¿Cuáles son los peligros ocultos en la seguridad de las transacciones de comercio electrónico?
1. Robar y manipular la información de las transacciones, es decir, los datos transmitidos en texto plano en las transacciones en línea son interceptados y descifrados por intrusos ilegales. y luego alterado, eliminado o insertado ilegalmente, comprometiendo la integridad de la información.
El segundo es la suplantación de información, es decir, los atacantes de redes ilegales cometen fraude haciéndose pasar por usuarios legítimos o simulando información falsa.
Medidas de prevención y mejora: medidas para mejorar la confidencialidad, integridad y no repudio de los datos.
La confidencialidad de la información del comercio electrónico se refiere a la característica de que la información no será divulgada ni utilizada por usuarios, entidades o procesos no autorizados. La integridad de la información del comercio electrónico se refiere a la propiedad de que los datos no se pueden cambiar sin autorización. Es decir, la información permanece inalterada, protegida contra daños y pérdidas durante el almacenamiento o la transmisión. El no repudio de la información de comercio electrónico se refiere a evitar que una parte en la transacción niegue que ha realizado una determinada transacción después de realizarla o que una parte niegue la recepción de la información de la transacción enviada por la otra parte;
Principales tecnologías de seguridad:
1. La tecnología de cifrado es la tecnología de seguridad más básica para el comercio electrónico. En las condiciones técnicas actuales, la tecnología de cifrado generalmente se divide en cifrado simétrico y cifrado asimétrico.
(1) Cifrado de clave simétrica: se utiliza el mismo algoritmo de cifrado y se utiliza la misma clave para el cifrado y descifrado. Si las partes que se comunican pueden garantizar que la clave privada no se filtre durante la etapa de intercambio de claves, pueden utilizar métodos de cifrado simétrico para cifrar información confidencial y enviar el resumen del mensaje y el valor hash del mensaje junto con el mensaje para garantizar la confidencialidad e integridad de el mensaje. El intercambio seguro de claves es un vínculo fundamental relacionado con la eficacia del cifrado simétrico. Los algoritmos de cifrado simétrico utilizados actualmente incluyen DES, PCR, IDEA, 3DES, etc. Entre ellos, DES es el estándar de cifrado de datos más utilizado y adoptado por la Organización Internacional de Normalización.
(2) Cifrado de clave asimétrica: el cifrado asimétrico es diferente del cifrado simétrico y su par de claves se divide en clave pública y clave privada. Cuando se genera un par de claves, la clave pública se hace pública, mientras que la clave privada se conserva en poder del emisor de la clave. Cualquier usuario que obtenga la clave pública puede usar la clave para cifrar información y enviarla al editor de la clave pública. Después de obtener la información cifrada, el editor utilizará la clave privada correspondiente a la clave pública para descifrarla. El algoritmo de cifrado asimétrico más utilizado actualmente es el algoritmo RSA. Este algoritmo ha sido recomendado por el Subcomité Técnico de Cifrado de Datos de la Organización Internacional de Normalización como estándar de cifrado de datos de clave asimétrica.
Entre los métodos de cifrado simétrico y asimétrico, el cifrado simétrico tiene las ventajas de una velocidad de cifrado rápida (normalmente 10 veces más rápida que el cifrado asimétrico) y una alta eficiencia, y se utiliza ampliamente en el cifrado de grandes cantidades de datos. Sin embargo, la desventaja fatal de este método es que la transmisión y el intercambio de claves también enfrentan problemas de seguridad y las claves se interceptan fácilmente. Además, si se comunica con una gran cantidad de usuarios, es difícil administrar de forma segura una gran cantidad de pares de claves, por lo que existen ciertos problemas con la aplicación generalizada del cifrado simétrico. La ventaja de las claves asimétricas es que resuelve el problema de demasiadas claves para administrar y el alto costo del cifrado simétrico, y no hay necesidad de preocuparse de que la clave privada se filtre durante la transmisión, por lo que el rendimiento de seguridad es mejor que el de las claves simétricas. tecnología de cifrado. Sin embargo, la desventaja de la asimetría es que el algoritmo de cifrado es complejo y la velocidad de cifrado no es la ideal. La aplicación práctica actual del comercio electrónico es a menudo una combinación de ambos.
2. Tecnología de autenticación de identidad. En la actualidad, la tecnología de cifrado por sí sola no es suficiente para garantizar la seguridad de las transacciones de comercio electrónico. La tecnología de autenticación de identidad es otro medio técnico importante para garantizar la seguridad del comercio electrónico. La implementación de la autenticación de identidad incluye tecnología de firma digital, tecnología de certificado digital, etc.
(1) Tecnología de firma digital
El cifrado de información solo resuelve el problema de la confidencialidad durante la transmisión de información. También se necesitan otros medios para evitar que otros manipulen o destruyan la información transmitida y garantizar la seguridad. integridad de la información La integridad garantiza el no repudio del remitente de la información. Esto significa una firma digital. La tecnología de firma digital es una tecnología de autenticación de identidad. Una firma digital en un documento digitalizado es similar a una firma manuscrita en papel y no puede falsificarse. El destinatario puede verificar que el documento efectivamente proviene del firmante y que el documento no ha sido modificado luego de la firma, asegurando así la autenticidad e integridad de la información.
La firma digital actual se basa en el sistema de clave pública y es otra aplicación de la tecnología de cifrado de clave pública.
Existen similitudes entre las firmas digitales y las firmas en documentos escritos. Al utilizar una firma digital, puede confirmar las dos cosas siguientes: la información fue enviada por el firmante y la información no ha sido modificada desde la fecha de publicación hasta la fecha de recepción. Actualmente, existen tres métodos principales de firma digital, a saber: firma RSA, firma DSS y firma Hash. Estos tres algoritmos se pueden utilizar individualmente o juntos.
(2) Tecnología de certificado digital
En el sistema de clave pública-clave privada, la clave privada solo la conoce el remitente de la información y la clave pública coincidente es pública. que puede garantizar la confidencialidad de la transmisión de información, pero no aborda la distribución de claves públicas. Las firmas digitales garantizan que la información fue enviada por el firmante y que la información no ha sido modificada desde el momento en que se envió hasta el momento en que se recibió, pero no garantiza la autenticidad de la identidad del firmante. Por lo tanto, se necesita una medida para gestionar la distribución de claves públicas y garantizar la autenticidad de la clave pública y la información de identidad de la entidad asociada con la clave pública. Esta medida es un certificado digital. Los certificados digitales generalmente son emitidos por una organización externa autorizada, confiable y arbitraria, es decir, una CA. Un certificado digital es un medio de gestión de claves en un sistema de claves públicas, que vincula una clave pública con información de identidad de la entidad y contiene la firma digital de una autoridad de certificación. Los certificados digitales se utilizan para la distribución y transmisión de claves públicas en el comercio electrónico para demostrar que la identidad de la entidad de comercio electrónico coincide con la clave pública.