Как распознать аннулированные сертификаты
DigiCash подсчитывает микроплатежи
Internet - двигатель торговли, но не обычной, а электронной. Уже сейчас можно отыскать в Сети электронные магазины, заказать или купить в них определенные товары или просто ознакомиться с содержимым электронных полок. Однако электронная торговля, сулящая так много прибылей, сейчас развивается недостаточно активно, и причин этому несколько. Банкиры не проявляют инициативы, потому что нет привлекательного для них оборота. Оборота нет, потому что не разработаны достаточно надежные и дешевые решения. Решений нет, поскольку нет инвестиций в электронную торговлю. Получается замкнутый круг, который можно разорвать только сообща - электронным торговцам (сейчас это провайдеры Internet), представителям банков и производителям программного и аппаратного обеспечения. Легче всего это сделать на "нейтральной почве" какой-нибудь общественной организации, например Регионального общественного центра Интернет-технологий (РОЦИТ). Эта организация весной следующего года проводит очередной Российский Интернет-Форум - РИФ-98. На форуме будут затронуты проблемы электронной коммерции, и, может быть, именно там удастся решить основные проблемы этой области бизнеса.
Пластиковый кредит
Вероятно, скоро нам придется освоить еще один способ покупки товаров - по Internet, осуществляемый с помощью электронных платежей. Под платежом через Internet подразумевается розничная операция, в которой клиент банка - держатель некоторого платежного средства - переводит на счет электронного торговца определенную сумму денег, причем платежное поручение об этом переводе пересылается через Сеть. Сейчас наиболее широко используемым средством платежей является кредитная карточка, хотя это чрезвычайно опасное платежное средство.
Карточками уже давно пользуются для оплаты услуг и товаров в Internet. Для этого обычно необходимо указать номер карточки, срок действия платежа и его сумму. Эти величины являются минимально необходимыми для определения платежеспособности покупателя и последующего совершения операции. Рассмотрим теперь, как, собственно, выполняется электронная операция. Предположим, держатель карточки производит покупку в некотором электронном магазине. По осуществлении операции информация о ней передается электронным магазином в обслуживающий его банк - банк-"эквайер", который принимает операцию от продавца и представляет ее в платежную систему. Через платежную систему операция доходит до банка-"эмитента", который выдал карточку покупателю. Банк-эмитент переводит средства с счета клиента на корсчет банка-эквайера, который, получив необходимую сумму, переводит ее (за вычетом своей комиссии) на счет электронного магазина. Когда же продавец получает от своего банка подтверждение, что деньги на его счет переведены, он передает покупателю свой товар, и сделка считается завершенной.
Одной из первых российский Internet-магазин разработала компания Sovam Teleport, которая продает по Сети свои информационные ресурсы, причем плата взимается ежемесячно. В этом случае реализуется "чистая" схема оплаты через Internet, когда продавец и покупатель вообще не встречаются физически и соответственно не могут оформить никакого бумажного документа, подтверждающего сделку. Такая система работает уже с февраля этого года. В настоящее время среднемесячный оборот этого магазина в несколько раз превышает оборот любого торговца, работающего с Bank of America.
У такого способа платежей много недостатков. Наиболее очевидный из них состоит в том, что информация об операции передается в открытом виде и может быть перехвачена или искажена. Защитить передачу информации от покупателя к электронному торговцу можно, например, с помощью протокола SSL, когда вводимая покупателем информация шифруется. Но даже в этом случае информацию расшифровывает торговец, а ведь он может также оказаться фальшивым и собрать, например, действительные номера карточек, чтобы потом пользоваться ими. Поэтому крупные финансовые компании, такие как Visa и MasterCard, не рекомендуют своим клиентам применять карточки для оплаты в Internet.
