PANEVROPSKI UNIVERZITET APEIRON

FAKULTET POSLOVNE INFORMATIKE

Vanredne studije

Smjer „Poslovna informatika”

Predmet:

ELEKTRONSKO POSLOVANJE

„Kriptografija”

(seminarski rad)

Predmetni nastavnik:

Prof. dr. Branko Latinović

Student:

Suzana Škrebić, Index br. 143-09/VIT

Banja Luka, juni 2012.

S a d r ž a j

Uvod------------------------------------------------------------------------------------------------2

1. Osnovni pojmovi-----------------------------------------------------------------------------3

2. Napadi na računarske mreže--------------------------------------------------------------5

2.1. Krađa identiteta- phising----------------------------------------------------------------5

2.2. Prisluškivanje-----------------------------------------------------------------------------6

2.3. Modifikacija podataka-------------------------------------------------------------------6

2.4. Identity spoofing--------------------------------------------------------------------------6

2.5. Napadi na lozinke------------------------------------------------------------------------7

2.6. Denial-of-service napad-----------------------------------------------------------------7

2.7. Man-in-the-middle napad---------------------------------------------------------------7

2.8. Napad kompromitacije ključa-----------------------------------------------------------8

2.9. Sniffer napad------------------------------------------------------------------------------8

2.10. Napad na aplikativnom nivou---------------------------------------------------------9

3. Kriptografski algoritmi--------------------------------------------------------------------10

3.1. Simetrični algoritmi--------------------------------------------------------------------11

3.2. Asimetrični algoritmi-------------------------------------------------------------------13

4. Digitalni potpis------------------------------------------------------------------------------14

Zaključak----------------------------------------------------------------------------------------15

Literatura-----------------------------------------------------------------------------------------16

2

Uvod

Savremene računarske mreže se uglavnom baziraju na Internet tehnologijama i protokolima koji su podložni mogućim napadima koji narušavaju bezbijednost podataka i identiteta subjekata.

Sigurnost računarskih sistema postaje sve važnija, jer sve više korisnika na sve više načina koristi sve više informacija u računarskom svijetu. U takvom sistemu postoji i sve veća opasnost od neovlaštene upotrebe informacija, podmetanja krivih informacija ili uništavanja informacija. U računarskim sistemima informacije se prenose raznovrsnim otvorenim i nesigurnim komunikacijskim putevima. Pristup do tih puteva ne može se fizički zaštititi pa svaki neprijateljski nastrojen napadač može narušiti sigurnost sistema. Zbog toga zaštitni komunikacijski mehanizmi nad nesigurnim komunikacijskim kanalom postaju najvažniji oblik ostvarenja sigurnosti. Pokazuje se da je najdjelotvornija zaštita poruka njihovo kriptovanje. Kriptografija je naučna disciplina koja se bavi metodama očuvanja tajnosti informacija.

3

1. Osnovni pojmovi

Kriptografija je nauka "tajnog pisanja", nauka čuvanja informacija u onoj formi koja će biti čitljiva samo onima kojima je informacija namijenjena, dok će za ostale biti neupotrebljiva.

Uporedo sa razvojem kriptografije razvila se i nauka kojoj je cilj analizom kriptirane poruke odgonetnuti njen sadržaj. Ta nauka se naziva kriptoanaliza.

Pored gore navedenog, potrebno je spomenuti jednu bitnu razliku između termina kriptografija i termina kriptologija:

Kriptografija je nauka koja se bavi svim aspektima sigurnosnog transporta podataka kao što su na primjer autentifikacija (web, lokalne mreže i sl.), digitalni potpisi, razmjena elektroničkog novca.

Kriptologija, je za razliku grana matematike koja se bavi matematičkim načelima, te atematičkom implementacijom kriptografskih metoda.

Osnovni element zaštite je šifarski sistem. Svaki šifarski sistem obuhvata dvije transformacije podataka:

šifrovanje i dešifrovanje

Šifrovanje je postupak koji originalnu poruku, otvoreni tekst, pretvara u šifrovanu poruku, šifrat ili kriptogram. U postupku šifrovanja se pored otvorenog teksta koristi i jedna nezavisna vrijednost- ključ šifrovanja. Dužina ključa šifrovanja zavisi od šifarskog sistema koji se koristi.

