Начало  |   Аналитика/Публикации  |   e-finance  |   e-business  |   e-payments  |   Форум  |   Cсылки  |   О проекте  |

 

Финансовые Интернет-услуги - Интернет-банкинг


 

Безопасность систем Интернет-банкинга

Безопасности систем Интернет-банкинга разработчики уделяют большое внимание в силу того, что вся информация в данных системах от клиента к банку передается по открытой сети Интернет,. Для наиболее высокой безопасности, обычно, защита передаваемой информации обеспечивается на двух уровнях. Во-первых, для входа в любую систему от клиента требуется его идентификационные данные – пароль и логин, а в самой системе происходит передача другой конфиденциальной информации, поэтому необходимо предотвратить возможность перехвата этих данных во время их передачи от клиента в систему. Для этого используется шифрование передаваемой информации.

 Второй и наиболее существенный момент состоит в том, что при осуществлении любой транзакции в системе, система должна убедиться, что все распоряжения производятся зарегистрированным клиентом. Для этого система по полученной информации, которая относится к транзакции, как бы идентифицирует клиента заново. В данном случае вся передаваемая информация “подписывается” клиентом электронно-цифровой подписью (ЭЦП). Именно по этой “подписи” система аутентифицирует пользователя и позволяет совершить необходимую операцию. ЭЦП – последовательность байтов, формируемая путем преобразования подписываемого электронного документа специальным программным средством по криптографическому алгоритму и предназначенная для проверки авторства электронного документа. ЭЦП является подтверждением подлинности, целостности и авторства электронного документа. ЭЦП признается аналогом собственноручной подписи (пункт 2 статьи 160 Гражданского Кодекса РФ).

Что касается передачи логина и пароля пользователя, для этого зачастую используются стандартные средства обеспечения защиты передачи информации в открытых сетях. Наиболее распространенным из этих средств является протокол SSL (Secure Sockets Layer), который является обязательным атрибутом любого современного браузера. Протокол был разработан компанией Netscape в 1994 году. SSL обеспечивает шифрование всей передаваемой информации от компьютера клиента до сервера банка. Максимальная длина  ключа, используемого в данном протоколе, 128 бит, т.е. существуют 2128 возможных комбинаций "ключей", но лишь один из этих ключей позволяет получить доступ к информации.

В России часто для передачи всех данных в системах Интернет-банкинг используются алгоритмы для шифрования отличные от SSL, которые позволяют повысить безопасность систем путем использования более длинных криптографических ключей.

Одним из самых распространенных алгоритмов является алгоритм RSA, длина ключа у которого обычно 1024 бит. Принцип работы этого алгаритма достаточно простой. Каждый участник криптосистемы генерирует два случайных больших простых числа p и q, выбирает число e, меньшее pq и не имеющее общего делителя с (p-1)(q-1), и число d, такое, что (ed-1) делится на (p-1)(q-1). Затем он вычисляет n=pq, а p и q уничтожает.

Пара (n, e) называется "открытым ключом", а пара (n, d) – “закрытым  ключом". Открытый ключ передается всем остальным участникам криптосистемы (обычно это означает, что клиент обязательно должен придти в офис банка для заверения открытого ключа), а закрытый сохраняется в тайне.

Стойкость RSA есть функция сложности разложения произведения pq на простые множители p и q (эту задачу придется решать тому, кто вознамерится "вычислить" закрытый ключ из открытого). При достаточной длине этих простых чисел (несколько тысяч двоичных разрядов) такое разложение вычислительно невозможно.

Для обеспечения конфиденциальности, участник А "шифрует" сообщение m участнику Б с помощью открытого ключа Б: c := me mod n, а участник Б "расшифровывает его" с помощью своего закрытого ключа: m := cd mod n.