Есть и другой, с точки зрения банков более существенный недостаток. Дело в том, что любая операция с карточкой может быть опротестована по определению. Держатель карточки периодически получает выписку по кард-счету и видит там перечень операций с указанием даты, суммы и места совершения операции. Поэтому, если клиент обнаружит операцию, которую он не совершал, то может заявить об этом в банк и опротестовать ее, при этом не важно, как она была совершена - через банкомат, в обыкновенном или электронном магазине. При опротестовании банк-эмитент обращается к банку-эквайеру с просьбой показать первичный документ, который фиксировал операцию. Это либо так называемый слип - счет-извещение, на котором стоит отпечаток карточки, либо электронный образ операции, если она совершалась через банкомат. Когда этот документ приходит в банк-эмитент, то он может отказаться возвращать деньги клиенту и отклонить заявление об опротестовании.
Если же операция совершалась без первичного документа, например, если она относилась к категории операций, которые осуществляются при заказе по почте или телефону, то она опротестовывается однозначно. Банк-эмитент выставляет опротестование, и эти средства автоматически снимаются у банка-эквайера и попадают на счет банка-эмитента. Поэтому банк-эквайер позаботится об изъятии вышеупомянутых средств у электронного магазина, для чего он может, например, потребовать определенный залог или просто увеличить ставку комиссии за повышенный риск.
Возможность опротестования без первичного документа означает большой риск для всех - для торговца (он оказал услугу, а ему за нее не заплатили), для банка-эквайера (проводил операции, потратил средства на их обслуживание, а потом пришлось деньги вернуть, да еще заботиться об изъятии их у своего клиента-магазина). У банка-эмитента также возникает много забот из-за опротестования операции. Поэтому крупные платежные системы, такие как Visa и MasterCard, относятся к платежам через Internet с большой опаской, но вынуждены их терпеть, поскольку это часть их бизнеса. Впрочем, в случае покупок через Internet речь идет о небольших, хотя и взимаемых регулярно суммах.
Следует заметить, что электронный торговец обычно беднее простого магазина или гостиницы, поэтому если в обычный магазин обращаются банки и предлагают свои услуги, то в случае с электронной коммерцией все происходит наоборот: в банк приходит потенциальный электронный торговец и заявляет о своем желании совершать операции. Когда же он узнает условия их совершения, например повышенный процент комиссии (около 7%), определенная сумма в залог или другие, то чаще всего так и уходит ни с чем.
Однако коммерция в Сети все-таки появляется. Александр Хельвас, технический директор компании Formoza Soft, подтвердил это следующими словами: "Если в сентябре я с достаточно высокой трибуны говорил, что в Internet, по-видимому, коммерции нет и все проекты носят чисто умозрительный характер - реклама, демонстрация технологических возможностей, проверка своих возможностей и подготовка клиентов к работе через Internet, то уже сейчас с удивлением обнаруживаю, что небольшой бизнес все-таки есть".
Для примера рассмотрим Internet-магазин компании Formoza. В нем реализованы три способа оплаты товара: за наличные (резервирование товара на один день), по безналичному расчету (резервирование на неделю) и по кредитной карточке. В последнем случае и используется механизм оплаты товара через Internet. Выполняется она по следующей схеме. Покупатель, оформляя покупку, передает магазину номер своей кредитной карточки (сейчас система поддерживает карточки Visa, MasterCard и "Мост"). Сервер приложений продавца через процессинговую компанию "Мультикарта" резервирует деньги со счета покупателя, но не снимает их. Когда же товар доставлен клиенту, последний ставит свою подпись на документе, и после этого деньги переводятся на счет магазина. Подобную сделку нельзя рассматривать как "чистую" электронную коммерцию, но такая схема решает проблему первичного документа, что существенно уменьшает риск операции. Впервые Internet-магазин компании Formoza был показан на выставке Комтек '97 в апреле этого года.
Собственно, ситуацию изменит только технология, позволяющая при операциях через Internet создавать первичный электронный документ, который принимался бы как доказательство в арбитражных судах. Такой технологией может стать электронная подпись.
