IV.
BÖLÜM- ELEKTRONİK TİCARETTE BİLGİ GÜVENLİĞİ
Elektronik ticarete taraf olan kişiler,
alışveriş işlemleri sırasında birbirlerini görmediklerinden
bazı güvenlik tedbirleri almaya çalışırlar. Klasik ticaret
yapan bireyler karşılıklı güven temini için kimlik, imza ve
buna benzer yöntemler kullanmaktadır. Aynı şekilde dijital
ortamdaki iş ilişkilerinde de, klasik ticarette olduğu
gibi, tarafların karşısından beklentileri bulunmaktadır.
Dijital ortamlarda imza ve sertifikaların oluşturulmasının
sebebi budur. Dijital imza ve sertifikalar sayesinde
kişiler karşısındakinin bilgilerinden emin olabilmektedir.
Elektronik ticaret ortamlarında yapılan alışverişlerde
kredi kartı ve benzeri bilgilerin üçüncü kişilerin eline
geçmesi muhtemel bir risktir. Bu olay daha çok internet
ortamında ve online mağazalardan yapılan alışverişlerde
görülmektedir. Ancak, günlük hayata oranla, kredi kartı
bilgilerinin dijital ortamlarda başkaları tarafından
öğrenilme riski daha azdır.
Elektronik ticaretin iletişim boyutunda
ise, iletişim teknolojinin ilerlemesi, bilginin güvenliği
konusundaki hassasiyeti artırmıştır. Günlük yaşamın tüm
alanlarındaki iletişimin kısmen ve tamamen elektronik
ortamlar üzerinden yapılmaya başlandığı günümüzde,
aktarılan bilgiler arasında, işletmelere, kamuya ve kişiye
özel bilgilerin bulunması bilginin güvenliği konusundaki
çalışmaların artmasına neden olmuştur. Açık ağlarda
iletilen bilginin güvenliği, başkası tarafından dinlenme,
değiştirilme veya taklit edilme tehditi altındadır. Bilgi
güvenliğini sağlamak bu tehditleri tamamen ortadan
kaldırmakla mümkün olabilir. Bilgiyi koruma yöntemlerinin
en önemlileri şifreleme ve kilitleme yöntemleridir.
Günümüzde kullanılan yöntemlerden bazıları şunlardır;
4.1.
AÇIK ANAHTAR VE GİZLİ ANAHTAR
Açık ve gizli anahtarlar, şifreleme
işlemlerinde kullanılan aralarında eşsiz bir matematiksel
ilişki bulunan sayısal algoritmalardır. Açık anahtar,
kişiye ait herkesin ulaşabildiği bir algoritmadır. Gizli
anahtar, açık anahtar ile şifrelenmiş bilgiyi çözebilen ve
sadece kişide bulunan bir algoritmadır. Gizli anahtar ile
şifrelenmiş bilgi sadece açık anahtar ile çözülebilir. Açık
anahtar bilgisinden gizli anahtar, gizli anahtar
bilgisinden açık anahtar üretilemez.
4.2.
KRİPTOGRAFİ VE SAYISAL ŞİFRELEME
Kriptografi, güvenli veri iletişimi ve
veri saklanması amacıyla şifreleme ve şifre çözme
yöntemleri geliştiren bilim dalıdır. Ağlar üzerinden
iletilen bilginin belirli bir şifre anahtarı ile içeriğinin
değiştirilerek, sadece karşı taraf tarafından okunur hale
getirilme işlemine sayısal şifreleme adı verilir.
4.3.
ONAY KURUMU
Bilgi gönderen ve alan tarafların
aralarındaki veri iletiminde ortaya çıkacak sorunların
ortadan kaldırılabilmesi amacıyla güvenilir üçüncü
tarafların bulunması düşünülmüştür. Güvenilir üçüncü taraf
olarak sistem içinde yer alan, kişilere elektronik kimlik
belgesini veren kurumlar onay kurumlarıdır.
4.4.
ELEKTRONİK KİMLİK BELGESİ
Elektronik Kimlik Belgesi, onay kurumları
tarafından verilen nüfus cüzdanı, ehliyet belgesi ve diğer
kimlik belgeleri gibi kişinin internet üzerinde kimliğinin
saptanması için kullanılan elektronik dosyalardır. Diğer
bir değişle kimliğin sayısal ispatıdır. Elektronik kimlik
belgesi ile birlikte kişiye ait açık anahtar ve gizli
anahtar belirlenir.
