Elektronik Ticaret rehberi, E-ticaret nedir? Elektronik Ticaretin Etkileri ve Faydaları, Elektronik Ticaret Kaynakları Rehberi
 
Menü
e-Ticaret Kurulu (ETİK)
Dijital imza
SET Secure Electronic Transfer
e-imza Sıkça Sorulan Sorular
e-ticaret faydalı linkler
Elektronik Ticaret Araştırmaları ve Raporları
E-Belge Siteleri
E-ticaret Güvenlik Siteleri
E-ticaret Hukuk Linkleri
E-ticaret İstatistik Linkleri
E-ticaret Projeleri Linkleri
E-ticaret Rehberleri Linkleri
E-ticaret Standartları Linkleri
E-ticaret Stratejiler Linkleri
E-ticaret Kuruluşları Linkleri
E-ticaret Uygulamaları Linkleri
E-ticaret Uluslararası Kuruluşlar
 
 
E-TİCARET REHBERİ
 
 

IV. BÖLÜM- ELEKTRONİK TİCARETTE BİLGİ GÜVENLİĞİ

Elektronik ticarete taraf olan kişiler, alışveriş işlemleri sırasında birbirlerini görmediklerinden bazı güvenlik tedbirleri almaya çalışırlar. Klasik ticaret yapan bireyler karşılıklı güven temini için kimlik, imza ve buna benzer yöntemler kullanmaktadır. Aynı şekilde dijital ortamdaki iş ilişkilerinde de, klasik ticarette olduğu gibi, tarafların karşısından beklentileri bulunmaktadır. Dijital ortamlarda imza ve sertifikaların oluşturulmasının sebebi budur. Dijital imza ve sertifikalar sayesinde kişiler karşısındakinin bilgilerinden emin olabilmektedir. Elektronik ticaret ortamlarında yapılan alışverişlerde kredi kartı ve benzeri bilgilerin üçüncü kişilerin eline geçmesi muhtemel bir risktir. Bu olay daha çok internet ortamında ve online mağazalardan yapılan alışverişlerde görülmektedir. Ancak, günlük hayata oranla, kredi kartı bilgilerinin dijital ortamlarda başkaları tarafından öğrenilme riski daha azdır.

Elektronik ticaretin iletişim boyutunda ise, iletişim teknolojinin ilerlemesi, bilginin güvenliği konusundaki hassasiyeti artırmıştır. Günlük yaşamın tüm alanlarındaki iletişimin kısmen ve tamamen elektronik ortamlar üzerinden yapılmaya başlandığı günümüzde, aktarılan bilgiler arasında, işletmelere, kamuya ve kişiye özel bilgilerin bulunması bilginin güvenliği konusundaki çalışmaların artmasına neden olmuştur. Açık ağlarda iletilen bilginin güvenliği, başkası tarafından dinlenme, değiştirilme veya taklit edilme tehditi altındadır. Bilgi güvenliğini sağlamak bu tehditleri tamamen ortadan kaldırmakla mümkün olabilir. Bilgiyi koruma yöntemlerinin en önemlileri şifreleme ve kilitleme yöntemleridir. Günümüzde kullanılan yöntemlerden bazıları şunlardır;

4.1. AÇIK ANAHTAR VE GİZLİ ANAHTAR

Açık ve gizli anahtarlar, şifreleme işlemlerinde kullanılan aralarında eşsiz bir matematiksel ilişki bulunan sayısal algoritmalardır. Açık anahtar, kişiye ait herkesin ulaşabildiği bir algoritmadır. Gizli anahtar, açık anahtar ile şifrelenmiş bilgiyi çözebilen ve sadece kişide bulunan bir algoritmadır. Gizli anahtar ile şifrelenmiş bilgi sadece açık anahtar ile çözülebilir. Açık anahtar bilgisinden gizli anahtar, gizli anahtar bilgisinden açık anahtar üretilemez.

4.2. KRİPTOGRAFİ VE SAYISAL ŞİFRELEME

Kriptografi, güvenli veri iletişimi ve veri saklanması amacıyla şifreleme ve şifre çözme yöntemleri geliştiren bilim dalıdır. Ağlar üzerinden iletilen bilginin belirli bir şifre anahtarı ile içeriğinin değiştirilerek, sadece karşı taraf tarafından okunur hale getirilme işlemine sayısal şifreleme adı verilir.