Dešifrovanje je postupak kojim se rekonstruiše originalna poruka na osnovu šifrata. Nekada, prije nego što su računari ušli u široku upotrebu većina kriptografskih metoda šifriranja se bazirala na tajnosti šifre. Tako bazirani algortimi su se pokazali dosta nepouzdani, pa su se morale pronaći neke druge metode šifrovanja. Današnje metode šifriranja zasnivaju se na upotrebi ključa.

4

Kriptografski algoritmi koji se primjenjuju u sistemima zaštite Internet/Intranet računarskih mreža dijele se u dve velike grupe:

Simetrični kriptografski algoritmi, Asimetrični kriptografski algoritmi.

Podjela je izvedena na osnovu posjedovanja informacija neophodnih za šifrovanje i dešifrovanje. Primjenom simetričnih kriptografskih algoritama se, kao i u tradicionalnim sistemima zaštite, ostvaruje funkcija zaštite tajnosti u savremenim informacionim sistemima.

Sa druge strane, primjenom asimetričnih kriptografskih algoritama i tehnologije digitalnog potpisa ostvaruju se sledeće funkcije u savremenim računarskim mrežama:

Autentičnost strane koja je poslala digitalno potpisanu poruku,

Zaštita integriteta podataka u poruci koja je poslata,

Neporecivost elektornskog potpisnika za sadržaj date poruke.

5

2. Napadi na računarske mreže

Pored toga što moraju da obezbede interno okruženje, organizacije moraju da obezbede i komunikaciju između udaljenih kancelarija, poslovnih partnera, korisnika i zaposlenih koji putuju ili rade sa udaljenog mesta. Prenošenje poruka putem Interneta ili Intraneta do tih različitih entiteta predstavlja jedan očigledan rizik, imajući u vidu nedostatak zaštite u postojećoj Internet mreži. Kontrola i upravljanje bezbjednošću i pristupom pomenutih entiteta u poslovnom okruženju kompanije je od izuzetnog značaja.

Bez primene bezbjednosnih mehanizama, i javne i privatne mreže su ranjive na neovlašćeno nadgledanje i pristup. Interni napadi mogu biti rezultat minimalne ili nepostojeće Intranet bezbednosti.

Rizici koji dolaze spolja u jednoj privatnoj mreži potiču od konekcija na Internet i ekstranet. Kontrola pristupa korisnika samo na bazi password-a ne može da zaštiti podatke koji se prenose kroz mrežu.

Bez primene kontrola i mera bezbednosti, vaši podaci i sistemi mogu biti predmet napada. Neki napadi su pasivni u kojima se informacije samo mpnitorišu. Drugi napadi su aktivni i informacije se menjaju sa ciljem menjanja ili uništenja samih podataka ili same mreže putem koje se vrši prenos podataka.

Uobičajeni mrežni napadi koji se primenjuju na fiksne i mobilne TCP/IP računarske mreže:

Krađa identiteta Prisluškivanje Modifikacija podataka Spoofing identiteta (IP address spoofing) Napadi na lozinke Denial-of-service (DoS) napad Man-in-the-middle napad Napad kompromitacije ključa Sniffer napad Napad na aplikativnom nivou

2.1. Krađa identiteta- phising

Krađa identiteta- phising je jedan od danas najpopularnijih napada. U najkraćem, napad se ogleda u pretvaranju da se radi o validno web sajtu određene organizacije, kao i da se radi o validnoj aktivnosti (resetovanje, neke administrativne aktivnosti, itd.) u vezi korisničkih tajnih parametara pristupa sistemu (credentials). U tom smislu, napadač traži od korisnika da dostavi napadaču svoje tajne parametre (brojeve kartica ili bilo šta drugo). Drugim rečima, predstavlja simuliranje pravog bankarskog web sajta ili email adrese u cilju jednostavnog sakupljanja tajnih parametara krajnjih korisnika koji se zatim koriste za eventualnu kražu novca sa realnog web sajta.

