elektronicke novcane transakcije
TRANSCRIPT
VISOKA ŠKOLA ZA POSLOVANJE I UPRAVLJANJEs pravom javnosti
„BALTAZAR ADAM KRČELIĆ“ZAPREŠIĆ
Antonija Varoščić
Seminarski rad
ELEKTRONIČKE NOVČANE TRANSAKCIJE
Zaprešić, rujan, 2012VISOKA ŠKOLA ZA POSLOVANJE I UPRAVLJANJE
s pravom javnosti„BALTAZAR ADAM KRČELIĆ“
ZAPREŠIĆ
Seminarski radElektroničke novčane transakcije
Ime i prezime studenta: Antonija Varoščić
Matični broj: 204/11
Usmjerenje: Menandžment u kuluri
Kolegij: Informacijski sustavi
Mentor: prof.dr.sc.. Vladimir Šimović
Zaprešić, rujan, 2012
SADRŽAJ
UVOD....................................................................................................................................................... .
1 KIPTOGRAFSKE TEHNIKE KOJE RABE RAZLIČITI SUSTAVI ELEKTRONIČKIH NOVČANIH TRANSAKCIJA..........................................................................................................................................1
1.1 Uvod u kiptografske tehnike...................................................................................................1
1.2 Napadi na algoritme...............................................................................................................1
1.3 Simetrično kriptiranje.............................................................................................................2
1.4 Asimetrično kriptiranje...........................................................................................................2
1.5 Autentičnost i digitalni potpis.................................................................................................4
1.6 Dvojni potpisi..........................................................................................................................5
1.7 Certifikati................................................................................................................................6
1.8 Čip kartice...............................................................................................................................7
1.9 Integrirane tehnike prevencije od zloporabe kartice..............................................................8
2 ELEKTRONIČKE NOVČANE TRANSAKCIJE BAZIRANE NA SUSTAVU KREDITNIH KARTICA.................9
2.1 First Virtual.............................................................................................................................9
2.2 SSL( Secure Socet Layer).......................................................................................................10
2.3 SET (Secure Electronic Transactions)....................................................................................11
3 ELEKTRONIČKE NOVČANE TRANSKACIJE BAZIRANE NA SUSTAVU ELEKTRONIČKIH ČEKOVA........12
3.1 FSTC (Financial Services Technology Consortium)................................................................12
3.2 NETBILL.................................................................................................................................13
3.3 NETCHEQUE..........................................................................................................................14
4 ELEKTRONIČKE NOVČANE TRANSAKCIJE BAZIRANE NA SUSTAVU ELEKROTNIČKOG NOVCA.......15
4.1 ECASH...................................................................................................................................15
4.2 NETCASH...............................................................................................................................16
5 LITERATURA..................................................................................................................................17
UVOD
S pojavom računala nastao je novi oblik kriminaliteta nazvan kompjutorski kriminalitet. To je
širok pojam koji obuhvaća kriminalne radnje učenje na računalu (računalo kao objekt), te
pomoću računala (računalo kao sredstvo). U prvu skupinu spadaju neovlašteni pristupi
računalima u svrhu mijenjanja ili brisanja programa kako bi ih se onesposobilo ili steklo
imovinske koristi. Jednako tako tu spadaju neovlašteni pristupi koji se otvaraju radi
prikupljanja podataka, što ima veliku ulogu u industrijskoj špijunaži. U drugu skupinu, u kojoj
se računalo rabi kao stredstvo spadaju sve one kriminalne radnje koje su ostvarene uz pomoć
računala.
Elektronički sustravi plaćanja zadržavaju konture klasičnih novčanih transkakcija te tako
ostaje ista ideja uporabe brojeva kreditnih kartica, čekova i novca, ali se oni rabe na posve
drukčiji način koji je direktan specifičnostima elektroničkih komunikacija. Svaki sustav ima
donekle drukčiju primjenu, te ima svoje specifičnosti, prednosti i nedostatke. Zbog toga treba
poznavati te sustave kako bi se što efikasnije spriječio ovaj oblik kompjutorskog kriminala.
Otkrivanje već počinjenog kompjutorskog delikta bilo bi znatno otežano zbog toga što ne
ostavlja nikakve materijalne tragove, a osim toga počinjena šteta takvog delikta može biti
znatno većih razmjera od imovinskih delikata počinjenih klasičnim načinima. Upravo zbog tih
razloga naglasak treba ponajprije biti na preventivi. Kako je već spomenuto, preventiva se
provodi posebnim tehnikam kojima se štite elektroničke novčane transakcije od zloporabe.
