logo search
Отчет_НИРС

6 Криптография и безопасность системы webmoney

Попробуем разобраться, какие виды опасности нас будут подстерегать при использовании WebMoney, и каковы общие рекомендации по их предотвращению.

Виды опасностей:

Добиться полной безопасности при работе с Keeper Light несколько проще, чем при использовании Classic-версии. Причина этого заключается в том, что вся защита Light'а сосредоточена в одном месте - персональном цифровом сертификате, который пользователь получает при регистрации в системе. Именно сохранность сертификата и максимально осторожное его использование будет гарантией недоступности ваших кошельков для посторонних лиц. Прежде чем идти дальше, давайте определимся с основными терминами. Закрытый ключ – специальная информация, позволяющая отправителю зашифровывать данные для их безопасной передачи получателю. Закрытый ключ нельзя никому передавать, он всегда находится только у отправителя и идентифицирует его. Закрытый ключ также называется приватным или секретным. Открытый ключ – специальная информация, позволяющая получателю расшифровывать данные, зашифрованные отправителем с помощью его закрытого ключа. Поэтому открытый ключ (он также называется публичным) работает только в паре с закрытым. Открытый ключ не является секретной информацией, его можно передавать другим людям. Персональный цифровой сертификат – это цифровой сертификат, содержащий открытый ключ с информацией о его владельце, а также закрытый ключ, соответствующий открытому. Далее мы будем называть персональный цифровой сертификат также просто сертификатом. Персональный цифровой сертификат, получаемый пользователем при регистрации в Keeper Light, удостоверяет его персону как владельца определенного WMID. Хранилище сертификатов – скрытая папка операционной системы, в которой хранятся установленные на компьютере сертификаты. Экспорт сертификата – сохранение сертификата на диск в виде файла. Экспорт персонального цифрового сертификата, содержащего закрытый ключ, осуществляется согласно стандарту PKCS #12 в файл *.pfx. Импорт (установка) сертификата – добавление сертификата в хранилище из файла. НО: любой человек, получивший доступ к вашему сертификату Keeper Light сможет воспользоваться вашими WM-кошельками и похитить средства, находящиеся на них, ЕСЛИ ОН НЕ ЗАЩИЩЕН ДОПОЛНИТЕЛЬНО ПАРОЛЕМ. Рассмотрим основные этапы безопасной работы с персональным цифровым сертификатом.

1. Экспорт сертификата после регистрации.

После регистрации в Keeper Light и получения персонального цифрового сертификата необходимо обязательно произвести его экспорт в pfx-файл. Для этого выбираем в Internet Explorer пункт меню "Сервис - Свойства обозревателя". В диалоговом окне переходим на вкладку "Содержание" и нажимаем на кнопку "Сертификаты". Далее на вкладке "Личные" выделяем необходимый WMID и нажимаем "Экспорт". В процессе экспорта обязательно устанавливаем парольную защиту закрытого ключа. Пароль необходимо запомнить (а лучше - записать в недоступном для посторонних месте), восстановление его будет невозможно. В случае, если вы забудете этот пароль, то навсегда потеряете доступ к данному WMID и средствам на кошельках. Пароль необходим для защиты от несанкционированного импорта сертификата в будущем. Это означает, что если злоумышленник похитит экспортированный pfx-сертификат с вашего компьютера, то все равно не сможет импортировать его в хранилище своего браузера. Требования к этому паролю такие же, как и к любому другому - большая длина, нетривиальность, сочетание букв и цифр. При экспорте желательно сохранить сертификат не на жесткий диск, а на сменный носитель (например, дискету). В виде экспортированного pfx-файла сертификат, при необходимости, может быть свободно транспортирован на другой компьютер и там установлен.

2. Удаление сертификата по окончании работы.

Очень нежелательно держать сертификат в хранилище постоянно, поскольку в этом случае каждый, кто имеет доступ к вашему компьютеру, сможет воспользоваться им. Поэтому, закончив сеанс работы с Keeper Light, удаляем сертификат из хранилища ("Сервис - Свойства обозревателя - Содержание - Сертификаты - Удалить"). Для того чтобы в следующий раз продолжить работу с WebMoney, достаточно осуществить импорт сертификата из файла .pfx, созданного в пункте 1. 

3. Импорт сертификата в неэкспортируемом режиме.

Импорт (установку) сертификата следует осуществлять непосредственно перед началом сеанса работы с Keeper Light. Для этого делаем двойной клик на сохраненном pfx-файле. Во время импорта не ставим галочку "Разрешить экспортирование закрытого ключа". Это сделает невозможным экспорт сертификата. Благодаря такой мере предосторожности посторонний человек не сможет заполучить ваш сертификат через процедуру экспортирования, а вирус не сможет получить доступ к сертификату из хранилища.

Предложено: провести импорт сертификата в режиме усиленной защиты ключа. Для этого:

  1. При установке сертификата включаем - "Включить усиленную защиту закрытого ключа".

  2. Затем в диалоговом окне "Контейнер закрытого ключа" выбираем "Средний" или "Высокий" уровень безопасности.

В случае если выбран "Средний" уровень, браузер в дальнейшем будет спрашивать вашего разрешения всякий раз, когда тот или иной интернет-сайт будет обращаться к вашему персональному сертификату при использовании WM Keeper Light. В случае если выбран "Высокий" уровень, то для завершения импорта вам нужно будет назначить специальный пароль, защищающий закрытый ключ. В этом случае браузер не только будет требовать вашего разрешения на доступ к сертификату со стороны сайтов, но и будет запрашивать указанный при импорте пароль. Без знания пароля невозможно будет воспользоваться сертификатом для доступа к WM-ресурсам (в том числе, к кошелькам на https://light.webmoney.ru), а также, невозможным будет экспорт сертификата.

Таким образом, этот режим может быть весьма полезен, если доступ к компьютеру в любой момент может получить посторонний человек.

ВЫВОДЫ

На основании проведенного анализа данных о применяемых средствах криптографической защиты можно сформулировать следующие концептуальные положения по проблеме криптографической защиты платежной системы:

1. Существующие организационные и технические меры не обеспечивают полноценную защиту от несанкционированного подключения к сетям внутрибанковского и межбанковского обмена.

2. Средства криптографической защиты должны иметь различную реализацию (программную, программно-аппаратную, аппаратную) и давать возможность пользователям выбирать наиболее приемлемую для конкретных условий.

3. Средства криптографической защиты должны быть максимально просты в эксплуатации, учитывая невысокую профессиональную подготовку операторского состава.

СПИСОК ЛИТЕРАТУРЫ