Transcription
TJTC75 / ITK236 Turvallisen liiketoimen kriteerit– Luottamuksellisuus– Eheys– Kiistämättömyys– Autenttisuus– Auktorisoitu Tunnistaminen Maksaminen– B-to-c– B-to-b Rikollisuus– Petokset Sensuuri1Why identification? Authentication– ID for public services for continuous relationship Non-repudiation– signed document digital signature Security– tamper proof documents encryption fingerprints watermarking2
Authority Authorization from the owner of the rights– can commit business transactions– has the right to access public services committing own actions age, trusted person on behalf of other individuals on behalf of an organisation association company public service3On the Internet, nobody knowsyou’re a dog Identification for authorization– is who claims to be, and can do what is about todo– individuals Digital signatures Electronic ID’s– organizations Certificates Visual image Self-sertification vs. Certification Authority– From PGP to VeriSign to HST Salaisista ja julkisista avaimista – lue kirjoista!4
Käyttäjän tunnistaminen jatodennus Arat kohteet vaativat useaa tunnistamistapaa– Perusongelma verkossa: tunnistaminen ontuu– Avain tai henkilökortti» Elektroninen allekirjoitus– Etäyhteyspisteen tunnus» esim. takaisinsoittolaite– Tunnus- ja salasana– Sormenjälki, verkkokalvo, yms– GSM verkon imago turvallinen Suojaus- ja salaustekniikoiden vientiä valvotaanWassenaarin sopimuksella– www.wassenaar.org5Electronic IDs A certificate authority is responsible of proofing andguaranteeing– the person is who she claims to be– she has only one valid electronic ID from thatregister Additional services– encryption and decryption– embedded, additional functionality Standards PKI (ISO/IEC) Criticized X.509 (for secure databaseaccess, not EC; e.g. the use of blacklists is obsolete)– Alternatives from PGP; SET; IBM Network SecurityProgram, MIT Kerberos– Blacklist should be replaced with, e.g., LDAP (ks.myöhemmin EMV)6
Electronic ID - private sector Service providers– Certificate authorities (e.g. Certall Finland Oy, orVRK-FINSIGN Gov. CA)– Teleoperators?– IT vendors? Producers––––iD2 Technologies (Sonera Smarttrust v 2001)BaltimoreEntrustCyberTrust7Electronic public ID - HST (VRK,1998)Sopimukseen perustuva yhteistyö ja mahdollinen hdollisetmuut kotimaiset VV:tOperatiivinen vastuuMahdollisetmuut kotimaiset VA:tHST-kortinrekisteröijätKihlakunnat, maistraatit japoliisin paikallisyksikötYhteispalvelupisteetKELA:n paikallistoimistotMahdollisetmuut kortit janiiden rekisteröijätKortin myöntäjä toimiirekisteröijänä myösHST-varmenteenosaltaEU- ja muutkansainvälisetVV:tMahdollisilla muilla varmentajilla on omatkortit, varmennepalvelut ja korttien myöntämisestä vastaavat rekisteröijät. Toimintaperustuu kuitenkin yhteisen varmennuspolitiikan noudattamiselle.Mahdolliset muut kortit titSosiaali- ja terveydenhuollon asiakaskorttiPostin asiakaskorttiPankkien luotto-, pankki-, automaatti- ja rahakortitKauppojen kanta-asiakaskortitMuut sähköisen asioinnin ja maksamisen kortit8