6

Phishing predstavlja jednu novu vrstu Internet napada koji pre svega cilja korisnike bankarskih servisa. Phishing je jedan od prvih bezbednosnih napada koji omogućuje jednostavnu masovnu zloupotrebu, koja privlači organizovan kriminal.

2.2. Prisluškivanje

U opštem slučaju, veliki deo mrežnih komunikacija se realizuje u otvorenom obliku (nešifrovano), što omogućuje napadaču koji je pristupio putevima podataka u mreži da monitoriše i čita saobraćaj. Kada napadač prisluškuje komunikaciju, to se naziva sniffing ili snooping. Mogućnost da prisluškivač monitoriše mrežu je generalno najveći bezbednosni problem sa kojim se admnistratori susreću u jednoj organizaciji. Ukoliko se ne primene jaki kriptografski mehanizmi šifrovanja, podaci mogu biti čitani od strane neovlašćenih lica tokom prolaska kroz mrežu.

2.3. Modifikacija podataka

Nakon što napadač dođe u poziciju da može da čita podatke koji prolaze kroz računarsku mrežu orgnaizacije, naredni logički korak je često da ih modifikuje. Često, napadač može menjati podatke u paketima na način da niti primalac niti pošiljalac mogu to primetiti.

2.4. Identity spoofing

Većina mreža i operativnih sistema koristi IP adrese u cilju identifikacije validnog računara na mreži. U nekim slučajevima, moguće je da se zloupotrebi IP adresa od strane zlonamernog korisnika (napadača). Taj napad je poznat kao identity spoofing. Napadač može koristiti specijalne programme da konstruiše IP pakete koji se pojavljuju na mreži kao da potiču sa validnih adresa u okviru Intranet-a (internet mreže) date organizacije. Nakon dobijanja pristupa mreži sa validnom IP adresom, napadač može modifikovati, rerutirati ili brisati podatke. Napadač takođe može sprovoditi i druge tipove napada, kao što je opisano u narednim sekcijama.

7

2.5. Napadi na lozinke

Uobičajena stvar u većini operativnih sistema i mrežnih bezbednosnih planova je korišćenje sistema kontrole pristupa na bazi lozinki. Naime, najčešće je pristup kako samom računaru tako i mrežnim resursima određen korisničkim imenom (user name) i lozinkom (password). Ranije verzije komponenata operativnih sistema nisu uvek štitile informacije o identitetu korisnika tokom njihovog puta kroz mrežu u cilju validacije. To je moglo da omogući prisluškivaču da dobije validno korisničko ime i lozinku i da ih iskoristi da dobije pristup mreži kao validan koristnik. Kada napadač nađe i pristupi validnom korisničkom nalogu, on će imati ista prava kao i aktielni korisnik. Na primer, ukoliko korisnik ima administratorska prava, napadač može kreirati dodatne naloge za kasniji pristup. Nakon što dobije pristup mreži sa validnim nalogom, napadač može realizovati bilo koju od sledećih aktivnosti:

Da dobije liste validnih korisnika i imena računara, kao i mrežnih informacija,

Da modifikuje konfiguracije servera i same računarske mreže, uključujući i kontrolu pristupa i ruting tabele,

Da modifikuje, rerutira ili obriše podatke.

2.6. Denial-of-service napad

Za razliku od napada na lozinke, Denial-of-Service (DoS) napad sprečava normalno korišćenje računara ili računarske mreže od strane validnih korisnika.

Nakon što dobije pristup mreži, napadač može realizovati bilo koju od aktivnosti:

Da prevari zaposlene informacionog sistema tako da oni nisu u mogućnosti da odmah detektuju napad. Na taj način, napadač ima mogućnost da kreira dodatne napade,

Da šalje nevalidne podatke aplikacijama ili mrežnim servisima, prouzokujući na taj način da se prekine rad aplikacija ili servisa ili da ne rade na uobičajen način,

Da šalje veliku gomilu saobraćaja sve dok se računar ili čitava mreža ne ugase,

Da blokira saobraćaj što rezultuje u nemogućnosti pristupa mrežnim resursima od strane autorizovani korisnika.