4.3. ONAY KURUMU

Bilgi gönderen ve alan tarafların aralarındaki veri iletiminde ortaya çıkacak sorunların ortadan kaldırılabilmesi amacıyla güvenilir üçüncü tarafların bulunması düşünülmüştür. Güvenilir üçüncü taraf olarak sistem içinde yer alan, kişilere elektronik kimlik belgesini veren kurumlar onay kurumlarıdır.

4.4. ELEKTRONİK KİMLİK BELGESİ

Elektronik Kimlik Belgesi, onay kurumları tarafından verilen nüfus cüzdanı, ehliyet belgesi ve diğer kimlik belgeleri gibi kişinin internet üzerinde kimliğinin saptanması için kullanılan elektronik dosyalardır. Diğer bir değişle kimliğin sayısal ispatıdır. Elektronik kimlik belgesi ile birlikte kişiye ait açık anahtar ve gizli anahtar belirlenir.

4.5. SET VE SSL

SSL (Secure Sockets Layer), ağ üzerindeki web uygulamalarında güvenli bilgi aktarımının temini için, "Netscape" firması tarafından geliştirilmiş bir program katmanıdır. Burada, bilgi iletiminin güvenliği, uygulama programı ile TCP/IP katmanları arasındaki bir program katmanında sağlanmaktadır. SSL, web sunucularına, bir modül olarak yüklenir ve böylece web sunucuları güvenli erişime uygun hale gelir.

SSL, hem istemci (bilgi alan) hem de sunucu (bilgi gönderen) bilgisayarda bir doğrulama (authentication, iki bilgisayarın karşılıklı olarak birbirini tanıması) mekanizması kullanır. Böylece, bilginin doğru bilgisayardan geldiği ve doğru bilgisayara gittiği teyit edilir.

SSL, web sunucusunu tanımak için, dijital olarak imzalanan sertifikalar kullanır. Sertifika, aslında, o organizasyon hakkında bazı bilgiler içeren bir veri dosyasıdır. Aynı zamanda da, kuruluşun açık-kapalı anahtar çiftinin "açık" anahtarı da sertifika içinde yer alır. Sunucu sertifikası da, o sunucuyu işleten kuruma ait bilgiler içeren bir sertifikadır. Sertifikalar, "güvenilir" sertifika kuruluşları tarafından dağıtılır.

İstemci bilgisayar, SSL destekleyen bir sunucuya bağlandığı anda, doğrulama işlemi başlar. İstemci, kendi açık anahtarını sunucuya gönderir. Sunucu ise, bu anahtarı kullanarak şifrelediği bir mesajı istemciye geri gönderir. Bir sonraki adımda istemci sadece kendinde olan kapalı (private) anahtarı kullanarak gelen şifreli mesajı çözer ve sunucuya geri gönderir. Mesajı alan sunucu ise, bunu kendisinin gönderdiği orijinal mesaj ile karşılaştırır ve eğer iki mesaj "aynı" ise "doğrulama" işlemi başarıyla tamamlanmıştır ve sunucu bu noktadan itibaren "doğru bilgisayarla/kişiyle" iletişimde olduğunu anlar. Daha sonra sunucu istemciye o an gerçekleşen web oturumunda kullanılacak tüm önemli anahtarları gönderir ve güvenli iletişim başlar.

Anahtarlar üretilirken kullanılan bazı popüler algoritmalar olarak, DES (Data Encryption Standard), RSA, IDEA verilebilir. Bunlardan RSA'nın RC4 algoritması (128 bit şifreleme olarak) Netscape ve Internet Explorer'da da kullanılan bir algoritadır.

SET (secure Electronic Transaction), elektronik ticarette, internet üzerinde güvenli bilgi aktarımını sağlamak amacıyla aralarında VISA, MasterCard ve IBM'in de olduğu kuruluşlar tarafından geliştirilen bir protokoldür. SET, özellikle on-line (gerçek zamanda) kredi kartı bilgileri iletimi için geliştirilmiş bir standarttır. SET, kredi kartı ile yapılan online ödemelerde, bilgilerin internet üzerinden aktarımında gizlilik ve güvenlik entegrasyonunu sağlar. SET protokolü sadece müşteri ile online mağaza ve kredi kartı şirketi arasındaki ödeme fazını şifreler.

SET ile, ödeme işlemine taraf olan herkes, birbirlerini tanırlar (teşhis ederler, authentication) ve bu ispatlanabilir. "Tanıma" işlemi, SSL'dekine benzer bir dijital sertifikasyon sistemi ile yapılır. Yani, ödeme fazına dahil bütün taraflar kendi kimliklerini belirten dijital bir sertifika kullanır.

