D
deja-vu
Misafir
Elektronik ticarette alıcı ve satıcı birbirlerini görmeksizin iş yaptıklarından karşılıklı olarak güvenin sağlanması için ek bir takım önlemler almaya ihtiyaç duyarlar. Öncelikle alıcı ve satıcı taraflar birbirlerinin kimliklerinden emin olmak isterler. İşte bu ihtiyaçtan dolayı daha sonra bahsedeceğimiz “dijital imza” ve “dijital sertifika” kavramları geliştirilmiştir.
Bunlar aracılığıyla iki taraf birbirlerinin kimliğinden emin olabilmektedir. Türkiye’de şu anda dijital sertifikalar ile ilgili yasal altyapı henüz oluşturulmadığı için alıcı tarafında bulunan bireysel kullanıcılar henüz dijital sertifika kullanmaya başlamamışlar, satış yapan siteler de müşterilerine bunu şart koşmamışlardır. Bu nedenle satıcılar alıcıların kimliklerini kontrol edememektedirler. Bazı özel kuruluşlar, özel sistemler geliştirerek bu kuşkuyu ortadan kaldırmaya çalışmaktadır.
Elektronik ticarette güvenlik konusunda değerlendirilmesi gereken diğer bir konu da alıcıların elektronik ticaret sitelerinden alışveriş yapmak için vermek durumunda kaldıkları kredi kartı vb. bilgilerin Internet üzerinden iletilirken üçüncü şahısların eline geçmesi riskidir. Bilindiği gibi özellikle telefonla yapılan satışlarda (gazeteye ilan vermek, katalog satışları vb) kredi kartı numarası ve son kullanma tarihi alışveriş için yeterli olmaktadır. Bu yüzden bu bilgilerin korunması e-ticaretin gelişimi için büyük önem taşımaktadır.
Ancak e-ticarette kredi kartı bilgilerinin başkalarının eline geçme riski günlük hayattakine göre çok daha azdır. Günlük hayatta ödeme yaparken kredi kartı bir başkasına verilmekte, bu yüzden kredi kartının üzerindeki bilgilerin gizliliği büyük oranda ortadan kalkmaktadır. Sanal alışveriş hizmeti veren firmalar, kredi kartı bilgilerinin güvenliği ve gizliliğini sağlamak için yaygın olarak SSL ve SET gibi güvenlik standartlarını kullanmaktadırlar. Kullanıcı, işyeri ve banka arasındaki veri akışı sırasında bilgilerin şifrelenerek aktarılması esasına dayanan güvenlik sistemleri sayesinde bilgilerin başka bir kişinin eline geçmesi durumunda çözülebilmesi (yani kullanılabilmesi) önlenir. Böylece kart bilgilerinin gizliliği ve alışverişin güvenliği sağlanmış olur. Burada önemli bir noktada, gizlilik sağlansa da müşteriye itiraz hakkının verilip verilmeyeceğidir.(Kuruluşlar genelde itiraz hakkı verirler.)
Nasıl ki kredi kartınızı çaldırmanız, kaybetmeniz, kasa başında unutmanız v.b. gibi normal kullanım riskleri varsa, internet üzerinden alışverişte de, söz gelimi, kredi kartı bir başkasına vermişseniz ve kişisel bilgilerinizi (isim, adres, telefon vb) başkaları biliyorsa, benzer riskler vardır. Ancak bu risk, genellikle teknolojinin yetersizliğinden değil tam tersine, yanlış ve bilinçsiz kullanımından doğmaktadır.
Güvenlik İçin Kullanılan Yaygın Protokoller:
İnternet üzerinde dolaşan bilgi paketleri, bir takım güvenlik protokolleri yardımıyla "şifrelenerek" gönderilir. Bunlardan en popülerleri SSL (güvenlikli web oturumu ve karşılıklı bilgi değiş-tokuşu) ve SET (kredi kartı uygulamaları) dir. SSL (Secure Sockets layer) ve SET (Secure Electronic Transaction) sayesinde, bilgi güvenli bir şekilde "sadece" doğru kişiye iletilir ve bilgiyi gönderen bilgisayar ile alan bilgisayar arasında güvenli bir veri iletişimi kurulur.
