Инструментарий для работы с SSL, CodeSigning, PDF, DigitalID и Email сертификатами

Защита информации очень важна для финансовых систем, независимо от того, основаны они на физических или на электронных транзакциях. В реальном мире уделяется много внимания физической безопасности, а в мире электронной коммерции приходится заботиться о средствах защиты данных, коммуникаций и транзакций. Имея дело с сетевыми компьютерами, следует помнить о существовании нескольких вероятных угроз. Они перечислены ниже наряду с решениями, позволяющими организовать и значительно повысить защищенность информации, в том числе и в ситуациях, не связанных с электронной коммерцией, например, при отправке конфиденциальной информации по электронной почте.

Угрозы безопасности и методы их устранения

• Данные преднамеренно перехватываются, читаются или изменяются
  - Шифрование Кодирование, данных, препятствующее их прочтению или искажению.
  - Симметричное или асимметричное шифрование
• Пользователи идентифицируют себя неправильно (с мошенническими целями)
  - Аутентификация Проверка подлинности отправителя и получателя
  - Цифровые подписи
• Пользователь получает несанкционированный доступ из одной сети в другую
  - Брандмауэр
  - Фильтрация трафика, поступающего в сеть или на сервер
  - Брандмауэры виртуальные частные сети

Среди главных требований к проведению коммерческих операций – конфиденциальность, целостность, аутентификация, авторизация, гарантии и сохранение тайны. Первые четыре требования можно обеспечить техническими средствами, но выполнение последних двух - достижение гарантий и сохранение тайны - равно зависит и от технических средств, и от ответственности отдельных лиц и организаций, а также от соблюдения законов, защищающих потребителя от возможного мошенничества продавцов.

Обзор основ криптографии

Шифрование используется для аутентификации и сохранения тайны Современные криптографические алгоритмы в совокупности с мощными компьютерами дают возможность повседневно эффективно использовать самые сложные методы аутентификации и шифрования. Когда Вы слышите о шифровании, то, вероятно, сразу же представляете себе перевод данных в нечитаемую форму для сохранения тайны. Но криптография помогает решать и другие задачи, включая аутентификацию работающих в сети компьютеров и отдельных лиц, например, при осуществлении транзакций в Web. Кроме того, криптография включает специальные методы цифровой идентификации личности, которые могут быть использованы в сети при передаче сообщений или файлов, например, для аутентификации посланий и программного обеспечения.

Криптографические технологии обеспечивают три основных типа услуг для электронной коммерции: аутентификацию (которая включает идентификацию), невозможность отказа от совершенного (non-repudiation) и сохранение тайны. Идентификация (подвид аутентификации) проверяет, является ли отправитель послания тем, за кого себя выдает. Аутентификация идет еще дальше — проверяет не только личность отправителя, но и отсутствие изменений в послании. Реализация требования невозможности отказа не позволяет кому бы то ни было отрицать, что он отправил или получил определенный файл или данные (это схоже с отправкой заказного письма по почте). И, наконец, сохранение тайны — это защита посланий от несанкционированного просмотра.

Шифрование или кодирование информации с целью ее защиты от несанкционированного прочтения — главная задача криптографии с самых давних времен. Еще Юлий Цезарь использовал буквенный код, отправляя послания своим полевым командирам. Чтобы шифрование дало желаемый результат, необходимо, чтобы и отправитель, и получатель знали, какой набор правил (иначе говоря, шифр) был использован для преобразования первоначальной информации в закодированную форму (зашифрованный текст). Шифр задает правила кодирования данных. В самом простом случае шифрование может заменять каждую букву сообщения другой, отстоящей от нее на фиксированное число позиций в алфавите, например на 13. Если получатель знает, что отправитель сделал с посланием, то он может повторить процесс в обратной последовательности (например, заменить каждую букву отстоящей от нее на 13 в противоположном направлении) и получить первоначальный текст. Это называется "шифром Цезаря" Вот пример: если я применю 13-буквенный шифр Цезаря к своему имени то вместо David Kosiui получится "Univq Xbfvhe" (подсказка: когда отсчитывая буквы Вы дойдете до "Z", возвращайтесь к началу алфавита).