История с криптографией
В общем случае оплата через Internet - это платежное поручение банку покупателя заплатить продавцу электронного магазина за товар или услугу. Причем банк должен быть уверен, что, получив платежное поручение и выполнив его, он не попадет в описанную выше ситуацию, при которой клиент сможет опротестовать выполненные операции. Причем если конфликт все-таки возникнет, то его можно будет разрешить через суд. Чтобы сделать такое поручение законным, его необходимо авторизовать, то есть надежно связать текст поручения с именем автора. В процедуру авторизации входит также сохранение целостности документа, то есть его неизменности.
Для авторизации обычно используют электронную подпись, свойства которой таковы, что если недоброжелатель захочет изменить документ, то он не сможет подобрать соответствующую ему электронную подпись. Таким образом, с помощью этой технологии можно доказать неизменность документа и установить его автора, а именно это и нужно банкам, чтобы однозначно зафиксировать факт сделки между продавцом и покупателем. Причем электронную подпись можно использовать при работе не только с пластиковыми карточками, но и с электронными деньгами. В общем же, без электронной подписи не может быть и электронной коммерции.
Основу электронной подписи составляет специальный несимметричный алгоритм шифрования, при котором документ шифруется одним ключом, а расшифровывается другим (потому-то он и назван несимметричным). Один ключ называется секретным, а второй открытым. Причем из секретного ключа можно легко вычислить открытый, но не наоборот - из открытого секретный вычислить почти невозможно. Такие свойства ключей позволяют сделать открытый ключ общедоступным, не раскрыв при этом тайны секретного ключа. Если же сообщение шифруется секретным ключом покупателя, то продавец и оба банка - эквайер и эмитент - могут прочитать его, причем будут уверены, что его составил именно покупатель.
Использование криптографии при составлении электронной подписи и является основной проблемой при разработке программного обеспечения для платежей через Сеть. В России, например, разработка, продажа и использование криптографического программного обеспечения ограничена специальным указом президента. Из Америки запрещен вывоз криптографических средств с достаточно большой длиной ключа. Правда, это ограничение не относится к электронной подписи, хотя в ней как элемент используется алгоритм шифрования. Американское правительство придерживается следующей позиции: если криптосистема реализована как средство для электронной подписи документов, то такой продукт вывозить можно, но если предлагается отдельно программное обеспечение для шифрования, то на него необходимо получить соответствующую лицензию.
История криптографического программного обеспечения началась в конце 70-х, когда были разработаны первые стандарты, такие как RSA и DES. Но уже в середине 80-х появились алгоритмические технологии шифрования, которые позволили максимально эффективно использовать возможности аппаратуры и программного обеспечения для шифрования. С их помощью можно либо, зафиксировав длину ключа, добиться максимальной стойкости алгоритма, либо при уменьшении ключа достичь заданной стойкости алгоритма. "Конечно, с Pentium и тем более с Pentium II проблемы эффективности стали не так актуальны, - говорит Анатолий Лебедев, президент компании "ЛАН Крипто", - но если в оборудовании используется не столь мощный процессор, а какой-либо контроллер, который стоит, например, в банкоматах, периферийных устройствах, телефонах и даже в интеллектуальных пластиковых карточках, то для него вопросы эффективности алгоритма до сих пор существенны".
Однако крупные американские платежные системы, такие как Visa и MasterCard, используют более старый и менее эффективный алгоритм RSA, который был разработан еще в 1977 году. Всем же остальным платежным системам приходится для совместимости также применять RSA. Однако этот стандарт, будучи самым старым, по эффективности уже уступает альтернативным решениям. Таким образом, есть несколько различных стандартов шифрования, на основе которых могут быть разработаны технологии электронной подписи. Конструкторы платежных систем, в том числе и ориентированных на Internet, могут сейчас выбирать среди целого ряда стандартов: RSA двадцатилетней давности; современные национальные стандарты - американский и российский; - либо использовать более совершенные, но нестандартные технологии шифрования типа алгоритмов Шнора.