2.7. Man-in-the-middle napad

Kao što i sam ime kaže, man-in-the-middle napad se ostvaruje kada neko neovlašćeno, postavljen između dva validna korisnika koji komuniciraju, vrši aktivno monitorisanje, prihvatanje i kontrolu komunikacije i to bez znanja ovlašćenih korinsika. Na primer, napadač može da dogovori/uspostavi ključeve za šifrovanje sa oba ovlašćena korisnika. Svaki korisnik tada šalje šifrovane podatke napadaču koji može da dešifruje podatke. Kada računari

8

komuniciraju na niskim nivoima mrežnog sloja, računari mogu ne biti u mogućnosti da odrede sa kojim računarima u mreži oni u stvari razmenjuju podatke.

9

2.8. Napad kompromitacije ključa

Ključ predstavlja tajni kod ili broj koji se zahteva za šifrovanje, dešifrovanje ili validaciju zaštićenih informacija. Iako određivanje/rekonstrukcija ključa predstavlja jedan težak i računarski intenzivan process za napadača, to je moguće realizovati. Kada napadač dođe do ključa, taj ključ se posmatra kao kompromitovan ključ. Napadač koristi kompromitovan ključ da dobije pristup zaštićenoj komunikaciji pri čemu niti pošiljalac niti primalac nisu svesni da su predmet napada. Uz korišćenje kompromitovanog ključa, napadač može dešifrovati ili modifikovati podatke. Napadač takođe može pokušati da koristi kompromitovan ključ da izračuna dodatne ključeve koji mogu omogućiti pristup drugim zaštićenim komunikacijama.

2.9. Sniffer napad

Sniffer je aplikacija ili uređaj koji može da čita, monitoriše i preuzima podatke i pakete koji se razmenjuju u mreži. Ukoliko paketi paketi podataka nisu šifrovani, sniffer program može imati poptpun uvid u podatke koji su unutar paketa. Korišćenjem sniffer programa, napadač može realizovati sledeće operacije: Analizirati mrežu i informacije o pristupu, eventualno prouzrokujući da mreža prestane da odgovara ili postane neispravna

10

2.10. Napad na aplikativnom nivou

Napad na aplikativnom nivu cilja aplikatvine servere prouzrokujući grešku u operativnom sistemu servera ili aplikacijama. To može rezultovati da napadač dobije mogućnost da preskoči normalne kontrole pristupa. Napadač koristi prednosti takve situacije, zadobijna kontrolu nad aplikacijom, sistemom ili mrežom i može sprovesti neku od sledećih operacija:

Da čita, dodaje, briše ili modifikuje podatke ili operativni sistem,

Da ubaci virus koji će koristiti računare i softverske aplikacije da kopira viruse kroz celu računarsku mrežu,

Da uvede sniffer program u cilju analize mreže i da dobije informacije koje će eventualno moći da se koriste da se prouzrokuje da mreža prestane da odgovara ili postane neispravna,

Da se na neuobičajen način prekine rad aplikacija ili operativnih sistema,

Da se deaktiviraju druge bezbednosne kontrole da bi se omogućili budući napadi.

Mogući načini odbrane od navedenih napada su sledeći:

Šifrovanje – zaštita tajnosti podataka i lozinki,

Primena tehnologije digitalnog potpisa – provera autentičnosti, zaštita integriteta podataka i obezbeđenje neporecivosti za sadržaj poslate poruke,

Procedura jake autentikacije – bezbedna međusobna autentikacija strana u komunikaciji,

Korišćenje jakih ključeva i česta izmena ključeva – sprečavanje metoda kriptoanalize,

Zaštita adresa servera – zaštita od napada tipa ukidanje servisa,

Korišćenje digitalnih certifikata kao jednoznačnih identifikacionih parametara subjekata u komunikaciji,

Korišćenje smart kartica za generisanje digitalnog potpisa i bezbedno čuvanje ključeva i drugih kriptografskih parametara,

Višenivoska antivirusna zaštita.

11

3. Kriptografski algoritmi

Kriptografski algoritmi koji se primenjuju u sistemima zaštite Internet/Intranet računarskih mreža dele se u dve velike grupe:

Simetrični kriptografski algoritmi,

Asimetrični kriptografski algoritmi.