В основе шифрования — два понятия: алгоритм и ключ. Криптографический алгоритм — это математическая функция, которая комбинирует открытый текст или другую понятную информацию с цепочкой чисел, называемых ключом, для того чтобы в результате получился бессвязный шифрованный текст Алгоритм и ключ — основа процесса шифрования. Новый алгоритм трудно придумать, но один алгоритм можно использоватъ с многими ключами. Хотя и существуют некоторые специальные криптографические алгоритмы, не использующие ключ (см. описание хеш-функций в следующем разделе) , алгоритмы с ключом имеют особое значение. У шифрования с ключом два важных преимущества. Во-первых, новый алгоритм шифрования изобрести достаточно трудно и вряд ли Вы захотите делать это всякий раз, когда необходимо отправить тайное послание новому корреспонденту. Используя ключ, Вы можете применять один и тот же алгоритм для отправки сообщений разным людям. Все, что придется сделать, — закрепить отдельный ключ за каждым корреспондентом.
Во-вторых, если кто-то "взломает" Ваше зашифрованное послание, чтобы продолжить шифрование информации, Вам будет достаточно лишь поменять ключ. Переходить на новый алгоритм не придется (если, конечно, "взломан" ключ, а не сам алгоритм — такое хотя и маловероятно, но возможно). Количество бит в ключе определяет число возможных комбинаций, чем их больше, тем труднее подобрать ключ и вскрыть зашифрованное сообщение. Количество возможных ключей в данном алгоритме зависит от числа бит в ключе. Например, 8-битный ключ допускает лишь 256 (28) возможных числовых комбинаций, каждая из которых также называется ключом. Чем больше возможных ключей, тем труднее "вскрыть" зашифрованное послание. Таким образом, степень надежности алгоритма зависит от длины ключа. Компьютеру не потребуется много времени, чтобы последовательно перебрать каждый из 256 возможных ключей (на это уйдет меньше доли секунды) и, расшифровав послание, проверить, имеет ли оно смысл. Но если использовать 100-битный ключ (что эквивалентно перебору 2100 ключей), то компьютеру, опробующему миллион ключей в секунду, все равно может потребоваться несколько веков, чтобы отыскать правильный.

Надежность алгоритма шифрования зависит от длины ключа. Почему? Если знать, сколько бит в ключе, то можно оценить, сколько времени придется потратить, чтобы "взломать" шифр. Надеяться только на секретность алгоритма или зашифрованного текста неразумно — ведь посторонние могут получить эту информацию из конфиденциальных источников, а также путем сравнительного анализа посланий или каким-либо еще способом (например, отслеживая трафик) Тогда злоумышленник сможет расшифровать корреспонденцию.

Самая старая форма шифрования с использованием ключа — симметричное шифрование, или шифрование с секретным ключом. При шифровании по такой схеме отправитель и получатель владеют одним и тем же ключом, с помощью которого и тот, и другой могут зашифровывать и расшифровывать информацию .

Симметричное шифрование имеет некоторые недостатки например, обе стороны должны предварительно договориться о секретном ключе Если у Вас 100 корреспондентов, то Вам придется хранить 100 секретных ключей, по одному для каждого. Но использовать один ключ для нескольких корреспондентов нельзя — тогда они смогут читать почту друг друга. Схемам симметричного шифрования также присущи проблемы с аутентичностью, поскольку личность отправителя или получателя послания гарантировать невозможно. Если двое владеют одним и тем же ключом, каждый из них может написать и зашифровать послание, а затем заявить что это сделал другой. Такая неопределенность не позволяет реализовать принцип невозможности отказа.

