Сервис обеспечения конфиденциальности при работе в сети Интернет. 
Протоколы SSL, TSL и SET

В настоящее время работа пользователя в сети Интернет может быть идентифицирована, что ограничивает его свободу и безопасность. Идентификация осуществляется по IP-адресу пользователя. VPN-сервис Vemeo (https://vemeo.com/ru/) обеспечивает конфиденциальность при работе в сети Интернет и защищает подключение к ней в любом месте. Без использования сервиса Vemeo веб-сайты видят IP-адрес пользователя и его местонахождение. При использовании сервиса защита конфиденциальности достигается за счет того, что веб-сайты видят IP-адрес Vemeo и местонахождение Vemeo. Интернет-провайдер при использовании этого сервиса видит только зашифрованный трафик Vemeo. Он не видит адреса сайтов, посещаемых пользователем, информацию о файлах пользователя, письмах, мгновенных сообщениях. Vemeo также шифрует всю информацию, передаваемую через Wi-Fi, с целью исключения перехвата. Сервис работает на всех устройствах, работающих под управлением Windows, Mac, Android, iOS.

К основным протоколам безопасности, используемым в платежных системах ЭК, относятся протоколы SSL и SET. Так, протокол SSL используется в платежных системах Instant (128-hit SSL), CyberPlat (обслуживание платежей по пластиковым картам Visa, EuroCard/MasterCard и др.), КредитПилот (передача информации в защищенном режиме с использованием SSL 3.0). Протокол SET применяется платежной системой RBS (Runet Business Systems), Альфа-банком, Транскредитбанком.

Протокол SSL (secure sockets layer — слой безопасных соединений) — это протокол взаимодействия информационных серверов и универсальных клиентов по защищенному каналу связи. Для двух взаимодействующих приложений протокол обеспечивает аутентификацию и идентификацию сервера и клиента, шифрование данных, контроль целостности сообщения. Отождествление клиента и сервера (идентификация) и проверка подлинности (аутентификация) клиента и сервера реализуется в результате обмена открытыми ключами и создания сеансовых криптографических ключей. После этого возможен двухсторонний обмен шифрованными сообщениями.

Протокол был разработан корпорацией Netscape Communications для обеспечения защиты данных, передаваемых по сети Интернет.

Он поддерживает установление подлинности как на уровне сервера, так и на уровне клиента. Протокол SSL не зависит от приложений, что позволяет прозрачно наслаиваться на него таким протоколам, как HTTP, FTP (протокол передачи файлов) и Telnet. Протокол SSL способен обмениваться ключами шифрования, а также устанавливать подлинность сервера еще до того, как приложение, находящееся на более высоком уровне, начнет обмен данными. Протокол SSL обеспечивает безопасность и целостность канала передачи с помощью шифрования и опознавательных кодов сообщения.

Этот протокол относится к протоколам сеансового уровня и занимает промежуточное положение между протоколами прикладного уровня (HTTP, FTP, SMTP и др.) и протоколом транспортного уровня TCP. Составной частью протокола является протокол SSL Handshake (протокол рукопожатия). Он является открытым и доступным любому пользователю. Протокол состоит из двух составляющих — протокола установления защищенной связи и протокола защищенного обмена данными.

Установление защищенной связи производится в соответствии со следующим алгоритмом:

• 1) клиент посылает серверу сообщение CLIENT-HELLO. В этом сообщении клиент помещает название и номер версии установленной у клиента программы, сведения о системе шифрования, которую он способен поддерживать, и другие сведения;
• 2) серверная программа отправляет ответное сообщение SERVERHELLO. В этом сообщении сервер сообщает клиенту аналогичные сведения о своей программе и настройке системы шифрования;
• 3) обе стороны сравнивают свои программные средства шифрования и выбирают наилучшие алгоритмы из числа доступных;
• 4) серверная программа отправляет клиенту открытый ключ сервера и сертификат ключа, заверенный удостоверяющим центром, а также получает от клиента его открытый ключ;
• 5) клиент проверяет сертификат ключа сервера. После успешной идентификации сервера клиент формирует случайную последовательность двоичных чисел (Он 1). Она будет использоваться в качестве мастер-ключа сеанса связи;
• 6) клиент формирует сообщение CLIENT-MASTER-KEY. В это сообщение помещается созданный мастер-ключ (premaster secret). Сообщение шифруется закрытым ключом клиента и отправляется серверу;
• 7) при необходимости производится идентификация клиента. Для этого клиент подписывает своим закрытым ключом известную серверу последовательность данных, полученную в процессе первичного контакта, и отправляет ее серверу. Сервер открывает эти данные открытым ключом клиента и убеждается в его подлинности;
• 8) сервер отвечает сообщением SERVER-VERIFY. В нем он подтверждает свою подлинность. Проверка подлинности осуществляется по идентичности мастер-ключа, расшифрованного сервером, и мастер-ключа клиента. Для этого сервер, используя открытый ключ клиента, расшифровывает сообщение CLIENT-MASTER-KEY. Полученный мастер-ключ шифруется сервером закрытым (секретным) ключом сервера и отсылает его клиенту. Клиент, получив это сообщение, раскрывает его открытым ключом сервера и сравнивает с ранее сформированным мастер-ключом. При совпадении мастер-ключей аутентификация заканчивается. После этого возможен двухсторонний обмен данными, зашифрованными с использованием созданного для этого сеанса мастер-ключа.

В электронной торговле протокол используется для передачи магазину информации о платежной карте клиента либо для защищенного обмена данными. Протокол обеспечивает защиту только от внешних воздействий злоумышленников, предполагая полное доверие друг другу продавца и покупателя. Это характерно для совершения сделок на небольшую сумму.

Протокол TLS (transport layer security) обеспечивает безопасность передачи данных между узлами в сети Интернет. Так же, как и протокол SSL, он относится к протоколам транспортного уровня. Его можно рассматривать как развитие протокола SSL. Работа протокола TLS основана па спецификации протокола SSL версии 3. TLS и SSL — это протоколы, обеспечивающие криптографическую защиту данных при их передаче между узлами в сети Интернет. Они используют асимметричные методы криптографической защиты для аутентификации и симметричные методы криптографической защиты для обеспечения конфиденциальности, а также гарантируют целостность сообщений.

В настоящее время этот протокол поддерживается организацией IETF (Internet engineering task force), которая занимается вопросами стандартизации в сети Интернет и является членом всемирного интернет-сообщества. Организацией разрабатываются интернет-документы RFC (Request for Comments), обеспечивающие стандартизацию процессов в сети. Одним из последних информационных интернет-документов, относящемуся к протоколу TLS, является RFC 6176 (Март 2011). Этот протокол популярен в приложениях ЭК. К его достоинствам относится отсутствие постоянного соединения между сервером и клиентом, возможность использования в туннелях для приложений, использующих протокол TCP. Имеется и ряд недостатков: невозможность использования совместно с протоколами UDP и ICMP, необходимость отслеживания состояния соединения, повышенные требования к ПО для поддержки протокола.

Протокол TLS отличается от SSL тем, что в нем:

• • используется другой алгоритм вычисления кода аутентичности сообщений;
• • расширен набор кодов извещений;
• • иные методы криптографических вычислений (ключей цифровых подписей).

Для использования протокола SSL необходимо приобрести в одном из центров сертификации цифровой сертификат и установить его на сервер. При использовании этого протокола для обеспечения безопасности передачи данных:

• • данные шифруются. Так, при отправке пользователем номера банковской пластиковой карты с применением протокола SSL данные шифруются, и хакер не сможет прочитать их содержание;
• • между сервером-источником и сервером назначения устанавливается защищенное соединение;
• • активируется аутентификация сервера.

Протокол не зависит от сетевого протокола.

SSL-сертификаты компаний Thawte и Symantec для ведения бизнеса.