Kredi kartı numarası, isim, adres vb gibi bilgiler güvenli olarak iletilir. İnternet üzerinde alışveriş yapılan tüm merkezlerde alışveriş yapılırken bu tip güvenlik sistemleri kullanılır. 128 bir şifreleme algoritmaları kullanan bu sistemler, e-ticaret için gerekli "güvenli iletişim" ortamını sağlarlar. Anahtarlar üretilirken kullanılan bazı popüler algoritmalar olarak, DES (Data Encryption Standard), RSA, IDEA verilebilir. Bunlardan RSA’nın RC4 algoritması (128 bit şifreleme olarak) Netscape ve Internet Explorer’da da kullanılan bir algoritmadır.
Sanal Mağazaya müşterilerin güvenli erişimi için, SLL standartı kullanılmaktadır. Satıcı firma, bir onay kurumundan aldığı elektronik web sitesi kimliği ile mağazasının sanal dünyadaki kaydını gerçekleştirmektedir. Müşteri ile Satıcı Firma arasındaki iletişimde güvenliği sağlayan SLL; internette ulaşılan adresin gerçekten aranan mağaza olup olmadığını kontrol etmekte ve bilgilerin şifrelenerek gönderilmesini sağlamaktadır.
Satıcı firma ile banka arasındaki iletişimin güvenliği ise SET protokolü ile gerçekleştirilmektedir. Müşteriden SLL ile alınan ödeme bilgileri (kredi kartı), satıcı firma tarafından bankaya SET protokolü ile şifrelenerek gönderilmektedir. Banka, müşterinin hesabının uygun olması durumunda, alışverişini onaylamakta ve provizyon bilgisini satıcı firmaya göndermektedir. Satıcı firma, müşterisine siparişin tamamlandığını bildirdikten sonra bankaya bağlanarak alışveriş tutarını hesabına aktarmaktadır. Ülkemizde kitap, kaset, CD, çiçek, elektronik, giyim, bilgisayar, gıda, vb. ürünlerin İnternette doğrudan müşteriye satışını yapan sanal mağaza sayısı 250’yi aşmıştır (*).
Geniş Anlamıyla SSL
SSL (Secure Sockets Layer), ağ üzerindeki web uygulamalarında güvenli bilgi aktarımının temini için (bilginin doğru kişiye güvenli olarak iletimi), "Netscape" firması tarafından geliştirilmiş bir program katmanıdır . Burada, bilgi iletiminin güvenliği, uygulama programı (web browser, HTTP) ile TCP/IP katmanları arasındaki bir program katmanında sağlanmaktadır. SSL, web sunucularına (Apache vb), bir modül olarak yüklenir ve böylece web sunucuları güvenli erişime uygun hale gelir. SSL, hem istemci (bilgi alan) hem de sunucu (bilgi gönderen) bilgisayarda bir doğrulama (authentication: iki bilgisayarın karşılıklı olarak birbirini tanıması) mekanizması kullanır. Böylece, bilginin doğru bilgisayardan geldiği ve doğru bilgisayara gittiği teyit edilir.
Bilgisayarların birbirlerini "tanıma" işlemi, açık-kapalı anahtar tekniğine (public-private key encryption) dayanan bir kripto sistemi ile sağlanır. Bu sistemde, iki anahtardan oluşan bir anahtar çifti vardır. Bunlardan açık anahtar (public key) herkes tarafından bilinebilen ve gönderilen mesajı "şifrelemede" kullanılan bir dijital anahtardır. (Burada anahtar’ dan kasıt, aslında bir şifreleme -kriptolama- algoritmasıdır. Bu algoritma (yani, anahtar) kullanılarak gönderilecek bilgi şifrelenir). Ancak, açık anahtar ile şifrelenen mesaj sadece bu anahtarın diğer çifti olan "kapalı anahtar" (private key) ile açılabilir (deşifre edilebilir). Kapalı anahtar da, sadece sizin bildiğiniz bir anahtar olduğundan, mesaj güvenliği sağlanmış olur. Örnek olarak, size mesaj göndermek isteyen birine kendi açık anahtarınızı gönderirsiniz. Karşı taraf bu anahtarı kullanarak mesajını şifreler ve size gönderir. Şifrelenen mesajı, sadece sizde olan ikinci bir anahtar (kapalı anahtar, private key) çözebilir ve bu anahtarı sadece siz bilirsiniz.