Проблему отречения от авторства позволяет решить криптография с открытым ключом, использующая асимметричные алгоритмы шифрования. В симметричном шифровании используется один и тот же секретный ключ для шифрования и расшифровки посланий. Криптография с открытым ключом основана на концепции ключевой пары. Каждая половина пары (один ключ) шифрует информацию таким образом, что ее может расшифровать только другая половина (второй ключ) Одна часть ключевой пары — личный ключ известна только ее владельцу. Другая половина — открытый ключ распространяется среди всех его корреспондентов, но связана только с этим владельцем. Ключевые пары обладают уникальной особенностью. Данные, зашифрованные любым из ключей пары, могут быть расшифрованы только другим ключом из этой пары. Другими словами, нет никакой разницы, личный или открытый ключ используется для шифрования послания, получатель сможет применить для расшифровки вторую половину пары. Ключи можно использовать и для обеспечения конфиденциальности послания, и для аутентификации его автора. В первом случае для шифрования послания отправитель использует открытый ключ получателя, и таким образом оно останется зашифрованным, пока получатель не расшифрует его личным ключом. Во втором случае, отправитель шифрует послание личным ключом, к которому только он сам имеет доступ.

Например, чтобы отправить конфиденциальное послание, Вася сначала должен узнать открытый ключ Маши. Затем он использует этот ее открытый ключ для шифрования послания и отправляет Маше послание. Поскольку оно было зашифровано открытым ключом Маши, только тот, кто знает этот личный ключ (предположительно, только сама Маша), сможет его расшифровать. Размещение открытого ключа в сети делает его легко доступным для корреспондентов, и в то же время ни коим образом не угрожает защищенности Вашего личного ключа. Шифрование посланий открытым ключом принципиально не слишком отличается от симметричного шифрования с использованием секретного ключа, но все же имеет ряд преимуществ. Например, открытая часть ключевой пары может свободно распространяться без опасений, что это помешает использовать личный ключ. Не нужно рассылать копию своего открытого ключа всем корреспондентам; Они смогут получить его на сервере вашей компании или у Вашего провайдера. Учтите, каждый, кто имеет копию Вашего открытого ключа, способен прочитать послание, зашифрованное Вашим личным ключом. В коммерческих транзакциях принята стандартная процедура: покупатель шифрует послания своим личным ключом, а подтверждения продавца, в свою очередь, шифруются его личным ключом. Это означает, что всякий, кто знает открытый ключ продавца сможет это подтверждение прочитать. Для сохранения в тайне информации, посланной продавцом, необходимы дополнительные шаги.

Другое преимущество криптографии с открытым ключом в том, что она позволяет аутентифицировать отправителя послания. Поскольку Вы — единственный, кто имеет возможность зашифровать какую-либо информацию Вашим личным ключом, всякий, кто использует Ваш открытый ключ для расшифровки послания, может быть уверен, что оно от Вас. Таким образом, шифрование электронного документа Вашим личным ключом схоже с подписью на бумажном документе. Но не забывайте: нет никаких гарантий, что помимо получателя Ваше послание не прочтет кто-то еще. Использование криптографических алгоритмов с открытым ключом для шифрования посланий — это достаточно медленный вычислительный процесс, поэтому специалисты по криптографии придумали способ быстро генерировать короткое, уникальное представление Вашего послания, называемое дайджестом послания. Дайджест можно зашифровать, а затем использовать Вашу цифровую подпись. (Несмотря на название, дайджест послания не является его кратким изложением). Существуют популярные, быстрые криптографические алгоритмы для генерации дайджестов послания — односторонние хеш-функции. Односторонняя хеш-функция не использует ключ. Это обычная формула для преобразования послания любой длины в одну строку символов (дайджест послания). При использовании 16-байтной хеш-функции обработанный ей текст будет иметь на выходе длину 16 байт — например, послание может быть представлено цепочкой символов CBBV235ndsAG3D67. Каждое послание образует свой случайный дайджест. Зашифруйте этот дайджест своим личным ключом, и Вы получите цифровую подпись. В качестве примера, предположим, что продавец Вася преобразовал свое послание в дайджест, зашифровал его своим личным ключом, и отправил Маше эту цифровую подпись вместе с открытым текстом послания. После того как Маша использует открытый ключ Васи для расшифровки цифровой подписи, у нее будет копия дайджеста послания Васи. Поскольку она сумела расшифровать цифровую подпись открытым ключом Васи, то значит, Вася является ее автором. Затем Маша использует ту же самую хеш-функцию (о которой оба договорились заранее) для подсчета собственного дайджеста для открытого текста послания Васи. Если полученная ей строка совпадает с той, что прислал Вася, то она может быть уверена в аутентичности цифровой подписи. А это означает не только то, что отправитель послания Вася, но также и то, что послание не было изменено. При таком подходе единственная проблема в том, что само послание отправляется открытым текстом, и, следовательно, его конфиденциальность не сохраняется. Для шифрования открытого текста послания Вы можете дополнительно использовать симметричный алгоритм с секретным ключом. Но учтите, это приведет к дальнейшему усложнению процесса.