The roles in PKI (Tedis II project FAST;ETS II INFOSEC-project)– Registration and revocation Local Registration Authority (LRA, checks identity) Certification Authority (CA, grants cards)– Directory (of valid keys/certificates) Directory Service Agent (DSA, on-line registers and DAP) Certificate Revocation List (CRL, blacklists)– Service Providers Trusted Third Parties– Support services: registration, certification, servicemessaging of keys– Independent services: Independent time stamping of docsand sigs; archiving documents, ownership, etc; recordingand maintaining legal attributes of entities; issuingelectronic cash– End-Users legal and personal entities - two keys (signing/encryption)9Certificate authority LY-tunnus (company ID) oikeustoimihenkilöntunnus Duns-Bradstreet (company ID) oikeustoimihenkilönja toimipaikkojen tunnukset (Duns-Bradstreet 4) Verisign (www.verisign.com)– ID for BrowserEmailServerSoftwareChannelEDI– by e-mail for hundreds of USD– attaches ID to a specific equipment of a specificreal organization10
VRK:n varmennettu serveri11Varmenteiden kehittyminentaataan ristiinvarmennuksella– Laki digitaalisista allekirjoituksista– sähköinen tunnistaminen, aineiston salaaminen jadigitaalinen allekirjoitus tietoverkoissa– ristiinvarmennuksen turvaaminen eri maidenvarmenneviranomaisten välillä.» “Ristiinvarmennus on tarpeen ainakinkansainvälisissä EU:n sisäisissä ja ulkoisissavarmennussuhteissa, mutta se sopii myösmahdollisten rinnakkaisten kotimaistenvarmenneviranomaisten väliseksi toimintamalliksi”,(VRK, 1998).– suomalaisesta mallista puuttuu ns. ylinvarmenneviranomainen (key escrow, repository), joka onesitetty anglo-amerikkalaisena vaihtoehtonavarmenneviranomaisten kansalliselle ja kansainväliselleyhteistyölle ja ristiinvarmennukselle. Puhelinverkossa ristiinvarmennusta vastannee tiedonvaihtooperaattorien välisten Roaming-sopimusten perusteella.12
What is needed? on–––– on––HTTP clientHST -cardcard reader (PCMCIA, serial, USB)card driver (CSP or PKCS depending on browser)application specific logic?WWW-server:server HST-certificateuser certificate validation module forforforforrequesting signaturechecking signatrure validity (authenticator)checking signature and encryption of the messagechecking blacklist (DAP)1314
MaksutapaPerinteinen maksuväline jatapahtuman todentaminenSähköinenmaksuvälineLuottoMyyjän ylläpitämäKanta-asiakaskortinLuottokortti; kortin haltijanLuottokortin numero i, KPlussahallinta (numerotilivelkaluettelo; tilinomistajanKauppiaantavaroitaja elmätallekirjoitus veloitustositteeseen digitaalinenYleinen:mitä tahansanimikirjoitus tai SET-LuottokortitFirst VirtualvarmenneTilisiirtoVelkakirja (osamaksu/vekseli);velallisen allekirjoitus todistajinvelkakirjassaPankkisiirto; tilin ekki; tilin käyttäjänallekirjoitusshekkilomakkeeseenRaha; maksuvälineen anonyymiluovutusPostiennakkoTunnuslukusalasanalla jayhteyskohtaiset,vaihtuvat tunnukset(ei käytössäSuomessa)Merita Solo, OPKultaraha(ei käytössäSuomessa)Elektroninen kukkaroE-Cash, MondexVirallinen maksuvälineEtenkin Pohjolassaja SaksassaMuutEsim. teleoperaattorinKäteinenpuheluista;Rajoitettu määräsoitetuistaja eräkokoteleoperaattorinpitämä tilivelkaluettelojärjestelmäänkirjautunut puhelu15Maksujärjestelmät I/II Elektroninen raha / kukkaro– maksu anonyymisti rahalla, ei ID:llä– joku takaa, että raha on aito ja käytetään vain kerran tarkistetaanko heti vai vasta rahoja pankkiin viedessä– valuutta- ja hukkaamisriski Pankki– Solo, Kultaraha– tarvitaan tili, jolta lasku maksetaan Taustalla monimutkainen järjestelmä, esim. Suomessa– PATU– SWIFT16
