Tölvumál - 01.05.1996, Síða 22
Maí 1996
og Purveyor.
Öryggi SSL felst í að nota 40
bita lykil fyrir RC4 algorithmann.
Vegna takmarkana á útflutningi frá
Bandaríkjunum eru vefþjónar
háðir 40 bita hámarki. Þrátt fyrir
að gríðalega erfitt sé að brjóta upp
40 bita lykil er litið á þessa stærð
sem sem öryggisáhættu. Lykill af
þessari stærð hentar ágætlega til
að senda almennan tölvupóst. Net-
scape, eins og flestir hugbúnaðar-
framleiðendur, berjast hart fyrir
því að fá að stækka lykilinn og er
talið að 128 bita lykill sé „verslun-
aröryggi“.
Öryggi SSL er þríþætt:
Auðkenni miðlara felst í því að
staðfesta að vefþjónninn sé sá
sem hann segist vera. Slíkt
kemur í veg fyrir að skúrkar
geti sett upp Tróju-hest og þóst
vera aðrir en þeir eru.
Brenglun upplýsinga felst
einfaldalega í því að brengla öll
gögn og afbrengla. Þannig er
komið í veg fyrir að utanað-
komandi aðilar geti „hlerað“
samskiptin.
Gagnaöryggi felst í því að tryggja
að gögn komist heil og
óskemmd milli aðila. Þegar
skúrkarnir geta ekki hlerað er
reynt að tryggja að þeir geti
ekki heldur valdið skaða.
SSL virkar þannig að það
kemur á milli HTTP og Windows
Socket. Líta má á SSL sem út-
færslu á Windows Sockets, nema
að öryggi er bætt við. SSL er því
nokkurs konar gegnsær staðall, að
því leyti að forrit þurfa í raun ekki
að vita af SSL, heldur nota Win-
dows Sockets eins og vanalega.
Til þess að nota öruggan vef-
þjón þurfa vefskoðarar að nota
forskeytið https í stað http. Net-
scape vefskoðarinn sýnir bláa rönd
og heilan lykil en Exporer sýnir
hengilás þegar samskipti eru
örugg.
SET staðallinn
Þó svo að SSL hafi þegar náð
útbreiðslu fyrir almenna brengjun
á veraldarvefnum, er annar staðall
sem búast má við að verði notaður
til að tryggja öryggi viðskipta.
Kortafyrirtækin (Visa og Euro-
Card) og hugbúnaðarfyrirtæki
(Microsoft, Netscape og IBM)
hafa tekið höndum saman um að
þróa staðal sem á að tryggja örugg
netviðskipti. Staðallinn sem
gengur undir heitinu SET (Secure
Electronic Transaction) gengur út
á tvennt. Annars vegar tryggir
staðallinn að birgi (Internet-
verslun) fær aldrei að vita korta-
númer neytanda, heldur aðeins
banki. Hins vegar er bankastofnun
notuð til að staðfesta að viðskipta-
aðilar séu þeir sem þeir segjast
vera og látin samþykkja viðskiptin.
Á bak við slíka staðfestingu
liggur háþróuð brenglunartækni.
Allir viðskiptaaðilar fá afhentan
brenglunarlykil, sem viðskiptaaðili
verður að geyma sem leyndarmál.
Leyndarmálið felst í varðveislu
„lykilsetningar“ sem þarf að muna
og brenglunarlykis sem geymdir
eru í skrá sem þarf að vera tiltæk
á tölvu þeirri sem viðskipti eru
framkvæmd á. Til að geta villt á
sér heimildir þarf því bæði aðgang
að lykilskránni og vita „lykil-
setninguna". Hér er því verið að
tala um raunverulegt innbrot og
óhemju reikniafl til að eiga mögu-
leika á að villa á sér heimildir.
Framtíðarþróun
Þó svo að þróun Internetsins
virðist vera á gífurlegum hraða,
þróast öryggismál netsins hægt og
örugglega. Skilgreiningin á SET
staðlinum er rétt að ljúka og út-
færslu að vænta síðla árs 1996.
Upp úr því má búast við að al-
heimsviðskipti á Internetinu taki
kipp. Og þegar viðskipti á Inter-
netinu eru orðin örugg er spurn-
ingin: verða einu hættulausu við-
skiptin í framtíðinni viðskipti yfir
tölvunet?
Ólafur Andri Ragnars-
son er þróunarstjóri
Margmiðlunar hf
22 - Tölvumá!