Цифровые сертификаты служат электронным подтверждением открытых ключей Чтобы использовать систему криптографии с открытым ключом, необходимо сгенерировать открытый и личный ключи. Обычно это делается программой, которая будет использовать ключ (такой, как ваш Web-браузер или программа электронной почты). После того, как ключевая пара сгенерирована, Вы должны хранить свой личный ключ в тайне от посторонних. Затем Вам нужно распространить открытый ключ среди своих корреспондентов. Можете использовать для этого электронную почту, но вдруг Вы забудете внести кого-то в список или у Вас появятся новые корреспонденты? Кроме того, такой подход не обеспечит аутентификации: кто-то может сгенерировать ключевую пару и, назвавшись Вами, разослать открытый ключ корреспондентам. После этого ничто не помешает ему отправлять сообщения от Вашего имени.

Сравнение методов шифрования

Нет системы шифрования, идеально подходящей для всех ситуаций. В таблице, приведенной ниже, проиллюстрированы преимущества и недостатки каждого типа шифрования.

Тип шифрования	Преимущества	Недостатки
Шифрование с симметричным ключом	быстрота легко реализовать аппаратно оба ключа одинаковы	трудно распространять ключи не поддерживает цифровые подписи
Шифрование с открытым ключом	использует два разных ключа относительно просто распространять ключи обеспечивает целостность и невозможность отказа от авторства (за счет цифровой подписи)	работает медленно требует больших вычислительных мощностей

Примите во внимание также различия в длине ключей и в структуре алгоритмов. Тогда можно понять, почему порой трудно выбрать подходящий алгоритм. Здесь нужно руководствоваться следующим правилом: определитесь, насколько секретна Ваша информация и сколько времени она будет оставаться таковой и нуждаться в защите. После этого выберите алгоритм шифрования и длину ключа, на "взлом" которых потребуется больше времени, чем то, на протяжении которого данные должны оставаться секретными. Вычислительная мощь компьютеров постоянно возрастает, а их стоимость падает, так что в будущем "взлом" длинных ключей становится увы, проще и дешевле.

Обзор систем защиты информации в Интернет
Как уже упоминалось, существует несколько видов угроз безопасности электронной коммерции. Для противодействия этим угрозам разрабатывается целый ряд протоколов и приложений, использующих криптографические методики. Интернет уже давно славится своей приверженностью к открытым стандартам. Такая поддержка в совокупности с открытостью обмена информацией может навести на мысль, что Интернет и безопасность — понятия взаимоисключающие. Это далеко не так. Хотя в прошлом информация в Интернет была менее защищена, чем в частных VAN- или корпоративных сетях, в настоящее время прилагаются большие усилия для внедрения механизмов защиты трафика в Интернет. Распространенные алгоритмы шифрования

• DES (Data Encryption Standard) — блочный шифр, созданный IBM и утвержденный правительством США в 1977 году. Использует 56-битный ключ и оперирует блоками по 64 бит. Относительно быстр; применяется при единовременном шифровании большого количества данных.
  
