3.1.4. Цели обеспечения безопасности информации в СЭП
Говоря более конкретно, в информационной безопасности СЭП можно выделить три традиционные составляющие: доступность, це-лостность, конфиденциальность.
Существенно, что приоритетность решения этих задач в СЭП именно такова: на первом месте стоит доступность, затем целостность и только потом конфиденциаль-ность. В самом деле, первостепенное значение для банковских сис-тем имеет именно возможность пользоваться их услугами в любой момент времени, и только если такая возможность обеспечена, мож-но требовать обеспечения различных аспектов качества информа-ции, циркулирующей в ней. Доля конфиденциальной информации в СЭП весьма мала (это, вероятно, будут только персональные данные клиентов и сведения, составляющие тайну вкладов), а вот наруше-ние целостности финансовой информации может привести к весьма существенным экономическим потерям.Итак, основное требование целостности заключается в том, чтобы никто из участников системы не нес финансовых потерь и в то же время каждый мог бы осуществлять все необходимые ему фи-нансовые операции. Участники должны иметь возможность точно специфицировать получателей всех платежей. Кроме того, в системах, где повторная трата монеты обнаруживается постфактум, банк требует гарантированное обнаружение повторной траты и иденти-фикацию виновного в этой трате клиента системы.
Очень важным требованием к безопасности СЭП является воз-можность корректного и недвусмысленного разрешения конфликтных ситуаций (диспутов), которые могут возникать между участни-ками системы. Конфликты могут касаться самих фактов требования участниками системы выполнения тех или иных операций, а также состояния их лицевых счетов.
Технически оптимальной моделью доверия для каждого из этих требований является такая, где каждый участник системы доверяет только самому себе и тому техническому средству, при помощи которого он участвует в работе системы, а также арбитру - для кор-ректного разрешения конфликтных ситуаций.
Одно из существенных требований к безопасности СЭП заклю-чается в том, чтобы клиенты СЭП чувствовали себя не менее защи-щенными, чем при работе с традиционными платежными система-ми.
В частности, это требование означает, что малые платежи должны совершаться конфиденциально и анонимно кроме того, не так важна конфиденциальность каждого отдельно взятого платежа, как невозможность собрать «профили» клиентов системы из записей об отдельных транзакциях, проведенных ими.Принципиальное ограничение в обеспечении конфиденциально-сти любой СЭП заключается в том, что конфиденциальность СЭП, в которых платежи осуществляются через Интернет, не может быть выше, чем конфиденциальность сетевых соединений между участ-никами системы, а для платежей в магазинах невозможно получить больше анонимности, чем при традиционных покупках в магазине.
В связи со сказанным задача обеспечения конфиденциальности в СЭП существует в двух аспектах: обеспечение конфиденциальности платежных данных от внешних субъектов и обеспечение требуемой степени анонимности ее участников, в первую очередь плательщиков, но иногда и получателей платежей.
Для решения первой задачи - обеспечения конфиденциальности от внешних субъектов - применяются стандартные методы шифро-вания. Следовательно, они не зависят от СЭП как таковой. В частно-сти, СЭП использует, как правило, уже готовый защищенный канал на базе стандартного протокола (SSL, TLS и др.), который приме-нялся до совершения транзакции платежа, например еще при заказе товаров через «электронные магазины». Это необходимо еще и потому, что конфиденциальность должна быть обеспечена единым образом при всех действиях клиентов системы. Протокол электронных платежей в этом случае просто будет работать «поверх» протокола, образующего защищенный канал.
Задача обеспечения анонимности участников СЭП в каждом конкретном случае может быть сформулирована по-разному. Критерии классификации анонимности участников СЭП и соответствующие им различные степени анонимности удобно сформулировать в виде своеобразных вопросов и ответов.
Кто является анонимным? В большинстве случаев требуется только анонимность плательщика, но технически СЭП можно по-строить так, чтобы в ней обеспечивалась анонимность получателя или сразу обоих названных участников.
В каких действиях проявляется анонимность? Обычно пла-тельщики анонимны только в платежах, но не при снятии «элек-тронных» денег со счета.
Другими словами, в большинстве случаев предполагается применение обычных, неанонимных счетов, с которых должны сниматься «электронные» деньги, и только после этого их использование становится анонимным. Технически возможно сделать анонимными и банковские счета или даже построить ано-нимную СЭП вообще без банковских счетов.Относительно каких других действий достигается аноним-ность? Выделяют две степени анонимности: анонимность без неот- слеживаемости и анонимность с неотслеживаемостыо.
В первом случае каждое действие участника СЭП анонимно, но между ними прослеживается связь, т. е. сторонний наблюдатель мо-жет определить, что несколько действий были сделаны одной и той же персоной. С этой проблемой тесно связана проблема реиденти- фикации участников системы: система построена технически верно и обеспечивает анонимность ее участников, но тем не менее неот- слеживаемость теряется из-за того, что действия участников могут быть связаны между собой по каким-либо посторонним, косвенным признакам. К примеру, телефонная компания может «вычислить» своего анонимного абонента по номерам сделанных им телефонных звонков.
Во втором случае достигается реальная анонимность, т. е. участ-ники системы анонимны, и между действиями каждого отдельно взятого участника нет логической связи, позволяющей установить принадлежность этих действий одному и тому же, пусть и аноним-ному участнику.
Для достижения свойства неотслеживаемости часто использу-ется простой подход, заключающийся в том, что каждому участнику системы присваивается псевдоним, который остается действительным либо в течение одной транзакции, либо в течение всего времени его участия в работе СЭП.
От кого обеспечивается анонимность участников? По этому критерию можно выделить три степени анонимности: реальную ано-нимность, одностороннюю анонимность и ?-из-п-стороннюю ано-нимность.
Самая высокая степень анонимности - реальная анонимность - подразумевает анонимность участника СЭП от всех без исключения остальных участников, даже если они кооперируются для получения информации о нем.
Это похоже на анонимность, которую дают реальные деньги их обладателю.Более низкая степень анонимности - только односторонняя ано-нимность, т. е. анонимность одного участника двустороннего прото-кола по отношению к другому участнику. В платеже это, к примеру, означает, что он является анонимным только либо от получателя, либо от банков (если они не кооперируются).
Наконец, &-из-я-сторонняя анонимность подразумевает, что в системе есть несколько центральных сторон, причем, если k из них скооперируются (образуют коалицию), они могут идентифицировать анонимного участника. Это свойство анонимности в некотором роде подобно свойству конфиденциальности разделенного секрета, дос-тигаемого в схемах разделения секрета.
Между сколькими лицами скрывается анонимный участник системы? Очевидно, чем больше группа участников, среди которых скрывается анонимный участник, тем лучше. Если множество лиц, которые потенциально могли бы выполнить то же самое действие, становится слишком малой, возрастает риск реидентификации. Тогда увеличивается и риск применения санкций ко всей группе уча-стников СЭП за какое-либо действие, проведенное одним «подозреваемым» из этой группы. Идеальным вариантом была бы аноним-ность среди всех клиентов СЭП либо среди всех клиентов банка. Однако в реальных СЭП анонимность чаще всего можно достичь только среди всех участников СЭП, снявших со счета монеты одного номинала либо выполнивших платежи в определенный промежу-ток времени.