4.6. GÜVENLİĞİN ÖNEMİ

Elektronik ticaretin gelişmesinin en önemli öğelerinden biri bu ortamda gönderilen bilginin güvenliği konusudur. Elektronik ticaretin geliştirilmesi için, Internet ortamında gerçekleştirilen her türlü iletişime yalnızca işleme taraf olanlarca erişilebilmesinde ısrar etmek gerekmektedir. Bu garanti sağlanmadan gerekli güven ortamı yaratılamayacak, dolayısıyla elektronik ticaret gelişemeyecektir.

Özellikle İnternet gibi açık sistemlerin kullanılması suretiyle yapılan elektronik işlemlerde tüketici ve diğer kullanıcılar açısından en önemli konular şunlardır;

· Altyapıda yer alan ağ hizmetlerinin güvenliği,
· Hukuki işlemlerin güvenlikli olması
· Hem işlemler hem de taraflar hakkındaki bilgilerin doğrulanması.

Global enformasyon altyapısı tehlikeden uzak ve güvenilir olmalıdır. Eğer kullanıcılar internetin, haberleşmelerinin ve verilerinin istenmeyen kişilerce elde edilmesi yada değiştirilmesi konusunda güvenli olduğundan emin olmazlarsa, elektronik ticaretin gelişimi de başarılı olmayacaktır. Dolayısıyla, güvenli bir enformasyon altyapısı şunları gerektirir;

· Güvenilir bir iletişim ağı,
· Bu ağlara saldırılardan enformasyon sistemlerini korumak için, etkili araçlar,
· İstenmeyen yetkisiz kişilerin kullanımından elektronik enformasyonun güvenli bir şekilde korunmasını sağlamak,
· Sistemlerini ve verilerini nasıl koruyacağını bilen iyi eğitimli personel.

Tehlikelerden uzak ve güvenilir bir global enformasyon altyapısı, şifreleme, doğruluğunu tasdik (authentication), şifreleme kontrolü, güvenlik duvarı (firewall) gibi bir dizi teknolojinin etkin ve tutarlı kullanımını gerektirir. İnternette dijital imzayı destekleyen güvenilir onay hizmetlerinin gelişimi özel bir önem taşımaktadır. Hem imzalar hem de güvenli kullanım şifreleme ile ilgili anahtarların kullanımına bağlıdır.

4.7. ELEKTRONİK TİCARETTE BİLGİ GÜVENLİĞİ TERİMLERİ 

Açık Anahtar (public key): Açık anahtarlı bir kriptografik yöntem (algoritma) kullanan bir kullanıcının kendisine ait olan iki anahtarından kamuya açık olanı.

Açık Anahtar Altyapısı-AAA (Public Key Infrastructure-PKI ): Bilgi iletişiminde açık anahtarlı kriptografinin yaygın ve güvenli olarak kullanılabilmesini sağlamaya yarayan ve birbirleriyle eşgüdüm içinde çalışan anahtar üretimi, anahtar yönetimi, onay kurumu, sayısal noterlik, zaman damgası gibi hizmetlerin tümü.

Açık Anahtarlı Kriptografi (Public Key Cryptography): Her kullanıcıya, sürekli kullanım için biri açık diğeri gizli iki anahtarın verildiği şifreleme/şifre çözme yöntemlerinin tümü. Asimetrik kriptografi ya da çift anahtarlı kriptografi adını da alır.

Açık Bilgisayar Ağı (Open Computer Network): İsteyen herhangi bir bilgisayar kullanıcısının bağlanabileceği ve diğer kişilerle bilgisayar üzerinden iletişim kurabileceği, herkese açık elektronik iletişim ortamı. Örnek: Internet.

Anahtar (Key): Şifreleme ve şifre çözme sırasında kullanılan sayı dizisi.

Anahtar Üretimi (Key Generation): Açık anahtarlı kriptografide, her kullanıcının açık/gizli anahtar çiftinin, kullanılan kriptografik yönteme bağlı matematiksel işlemlerle hazırlanması.

Anahtar Yönetimi (Key Management): Açık anahtarlı kriptografide her kullanıcıya farklı anahtar çiftleri verilmesi, kullanıcıların açık anahtarlarının herkesin ulaşımına açık olarak saklanması ve kullanıcıların gizli anahtarlarının mutlak gizliliğinin sağlanmasından sorumlu düzen.

Anahtarı Bulan Kurum-ABK (Key Recovery Agency-KRA): Yasal erişime yardımcı olmak amacıyla kurulan ve yargının gerektirdiği durumlarda, zan altındaki kişinin gizli anahtarının matematiksel yöntemlerle elde edilmesini sağlayan kurum. Gizli anahtarını kaybeden herhangi bir kişi de, kimliğini belgeleyerek ABK'ye başvurursa anahtarını yeniden elde edebilir.

