шифрования меньшей длины, получает два балла. Остается только оценить по этому параметру E-Port.
Несмотря на использование в ней SSL-протокола и даже на длину ключа до 128-ми бит, в E-Port есть некоторая потенциальная уязвимость: многие старые версии браузеров поддерживают шифрование с ключами меньшей длины, поэтому существует возможность взломать полученные данные; соответственно, для тех, кто использует браузер как клиент для платежной системы, обязательно работать с его последней версией (конечно, это не всегда удобно и возможно). Однако в графе «шифрование» мы можем выставить для E-Port 1,7 балла: система заслужила такую оценку благодаря применению прогрессивного протокола PGP для шифрования сообщений электронной почты.
Следующий параметр в «техническом обеспечении информационной безопасности транзакций» - «аутенфикация», то есть совокупность решений, которые нужны пользователю для доступа к его собственной персональной информации. В системах Webmoney и «Яндекс.Деньги» для доступа используются два критерия, в то время как в Cyberplat и E-Port - только один. В Webmoney для доступа в систему и проведения платежей необходимо вводить пароль и специальный ключ. Подобно работает и «Яндекс.Деньги»: требуется пароль и специальная программа-кошелек. Во всех остальных системах доступ осуществляется по паролю.
Однако в системе E-Port для работы по SSL-протоколу web-сервер потенциального клиента (и любого другого участника системы) должен иметь специальный цифровой сертификат, который получен от одной из уполномоченных компаний. Этот сертификат используется для аутентификации web-сервера клиента. Кстати, механизм защиты сертификата, который используется в E-Port, сертифицирован компанией RSA Security. Соответственно, Webmoney и «Яндекс.Деньги» получают здесь по троечке, Cyberplat — 0 баллов, E-Port — один.
Третий и последний параметр - доступ к системе с помощью специального аппаратного обеспечения, например USB-ключей.. Подобную дополнительную опцию из всех систем имеет лишь Webmoney, остальные не предоставляют такой возможности. Однако, разумеется, в Webmoney данный сервис является добровольным. Таким образом, с учетом весового коэффициента, Webmoney получает по этому параметру 1,5 балла, все остальные — по нулю.
Дата добавления: 2015-10-30; просмотров: 131 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Структура WebMoney. | | | Организационно-правовое обеспечение безопасности транзакций. |