Elektroninen raha Esim. elektroninen käteinen - Digicash anonyymi maksaminen– 1) Tilille talletetaan rahaa– 2) Nostetaan elektroniseen kukkaroon rahaa– 3) Tilataan tavara– 4) Myyjä käy kukkarollasi– 5) Raha merkitään käytetyksi– 6) Tuote toimitetaan Kokeiluasteella (vieläkin) Salakirjoitussuojaus tarpeen1.AsiakasDigicash-pankkiEcash lektroninen kaupankäyntitarvitsee elektronista rahaa Älykortit– Rahoituslaitoksessa ladataan rahaa– Maksaessa ladattua rahaa siirretään kortilta lukulaitteenkautta myyjälle– Myyjä voi veloittaa pankkia Esim. pankkimaksu Solo– 1) Asiakas tilaa myyjältäSolo– 2) Laskutustiedot asiakkaalle– 3) Asiakas maksaa käyttäen Soloa– 4) Solo maksu hyväksytään ja kuitataan– 5) Kuittaus myyjälle4.3.5.1.Asiakas (oma laskutus)2.Myyjä18
1920
Maksujärjestelmät II/II Luottoyhtiö SET - identifiointi, salauksen, purkamisen ja kiistämättömyys(allekirjoitukset), auktorisoitu, myöntämällä luottokortin numero(luotettava avaintenhallinta) edellyttää myyjältä SET-ohjelmistoa, käyttäjältä varmennettaluottoyhtiöltä osa riskistä luottoyhtiöllä mm. reklamaatioissa kevennetty malli MIA (Merchant Initiated Authorization,VISAWallet) Verified by Visa: joko pankin tunnuksilla tai Visan ja käyttäjänyhteissalasanalla Muut GSM-veloitusAsiakastilit (kanta-asiakkuus)LaskutusPostiennakko21Cheque (American Curiosity: Check) E-check by Financial Services Tech. Consortium– 1997 #checks 63G, growing– processing cost 1, e-check 0.1– Benefits increased security, more info, simpler than EDI– FSML, (Financial Services Markup Language) bulk crypto hardware FSTC infrastructure Recent Developments– BIPS (Bank Internet Payment System) EPP(Electronic Payment Protocol)– UVX (Universal Value eXchange): architectureand protocol22
Elektronista luottoa/maksuaikaa Esim. luotto VISA/MC– 0) Hankittava tunnukset– 1) Asiakas tilaa myyjältä (klikkaa)– 2) Kauppiaalta tiliveloituspyyntö (luottokorttinro ja veloitustiedot) pankille– 3) Pankki tarkastaa luottoyhtiöltä tiedot– 4) Luottoyhtiö tarkastaa asiakastiedot– 5) Jos OK, auktrorisointi pankille ja kauppiaalle– 6) Tapahtuma asiakkaan kannalta OK.– 7) Myyjä pyytää varoja.4.Luottokorttifirma– 8) Varat yyjä8.7.6.Asiakas23EMV Europay, Mastercard, Visa reaaliaikainenvarmennus24
Vuonna 2005 kv. järjestelmäkäynnissä3. Korttien ja julkisten avainten jakaminen4. Päätelaitteiden,tietoliikenteen jasanomien std:t25Finvoicen toimintaympäristö (Pankkiyhdistys)- Ketkä vastaanottavat verkkolaskujaja missä muodossa?- Osoitteet ja tunnukset- Soveltamisohje- Tekninen kuvaus (dtd)- Laskun ulkoasu (xsl)VERKKOLASKUTTAJAT(YLEINEN HAKEMISTO)LAYOUT ja KUVAUS SKUTUSOHJELMISTOOSTAJAFinvoice suoraan maksajalle (HTTP(S), SMTP jne.)ASIASItaiPYOHJ.Vast aanvaotormnistus Laskun tiedot Lasku- tailaskurivikohtainentiliöintiehdotus (perustililuettelo) Maksun tiedot (ePi)ASI Application ServiceInterfacePY-OHJ. PankkiyhteysohjelmajänFinvoice Pankin/laskuoperaattorinttähekautta HJ.OSTORESKONTRAJAMAKSATUSOHJELMISTO Tilausviite automaattinentilauksen tarkistus Perustililuettelo automaattinentiliöinti Maksun tiedot automaattinenmaksaminen26
