), VRML (
Virtual Reality Markup Language) Forum и Java Development Connection. Часто, ввиду значительного авторитета группы IETF, эти специальные группы (или отдельные компании) предлагают свои стандарты на ее рассмотрение. В случае положительного решения рекомендация IETF послужит дополнительным "знаком качества". Если стандарт утвержден IETF, можно быть уверенным, что он будет максимально открытым принесет выгоду многим предпринимателям.
Одна из причин возникновения специальных групп по стандартизации - противоречие между постоянно возрастающими темпами развития технологий и длительным циклом рассмотрения стандартов. Некоторые производители считают, что органы стандартизации, такие как ITU, IEEE, и IETF тратят слишком много времени на подготовку и утверждение стандартов. IETF - самая "быстрая" из организаций, выпускающая свои стандарты на основе уже работающих реализаций. И это свидетельствует не только о высоких темпах развития новых технологий, но также о напряженности борьбы между компаниями за контроль над стандартами.
Быстрота разработки стандарта - понятие относительное. По мнению компании Netscape, Cisco и других IETF делает это быстрее, чем другие (например, ISO и ITU), но все равно недостаточно быстро. А чем больше времени уходит у органа стандартизации на разработку и публикацию стандарта, тем шире временное "окно" для желающих выдвинуть собственные стандарты. Порой и важные покупатели задают стандарты де-факто, самими своими
покупками или заказами.
В Интернет популярны протоколы безопасной передачи данных, а именно SSL, SET, IP v.6. Перечисленные протоколы появились в Интернет сравнительно недавно, как необходимость защиты ценной информации, и сразу стали стандартами де-факто . Напомним, что Интернет создавалась несколько десятилетий назад для научного обмена информацией не имеющей большой стоимости. Возвращаясь к конкретным техническим решениям, рассмотрим популярные в Интернет протоколы информационной безопасности.
Протокол SSL (
Secure Socket Layer) был разработан американской компанией Netscape Communications Corp. (
http://home.netscape.com/eng/ssl3/index.html) как протокол, обеспечивающий защиту данных между сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и транспортными протоколами (TCP/IP) с помощью современной криптографии.
Протокол SSL предназначен для решения традиционных задач обеспечения защиты информационного взаимодействия, которые в среде "клиент-сервер" интерпретируются следующим образом:
- пользователь и сервер, подключаясь, должны быть взаимно уверены, что они обменивается информацией не с подставными абонентами, а именно с теми, которые нужны, не ограничиваясь паролевой защитой;
- после установления соединения между сервером и клиентом весь информационный поток между ними должен быть защищен от несанкционированного доступа;
- и, наконец, при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче.
Протокол SSL позволяет серверу и клиенту перед началом информационного взаимодействия аутентифицировать или провести проверку подлинности друг друга ("server/client authentication"), согласовать алгоритм шифрования и сформировать общие криптографические ключи. С этой целью в протоколе используются двухключевые (асимметричные) криптосистемы, в частности, RSA.
Конфиденциальность информации, передаваемой по установленному защищенному соединению, обеспечивается путем шифрования потока данных на сформированном общем ключе с использованием симметричных криптографических алгоритмов (например, RC4_128, RC4_40, RC2_128, RC2_40, DES40 и др.). Контроль целостности передаваемых блоков данных производится за счет использования так называемых кодов аутентификации сообщений (
Message Autentification Code - MAC), вычисляемых с помощью хэш-функций (в частности, MD5).
Последняя версия (SSLeay v. 0.8.0) поддерживает SSLv3. Данная версия доступна в исходных текстах. Этот пакет предназначен для создания и управления различного рода сертификатами. Так же в его состав входит и библиотека для поддержки SSL различными программами.
Протокол SSL принят W3 консорциумом (W3 Consortium) на рассмотрение, как основной защитный протокол для клиентов и серверов (WWW Browsers and Servers) в сети Интернет.
Наиболее распространенный зарубежный опыт решения вопросов управления криптографическими ключами электронного документооборота, основывается на использовании Public Key Infrastructure (PKI) - Инфраструктуры Открытых Ключей (ИОК), названной по названию используемого способа защиты электронных документов - криптография с открытыми ключами. Этим термином описывается полный комплекс программно-аппаратных средств, а также организационно- технических мероприятий, необходимых для использования технологии с открытыми ключами. Основным компонентом инфраструктуры является собственно система управления цифровыми ключами и сертификатами.
Эта инфраструктура подразумевает использование цифровых сертификатов, удовлетворяющих рекомендациям международного стандарта Х.509 ITU-T, и развернутую сеть центров сертификации, обеспечивающих выдачу и сопровождение цифровых сертификатов для всех участников электронного обмена документами. По своим функциям цифровые сертификаты аналогичны обычной печати, которой удостоверяют подпись на бумажных документах.
Цифровые сертификаты содержат открытые криптографические ключи абонентов, заверенные
электронной цифровой подписью центра сертификации и обеспечивают однозначную аутентификацию участников обмена, а центры сертификации обеспечивают надежное распространение и сопровождение ключевой информации. Такие сертификаты представляют собой определенную последовательность битов, основанных на криптографии с открытым ключом. Цифровой сертификат представляет собой совокупность персональных данных владельца и открытого ключа его электронной подписи (а при необходимости, и шифрования), связанных в единое неизменяемое целое электронной подписью центра сертификации. Цифровой сертификат оформляется в виде файла или области памяти и может быть записан на дискету, интеллектуальную карту, элемент touch-memory, любой другой носитель данных.
Цифровые сертификаты предотвратят возможность подделок, от которых не застрахованы существующие виртуальные системы. Сертификаты держателя карты и продавца также дают уверенность в том, что их транзакции будут обработаны с тем же высоким уровнем защиты, что и транзакции, которые обрабатываются сегодня традиционными способами.
По такой схеме развертываются многие современные международные системы обмена информацией в открытых сетях. Примерами центров сертификации являются американские компании Verisign, GTE.
Наиболее перспективный протокол или стандарт безопасных электронных транзакций в сети Интернет - SET (
Security Electronics Transaction