1 KIPTOGRAFSKE TEHNIKE KOJE RABE RAZLIČITI SUSTAVI ELEKTRONIČKIH NOVČANIH TRANSAKCIJA
1.1 Uvod u kiptografske tehnike
Klasični način novčanih transakcija (neelektronički) primjenjuju različite načine identifikacije
kupca i potvrde njegove namjere plaćanja. Najčešće je to potpis čija se vjerodostojnost može
lako provjeriti. Kad je riječ o elektroničkim transakcijama, identifikacija i namjera kupca
može se utvrditi isključivo putem kiptografskih tehnika. One jednako stako služe i za zaštitu
povjerljivih podataka, kao što su brojevi kreditnih kartica, bankovni računi i ostali podatci.
Osnovno načelo kiptografije je da se razumljivi tekst (eng. Plaintext) putem određenog
algoritma (niza matematičkih operacija) i ključa pretvori u nerazumljivi kripitirani tekst(eng.
Ciphertext), i to na takav način da ga samo osoba koja poznaje ključ može vratiti u prvobitni
razumljivi tekst. Nekoliko je glavnih algoritama koji se danas najčešće upotrbljavaju i svima
su dostupni. Različiti ključevi uporabljeni s jednakim algoritmom daju potpuno drukčiji
kriptirani text.
1.2 Napadi na algoritme
Kriptoanalizom se naziva proces pretvaranja kriptiranog teksta u razumljivi tekst, bez
poznavanja ključa. To je napad na algoritam koji je usmjeren k jednom od dva cilja. Prvi je
da se odgonetne razumljivi tekst na temelju poznavanja algoritma i kriptiranog teksta, a drugi
cilj može biti odgonetavanje ključa pomoću kojega je poruka kriptirana. Tako razlikujemo
sljedeće vrste napada: Napad kriptiranog teksta, napad poznatog teksta,napad odabranog
teksta diferencijalna kriptoanaliza, napad isprobavanjem svoakog mogućeg ključa.
Pronalaženje ključa od svih mogućih ovisi o brzini stroja, koja je proporcijonalna s cijenom
koštanja, te o vremenu.
1
1.3 Simetrično kriptiranje
Simetrično kriptiranje je obliku kojemu pošiljatelj poruke i primatelj moraju posjedovati
identične ključeve kako bi mogli kriptirati odnosno dekriptirati poruke. To znači da pošiljatelj
mora prije komunikacije nekim sigurnim kanalom primatelju uručiti ključ.
1.4 Asimetrično kriptiranje
Asimetrično kriptiranje ima jedan veliki nedostatak, a to je problem distribucije ključa. Kako
je za proces kriptiranja i dekriptiranja potreban identični ključ. Osobe koje komuniciraju
moraju taj ključ izmjeniti nekim sigurnim kanalom. To je veliki problem prilikom
komuniciranja preko računalnih mreža, gdje se osobe ne poznaju i udaljene su tisuće
kilometara. Taj problem rješava asimetrično kriptiranje RSA ili Diffie-Hellman algoritmom,
koje primjenjuje dva različita ključa. Jedan javni, svima dostupni ključ kojim se obavlja
kriptiranje, te jedan tajni ključ kojim se obavlja dekriptiranje. Javni i tajni ključ čine par jer
samo jedan, odgovarajući. Tajni ključ može dekritptirati poruku kriptiranu javnim ključem.
Odgonetavanje tajnog ključa preko javnog je nemoguće, tako da asimetričnim kriptiranjem
rješen problem distribuiranja ključa.
2
3
1.5 Autentičnost i digitalni potpis
U komunikaciji se osim skrivanja povjerljivih informacija, pojavljuje i potreba za provjerom
autentičnosti poruke, odnosno identifikacije osobe s kojom komuniciramo. To posebno dolazi
do izražaja prilikom elektroničkih novčanih transakcija kad želimo provjeriti je li kupac
doista onaj koji tvrdi da jest. U tu se svrhu koristimo karakteristikom asimetrične
kriptografije da javni ključ dekriptira ono što tajni kriptira. To je obrnuti proces od onog pri
zaštit podataka. Tu kriptiramo poruku tajnim ključem koji posjeduje samo jedna osoba, a
svatko drugi ju može dekriptirati javnim ključem iste osobe. Uspije li ju primatelj dekriptirati
onda to znači da je tekst napisala isključivo osoba čijim je javnim ključem i dekriptirana.