Basit Bölüm (Simple Segment): Hiçbir sınıflandırmaya ihtiyacı olmayan bölüm. (Anlamı sabit ve açık olan bölüm)

Basit Veri Elemanı (Simple data element): Tek bir değer taşıyan veri elemanı.

Bilgi Bütünlüğü (Message Integrity): Bilginin saklanması veya açık/kapalı iletişim ağlarından iletimi sırasında içerik açısından herhangi bir değişime uğratılmamış olması, özgün halinde korunması.

Bilgi Güvenliği (Information Security): Bilginin, 
I) kime ait olduğu belirlenmiş,
II) bütünlüğü korunarak, ve 
III) gizliliği sağlanmış olarak iletimi ve saklanması.

Bölüm Adı (Segment Name): Doğal dilde bir ya da daha çok sözcük ile veri bölümü kavramının tanımlanması.

Bölüm Kodu (Segment Code): Bölüm rehberinde tanımlandığı şekilde, her bölümü tek olarak gösteren kod.

Bölüm Rehberi (Segment directory): Tanımlandırılmış, isimlendirilmiş bölümler listesi.

Çift Anahtarlı Kriptografi (Double Key Cryptography): Açık anahtarlı kriptografi veya asimetrik kriptografi.

Doküman (Document): Bir verinin üzerine kayıt edildiği, insan ya da makine tarafından okunabilen, (değişmez) veri taşıyıcı.

Elektronik Kimlik Belgesi-EKB (Digital Certificate): Onay kurumunun hazırladığı ve sayısal olarak imzaladığı, hangi açık anahtarın hangi kişiye ait olduğunu gösteren belge.

Elektronik Veri Değişimi-EVD (Electronic Data Interchange-EDI): Standart bir formda yazılmış olan bilgilerin bilgisayarlar arasında aktarımı ve otomatik olarak yorumlanıp işlenebilmesi.

Elektronik Veri Değişimi (Electronic Data Interchange): Standart bir yapıda bilgisayardan - bilgisayara veri (ticari) transferi.

Erişim (Access): Herhangi bir sistemi kullanmaya başlama, örneğin bir elektronik ticaret sistemine bilgisayar üzerinden bağlanarak iletişim kurma.

EVD Kurumu (EDI Association): Bir ülkede EVD kullanımını düzenleyen kuruluş, örneğin, ABD'deki EDIA, Avustralya'daki EDICA, Kanada'daki EDICC veya Yeni Zelanda'daki EDIANZ.

EVD Servis Sunucusu (EDI Server): Bir EVD servisinin merkezinde olan bilgisayar sistemi.

Gizli -Özel, Kişisel- Anahtar (Private Key): Açık anahtarlı kriptografi kullanan bir kullanıcının, kendisine ait olan iki anahtarından gizli tutulanı.

Gizlilik (Privacy): İletişim kuran iki taraf arasındaki yazışmaların üçüncü kişilerden gizli tutulması, veya bir kişiye ait bilgilerin kendisi dışında herkesten gizli tutulması.

Güvenilir Üçüncü Kuruluş, Kurum veya Kişi-GÜK (Trusted Third Party-TTP): Bir çeşit onay kurumu. Onay kurumlarının yaptığı gibi kişilerin kimliğini güvenli olarak belirleyip, elektronik kimlik belgelerini hazırlamaya ve anahtar yönetimini sağlamaya ek olarak, kişilerin gizli anahtarlarını çok güvenli bir ortamda saklayan ve gerektiğinde yargı kararıyla yetkili makamlara veren kuruluş.

Kanal (Channel): Bilginin bir kullanıcıdan diğerine iletimi için gereken fiziksel iletişim ortamı, örneğin, bilgisayar bağlantısı, telefon kablosu, radyolink ve uydu üzerinden diğer kullanıcıya ulaşan bağlantının tümü.

Kapalı Bilgisayar Ağı (Closed Computer Network): Kullanıcılarından biri olmak için belirli koşulların sağlanması gerektiği, herkese açık olmayan bilgisayar ağları. Örnek: Bankalar ve bankamatikler arasındaki bağlantı.

Kimlik Belirleme (Authentication): Herhangi bir servisi almak isteyen birinin, gerçekten de kendi iddia ettiği kişi olduğunun belirlenmesi.