4.5.
SET VE SSL
SSL (Secure Sockets Layer), ağ üzerindeki
web uygulamalarında güvenli bilgi aktarımının temini için,
"Netscape" firması tarafından geliştirilmiş bir program
katmanıdır. Burada, bilgi iletiminin güvenliği, uygulama
programı ile TCP/IP katmanları arasındaki bir program
katmanında sağlanmaktadır. SSL, web sunucularına, bir modül
olarak yüklenir ve böylece web sunucuları güvenli erişime
uygun hale gelir.
SSL, hem istemci (bilgi alan) hem de
sunucu (bilgi gönderen) bilgisayarda bir doğrulama
(authentication, iki bilgisayarın karşılıklı olarak
birbirini tanıması) mekanizması kullanır. Böylece, bilginin
doğru bilgisayardan geldiği ve doğru bilgisayara gittiği
teyit edilir.
SSL, web sunucusunu tanımak için, dijital
olarak imzalanan sertifikalar kullanır. Sertifika, aslında,
o organizasyon hakkında bazı bilgiler içeren bir veri
dosyasıdır. Aynı zamanda da, kuruluşun açık-kapalı anahtar
çiftinin "açık" anahtarı da sertifika içinde yer alır.
Sunucu sertifikası da, o sunucuyu işleten kuruma ait
bilgiler içeren bir sertifikadır. Sertifikalar, "güvenilir"
sertifika kuruluşları tarafından dağıtılır.
İstemci bilgisayar, SSL destekleyen bir
sunucuya bağlandığı anda, doğrulama işlemi başlar. İstemci,
kendi açık anahtarını sunucuya gönderir. Sunucu ise, bu
anahtarı kullanarak şifrelediği bir mesajı istemciye geri
gönderir. Bir sonraki adımda istemci sadece kendinde olan
kapalı (private) anahtarı kullanarak gelen şifreli mesajı
çözer ve sunucuya geri gönderir. Mesajı alan sunucu ise,
bunu kendisinin gönderdiği orijinal mesaj ile karşılaştırır
ve eğer iki mesaj "aynı" ise "doğrulama" işlemi başarıyla
tamamlanmıştır ve sunucu bu noktadan itibaren "doğru
bilgisayarla/kişiyle" iletişimde olduğunu anlar. Daha sonra
sunucu istemciye o an gerçekleşen web oturumunda
kullanılacak tüm önemli anahtarları gönderir ve güvenli
iletişim başlar.
Anahtarlar üretilirken kullanılan bazı
popüler algoritmalar olarak, DES (Data Encryption
Standard), RSA, IDEA verilebilir. Bunlardan RSA'nın RC4
algoritması (128 bit şifreleme olarak) Netscape ve Internet
Explorer'da da kullanılan bir algoritadır.
SET (secure Electronic Transaction),
elektronik ticarette, internet üzerinde güvenli bilgi
aktarımını sağlamak amacıyla aralarında VISA, MasterCard ve
IBM'in de olduğu kuruluşlar tarafından geliştirilen bir
protokoldür. SET, özellikle on-line (gerçek zamanda) kredi
kartı bilgileri iletimi için geliştirilmiş bir standarttır.
SET, kredi kartı ile yapılan online ödemelerde, bilgilerin
internet üzerinden aktarımında gizlilik ve güvenlik
entegrasyonunu sağlar. SET protokolü sadece müşteri ile
online mağaza ve kredi kartı şirketi arasındaki ödeme
fazını şifreler.
SET ile, ödeme işlemine taraf olan
herkes, birbirlerini tanırlar (teşhis ederler,
authentication) ve bu ispatlanabilir. "Tanıma" işlemi,
SSL'dekine benzer bir dijital sertifikasyon sistemi ile
yapılır. Yani, ödeme fazına dahil bütün taraflar kendi
kimliklerini belirten dijital bir sertifika kullanır.
4.6.
GÜVENLİĞİN ÖNEMİ
Elektronik ticaretin gelişmesinin en
önemli öğelerinden biri bu ortamda gönderilen bilginin
güvenliği konusudur. Elektronik ticaretin geliştirilmesi
için, Internet ortamında gerçekleştirilen her türlü
iletişime yalnızca işleme taraf olanlarca erişilebilmesinde
ısrar etmek gerekmektedir. Bu garanti sağlanmadan gerekli
güven ortamı yaratılamayacak, dolayısıyla elektronik
ticaret gelişemeyecektir.