Jasno uz pretpostavku da smo sigurni da javni ključ pripada osobi na čije je ime nasliovljen.
4
1.6 Dvojni potpisi
U komunikaciji u koju su uključene tri strane, što je slučaj u kasnije opisanu sustavu novčanih
transakcija SET, primjenjuje se tehnika nazvana dvojni potpis. Naime , tijekom novčanih
transakcija želimo narudžbu poslati samo prodavatelju, a informacije o našoj kreditnoj kartici
samo banci. Kako bi i prodavatelj i banka mogli provjeriti autentičnost obiju poruka, rabi se
dvojni potpis. On, dakle,, osigurava mogućnost provjere autentičnosti obiju poruka kad je na
raspolaganju samo jedna. Najprije iz svake poruke, uporabom nekog hash algoritma izračuna
mesage digest. Zatim se iz ta dva message digesta izračuna njihov zajednički message digest
te se kriptira tajnim ključem pošiljatelja. Na taj smo način dobili dvojni potpis. Jednoj ćemo
strani poslati jednu poruku. Prodavatelj će izračunavanjem diggesta 1. poruke moći izračunati
zajednički digest, te ga usporediti s dvojnim potpisom
5
1.7 Certifikati
Postavlja se pitanje kako biti siguran da javni ključ pripada zaista onoj osobi s kojom želimo
komunicirati. To se rješava uvođenje treče strane u koju svi imaju povjerenja, naziva se
certifying authorities. CA provjerava identitet osobe te ga veže za njezin javni ključ i stavlja
svoj digitalni potpis kao garanciju. To nazivamo digitalnim certifikatom. Proces dodjele
certifikata je sljedeći. Nakon što osoba CA-u poslala svoj javni ključ, provjerava se njezin
identitet. Zatim se iz informacija o toj osobi i njezinou javnom ključu izračuna massage digest
algoritmom MD5 ili SHA, te se on kriptira tajnim ključem CA-a. Taj se digitalni potpis
dodaje informacijama o osobi i ključu, čime dobivamo certifikat potpisani od strane CA-a.
6
1.8 Čip kartice
Čip kartice, često zvane smart cards, malene su plastične kartice koje sadržavaju
mikroprocesor namjenjen obradi, pohrani i izmjenjivanju podataka. Imaju vrlo široku
primjenu, a kad je riječ o elektroničkim novčanim transakcijama, tada se rabe kao elektronički
novčanik. Praktičnije su od uporabe osobnih računala jer su mobilne i ne postoji mogućnost
gubljenja novca kao što je slučaj prilikom rušenja operativnog sustava računala. Kartica se
primjenjuje tako da se stavi u čitač, te se na nju dodaje ili oduzima elektronički novac. Mogu
u sebi imati programirane kriptografske algoritme koji služe za zaštitu transakcija i za potvrdu
identiteta.
Magnetske kartice- Služe samo kao medij za pohranu podataka, svatko ko ima prikladan čitač
može pročitati sadržaj kartice, na njemu su pohranjeni podatci o vlasniku, broj kartice i dr.
Memorijske kartice- Imaju primjenu za unaprijed plaćene servise kao što su telefonski
razgovori, na sebi imaju čip s određenim brojem ćelija, kad se sve te ćelije isključe, kartica
postaje bezvrijedna.
Procesorske kartice- Na sebi imaju mikroprocesor koji kontrolira pristup informacijama s
kartice. Razlikujemo dvije podvrste, kontaktne kartice i beskontaktne kartice. Beskontaktne
karitce se za razliku od kontaktinih nemoraju umetnuti u čitač, već je dovoljno da su blizu
njega.
7
1.9 Integrirane tehnike prevencije od zloporabe kartice
Osim provjere ovlaštenja uporabe kartice putem PIN-a, poradi prevencije zloporabe,
primjenjuju se i kriptografske tehnike prilikom novčanih transakcija. Time se štite transakcije
i privatnost kupca, ali bi se jednako tako moglo zaštititi i kriminalaca. Zbog toga je NSA
osmislila čip karticu pod imenom FORTEZZA. Ta kartica rabi tajni, javnosti nedostupan,
kriptografski algoritam zvan Skipjack. On se bazira na tzv. Key escrow sistemu kojim policija
može jednostavno deskriptirati sve transakcije u slučaju sumnje na kriminalnu djelatnost.