SSL, web sunucusunu tanımak için, dijital olarak imzalanan sertifikalar kullanır. Sertifika, aslında, o organizasyon hakkında bazı bilgiler içeren bir veri dosyasıdır. Aynı zamanda da, kuruluşun açık-kapalı anahtar çiftinin "açık" anahtarı da sertifika içinde yer alır. Sunucu sertifikası da, o sunucuyu işleten kuruma ait bilgiler içeren bir sertifikadır. Sertifikalar, "güvenilir" sertifika kuruluşları tarafından dağıtılır (Örneğin VeriSign vb.).
İstemci(bilgi alan) bilgisayar, SSL destekleyen bir sunucuya bağlandığı anda, (bu, https:// ile başlayan URL satırları ile gerçekleşir) doğrulama işlemi başlar. İstemci, kendi açık anahtarını sunucuya gönderir. Sunucu ise, bu anahtarı kullanarak şifrelediği bir mesajı istemciye geri gönderir. Bir sonraki adımda istemci sadece kendinde olan kapalı (private) anahtarı kullanarak gelen şifreli mesajı çözer ve sunucuya geri gönderir. Mesajı alan sunucu ise, bunu kendisinin gönderdiği orijinal mesaj ile karşılaştırır ve eğer iki mesaj "aynı" ise "doğrulama" işlemi başarıyla tamamlanmıştır ve sunucu bu noktadan itibaren "doğru bilgisayarla/kişiyle" iletişimde olduğunu anlar. Daha sonra sunucu istemciye o an gerçekleşen web oturumunda kullanılacak tüm önemli anahtarları gönderir ve güvenli iletişim başlar.
SSL, bugün için yaygınlıkla kullanılan ve birçok yazılımın desteklediği bir stantard haline gelmiştir. Özellikle internet üzerinden bankacılık, elektronik kimlik belgesi çıkartma gibi hizmetler veren siteler SSL kullanmaktadırlar.
Bunlar aracılığıyla iki taraf birbirlerinin kimliğinden emin olabilmektedir. Türkiye’de şu anda dijital sertifikalar ile ilgili yasal altyapı henüz oluşturulmadığı için alıcı tarafında bulunan bireysel kullanıcılar henüz dijital sertifika kullanmaya başlamamışlar, satış yapan siteler de müşterilerine bunu şart koşmamışlardır. Bu nedenle satıcılar alıcıların kimliklerini kontrol edememektedirler. Bazı özel kuruluşlar, özel sistemler geliştirerek bu kuşkuyu ortadan kaldırmaya çalışmaktadır.
Elektronik ticarette güvenlik konusunda değerlendirilmesi gereken diğer bir konu da alıcıların elektronik ticaret sitelerinden alışveriş yapmak için vermek durumunda kaldıkları kredi kartı vb. bilgilerin Internet üzerinden iletilirken üçüncü şahısların eline geçmesi riskidir. Bilindiği gibi özellikle telefonla yapılan satışlarda (gazeteye ilan vermek, katalog satışları vb) kredi kartı numarası ve son kullanma tarihi alışveriş için yeterli olmaktadır. Bu yüzden bu bilgilerin korunması e-ticaretin gelişimi için büyük önem taşımaktadır.