PAYTERMSMaksutapalausekkeet– Payment on an agreed date– Date of payment determined by delivery of the goods Payment in advance - ANTICIPPayment on delivery - CASHPayment to the carrier on delivery - REMBURSPayment by end of month of delivery - ULTIMODEL/nM - Payment at the end of a period following delivery– Date of payment determined by receipt of the invoice CASHFAC; CASHINV - Payment on receipt of the invoice vastaavasti FACULTIMO; INVULTIMO; FAC/nM; INV/nM– Compensatory payment - COMPENSE– Payment on consignment - CONSIGN27’Rahaliikenteen EDI’ Suomessa pankkien välinen maksuliikennejärjestelmä– tilit– arvo-osuustilit jne. Kansainvälisesti SWIFT Society for Worldwide Inter-bankFinancial Telecommunications– pankkiryhmien tunnukset Viimeksi hyväksytty– “Kansainvälinen pankkitilin numero (InternationalBank Account Number, IBAN) otettiin Suomessakäyttöön 01.10.2001 kansainvälisen maksuliikenteenhelpottamiseksi. Numeron on määritellytEurooppalaisten pankkien standardointijärjestö(European Committee for Banking Standards, ECBS)dokumentissa EBS204 (European Banking Standard) jase on myös ISO:n standardi 13616” (c.f. Vuori, 2002).28
Tietotekniikkarikokset Tietotekniikkarikoksella tarkoitetaan rikosta, jonka kohteena,välikappaleena tai tekoympäristönä on tietojärjestelmä siihenkuuluvine laitteineen ja jonka tekeminen edellyttäätietotekniikan asiantuntemusta– Tietotekniikkarikos siis toteutetaan tietokoneen avulla jasuunnataan tietokoneita, ohjelmistoja tai tiedostoja vastaan– Pedofiliaa, viruksia, tekijänoikeusrikkeitä,pörssikurssien vääristelyä, laittomien uhkapelienjärjestämistä, petoksia & maksuvälinepetoksia Väline tai ympäristö ei ratkaise rikoksesta koituvaarangaistusta. Netin välityksellä tehdyt laittomuudet on kirjatturikoslakiin lukuun tieto- ja viestintärikoksista Laki soveltuukin yhtä lailla tietokonejärjestelmiinmurtautumisen kuin tietokoneen välityksellä tehtyihinasiakirjaväärennöksien, petoksien ja vahingontekojenrankaisemiseen29Also: illegal and harmfulcontent on global networks Illegal content (i.e., police matters)– national security– protection of minors– protection of human dignity– economic security– protection of information– protection of privacy– protection of reputations– intellectual property Harmful content: technologies that enable users to rejectsuch content by promoting awareness among parentsand fostering self-regulation, which could be anadequate way of protecting minors in particular30
Laajuudesta31Cyber vs. real32
4
Kuinkavakavaongelmaluottokorteillahuijaaminen on?35Huijaustenseuraukset36
v. 2000 Kauppiaan näkökulma– E.g. IdentityTheft in USA,2002 168000of which 2352on the Net(I.e. 1.4% reported onthe press as‘alarming’ ; )37US-consumer viewpointFraud complaints (FTC, 2002)Magazines and buyers clubsHealth careTelephone servicesBusiness opportunity and work-at-home plansPrizes/sweepstakes and lotteriesForeign money offersShop-at-home/catalog salesAdvance fee loans and credit protectionInternet services and computer complaintsInternet auctions02468101214%38
Keeping eye onpotential felons– Especially the first time contact Check blacklistsCheck issuer the addressCheck credit records (Luottotietorekisteri)Customer is too busy to be contactedFirst time shipping address billing address– Beware of too good to be true orders Large quantities - no detailed specs Fastest shipping to overseas– Precautions Changing addresses Separate deliveries in a short time frame Teen products39Prenventing losses Basic security Payment security– invalid/stolen cards– copying the card number from screen/e-mail– unauthorized card use (children)– repudiation of the transaction/order Fraud/cancellation is costly– credit card issuer is on the customers’ side charge-back is taken from the merchants pocket– loss of credit card license/higher fees Co-operation– within industy, between competitors– with credit card issuers– CyberSource, etc40