• Тройной DES основан на DES. Шифрует блок данных три раза тремя различными ключами. Предложен в качестве альтернативы DES, поскольку угроза быстрого и легкого "взлома" последнего возрастает с каждым днем.
  
• RC2 и RC4 — шифры с переменной длинной ключа для очень быстрого шифрования больших объемов информации, разработаны Роном Райвестом. Эти два алгоритма действуют немного быстрее DES и способны повышать степень защиты за счет выбора более длинного ключа. RC2 — блочный шифр, и его можно применять как альтернативу DES. RC4 представляет собой потоковый шифр и работает почти в десять раз быстрее DES.
• IDEA (International Data Encryption Algorithm) создан в 1991 году и предназначен для быстрой работы в программной реализации. Очень стойкий шифр, использующий 128-битный ключ.
• RSA назван в честь его разработчиков (Rivest, Shaimr и Adelman). Алгоритм с открытым ключом поддерживает переменную длину ключа, а также переменный размер блока шифруемого текста. Размер блока открытого текста должен быть меньше длины ключа, обычно составляющей 512 бит.
• Схема Диффи-Хеллмана (Diffie-Hellman) — самая старая из используемых сегодня криптосистем с открытым ключом. Не поддерживает ни шифрование, ни цифровые подписи. Предназначена для того, чтобы два человека могли договориться об общем ключе, даже если обмениваются сообщениями по открытым линиям.
• DSA (Digital Signature Algorithm) разработан NIST и основан на принципе, называемом алгоритмом Эль Гамаля. Схема подписи использует тот же тип ключей, что и алгоритм Диффи-Хеллмана, и может создавать подписи быстрее RSA, Продвигается NIST в качестве стандарта цифровой подписи (Digital Signature Standard, DSS), но пока еще далек от всеобщего признания.

  Использование специальных стандартов и протоколов позволяет надежно защитить предаваемую по Интернет информацию. В последнее время, после появления целого набора стандартов, охватывающих защиту всех уровней сети — от пакета до приложения, складывается впечатление, что вопросу защиты информации в Интернет уделяется даже чрезмерное внимание. Вопреки мнению об Интернет как о ненадежном носителе информации (вследствие его децентрализованности), транзакции могут быть хорошо защищены. Стандарты обеспечивают защиту соединений и приложений. Рассматриваемые стандарты можно классифицировать в соответствии с тем, что они защищают: соединения или приложения. Такие стандарты, как SSL (Secure Sockets Layer) и Secure WAN или S/WAN (Secure Wide-Area Networks) предназначены для защиты коммуникаций в Интернет, хотя SSL используется в основном с Web-приложениями. С другой стороны, S-HTTP (Secure HTTP) и S/MIME (Secure MIMЕ) нацелены на обеспечение аутентификации и конфиденциальности (S-HTTP—для Web-приложений, а S/MIME — для электронной почты). SET обеспечивает защиту только для транзакций электронной коммерции.

  Программное и аппаратное обеспечение для защиты соединений и приложений в Интернет разрабатывается уже давно, хотя внедряются новые технологии несколько неравномерно. Одна из причин такого положения — производители еще не достигли согласия по вопросу, где в сети следует использовать криптографические протоколы. Различные сетевые компоненты – рабочие станции, Web-серверы, Web – браузеры и прочие приложения, а также коммуникационные протоколы, порождают свои собственные варианты, многие из которых охватывают только часть рынка. Решающее влияние на выбор (или, по крайней мере, доминирование) каких-то определенных стандартов окажет рынок, а не усилия органов стандартизации, таких как IEFT. Принятие разработчиками сложившихся стандартов (например, ранних версий SSL) и образование союзов между разработчиками покажут, какие протоколы, скорее всего, станут популярными.