Kod (Code):
a) Bilginin kısaltılarak kayıt edildiği ya da tanımlandığı karakter dizisi
b) Bilgisayarın tanıyacağı formda özel semboller kullanılarak bilginin gösterilmesi ya da tanımlanması.

Kriptografik Algoritma (Cryptographic Algorithm): Şifreleme / şifre çözmede kullanılan belirli bir yöntemin ayrıntılı içeriği, bu içeriğin matematiksel adımları.

Kriptoloji (Cryptology): Güvenli bilgi iletişimi ve/veya saklanması için sifreleme ve sifre çözme yöntemleri türeten, geliştiren, inceleyen bilim dalı.

Mesaj Çizeneği (Message Diagram): Bir mesaj içindeki bölüm dizisinin grafiksel gösterimi.

Mesaj Kodu (Message Code): Mesaj tipini tanımlayan ve tek olan alfabetik referans (isim).

Mesaj Rehberi (Message Directory): İsimlendirilmiş, tanımlandırılmış ve tarif edilmiş mesaj tiplerinin listesi.

Mesaj Tipi (Message Type): Belirlenmış işlem tipi için ihtiyaçları kapsayan, tanımlanmış ve planlanmış veri kümesi (seti).

Mesaj (Message): Bilgiyi taşımak üzere planlanmış sıralı (düzenli) karakter serisi

Onay Kurumu-OK (Certifying Authority-CA): Kişilerin kimliğini güvenli olarak belirleyip elektronik kimlik belgelerini hazırlayan ve anahtar yönetimini sağlayan kuruluş.

Sayısal İmza (Digital Signature): Elektronik ortamdaki yazışmalara eklenen, yazıyı gönderenin kimliğini ve gönderilen yazının iletim sırasında bozulmadığını kanıtlamaya yarayan bölüm. Sayısal imza, yazının içeriğine ve imzalayanın gizli anahtarına bağlı bir kriptografik yöntemle atıldığı için, sayısal imzanın doğrulanmasında, imzayı atanın açık anahtarı kullanılır.

Sayısal Noter (Digital Notary): Bilgisayar ağlarında iletilen bilgileri tarafların isteği ile saklayıp, kendisine başvurulduğunda belgeleyebilen kuruluş.

Tek Anahtarlı Kriptografi (Single Key Cryptography): Şifreleme ve şifre çözme için aynı anahtarı kullanan kriptografik yöntemlerin tümü. Simetrik kriptografi veya gizli anahtarlı kriptografi adını da alır. Kullanılan gizli anahtarı mesajı gönderen ve alan kişilerin paylaşması gerektiği için, tek anahtarlı kriptografinin güvenilirliği, her kullanıcı çiftine ayrı bir anahtar verilebilmesine bağlıdır. Bu durumda, bir kullanıcı, haberleşeceği herkes için farklı bir anahtar kullanmak zorundadır; bu ise önemli bir anahtar dağıtımı problemine yolaçar. Çift anahtarlı kriptografi , bu sorunu ortadan kaldırmıştır.

UN/EDIFACT : Mesaj rehberinde belirlendiği düzende sıralı bölümler kümesi.

Veri Elemanı Adı (Data element name): Doğal dilde bir ya da daha çok sözcük ile veri elemanı kavramının tanımlanması.

Veri Elemanı Niteliği (Data Element Attribute): Veri elemanının tanımlanmış özelliği

Veri Elemanı Rehberi (Data Element Directory): Tanımlanmış, isimlendirilmiş veri elemanı niteliklerinin, uygun veri elemanı değerinin nasıl simgeleneceğine ilişkin spesificasyonları içeren liste.

Veri Elemanı: Verinin, tanımlamak, değer göstermek için özellikleri belirlenmiş bir birimi.

Veri: Bilginin, iletişim, yorum, ya da işlem için uygun olarak formülize edilmiş şekilde gösterilmesi

Yasal Erişim ( Lawful Access): Devletin, açık anahtarlı bir kriptografik algoritma kullananların gizli anahtarlarına, yasaların gerektirdiği durumlarda ve yargı kararıyla ulaşabilme yetkisi.

Zaman Damgası (Time Stamp): Bilgisayar ağlarında iletilen mesajlara eklenen ve mesajın yazıldığı zamanı güvenli olarak belgeleyen damga.

 
Ana Sayfa      :       Haberler       :       Bağlantılar       :       Elektronik Ticaret Terimleri Sözlüğü      :       E-imza Nedir?
 
  © 2006 ELEKTRONİK TİCARET REHBERİ Tüm hakları saklıdır.