Iduća prednost kriptografske zaštite je nemogućnost kopiranja elektroničkih novčanica, što se
inače može učiniti s papirnatim.
8
2 ELEKTRONIČKE NOVČANE TRANSAKCIJE BAZIRANE NA SUSTAVU KREDITNIH KARTICA
2.1 First Virtual
Jedan od prvih elektroničkih sustava baziranih na sustavu kreditnih kartica bio je proizvod
tvrtke First Virtual Holdings, prema kojoj je nazvan i sam sustav. Taj je sustav namjenjen
isključivo trgovini proizvoda male vrijednosti koji nisu opipljivi, kao što su računalni
programi ili različite informacije. Razlog tom ograničenju je postojanje relativno velike
mogućnosti zloporabe sustava, budući da ne rabi nikakve kriptografske tehnike zaštite
novčanih transakcija. Sustav funkcionira tako što kupac mora nazvati First Virtual i priopćiti
broj svoje kreditne kartice i podatke o svom identitetu. Za to dobiva broj, First Virtual PIN,
kojim će s ekoristiti prilikom kupnje preko računalne mreže umjesto brojem kreditne kartice,
Nakon što se odluči za kupnju unese FV, PIN, računmalo prodavatelja provjerava
vjerodostojnost PIN-a te ako je uredu obavi prijenos programa ili informacije koja se kupuje.
9
2.2 SSL( Secure Socet Layer)
SSL, koji se razvio Netscape Communications, puno je sigurniji sustav od prethodno
opisanog jer kriptira svu komunikaciju (brojeve kreditnih kartica i dr.), te se koristi
certifikatima za provjeru identiteta sudionika komunikacije (kupca i prodavatelja). Klijent
šalje inicijalnu poruku poslužitelju, poslužitelj odgovara klijentu, poslužitelj šalje svoj
certifikat, poslužitelj zahtijeva certifikat klijenta (opcija), kalijent šalje svoj certifikat (opcija),
klijent šalje ključ za komunikaciju, klijent šalje potvrdu certifikata (opcija), potvrda
dogovorenog algoritma i ključa, slanje poruka. Kao što vidimo SSL, rješava problem
nesigurnog slanja kreditnih kartica preko računalnih mreža. Sustav će biti to sigurniji što se
koristi jačim kriptografskim tehnikama. Zbog ograničenja izvoza kriptografskog materijala iz
SAD-a, u većini zemalja se za simetrično kriptiranje u SSL sustavu primjenjuje 40-bitni RC4
ključ, dok se u SAD-u rabi 128 bitni ključ.
10
2.3 SET (Secure Electronic Transactions)
SET je naziv protokola koji su razvili Visa, Mastercard, Netscape i Microsoft. Potreba za tim
protokolom pojavila se zbog određenih nedostataka prijašnjih sustava. SSL rješava problem
sigurnog prenošenja brojeva kreditnih kartica preko računalnih mreža, ali ne rješava problem
cjelokupne novčane transakcije. Potrebno je, osim zaštite komunikacija između kupca i
prodavatelja, sljedeće: provjeriti valjanost broja kreditne kartice, autorizirati transakciju s
bankom kupca te obaviti proces transakcije novca. Upravo to omogućuje SET.
11
3 ELEKTRONIČKE NOVČANE TRANSKACIJE BAZIRANE NA SUSTAVU ELEKTRONIČKIH ČEKOVA
3.1 FSTC (Financial Services Technology Consortium)
Svrha FSCT projekta je omogućivanje elektroničkih novčanih transakcija putem
elektroničkog čeka. Osnovna zamisao je identična običnom čeku kojim se daje instrukcija
banci da obavi plaćanje određenom subjektu. Uz neophodnost uporabe elektroničkog čeka
prilikom transakcija preko računalnih mreža, njegove su prednosti prije svega brzina provjere
računa uplatitelja te sigurnost koja se osigurava digitalnim potpisima i kriptiranjem. Sustav
funkcionira na sljedeći način. Uplatitelj ispunjava elektronički ček koji sadržava sve one
informacije koje sadržava i papirnati ček. Potpisuje ga elektroničkim potpisom uključuje svoj
certifikat te obavlja kriptiranje poradi prosljeđivanja primatelju. Elektronički potpis i certifikat
mogu se nalaziti na uplatiteljevu računalu ili na čip kartici. Primatelj novca potpisuje ček te ga
kriptiranog šalje banci zajedno sa svojim certifikatom. Od tog trenutka sve se zbiva kao i s
papirnatim čekom. Banka provjerava ček s bankom uplatitelja i obavlja prijenos novca na
račun primatelja.