Özellikle İnternet gibi açık sistemlerin
kullanılması suretiyle yapılan elektronik işlemlerde
tüketici ve diğer kullanıcılar açısından en önemli konular
şunlardır;
· Altyapıda yer alan ağ hizmetlerinin
güvenliği,
· Hukuki işlemlerin güvenlikli olması
· Hem işlemler hem de taraflar hakkındaki bilgilerin
doğrulanması.
Global enformasyon altyapısı tehlikeden
uzak ve güvenilir olmalıdır. Eğer kullanıcılar internetin,
haberleşmelerinin ve verilerinin istenmeyen kişilerce elde
edilmesi yada değiştirilmesi konusunda güvenli olduğundan
emin olmazlarsa, elektronik ticaretin gelişimi de başarılı
olmayacaktır. Dolayısıyla, güvenli bir enformasyon
altyapısı şunları gerektirir;
· Güvenilir bir iletişim ağı,
· Bu ağlara saldırılardan enformasyon sistemlerini korumak
için, etkili araçlar,
· İstenmeyen yetkisiz kişilerin kullanımından elektronik
enformasyonun güvenli bir şekilde korunmasını sağlamak,
· Sistemlerini ve verilerini nasıl koruyacağını bilen iyi
eğitimli personel.
Tehlikelerden uzak ve güvenilir bir
global enformasyon altyapısı, şifreleme, doğruluğunu tasdik
(authentication), şifreleme kontrolü, güvenlik duvarı
(firewall) gibi bir dizi teknolojinin etkin ve tutarlı
kullanımını gerektirir. İnternette dijital imzayı
destekleyen güvenilir onay hizmetlerinin gelişimi özel bir
önem taşımaktadır. Hem imzalar hem de güvenli kullanım
şifreleme ile ilgili anahtarların kullanımına bağlıdır.
4.7.
ELEKTRONİK TİCARETTE BİLGİ GÜVENLİĞİ TERİMLERİ
Açık Anahtar (public key):
Açık anahtarlı bir kriptografik yöntem
(algoritma) kullanan bir kullanıcının kendisine ait olan
iki anahtarından kamuya açık olanı.
Açık Anahtar Altyapısı-AAA (Public Key
Infrastructure-PKI ): Bilgi iletişiminde açık anahtarlı
kriptografinin yaygın ve güvenli olarak kullanılabilmesini
sağlamaya yarayan ve birbirleriyle eşgüdüm içinde çalışan
anahtar üretimi, anahtar yönetimi, onay kurumu, sayısal
noterlik, zaman damgası gibi hizmetlerin tümü.
Açık Anahtarlı Kriptografi (Public Key
Cryptography): Her kullanıcıya, sürekli kullanım için
biri açık diğeri gizli iki anahtarın verildiği
şifreleme/şifre çözme yöntemlerinin tümü. Asimetrik
kriptografi ya da çift anahtarlı kriptografi adını da alır.
Açık Bilgisayar Ağı (Open Computer
Network): İsteyen herhangi bir bilgisayar
kullanıcısının bağlanabileceği ve diğer kişilerle
bilgisayar üzerinden iletişim kurabileceği, herkese açık
elektronik iletişim ortamı. Örnek: Internet.
Anahtar (Key): Şifreleme ve şifre
çözme sırasında kullanılan sayı dizisi.
Anahtar Üretimi (Key Generation):
Açık anahtarlı kriptografide, her kullanıcının açık/gizli
anahtar çiftinin, kullanılan kriptografik yönteme bağlı
matematiksel işlemlerle hazırlanması.
Anahtar Yönetimi (Key Management):
Açık anahtarlı kriptografide her kullanıcıya farklı anahtar
çiftleri verilmesi, kullanıcıların açık anahtarlarının
herkesin ulaşımına açık olarak saklanması ve kullanıcıların
gizli anahtarlarının mutlak gizliliğinin sağlanmasından
sorumlu düzen.
Anahtarı Bulan Kurum-ABK (Key Recovery
Agency-KRA): Yasal erişime yardımcı olmak amacıyla
kurulan ve yargının gerektirdiği durumlarda, zan altındaki
kişinin gizli anahtarının matematiksel yöntemlerle elde
edilmesini sağlayan kurum. Gizli anahtarını kaybeden
herhangi bir kişi de, kimliğini belgeleyerek ABK'ye
başvurursa anahtarını yeniden elde edebilir.