  Защита Web-приложений: S-HTTP и SSL
  S-HTTP защищает данные, а SSL —коммуникационный канал. Web-приложения защищены двумя протоколами — Secure HTTP и Secure Sockets Layer, которые обеспечивают аутентификацию для серверов и браузеров, а также конфиденциальность и целостность данных для соединений между Web-сервером и браузером. S-HTTP, предназначенный, в первую очередь, для поддержки протокола передачи гипертекста (HTTP), обеспечивает авторизацию и защиту документов. SSL предлагает схожие методы защиты, но для коммуникационного канала. Он действует в нижней части стека протоколов между прикладным уровнем и транспортным и сетевыми уровнями TCP/IP. SSL можно использовать не только для транзакций, которые проходят в Web, но этот протокол не предназначен для обеспечения безопасности на основе аутентификации, происходящей на уровне приложения или документа. Для управления доступом к файлам и документам нужно использовать другие методы.

  Защита электронной почты: РЕМ, S/MIME и PGP
  Для защиты электронной почты в Интернет есть множество различных протоколов, но лишь один или два из них используются достаточно широко. Протокол РЕМ применяется все реже. S/MIME использует цифровые сертификаты и поддерживает электронные послания, состоящие из нескольких частей. РЕМ (Privacy Enhanced Mail) — это стандарт Интернет для защиты электронной почты с использованием открытых или симметричных ключей. Он применяется все реже, поскольку не предназначен для обработки нового, поддерживаемого MIME, формата электронных посланий и, кроме того, требует жесткой иерархии сертификационных центров для выдачи ключей. S/MIME — новый стандарт. Он задействует многие криптографические алгоритмы, запатентованные и лицензированные компанией RSA Data Security Inc. S/MIME использует цифровые сертификаты, и, следовательно, при обеспечении аутентификации полагается на сертификационный центр (кооперативный или глобальный).
  PGP (Pretty Good Privacy) – это общепринятый способ защиты электронной почты в Интернет. Вероятно, это самое распространенное приложение защиты электронной почты в Интернет, использующее различные стандарты шифрования. Приложения шифрования – расшифровки PGP выпускаются для всех основных операционных систем, и послания можно шифровать до использования программы отправки электронной почты. Некоторые почтовые программы, такие как Eudora Pro фирмы Quaicomm и OnNet от FTP Software, позволяют подключать специальные PGP-модули для обработки зашифрованной почты. PGP построена на принципе паутины доверия (web of trust) и позволяет пользователям распространять свои ключи без посредничества сертификационных центров.

  Защита сетей: брандмауэры
  Когда Вы соединяете ресурсы своей корпоративной сети с открытой сетью, такой, как Интернет, Вы подвергаете риску как содержащиеся в ней данные, так и сами компьютерные системы. Без брандмауэра данные будут мишенью для внешней атаки. Как и их аналоги в обыденной жизни, в электронном мире брандмауэры предназначены для защиты oт повреждений, в данном случае, защиты данных и компьютерных систем. Брандмауэры способны обеспечить защиту отдельных протоколов и приложений, и весьма эффективны против маскарада. Брандмауэры осуществляют контроль доступа на основе содержимого пакетов данных, передаваемыми между двумя сторонами или устройствами по сети.