При использовании ЭПЦ в условиях электронного документооборота, также применяется технология "криптографии с открытым ключом". Для наложения цифровой подписи участник А "шифрует" сообщение m участнику Б с помощью своего закрытого ключа s := md mod n, и отправляет "подпись" s вместе с сообщением m. Участник Б может верифицировать подпись участника А с помощью открытого ключа А, проверив равенство m=se mod n.

 Обычно первоначальный обмен ключами между клиентом и банком осуществляется на магнитных носителях без передачи ключей через открытые компьютерные сети. Секретный ключ клиента храниться на сервере сертификации банка и не имеет открытой публикации. Клиенту для осуществления всех операций с ЭЦП, на компьютер устанавливается программное обеспечение, которое предоставляет банк. А все необходимые данные для клиента – открытый, закрытый ключ, идентификационные данные и пр., обычно хранятся на отдельной дискете, или в специальном аппаратном устройстве, который подключается к компьютеру клиента.

Ниже приведена таблица с кратким описанием осуществления безопасности систем “Интернет-банкинг” российских банков.

Банк

Система

Организация безопасности

Автобанк

Домашний Банк

SSL + ЭЦП + аппаратное устройство Touch Memory для хранения информации

АКБ “БИН”

КОРТИС

SSL + ЭЦП + ридер и смарт-карта

Банк “НОМОС”

Интернет-клиент

Excellence, Lan Crypto + BS-Defender для наложения ЭЦП

Банк "Северная Казна"

ИнтернетБанк

Использование ПО Inter-Pro – усовершенствует  SSL и позволяет создавать ЭЦП

Банк "Югра" (С-Пб ф-л)

Ibank

Домашний Банк

SSL + ЭЦП, используется ключевая дискета

Гута Банк

Телебанк

Использование ПО Inter-Pro – усовершенствует  SSL и позволяет создавать ЭЦП

КБ "Эллипс Банк"

Телебанк-НН

Использование ПО Inter-Pro – усовершенствует  SSL и позволяет создавать ЭЦП

Межтопэнергобанк

БАНК++

DES – 128 бит + смарт-карта + ЭЦП

ОАО "Акционерный банк "РОССИЯ" 

Банк-Клиент

SSL 3.0 + ЭЦП “Лан Крипто” длина ключа 512 бит, используется ключевая дискета

ОАО Банк Дорожник

Интернет-банкинг

SSL для входа, в системе - RSA + ЭЦП, используется ключевая дискета

Судостроительный банк

Sbank

При соединении с сервером – SSL, в системе  RSA 1024 бита + ЭЦП 2048 бит

Юниаструм Банк

Интернет Банк-Клиент

SSL, TLS + ЭЦП, используется ключевая дискета.

 

Что касается безопасности систем Интернет-банкинг, которые позволяют клиенту банка иметь доступ к счету с помощью сотового телефона, поддерживающего WAP, то в таких системах безопасность намного меньше. Проблема кроется в самом протоколе WAP и процедуре преобразования трафика при смене протоколов передачи.  В сотовой сети на участке между мобильным телефоном и WAP-шлюзом (защита радиоканала) применяется Wireless Transport Layer Security (WTLS), а в Интернет (защита стека TCP/IP), как уже было сказано, - SSL. При перекодировке из одного протокола в другой информация остается без защиты. Пока, почти во всех системах WAP-банкинга клиент не может проводить платежные операции, а только получать необходимую информацию, поэтому уровень безопасности не так важен. Но скорее всего, в ближайшее время ситуация изменится в сторону увеличения функциональных возможностей WAP-банкинга. И тогда к безопасности протокола WAP будут предъявляться новые требования. На данный момент уже существует решение описанной выше проблемы – оно должно воплотится в следующей версии WAP – 2.0. Еще одним нюансом безопасности WAP систем является то, что вся передаваемая информация шифруется с криптографическим ключом не более 124 бита.

 

Автор: Рамзаев Михаил

Обратно к разделу "Интернет-банкинг"

 

 

 

 

Design, constructed and supported by Mike.Ramz