Basit Bölüm (Simple Segment):
Hiçbir sınıflandırmaya ihtiyacı olmayan bölüm. (Anlamı
sabit ve açık olan bölüm)
Basit Veri Elemanı (Simple data
element): Tek bir değer taşıyan veri elemanı.
Bilgi Bütünlüğü (Message Integrity): Bilginin
saklanması veya açık/kapalı iletişim ağlarından iletimi
sırasında içerik açısından herhangi bir değişime
uğratılmamış olması, özgün halinde korunması.
Bilgi Güvenliği (Information Security):
Bilginin,
I) kime ait olduğu belirlenmiş,
II) bütünlüğü korunarak, ve
III) gizliliği sağlanmış olarak iletimi ve saklanması.
Bölüm Adı (Segment Name): Doğal dilde bir ya da daha
çok sözcük ile veri bölümü kavramının tanımlanması.
Bölüm Kodu (Segment Code): Bölüm
rehberinde tanımlandığı şekilde, her bölümü tek olarak
gösteren kod.
Bölüm Rehberi (Segment directory):
Tanımlandırılmış, isimlendirilmiş bölümler listesi.
Çift Anahtarlı Kriptografi (Double Key
Cryptography): Açık anahtarlı
kriptografi veya asimetrik kriptografi.
Doküman (Document): Bir verinin
üzerine kayıt edildiği, insan ya da makine tarafından
okunabilen, (değişmez) veri taşıyıcı.
Elektronik Kimlik Belgesi-EKB (Digital
Certificate): Onay kurumunun hazırladığı ve sayısal
olarak imzaladığı, hangi açık anahtarın hangi kişiye ait
olduğunu gösteren belge.
Elektronik Veri Değişimi-EVD
(Electronic Data Interchange-EDI): Standart bir formda
yazılmış olan bilgilerin bilgisayarlar arasında aktarımı ve
otomatik olarak yorumlanıp işlenebilmesi.
Elektronik Veri Değişimi (Electronic
Data Interchange): Standart bir yapıda bilgisayardan -
bilgisayara veri (ticari) transferi.
Erişim (Access): Herhangi bir
sistemi kullanmaya başlama, örneğin bir elektronik ticaret
sistemine bilgisayar üzerinden bağlanarak iletişim kurma.
EVD Kurumu (EDI Association): Bir
ülkede EVD kullanımını düzenleyen kuruluş, örneğin,
ABD'deki EDIA, Avustralya'daki EDICA, Kanada'daki EDICC
veya Yeni Zelanda'daki EDIANZ.
EVD Servis Sunucusu (EDI Server):
Bir EVD servisinin merkezinde olan bilgisayar sistemi.
Gizli -Özel, Kişisel- Anahtar (Private
Key): Açık anahtarlı kriptografi kullanan bir
kullanıcının, kendisine ait olan iki anahtarından gizli
tutulanı.
Gizlilik (Privacy): İletişim kuran
iki taraf arasındaki yazışmaların üçüncü kişilerden gizli
tutulması, veya bir kişiye ait bilgilerin kendisi dışında
herkesten gizli tutulması.
Güvenilir Üçüncü Kuruluş, Kurum veya
Kişi-GÜK (Trusted Third Party-TTP): Bir çeşit onay
kurumu. Onay kurumlarının yaptığı gibi kişilerin kimliğini
güvenli olarak belirleyip, elektronik kimlik belgelerini
hazırlamaya ve anahtar yönetimini sağlamaya ek olarak,
kişilerin gizli anahtarlarını çok güvenli bir ortamda
saklayan ve gerektiğinde yargı kararıyla yetkili makamlara
veren kuruluş.
Kanal (Channel): Bilginin bir
kullanıcıdan diğerine iletimi için gereken fiziksel
iletişim ortamı, örneğin, bilgisayar bağlantısı, telefon
kablosu, radyolink ve uydu üzerinden diğer kullanıcıya
ulaşan bağlantının tümü.
Kapalı Bilgisayar Ağı (Closed Computer
Network): Kullanıcılarından biri olmak için belirli
koşulların sağlanması gerektiği, herkese açık olmayan
bilgisayar ağları. Örnek: Bankalar ve bankamatikler
arasındaki bağlantı.
Kimlik Belirleme (Authentication):
Herhangi bir servisi almak isteyen birinin, gerçekten de
kendi iddia ettiği kişi olduğunun belirlenmesi.
