Tölvumál - 01.12.1998, Síða 33
Rafræn viðskipti
Öryggi í rafrænum viðskiptum
Sigurður Ingi Grétarsson skrifar um fyrirlestur Dr. Trevors Thomas á ráðstefnu
SÍ um rafræn viðskipti 20. október 1998. Dr. Trevor Thomas er forstjóri
EMEA, Cyber Trust Solutions GTE Internetworking
I viðskiptum á Inter-
netinu er hægt að
nota dreifilyklatækni
Deutsche Telekom
býður notendum að
kaupa tónlist á
vefnum
Fyrirlestur hans fjallaði um það
hvaða öryggisatriðum fyrirtæki
þurfa að huga að ef þau ætla að fara
að nota Internetið til rafrænna viðskipta.
Hann fjallaði aðallega unt þá lausn sem
hefur verið notuð við ýmsar Internet-
lausnir og kallast dreifilyklatækni (public
key technology).
Thomas hóf fyrirlestur sinn á að tala um
það hvernig fyrirtæki ættu að hagnast á
því að vera á Internetinu. Internetið á að
auka forskot í samkeppni, auka þjónustu
við viðskiptavini, ná til fleiri viðskiptavina
og lækka rekstrarkostnað. Þegar fyrirtæki
byrja að koma sér á framfæri á Internetinu,
með því að nota það sem auglýsingamiðil
fyrir fyrirtækið, þurfa þau ekki að huga
mikið að öryggi í upphafi. Það er ekki fyrr
en þau fara að bjóða upp á einhver við-
skipti á Internetinu, sem þau þurfa að fara
að huga betur að öryggismálum.
Notendur vilja geta haft aðgang að
rafrænum viðskiptum á sem einfaldastan
hátt. Til þess að fá aðgang má t.d. nota
einmenningstölvur, verslanir, vefsjónvaip,
farsíma eða gervihnetti. Þegar einhverjar
þessara leiða eru notaðar þarf notandinn
að geta staðfesl nokkuð örugglega hver
hann er, svo ekki sé hætta á misnotkun.
Notendur vilja einnig geta valið um mis-
munandi leiðir til þess að stunda viðskiptin
og svo vilja þeir geta treyst á kerfið.
Dreifilyklatækni
Hægt er að fara þá leið að nota staðla sem
þegar eru í notkun. I viðskiptum á Inter-
netinu er hægt að nota dreifilyklatækni. Þá
hefur hver notandi einkvæmt lyklapar,
sem eru tveir stærðfræðilega tengdir lyklar.
Annar þeirra er einkalykill (private key)
sem enginn annar en eigandi lykilsins
þekkir. Hinn er dreifilykill (public key)
sem er gerður öllum aðgengilegur. Ef nota
á dreifilyklatækni þegar senda á skeyti á
milli aðila, þá sendir sendandinn fyrst
dreifilykilinn sinn til móttakandans og
móttakandinn sendir sinn dreifilykil til
sendandans. Síðan útbýr sendandinn
skeytið og notar einkalykil og dreifilykil
móttakandans til að rugla það. Þetta rugl-
aða skeyti sendir hann síðan móttakan-
danum, sent afruglar skeytið með sínum
einkalykli, en þetta skeyti er aðeins hægt
að afrugla með einkalykli móttakandans.
Sendandi getur einnig undirritað skeyti
með sínum einkalykli og þá getur hver
sem er fengið staðfest með dreifilykli
sendandans að skeytið sé undirritað af
réttum sendanda.
Stafræn vottun
Því næst minntist Thomas á stafræna vottun
(digital certificates). Þessi vottun er gefin
út af viðurkenndum aðila á Internetinu og
geymir upplýsingar um auðkenni og
dreifilykil fyrirtækja á Internetinu. Útgef-
andi þessarar vottunar skrifar undir hana
með sínum einkalykli. Vottunin er oftast
endurnýjuð á eins árs eða tveggja ára
fresti.
Dæmi um notkun öryggisstaðla
Thomas tók síðan þrjú dæmi þar sem
fyrirtæki hafa þurft að nota einhverja
öryggisstaðla til að hafa samskipti á
Internetinu.
Það fyrsta var fyrirtækið Deutsche
Telekom, sem vildi skuldfæra viðskipta-
vini sína beint á símreikning þeirra, þegar
þeir væru að kaupa tónlist yfir Internetið.
Þar áttu notendur að geta sótt tónlist beint
af vefnum og borgað fyrir hana þar líka.
Þeir notuðu hugbúnaðarpakkann Global
CA frá CyberTrust og gátu með honum
sett upp kerfi sem útbjó einn reikning fyrir
mörg viðskipti. Með þessu kerfi geta
notendur verið öruggir um að enginn sjái
hvað þeir hafa verið að versla eða geti
skoðað upplýsingar um notendurna.
Kerfið á líka að koma í veg fyrir að fólk
geti svindlað á því.
Annað dærnið fjallaði um Anderson
Tölvumál
33