  Одно из преимуществ брандмауэра в том, что он позволяет обеспечить единственную точку контроля за безопасностью в сети. Но это преимущество может обернуться против Вас: если брандмауэр окажется единственным слабым местом в системе защиты, то вероятно, он и привлечет к себе повышенное внимание хакеров. Помните, что брандмауэры не являются универсальным решением всех проблем безопасности в Интернет. Например, они не осуществляют проверку на вирусы и не способны обеспечить целостность данных. Кроме того, брандмауэры не аутентифицируют источник данных и очень часто не гарантируют конфиденциальности. Однако в настоящее время разрабатываются новые протоколы для обеспечения аутентификации и конфиденциальности пакетов данных в Интернет. Корпоративные сети часто связывают офисы, разбросанные по городу, региону, стране или всему миру. В настоящее время ведутся работы по защите на сетевом уровне IP-сетей (именно такие сети формируют Интернет), что позволит компаниям создавать свои собственные виртуальные частые сети (virtual private networks, VPN) и использовать Интернет как альтернативу дорогим арендованным линиям. Ведущие поставщики брандмауэров и маршрутизаторов выступили с инициативой: предложили технологию S/WAN (Secure Wide Area Networks) . Они взяли на себя внедрение и тестирование протоколов, предлагаемых Рабочей группой инженеров Интернет (Internet Engineering Task Force, IETF) для защиты IР-пакетов. Эти протоколы обеспечивают аутентификацию и шифрование пакетов, а также методы обмена и управления ключами для шифрования и аутентификации. Протоколы S/WAN помогут достичь совместимости между маршрутизаторами и брандмауэрами различных производителей, что позволит географически разобщенным офисам одной корпорации, а также партнерам, образующим виртуальное предприятие, безопасно обмениваться данными по Интернет.

  CryptoAPI u CDSA
  В настоящее время есть два основных набора инструментов, призванных упростить для разработчиков задачу внедрения криптографических методов защиты в приложения для персональных компьютеров — это CryptoAPI от Microsoft и CDSA (Common Data Security Architecture) от Intel. Microsoft разрабатывает интегрированную систему безопасности Интернет — Internet Security Framework — совместимую с Microsoft Windows 95 и Microsoft Windows NT. Важный компонент этой интегрированной системы — CryptoAPI. Этот интерфейс прикладного программирования (API) действует на уровне операционной системы и предоставляет разработчикам в среде Windows средства вызова криптографических функций (таких как алгоритмы шифрования) через стандартизированный интерфейс. Поскольку CryptoAPI имеет модульную структуру, он позволяет разработчикам в зависимости от их потребностей заменять один криптографический алгоритм другим. CryptoAPI также обладает средствами для обработки цифровых сертификатов. CDSA от Intel предлагает практически те же самые функциональные возможности, что и CryptoAPI, но этот набор инструментов с самого начала предназначался для многоплатформенного использования, а не только для Windows. Некоторые компании (в том числе Netscape, Datakey, VASCO Data Security и Verisign) уже включили поддержку CDSA в свои продукты.

  Мошенничество с кредитками в Интернет – серьезная, и, по большей части, недооцениваемая проблема. О ней много говорят как об угрозе для безопасности потребителей, однако фактически, американские потребители рискуют немногим: по федеральным законам, их максимальная ответственность ограничивается $50 – хотя и это не останавливает множество credit card – компаний от эксплуатации фобии мошенничества при продвижении различных "схем защиты", которые дают небольшую (если вообще дают какую либо) дополнительную защиту.

  Реальный риск лежит на продавцах (мерчантах, купцах). Они несут главную ответственность за мошеннические трансакции онлайн. "Уроком является то, что продавец практически не защищен". Сredit card компании не только мало помогают, – говорят продавцы, – но и вообще отрицают существование этой проблемы. Об Интернет говорят как о месте, где кто угодно может брать номера Ваших карточек. Но в реальности, именно продавцам приходится "проглатывать" стоимость мошенничества. Спросите у кредитных ассоциаций, таких, как Visa и MasterCard о проблеме мошенничества с кредитками в Интернет – и Вы получите совершенно невразумительный ответ. "Всегда найдутся люди, пытающиеся создать из этого видимость проблемы" – говорят они – "У нас нет проблем с мошенничеством". По их словам, существует небольшая разница между соотношением мошеннических действий при традиционных трансакциях лицом к лицу (face-to-face), по почте, по телефону, или онлайн. "В процентном отношении доля мошенничества почти одна и та же, и составляет менее 0.09%" – утверждают представители этих фирм. Представители American Express (AXP) вообще отказываются обсуждать тему мошенничества – будь то офф- или онлайн. Однако, истории, рассказываемые многими продавцами и аналитиками индустрии, говорят совершенно о другом. Исследования на эту тему редки. Некоторые исследования проводились компаниями, специализирующимися на security software, и, по этой причине, з аинтересованных в раздувании проблемы. Однако, предварительные данные, собранные Internet Fraud Prevention Advisory Council, ("nonprofit" организации продавцов и производителей софта, сформированной в октябре 1999 года), говорят о соотношении мошенничества от 2% – в одних товарных категориях, до 40% – в других. Интервью с десятками продавцов и аналитиками индустрии подтверждают корректность этих цифр.