Kod (Code):
a) Bilginin kısaltılarak kayıt edildiği ya da tanımlandığı
karakter dizisi
b) Bilgisayarın tanıyacağı formda özel semboller
kullanılarak bilginin gösterilmesi ya da tanımlanması.
Kriptografik Algoritma (Cryptographic
Algorithm): Şifreleme / şifre çözmede kullanılan
belirli bir yöntemin ayrıntılı içeriği, bu içeriğin
matematiksel adımları.
Kriptoloji (Cryptology): Güvenli
bilgi iletişimi ve/veya saklanması için sifreleme ve sifre
çözme yöntemleri türeten, geliştiren, inceleyen bilim dalı.
Mesaj Çizeneği (Message Diagram):
Bir mesaj içindeki bölüm dizisinin grafiksel gösterimi.
Mesaj Kodu (Message Code): Mesaj
tipini tanımlayan ve tek olan alfabetik referans (isim).
Mesaj Rehberi (Message Directory):
İsimlendirilmiş, tanımlandırılmış ve tarif edilmiş mesaj
tiplerinin listesi.
Mesaj Tipi (Message Type):
Belirlenmış işlem tipi için ihtiyaçları kapsayan,
tanımlanmış ve planlanmış veri kümesi (seti).
Mesaj (Message): Bilgiyi taşımak
üzere planlanmış sıralı (düzenli) karakter serisi
Onay Kurumu-OK (Certifying
Authority-CA): Kişilerin kimliğini güvenli olarak
belirleyip elektronik kimlik belgelerini hazırlayan ve
anahtar yönetimini sağlayan kuruluş.
Sayısal İmza (Digital Signature):
Elektronik ortamdaki yazışmalara eklenen, yazıyı gönderenin
kimliğini ve gönderilen yazının iletim sırasında
bozulmadığını kanıtlamaya yarayan bölüm. Sayısal imza,
yazının içeriğine ve imzalayanın gizli anahtarına bağlı bir
kriptografik yöntemle atıldığı için, sayısal imzanın
doğrulanmasında, imzayı atanın açık anahtarı kullanılır.
Sayısal Noter (Digital Notary):
Bilgisayar ağlarında iletilen bilgileri tarafların isteği
ile saklayıp, kendisine başvurulduğunda belgeleyebilen
kuruluş.
Tek Anahtarlı Kriptografi (Single Key
Cryptography): Şifreleme ve şifre çözme için aynı
anahtarı kullanan kriptografik yöntemlerin tümü. Simetrik
kriptografi veya gizli anahtarlı kriptografi adını da alır.
Kullanılan gizli anahtarı mesajı gönderen ve alan kişilerin
paylaşması gerektiği için, tek anahtarlı kriptografinin
güvenilirliği, her kullanıcı çiftine ayrı bir anahtar
verilebilmesine bağlıdır. Bu durumda, bir kullanıcı,
haberleşeceği herkes için farklı bir anahtar kullanmak
zorundadır; bu ise önemli bir anahtar dağıtımı problemine
yolaçar. Çift anahtarlı kriptografi , bu sorunu ortadan
kaldırmıştır.
UN/EDIFACT : Mesaj rehberinde
belirlendiği düzende sıralı bölümler kümesi.
Veri Elemanı Adı (Data element name):
Doğal dilde bir ya da daha çok sözcük ile veri elemanı
kavramının tanımlanması.
Veri Elemanı Niteliği (Data Element
Attribute): Veri elemanının tanımlanmış özelliği
Veri Elemanı Rehberi (Data Element
Directory): Tanımlanmış, isimlendirilmiş veri elemanı
niteliklerinin, uygun veri elemanı değerinin nasıl
simgeleneceğine ilişkin spesificasyonları içeren liste.
Veri Elemanı: Verinin, tanımlamak,
değer göstermek için özellikleri belirlenmiş bir birimi.
Veri: Bilginin, iletişim, yorum,
ya da işlem için uygun olarak formülize edilmiş şekilde
gösterilmesi
Yasal Erişim ( Lawful Access):
Devletin, açık anahtarlı bir kriptografik algoritma
kullananların gizli anahtarlarına, yasaların gerektirdiği
durumlarda ve yargı kararıyla ulaşabilme yetkisi.
Zaman Damgası (Time Stamp):
Bilgisayar ağlarında iletilen mesajlara eklenen ve mesajın
yazıldığı zamanı güvenli olarak belgeleyen damga. |