6 Криптография и безопасность системы webmoney
Попробуем разобраться, какие виды опасности нас будут подстерегать при использовании WebMoney, и каковы общие рекомендации по их предотвращению.
Виды опасностей:
-
Генераторы WM
-
Рассылка вирусов по почте
-
Загрузка вирусов через браузер и т. д.
Добиться полной безопасности при работе с Keeper Light несколько проще, чем при использовании Classic-версии. Причина этого заключается в том, что вся защита Light'а сосредоточена в одном месте - персональном цифровом сертификате, который пользователь получает при регистрации в системе. Именно сохранность сертификата и максимально осторожное его использование будет гарантией недоступности ваших кошельков для посторонних лиц. Прежде чем идти дальше, давайте определимся с основными терминами. Закрытый ключ – специальная информация, позволяющая отправителю зашифровывать данные для их безопасной передачи получателю. Закрытый ключ нельзя никому передавать, он всегда находится только у отправителя и идентифицирует его. Закрытый ключ также называется приватным или секретным. Открытый ключ – специальная информация, позволяющая получателю расшифровывать данные, зашифрованные отправителем с помощью его закрытого ключа. Поэтому открытый ключ (он также называется публичным) работает только в паре с закрытым. Открытый ключ не является секретной информацией, его можно передавать другим людям. Персональный цифровой сертификат – это цифровой сертификат, содержащий открытый ключ с информацией о его владельце, а также закрытый ключ, соответствующий открытому. Далее мы будем называть персональный цифровой сертификат также просто сертификатом. Персональный цифровой сертификат, получаемый пользователем при регистрации в Keeper Light, удостоверяет его персону как владельца определенного WMID. Хранилище сертификатов – скрытая папка операционной системы, в которой хранятся установленные на компьютере сертификаты. Экспорт сертификата – сохранение сертификата на диск в виде файла. Экспорт персонального цифрового сертификата, содержащего закрытый ключ, осуществляется согласно стандарту PKCS #12 в файл *.pfx. Импорт (установка) сертификата – добавление сертификата в хранилище из файла. НО: любой человек, получивший доступ к вашему сертификату Keeper Light сможет воспользоваться вашими WM-кошельками и похитить средства, находящиеся на них, ЕСЛИ ОН НЕ ЗАЩИЩЕН ДОПОЛНИТЕЛЬНО ПАРОЛЕМ. Рассмотрим основные этапы безопасной работы с персональным цифровым сертификатом.
1. Экспорт сертификата после регистрации.
После регистрации в Keeper Light и получения персонального цифрового сертификата необходимо обязательно произвести его экспорт в pfx-файл. Для этого выбираем в Internet Explorer пункт меню "Сервис - Свойства обозревателя". В диалоговом окне переходим на вкладку "Содержание" и нажимаем на кнопку "Сертификаты". Далее на вкладке "Личные" выделяем необходимый WMID и нажимаем "Экспорт". В процессе экспорта обязательно устанавливаем парольную защиту закрытого ключа. Пароль необходимо запомнить (а лучше - записать в недоступном для посторонних месте), восстановление его будет невозможно. В случае, если вы забудете этот пароль, то навсегда потеряете доступ к данному WMID и средствам на кошельках. Пароль необходим для защиты от несанкционированного импорта сертификата в будущем. Это означает, что если злоумышленник похитит экспортированный pfx-сертификат с вашего компьютера, то все равно не сможет импортировать его в хранилище своего браузера. Требования к этому паролю такие же, как и к любому другому - большая длина, нетривиальность, сочетание букв и цифр. При экспорте желательно сохранить сертификат не на жесткий диск, а на сменный носитель (например, дискету). В виде экспортированного pfx-файла сертификат, при необходимости, может быть свободно транспортирован на другой компьютер и там установлен.
2. Удаление сертификата по окончании работы.
Очень нежелательно держать сертификат в хранилище постоянно, поскольку в этом случае каждый, кто имеет доступ к вашему компьютеру, сможет воспользоваться им. Поэтому, закончив сеанс работы с Keeper Light, удаляем сертификат из хранилища ("Сервис - Свойства обозревателя - Содержание - Сертификаты - Удалить"). Для того чтобы в следующий раз продолжить работу с WebMoney, достаточно осуществить импорт сертификата из файла .pfx, созданного в пункте 1.
3. Импорт сертификата в неэкспортируемом режиме.
Импорт (установку) сертификата следует осуществлять непосредственно перед началом сеанса работы с Keeper Light. Для этого делаем двойной клик на сохраненном pfx-файле. Во время импорта не ставим галочку "Разрешить экспортирование закрытого ключа". Это сделает невозможным экспорт сертификата. Благодаря такой мере предосторожности посторонний человек не сможет заполучить ваш сертификат через процедуру экспортирования, а вирус не сможет получить доступ к сертификату из хранилища.
Предложено: провести импорт сертификата в режиме усиленной защиты ключа. Для этого:
-
При установке сертификата включаем - "Включить усиленную защиту закрытого ключа".
-
Затем в диалоговом окне "Контейнер закрытого ключа" выбираем "Средний" или "Высокий" уровень безопасности.
В случае если выбран "Средний" уровень, браузер в дальнейшем будет спрашивать вашего разрешения всякий раз, когда тот или иной интернет-сайт будет обращаться к вашему персональному сертификату при использовании WM Keeper Light. В случае если выбран "Высокий" уровень, то для завершения импорта вам нужно будет назначить специальный пароль, защищающий закрытый ключ. В этом случае браузер не только будет требовать вашего разрешения на доступ к сертификату со стороны сайтов, но и будет запрашивать указанный при импорте пароль. Без знания пароля невозможно будет воспользоваться сертификатом для доступа к WM-ресурсам (в том числе, к кошелькам на https://light.webmoney.ru), а также, невозможным будет экспорт сертификата.
Таким образом, этот режим может быть весьма полезен, если доступ к компьютеру в любой момент может получить посторонний человек.
ВЫВОДЫ
На основании проведенного анализа данных о применяемых средствах криптографической защиты можно сформулировать следующие концептуальные положения по проблеме криптографической защиты платежной системы:
1. Существующие организационные и технические меры не обеспечивают полноценную защиту от несанкционированного подключения к сетям внутрибанковского и межбанковского обмена.
2. Средства криптографической защиты должны иметь различную реализацию (программную, программно-аппаратную, аппаратную) и давать возможность пользователям выбирать наиболее приемлемую для конкретных условий.
3. Средства криптографической защиты должны быть максимально просты в эксплуатации, учитывая невысокую профессиональную подготовку операторского состава.
СПИСОК ЛИТЕРАТУРЫ
- 1 Анализ основных уязвимых мест и требований к платёжным системам
- 1.3 Требования по надежности
- 1.4 Специальные требования
- 2 Проблемы криптографической защиты платежной системы
- 3 Анализ возможных угроз безопасности
- 3.1 Основные виды угроз информационной безопасности платёжных систем
- 3.2 Классификация угроз безопасности
- 3.3 Основные непреднамеренные искусственные угрозы
- 3.4 Основные преднамеренные искусственные угрозы
- 4 Виды подходов к защите платёжных систем
- 6 Криптография и безопасность системы webmoney
- В. Шаньгин "Компьютерная безопасность информационных систем"
- Романец ю.В., Тимофеев п.А., Шаньгин в.Ф., «Защита информации в компьютерных системах и сетях»