Estämiskeinot41CybersourceInternet Fraud Screening42
4344
V. 2003 toimenpiteet45Maitten välillä suuria eroja46
Yhteenveto ongelmakohdista Oikeustoimen kiistäminen– esim. koska osapuolia ei tunnisteta Väärentäminen– suojaamaton yhteys Informaatiota ihmisestä taikäyttäytymisestään käytetään väärin– esim. evästeet, refererit, sivukäynnit Kahdenkeskisyys/luottamuksellisuus kärsii– Tapahtumaa päästään tarkkailemaan jälkiäjättämättä Tiedonsiirto- ja käsittelyvirheet– toteutuu osin, väärin, tai jää toteutumatta Kierretään yhteiskunnallisia velvoitteita– forum-shopping Kuluttajanvarotoimia (Luottokuntaamukaellen) 47Älä koskaan lähetä kortin tietoja salaamattomassa yhteydessätai (salaamattomassa) sähköpostissaPyri asioimaan vain ennalta tuntemiesi kauppiaiden kanssa –ks. Kuluttajayhteisöistä ja luottoyhtiöiltäÄlä anna kortin tietoja mielipidekyselyihin tai vastaaviintiedusteluihin, jos tarkoituksenasi ei ole ostaa mitään.Älä anna kortin tietoja esim. sähköpostin välityksellä tuleviinilmoituksiin, jossa kerrotaan yllättävästä arpajaisvoitosta taipalkinnosta ja pyydetään lähettämään kortin tiedot palkinnonsaamisen edellytyksenä.Luottokunta ei toimita kauppiaalle kortinhaltijasta ikä tms.henkilötietoja, joten kortin numeron pyytäminen niidensaamiseksi on huijaustaAikuispalveluissa monesti sitoudutaan jatkuvaankuukausittaiseen laskutukseen, käytti palveluja tai ei - varmistaennen sitoumusta, miten voit halutessasi myöhemmin perualaskutuksen.Huomioi, että hotellien oikeus veloittaa ns. "No Show" -maksuon voimassa myös Internetin välityksellä tehdyissä varauksissa,mikäli varattua huonetta ei peruuteta ajoissa. Muista peruavaraus, jos päätätkin varata huoneen toisesta hotellista tai etmatkusta ollenkaan.48
Vinkkejä shoppailuun(sitoumusten hallinta) Tallenna tai tulosta itsellesi kauppiaan www-sivulla antamakuvaus ostoksista ja maksuehdoista, jotka aiot hyväksyä ennenkorttitietojen syöttämistä ja maksun lopullista hyväksymistä.Hyväksy maksu syöttämällä mm. kortinnumero javoimassaoloaika www-lomakkeelle ja etene kauppiaidenantamien ohjeiden mukaan. Sinulta voidaan pyytää myöslisätarkistuksia, kuten– laskutusosoite (Luottokunnan tiedossa oleva laskutusosoite)ja/tai– nimikirjoituspaneelissa oleva kolminumeroinen kortintunnus eli Card Verification Value CVV ( VISA) tai CVC( MC) tai verification Number VID ( Amex).Euroopassa kauppiaalta pitää saada tilausvahvistus – sisältäämyös maksutavan, pane vahvistus talteenSäilytä tallentamasi tai tulostamasi tiedot myöhempäätarkistusta ja vertailua varten. Mikäli mahdollinen reklamointi(esim. ostos ulkomaiselta kauppiaalta; Chargeback) tapahtuuLuottokunnan kautta, tarvitsemme tallentamasi tai tulostamasitiedot49Merchants strategy:Trust enhancement services SecurityAvailabilityProcessing integrityOnline privacyConfidentiality50
51Sisällön rajaaminen/sensurointivrt harmful content Difficult to censor directly, therefore either– self-censored NetNanny, Cyberwatch etc.–52
Bank Account Number, IBAN) otettiin Suomessa käyttöön 01.10.2001 kansainvälisen maksuliikenteen helpottamiseksi. Numeron on määritellyt Eurooppalaisten pankkien standardointijärjestö (European Committee for Banking Standards, ECBS) dokumentissa EBS204 (European Banking Standard) ja se on myös ISO:n standardi 13616" (c.f. Vuori, 2002).