  Способность противостоять мошенничествам со стороны третьих сторон, совершаемым посредством credit card – трансакций является одним из ключевых факторов, влияющих на результаты деятельности компании. Даже низшая планка опубликованных цифр представляет собой значительные суммы потерь, способных опустошить продавцов. Уровень мошенничества в 2% в 20 раз превышает оценки Visa и MasterCard. В розничном бизнесе, где маржа – тоньше бритвы, 2% продаж могут составлять половину прибыли компании. Вдобавок к потерянным продажам, продавцы (пострадавшие!) платят штраф за каждый возврат, возмещение владельцу карточки за неавторизованную продажу. Если возвраты становятся частыми, мерчент платит повышенную комиссию за трансакции, или теряет эту услугу вообще. Это – область, в которой, если не взять ее под контроль, можно остаться без штанов ;) Не только торговцы говорят о реальности проблемы онлайнового мошенничества. Гиганты сredit card индустрии, такие, как First Data (FDC), которая обслуживает более 2 млн. торговцев, говорят об усиливающейся угрозе для торговцев в электронной коммерции. Хотя рискуют все из них, наиболее уязвимы, по иронии, малые и средние – по причине отсутствия ресурсов для привлечения помощи. Многие обвиняют всю систему, как бы выстроенную против них.
  Мошенничество в Интернет может принимать различные формы. Наиболее популярной является кража идентифицирующей информации, когда воры собирают персональную информацию – имена, адреса, номера социального страхования и другую важную информацию, а затем заказывают карточки под этими именами. В недавнем, получившим широкое освещение случае, мошенники похитили из файлов Конгресса персональную информацию более 7,000 работников Департамента обороны, включая нескольких высокопоставленных офицеров, а затем незаконно заказали карточки. Тогда как кражи такого типа – вещь не новая, Интернет значительно облегчил этот способ. Хакеры и кракеры внедряются на сайты, хранящие эту информацию. В некоторых случаях преступники притворяются легитимными онлайновыми торговцами, и самостоятельно собирают информацию у ничего не подозревающих покупателей. Действительные (воспринимаемые как истинные) номера карточек могут быть так же автоматически сгенерированы. Интернет обвешан хакерскими сайтами, предлагающими софт для генерации кажущихся настоящими номеров. Т.н. "credit card generators" используют сложный алгоритм создания номеров, в которых первые четыре цифры соответствуют "валидным" цифрам банков-эмитентов. Генераторы "выплевывают" 12 дополнительных цифр, которые, при проверке, "соответствуют" параметрам валидных карточек. Даже если даже никакой банк никогда не эмитировал карточку с этим сгенерированным номером, часто credit card системы их авторизируют. Есть и еще "старый проверенный" способ: карточки похищаются в физическом мире, и используются для покупок онлайн.
  Мошеннические Интернет-заказы можно разделить на две категории: товары, которые можно легко обменять на наличные, и трансакции, не требующие физической доставки. В первую категорию попадают такие товары, как потребительская электроника, бриллианты и подарочные сертификаты. Во вторую – "downloadable" софт, и подписка на сайты "для взрослых"

• How to generate a certificate signing request (CSR) file for Microsoft IIS 5.0 / 6.0
• How to generate a certificate signing request (CSR) file using Keytool
• How to generate a certificate signing request (CSR) file using IBM iKeyman
• How to generate a certificate signing request (CSR) file for Oracle Wallet Manager