Podela je izvedena na osnovu posedovanja informacija neophodnih za šifrovanje i dešifrovanje.

Grupu simetričnih kriptografskih algoritama predstavljaju algoritmi kod kojih je ključ za šifrovanje identičan ključu za dešifrovanje. Algoritmi iz ove grupe se takođe nazivaju i algoritmi sa tajnim ključem jer je tajnost ključa koji se koristi i za šifrovanje i za dešifrovanje esencijalna za bezbednost poruka u sistemu.

Ovi sistemi predstavljaju osnovu tradicionalne kriptološke teorije i razvijaju se već veoma dugi niz godina. S obzirom da zaštita informacija težišnu primenu ima u poslovima vezanim za državne strukture (vojska, policija i diplomatija), ovi sistemi su bili isključivo tajni sistemi, namenski definisani i realizovani od strane nadležnih državnih institucija.

Sa porastom intenziteta i primene elektronskih oblika komunikacija javila se potreba za definisanjem javnih simetričnih kriptografskih algoritama pa je u poslednjih desetak godina definisano više javnih simetričnih kriptografskih algoritama za primenu u aplikacijama u kojima za to postoji potreba.

Ovi algoritmi se uglavnom koriste u aplikacijama vezanim za sisteme poslovnih i finansijskih komunikacija. Imajući u vidu eksplozivni razvoj poslovnih i finansijskih sistema u poslednje vreme, javni simetrični kriptografski algoritmi su postali dominantni u pogledu korišćenja.

Međutim, nijedan od njih nije usvojen kao generalni standard već pomenuti sistemi uglavnom koriste odgovarajuće liste mogućih kriptografskih algoritama. Na taj način, kao parametar komunikacije, bira se i identifikator simetričnog šifarskog algoritma koji će se koristiti pri datoj transakciji.

Iako je po masovnosti komercijalna upotreba simetričnih kriptografskih algoritama daleko prevazišla upotrebu u tajnom sektoru (vezanom za državne strukture), glavni teorijski rezultati se i dalje dešavaju u oblasti tajne kriptologije i tajnih sistema. Velika većina država ima specijalizovane organizacije koje se bave dizajniranjem i analizom raznih vrsta šifarskih sistema (npr. NSA u SAD). Stepeni dostignuća u toj oblasti najčešće nisu javno poznati i nalaze se u sferi pretpostavki.

Postoje dve osnovne vrste simetričnih šifarskih sistema:

blok šifarski sistemi,

12

sekvencijalni šifarski sistemi

3.1. Simetrični algoritmi

Ove algoritme dijelimo u dvije grupe:

sekvencijalno šifrovanje i blok šifrovanje

Sekvencijalno šifrovanje radi tako da se enkripcija poruke (originala) vrši bit po bit, dok se kod blok šifriranja enkripcija vrši po blokovima podataka, uzimaju se blokovi od više bitova (64, 128, 196, 256 ...), te se enkriptiraju kao cjelina. Dekripcija se najčešće vrši inverznim enkriptiranjem, algoritam je isti, ali se podključevi enkripcije koriste obrnutim redoslijedom.

Simetrična kriptografija je najstariji oblika kriptografije, stara gotovo koliko iljudska komunikacija ( naziva i kriptografijom tajnog ključa jer se podatak kriptira i dekriptira istim ključem). Za proces kriptiranja u simetričnoj kriptografiji potrebno je znati algoritam kriptiranja i tajni ključ. Nekad su se algoritmi držali u tajnosti, ali se pokazalo da skrivanje algoritmane ne doprinosi sigurnosti. Svi savremeni simetrični algoritmi javno su objavljeni. Zbog toga ih je u potpunosti moguće testirati i provjeriti njihovu otpornost na napade, odnosno moguće ih je analizirati (kriptoanaliza). Sigurnost simetričnih algoritama ovisi o sigurnosti samog algoritma i dužini ključa. Najpoznatiji simetrični algoritam je DES (Data Encryption Standard), koji je razvio IBM-a 1977. godine. Bio je standardni simetrični algoritam sve do 2000. godine kad ga je zamijenio AES (Advanced Encryption Standard), koji rukuje ključevima dužine 128, 192 i 256 bita. Glavni razlog zbog kojeg je DES zamijenjen AES-om je taj što DES ima dužinu ključa od 56 bita. Već smo rekli da je simetrična kriptografija tajnim ključem postupak kojim se koristi jednak ključ za enkripciju i dekripciju podataka.

