Корн Алиса
Национальный горный университет, Украина
Повышение уровня безопасности протоколов электронной коммерции в
системах электронного документооборота
В настоящее время возрастает количество
коммерческих контактов в сети Интернет. С каждым годом все чаще целью таких
взаимодействий является приобретение объектов права интеллектуальной
собственности. Существующие системы, разработанные для того, чтобы сделать
подобные контакты более защищенными, направлены на решение задач обеспечения
безопасности перемещения денежных средств, а не на конфиденциальность объектов
права интеллектуальной собственности.
Следовательно, актуальна задача
дальнейшего усовершенствования систем с помощью средств ассиметричной
криптографии, инфраструктур открытых ключей.
Основной задачей сервисов, обеспечивающих
безопасность в сфере электронной коммерции, является исключение мошенничества
как по отношению к продавцу, так и к покупателю.
На сегодняшний день самой распространенной
системой, обеспечивающей безопасность взаимодействия в сфере электронной
коммерции, является сервис Escrow.
Схема работы сервиса Escrow такова (рассматривается на примере нематериального
товара):
Этап 1. Заказчик и исполнитель формируют
договор и техническое задание, договариваются о сумме оплаты. Заказчик и
исполнитель оправляют договор и техническое задание сервису Escrow.
Этап 2. Исполнитель пересылает сумму
оплаты сервису Escrow. После этого заказчик не может
снять сумму со счета, у исполнителя также нет доступа к снятию суммы.
Этап 3. После выполнения задания
исполнитель отправляет его сервису. Сервис Escrow проверяет, соответствует ли выполненное задание
пунктам технического задания.
Этап 4. Если соответствие установлено,
система переводит сумму оплаты на счет исполнителя, а проверенное задание
пересылается заказчику.
Если соответствие не установлено, сумма
оплаты возвращается на счет заказчика.
При более детальном рассмотрении в этой
системе обнаруживаются существенные недостатки:
1. Техническое задание может касаться
любой сферы науки, разработки информационных технологий, искусства. Очевидно,
что в системе Escrow не может быть эксперта в
любой сфере нематериального обслуживания.
2. Подобный алгоритм взаимодействия
нарушает такое свойство информации (выполненного заказа) как
конфиденциальность. Таким образом, при недобросовестной реализации алгоритма
все пересылаемые через систему выполненные задания могут копироваться и в
дальнейшем использоваться представителями сервиса.
Эти недостатки можно исправить, используя
следующий алгоритм, основанный на использовании инфраструктуры открытых ключей.
Этап 1. Заказчик и исполнитель формируют
договор и техническое задание, договариваются о сумме оплаты. Заказчик и
исполнитель в договоре обязательно указывают некие доказательства, которые
убедят заказчика в корректности выполнения технического задания. Такими
доказательствами могут быть видеосъемка экрана для обоснования
работоспособности ПО, отрывки переведенных текстов (если задание касалось
переводов с иностранных языков), изображения и т.п.
Этап 2. Договор, техническое задание и
доказательства выполнения подписываются с использованием электронной цифровой
подписи как заказчика, так и исполнителя, и отправляются третьей доверенной
стороне (ТДС).
Этап 3. Исполнитель пересылает сумму
оплаты ТДС. После этого заказчик не может снять сумму со счета, у исполнителя также
нет доступа к снятию суммы.
Этап 4. После выполнения технического
задания исполнитель отправляет ТДС выполненный заказ, зашифрованный открытым
ключом заказчика, и открытые доказательства корректности выполнения
технического задания. ТДС предоставляет заказчику право доступа к доказательствам.
Этап 5. Заказчик проверяет соответствие доказательства
техническому заданию.
Если соответствие установлено, заказчик
завершает сделку и получает зашифрованный своим открытым ключом заказ. ТДС
переводит сумму оплаты на счет исполнителя.
Если соответствие не установлено, сумма
оплаты возвращается на счет заказчика.
Таким образом, предложенная схема
устраняет указанные недостатки системы Escrow. Заказчик и исполнитель, используя заранее
оговоренные доказательства, могут самостоятельно оценить соответствие
выполненного заказа установленному техническому заданию, не прибегая к помощи
посторонних экспертов. В то же время ТДС не имеет доступа к передаваемым
выполненным заказам, поскольку они зашифрованы открытым ключом заказчика, то
есть конфиденциальность передаваемой информации соблюдена.
Литература:
1.
Горбенко Ю.І., Горбенко
І.Д. (2010) Інфраструктури відкритих ключів. Електронний цифровий підпис
(теорія та практика).
2.
М.Ф. Бондаренко, П.О. Кравченко «Комбінована інфраструктура відкритих
ключів», Прикладна радіоелектроніка, 2009, Том 8, №3.
3.
Горбатов В.С., Полянська О.Ю. «Основи технології РКІ» – М.: Горячая линия –
Телеком, 2004 – 246 с.