12
3.2 NETBILL
Netbill je sustav elektroničkog plaćanja baziran na elektroničkom čeku koji je namjenjen
isključivo za prodaju informacija i računalnih programa. Dakle, to je specijalizirani sustav, za
razliku od prethodno opisanog FSTC sustava. Tipična Netbilll transakcija započinje
zahtijevom za kupnju određenog proizvoda. Prodavatelj šalje poruku s cijenom, nakon čega
kupac potvrđuje zahtjev za kupnju. Prodavatelj šalje kupcu proizvod kriptiran simetričnim
algoritmom, ali mu ne šalje ključ tako da za sada ostaje neupotrebljiv. Nakon toga kupac šalje
elektronički ček i na njega stavlja svoj digitalni potpis. Kada prodavatelj primi ček, potpisat
će ga i prosljedit NetBill poslužitelju banke. Poslužitelj će provjeriti račun kupca te ako nema
zapreka, prodavatelju će dopustiti uporabu čeka. Na kraju cijelog procesa prodavatelj će
poslati ključ kupcu kojim će ovaj dekriptirati kupljeni proizvod.
13
3.3 NETCHEQUE
NetCheque je sustav elektroničkog plaćanja čekom koji rabi Kerberosov sustav autentičnosti
koji smo već opisali. Osoba koja plaća čekom treba staviti svoj digitalni potpis kao dokaz
identiteta. Međutim to se ne radi uporabom asimetričnih algoritama već pomoću simetričnoga
Kereros sustava. Osoba najprije od Kerbesova poslužitelja zatraži ticket kriptiran tajnim
ključem banke te kreira authenticator. To je potpis koji se dodaje čeku.Ček se šalje dalje
prodavatelju na potpis, koji to učini jednako kao i kupac. Tako dobivamo ček koji je potpisao
i kupac i prodavatelj, koji prodavatelj šalje svojoj banci.
14
4 ELEKTRONIČKE NOVČANE TRANSAKCIJE BAZIRANE NA SUSTAVU ELEKROTNIČKOG NOVCA
4.1 ECASH
Ecash je proizvod tvrtke Digi Cash namjenjen obavljanju elekrtoničkeih novčanih transakcija
uporabom elektroničkog novca. Elektronički se novac sastoji od serijskog broja i potpisa
banke koja jamči određenu vrijednost. Sustav funkcionira na sljedeći način. Kupci i
prodavatelji moraju imati račun u Ecash banci. Potrošač, odnosno njegov softver, metodom
slučaja odabire serijski broj koji se sastoji od 100 znamenaka. Vjerojatnost da se metodom
slučajnog izbora ponovno izabere tako velik broj je toliko mala da možemo slobodno
pretpostaviti da se više neće ponoviti. Nakon toga ga pomnoži sa zasljepljujućim faktorom
kako bi se osigurala pritvatnost potrošača i pošalje ga banci na potpis koja će mu pridružiti
željenu vrijednost.
15
4.2 NETCASH
Netcash je sustav elektroničkih novčanih transakcija baziran na elektroničkom novcu. Rabi
asimetrično kriptiranje RSA algoritmom za zaštitu komunikacije kako bi se spriječila
zlouporaba, ali jednako tako se djelomično oslanja i na sustav NetCheque baziran na
elektroničkom čeku. Kupac šalje novčanom poslužitelju elektronički ček kojim kupuje
elektronički novac. U tom se sustavu ne rabe potpisi naslijepo pa identitet kupca nije prikriven
kao što je u Ecashu. Kad se kupac odluči za kupnju, šalje elektronički novac prodavatelju
putem računalne mreže. Prodavatelj obavlja provjeru valjanosti tog novca kontaktirajući neki
drugi novčani poslužitelj.
16
5 LITERATURA
Prof. Dr. Sc. Vladimir Šimović Uvod u informacijske sustave
17
18