Simetričnu kriptografiju možemo matematički prikazati izrazima:

Šifrovanje:

C = Ek (M )

Dešifrovanje:

M = Dk (C )

E predstavlja funkciju šifrovanja, D funkciju dešifrovanja, k je tajni ključ jedinstven za obije strane, M je originalna poruka, C je pripadajuća šifrovana poruka

13

Slika 1 Simetrični algoritam

Način korištenja simetrične enkripcije najlakše je pokazati slijedećim primjerom. Pošiljalac i primalac posjeduju zajednički tajni ključ, koji samo oni znaju. Prethodno su dogovorili zajednički kriptografski algoritam koji će koristiti. Kada Pošiljalac želi poslati poruku primaocu, on enkriptira originalnu poruku (plaintext) korištenjem tajnog ključa i prethodno dogovorenog algoritma. Time dobija enkriptiranu poruku (ciphertext) koju dalje šalje primaocu . Primalac prima enkriptiranu poruku (ciphertext) od pošiljaoca i dekriptira ju svojim privatnim ključem kako bi opet dobio originalnu poruku (plaintext). Ukoliko netko prisluškuje njihovu komunikaciju, prima samo enkriptiranu poruku, jer je jedino ona slana preko otvoreno kanala tako da je tajnost komunikacije očuvana. Mana simetrične enkripcije je što se podrazumjeva da su se dvije strane Pošiljalac i primalac unaprijed dogovorili o vrijednosti enkripcijsko/dekripcijskog ključa koji mora ostati u tajnosti od neautoriziranih korisnika.

14

3.2. Asimetrični algoritmi

Ove algoritme nazivamo još i public-key algorithms, algoritmi s javnim ključem. Razlog ovakvom nazivu je taj što je dozvoljeno da se jedan od ključeva potreban za enkripciju/dekripciju objavi javno (npr. Internet, novine). Ovdje treba obratiti pažnju na riječi "jedan od ključeva". Ono što je specifično za ovaj tip algoritma je to da se koriste dva ključa za enkripciju/dekripciju poruke (originala). Ideja je sljedeća: osoba A objavi svoj javni ključ preko nekog medija (npr. Internet). Osoba B, koja osobi A želi poslati tajnu poruku enkriptira tu svoju poruku s ključem koju je osoba A javno objavila te joj takvu poruku pošalje (recimo preko e-mail servisa). Jedino osoba A sa svojim privatnim (tajnim) ključem može dekriptirati poruku poslanu od osobe B i nitko drugi. Uglavnom, simetrični algoritmi su po svojoj prirodi brži, tj. implementacija na računaru se brže odvija od implementacije asimetričnih algoritama. No, zbog nekih prednosti asimetričnih algoritama u praksi se obje vrste algoritama isprepleću u cilju bolje zaštite poruka. Obično se asimetrični algoritmi koriste za enkripciju slučajno generisanog broja koji služi kao ključ za enkripciju originalne poruke metodama simetričnih algoritama. Ovo se naziva hibridna enkripcija.

Asimetrični algoritmi koriste različite ključeve u postupcima kriptiranja i dekriptiranja. Vrlo su važni, jer se mogu koristiti za prenos podataka čak i kada učesnici komunikacije nemaju mogućnost dogovaranja tajnog ključa. Sve poznate metode su prilično spore, te se stoga nastoje iznaći nova praktičnija rješenja. Zbog svoje sporosti, asimetrični se algoritmi uglavnom koriste za prenos ključa sjednice (session key), koji tada koristimo za brzo kriptiranje podataka simetričnim algoritmima.