Ancak e-ticarette kredi kartı bilgilerinin başkalarının eline geçme riski günlük hayattakine göre çok daha azdır. Günlük hayatta ödeme yaparken kredi kartı bir başkasına verilmekte, bu yüzden kredi kartının üzerindeki bilgilerin gizliliği büyük oranda ortadan kalkmaktadır. Sanal alışveriş hizmeti veren firmalar, kredi kartı bilgilerinin güvenliği ve gizliliğini sağlamak için yaygın olarak SSL ve SET gibi güvenlik standartlarını kullanmaktadırlar. Kullanıcı, işyeri ve banka arasındaki veri akışı sırasında bilgilerin şifrelenerek aktarılması esasına dayanan güvenlik sistemleri sayesinde bilgilerin başka bir kişinin eline geçmesi durumunda çözülebilmesi (yani kullanılabilmesi) önlenir. Böylece kart bilgilerinin gizliliği ve alışverişin güvenliği sağlanmış olur. Burada önemli bir noktada, gizlilik sağlansa da müşteriye itiraz hakkının verilip verilmeyeceğidir.(Kuruluşlar genelde itiraz hakkı verirler.)
Nasıl ki kredi kartınızı çaldırmanız, kaybetmeniz, kasa başında unutmanız v.b. gibi normal kullanım riskleri varsa, internet üzerinden alışverişte de, söz gelimi, kredi kartı bir başkasına vermişseniz ve kişisel bilgilerinizi (isim, adres, telefon vb) başkaları biliyorsa, benzer riskler vardır. Ancak bu risk, genellikle teknolojinin yetersizliğinden değil tam tersine, yanlış ve bilinçsiz kullanımından doğmaktadır.
Güvenlik İçin Kullanılan Yaygın Protokoller:
İnternet üzerinde dolaşan bilgi paketleri, bir takım güvenlik protokolleri yardımıyla "şifrelenerek" gönderilir. Bunlardan en popülerleri SSL (güvenlikli web oturumu ve karşılıklı bilgi değiş-tokuşu) ve SET (kredi kartı uygulamaları) dir. SSL (Secure Sockets layer) ve SET (Secure Electronic Transaction) sayesinde, bilgi güvenli bir şekilde "sadece" doğru kişiye iletilir ve bilgiyi gönderen bilgisayar ile alan bilgisayar arasında güvenli bir veri iletişimi kurulur.
Kredi kartı numarası, isim, adres vb gibi bilgiler güvenli olarak iletilir. İnternet üzerinde alışveriş yapılan tüm merkezlerde alışveriş yapılırken bu tip güvenlik sistemleri kullanılır. 128 bir şifreleme algoritmaları kullanan bu sistemler, e-ticaret için gerekli "güvenli iletişim" ortamını sağlarlar. Anahtarlar üretilirken kullanılan bazı popüler algoritmalar olarak, DES (Data Encryption Standard), RSA, IDEA verilebilir. Bunlardan RSA’nın RC4 algoritması (128 bit şifreleme olarak) Netscape ve Internet Explorer’da da kullanılan bir algoritmadır.
Sanal Mağazaya müşterilerin güvenli erişimi için, SLL standartı kullanılmaktadır. Satıcı firma, bir onay kurumundan aldığı elektronik web sitesi kimliği ile mağazasının sanal dünyadaki kaydını gerçekleştirmektedir. Müşteri ile Satıcı Firma arasındaki iletişimde güvenliği sağlayan SLL; internette ulaşılan adresin gerçekten aranan mağaza olup olmadığını kontrol etmekte ve bilgilerin şifrelenerek gönderilmesini sağlamaktadır.
Satıcı firma ile banka arasındaki iletişimin güvenliği ise SET protokolü ile gerçekleştirilmektedir. Müşteriden SLL ile alınan ödeme bilgileri (kredi kartı), satıcı firma tarafından bankaya SET protokolü ile şifrelenerek gönderilmektedir. Banka, müşterinin hesabının uygun olması durumunda, alışverişini onaylamakta ve provizyon bilgisini satıcı firmaya göndermektedir. Satıcı firma, müşterisine siparişin tamamlandığını bildirdikten sonra bankaya bağlanarak alışveriş tutarını hesabına aktarmaktadır. Ülkemizde kitap, kaset, CD, çiçek, elektronik, giyim, bilgisayar, gıda, vb. ürünlerin İnternette doğrudan müşteriye satışını yapan sanal mağaza sayısı 250’yi aşmıştır (*).