Мировыми лидерами по выпуску SSL-сертификатов являются компании Thawte и Symantec. Их сертификаты можно приобрести по адресам nic.ru и ssl.ru. Наличие SSL-сертификата исключает возможность подмены сайта владельца сертификата сайтом злоумышленника. Такая подмена происходит при попытке пользователя зайти на сайт даже в том случае, когда пользователь правильно и без ошибок набрал доменное имя сайта. Наличие SSL-сертификата повышает доверие к сайту. Это обеспечивается наличием уникальной цифровой подписи сайта.

Наличие SSL-сертификата позволяет организовать защищенное соединение между узлами интернет-сети конфиденциальными данными, а веб-браузеры могут однозначно идентифицировать подлинность сайта для пользователей.

Указанными компаниями выпускаются сертификаты трех уровней. Компания Thawte выпускает сертификат начального уровня надежности (Domain Validation, DV-сертификат). Этот сертификат выпускается как для физических, так и для юридических лиц. Он позволяет выполнять шифрование данных интернет-соединения. Сертификат гарантирует наличие на доменном имени именно того сайта, который должен быть в соответствии сертификатом, а не сайта злоумышленника. Однако владелец домена не удостоверяется, данные о нем не проверяются.

Компаниями Thawte и Symantec выпускаются сертификаты повышенного уровня надежности. Сертификат стандартного уровня надежности (Organisation Validation, QV-сертификат) выпускается только для юридических лиц. Он также позволяет выполнять шифрование данных интернет-соединения. Выполняя те же функции, что и сертификат класса DV, сертификат QV-класса удостоверяет подлинность владельца сертификата.

Сертификат повышенного уровня надежности (Extended Validation, EV-сертификат) обладает всеми свойствами QV-сертификата. Он обеспечивает многоуровневую проверку подлинности данных о владельце сертификата, служит дополнительной гарантией добросовестности организации, которой принадлежит сайт. В адресной строке браузера такой сайт идентифицируется зеленым цветом.

Протокол SET. SET (secure electronic transactions — безопасные электронные транзакции) — один из основных стандартов электронных платежей. По сравнению с SSL он обеспечивает более высокий уровень безопасности, поэтому применяется при совершении сделок на значительную сумму. При использовании протокола обеспечивается безопасность оплаты по кредитным картам, разработанная Visa, MasterCard, Microsoft и несколькими ведущими банками. Безопасность основана на шифровании с открытым ключом всей информации, связанной с параметрами карты и разделением информации между участниками транзакции так, что ни один из них не обладает информацией целиком. В SET входят сообщения для покупки товаров и услуг электронным способом, запрашивающие разрешение на оплату и «мандаты» (т.е. сертификаты) с обязательным наличием открытых ключей для удостоверения личности, а также другие услуги.

Протокол для шифрования данных использует алгоритмы DES и RSA. Идентификация участников сделки осуществляется с помощью цифровой подписи и системы управления сертификатами. Этими же средствами обеспечивается целостность данных, исключая возможность модификации передаваемых документов и данных. При использовании для расчетов пластиковых карт данные о покупателе передаются в зашифрованном виде непосредственно в обслуживающий банк. Магазину (продавцу) данные о покупателе недоступны, чем обеспечивается высокая степень защищенности сделки.

Одним из программных элементов системы SET является электронный кошелек (Wallet). Он позволяет клиенту управлять платежными карточками и сертификатами. Специальная программа (SET e-wallets) автоматически отправляет на сервер предварительно подготовленные данные пластиковой карты, адрес доставки и другую информацию о клиенте, обеспечивая дополнительную безопасность и исключая ошибки при ручном заполнении форм.

В состав SET также входят платежный сервер продавца (Merchant Server), платежный шлюз (Payment Gateway), серверное программное обеспечение — источник сертификатов (Certificate Authority).

По спецификации SET взаимодействующими сторонами при использовании этого протокола являются владелец кредитной карточки, банк покупателя, продавец, банк продавца, платежный шлюз (система, обрабатывающая запросы от продавца и взаимодействующая с банком покупателя), сертификационный центр, финансовые институты, обеспечивающие функционирование торговой марки.