Osoba A šalje poruku osobi B, tako da poruku kriptira javnim ključem osobe B. Kriptiranu poruku može vidjeti bilo ko, ali od toga neće imati koristi obzirom da samo osoba B zna tajni ključ kojim će kriptiranu poruku moći dekriptovati, a samim tim i čitati.

Svaki korisnik koji se služi asimetričnim algoritmima mora imati dva ključa: javni i tajni. Javni ključ je javno objavljen i može biti poznat svima onima koji to žele. Tajni ključ zna samo ona osoba koja ga posjeduje. Da bi asimetrični algoritmi bili djelotvorni, taj ključ niko drugi ne smije saznati

15

4. Digitalni potpis

Digitalni potpis je elektronski ekvivalent vlastoručnog potpisa. Digitalni potpis mora ispunjavati sljedeće zahtjeve:

potpis nije moguće falsifikovati, bilo ko može utvrditi postojanje i autentičnost potpisa, ako je potpis vezan uz poruku, sadržaj poruke nije se mijenjao  nakon

potpisivanja, potpisnik može dokazati da je to njegov potpis i potpisnik poruke ne može osporiti činjenicu da je poruku potpisao.

Digitalni potpis zasniva se na asimetričnom kriptoalgoritmu s javnim ključem. Na osnovu poruke prvo se generiše sažetak, koji se zatim kriptuje tajnim ključem potpisnika.

Slika 2Kreiranje i provjera digitalnog potpisa

Primalac poruke provjerava potpis tako da prvo izračuna sažetak poruke, zatim dekriptira sažetak javnim ključem potpisnika, i ako se ova dva sažetka poklapaju znači da je potpisnik stvarno vlasnik tajnog ključa koji odgovara javnom ključu, koji je korišten kod dekriptiranja, te da je poruka koja je došla na odredište ista ona, i nepromijenjena, koju je potpisnik potpisao. Danas najčešći standardi za digitalni potpis su RSA i DSS.

16

Zaključak

Privredni kriminal pojavljuje se još od davnina, a pojavom elektronskog poslovanja on dobija nove dimenzije i novo okruženje. Sa računarskom tehnologijom ovaj kriminal postaje transnacionalan, brišući razlike između zemalja, područja i kontinenata. Ravoj i ekspanzija računarskih mreža otvorili su mogućnosti za nove oblike zloupotreba, čemu posebno pogoduje elektronsko poslovanje, kao način obavljanja poslovnih transakcija koje se preduzimaju i realizuju elektronski, pogotovo preko otvorenih mreža, kakav je Internet.

Internet kao globalna, univerzalna mreža nije isključivo poslovna mreža. Uzmemo li u obzir da su u Internet integrisane bezbrojne interne poslovne mreže, te činjenicu da Internet danas broji oko milijardu korisnika u svijetu sa tendencijom stalnog rasta broja korisnika, sasvim je jasno da je pristup svim informacijama moguć iz gotovo svakog područja civilizovanog svijeta. Posebno poglavlje elektronskog poslovanja je sigurnost. Poslovne i finansijske komunikacije putem mreže su posebno osjetljive na mnoge opasnosti i prijetnje koje se mogu pojaviti na javnim i neosiguranim prometnicama kao što je Internet. Za potpuno rješenje zaštite informacija, kakvo je u ovakvim sistemima neophodno, potrebna je strategija koja obuhvata zaštitu transakcija, zaštitu Internet poslužitelja, te svih aplikacijskih poslužitelja u internoj mreži. Opasnosti dolaze izvana, ali i iznutra, te ukupna zaštita mora dati odgovore na sve te različite prijetnje koje su opisane u sljedećim dijelovima ovog rada. Sigurnost predstavlja najveću brigu poslovnih korisnika, i ona je najčešće definisana kao kombinacija tehnologija, mjera i postupaka zaštite informacija od neovlaštenog eksploatisanja.

17

Literatura

1. Latinović, B. Elektronsko poslovanje. Banja Luka: Panevropski univerzitet Apeiron. 2007

2. Marković, M. Zaštita računarskih i poslovnih sistema, skripta. Banja Luka.

Panevropski univerzitet Apeiron.2009

18