Geniş Anlamıyla SSL
SSL (Secure Sockets Layer), ağ üzerindeki web uygulamalarında güvenli bilgi aktarımının temini için (bilginin doğru kişiye güvenli olarak iletimi), "Netscape" firması tarafından geliştirilmiş bir program katmanıdır . Burada, bilgi iletiminin güvenliği, uygulama programı (web browser, HTTP) ile TCP/IP katmanları arasındaki bir program katmanında sağlanmaktadır. SSL, web sunucularına (Apache vb), bir modül olarak yüklenir ve böylece web sunucuları güvenli erişime uygun hale gelir. SSL, hem istemci (bilgi alan) hem de sunucu (bilgi gönderen) bilgisayarda bir doğrulama (authentication: iki bilgisayarın karşılıklı olarak birbirini tanıması) mekanizması kullanır. Böylece, bilginin doğru bilgisayardan geldiği ve doğru bilgisayara gittiği teyit edilir.
Bilgisayarların birbirlerini "tanıma" işlemi, açık-kapalı anahtar tekniğine (public-private key encryption) dayanan bir kripto sistemi ile sağlanır. Bu sistemde, iki anahtardan oluşan bir anahtar çifti vardır. Bunlardan açık anahtar (public key) herkes tarafından bilinebilen ve gönderilen mesajı "şifrelemede" kullanılan bir dijital anahtardır. (Burada anahtar’ dan kasıt, aslında bir şifreleme -kriptolama- algoritmasıdır. Bu algoritma (yani, anahtar) kullanılarak gönderilecek bilgi şifrelenir). Ancak, açık anahtar ile şifrelenen mesaj sadece bu anahtarın diğer çifti olan "kapalı anahtar" (private key) ile açılabilir (deşifre edilebilir). Kapalı anahtar da, sadece sizin bildiğiniz bir anahtar olduğundan, mesaj güvenliği sağlanmış olur. Örnek olarak, size mesaj göndermek isteyen birine kendi açık anahtarınızı gönderirsiniz. Karşı taraf bu anahtarı kullanarak mesajını şifreler ve size gönderir. Şifrelenen mesajı, sadece sizde olan ikinci bir anahtar (kapalı anahtar, private key) çözebilir ve bu anahtarı sadece siz bilirsiniz.
SSL, web sunucusunu tanımak için, dijital olarak imzalanan sertifikalar kullanır. Sertifika, aslında, o organizasyon hakkında bazı bilgiler içeren bir veri dosyasıdır. Aynı zamanda da, kuruluşun açık-kapalı anahtar çiftinin "açık" anahtarı da sertifika içinde yer alır. Sunucu sertifikası da, o sunucuyu işleten kuruma ait bilgiler içeren bir sertifikadır. Sertifikalar, "güvenilir" sertifika kuruluşları tarafından dağıtılır (Örneğin VeriSign vb.).
İstemci(bilgi alan) bilgisayar, SSL destekleyen bir sunucuya bağlandığı anda, (bu, https:// ile başlayan URL satırları ile gerçekleşir) doğrulama işlemi başlar. İstemci, kendi açık anahtarını sunucuya gönderir. Sunucu ise, bu anahtarı kullanarak şifrelediği bir mesajı istemciye geri gönderir. Bir sonraki adımda istemci sadece kendinde olan kapalı (private) anahtarı kullanarak gelen şifreli mesajı çözer ve sunucuya geri gönderir. Mesajı alan sunucu ise, bunu kendisinin gönderdiği orijinal mesaj ile karşılaştırır ve eğer iki mesaj "aynı" ise "doğrulama" işlemi başarıyla tamamlanmıştır ve sunucu bu noktadan itibaren "doğru bilgisayarla/kişiyle" iletişimde olduğunu anlar. Daha sonra sunucu istemciye o an gerçekleşen web oturumunda kullanılacak tüm önemli anahtarları gönderir ve güvenli iletişim başlar.
SSL, bugün için yaygınlıkla kullanılan ve birçok yazılımın desteklediği bir stantard haline gelmiştir. Özellikle internet üzerinden bankacılık, elektronik kimlik belgesi çıkartma gibi hizmetler veren siteler SSL kullanmaktadırlar.