По словам Анатолия Лебедева, "сейчас пытаются создать пачку стандартов, над которой работают по крайней мере пять разных групп. Видимо, пока процесс пойдет таким образом, что будет несколько линий стандартов, которые со временем сольются в одну. К сожалению, наш государственный стандарт, кроме как у нас, больше нигде не применяется. К тому же он просто технически неудачен. Более того, крупные корпорации и банки через системы Visa и MasterCard получают другие стандарты криптосредств. Если мы активно не повлияем на этот процесс, то можем просто оказаться на обочине дороги".
Другой, не менее важный вопрос: может ли выступать электронная подпись в качестве доказательства в суде. Необходим закон, гарантирующий, что если пользователь получил документ, подписанный по соответствующей технологии, а потом возник спор и пользователь пошел в суд, судья или арбитр признают его как доказательство. Впрочем, еще в Советском Союзе была возможность использовать в суде электронную подпись, так как она входила в открытый список факторов, могущих выступать в качестве доказательства.
Еще в 1993 году группа юристов, приглашенных Межбанковским финансовым домом во главе с профессором Шестобитовым, разработала алгоритм, по которому можно разрешать споры, где в качестве доказательства используется электронная подпись. Они составили проект договора между сторонами в электронном виде и скрепили его цифровыми подписями, затем обратились в арбитраж, который по электронному договору с подписями решил дело положительно (Арбитражный суд города Москвы, дело #40413 от 28.07.93). Несмотря на то что бумажного документа не было, а договор существовал только в электронном виде, он считался законным. Это был прецедент.
Та же группа юристов была приглашена писать соответствующие разделы нового гражданского кодекса и закона об информатизации. В результате Россия стала первой страной в мире, где признан электронный документооборот. То есть если пользователи договорились работать по соглашению в электронном виде и подписали об этом нотариально заверенный контракт, а дальше работали годами и только в электронном виде, то это будет абсолютно законно. Следующим стал американский штат Юта, где был принят соответствующий закон в августе 1995 года, примерно на восемь месяцев позднее, чем в России.
Следует отметить, что при подключении к Internet достаточно трудно сохранить электронные ключи в секрете. Поэтому логично при работе с секретными ключами пользоваться простым правилом - зашифровку документов и платежных поручений производить без подключения к Сети, а затем пересылать уже зашифрованные поручения, хорошо спрятав при этом секретный ключ, например поместив его на специальную дискету. У некоторых компаний есть правило - подключился к Internet, отключись от локальной сети. Если же на документе стоит электронная подпись и ключ хорошо спрятан, то такой документ имеет юридическую силу.
Подпись как панацея
Впрочем, сама электронная подпись - это только инструмент для построения более сложной платежной системы, которая позволила бы заверять электронный документ. Три года назад Visa, MasterCard и другие крупные финансовые компании начали работу по принятию протокола, который бы позволил существенно снизить риск операций через Internet. Сначала она велась самостоятельно различными платежными системами, у каждой из которых был свой протокол. Затем Visa и MasterCard договорились об общем протоколе и объединились. В результате получился протокол SET (Secure Electronic Transaction). С помощью ведущих производителей решений для Internet, таких как IBM, VeryFone, RSA, VerySign и других, Visa и MasterCard создали сначала некую промежуточную версию протокола SET, которая работала со второй половины предыдущего года.
SET хорош тем, что выводит операцию, которая полностью удовлетворяет протоколу, из класса обслуживания по телефону. То есть при совершении покупки по протоколу SET держатель карточки может опротестовать сделку, но он не вернет деньги так, как это произошло бы в случае обычной покупки через Internet. Технология SET предполагает наличие двух сред - Internet, по которой общается покупатель с продавцом электронного магазина, и среды платежной системы, по которой общаются банки "эквайер" и "эмитент". В операции участвует сертификат покупателя и сертификат торговца. А поскольку вся информация шифруется, то торговец не будет знать номера карточки покупателя. Операция в шифрованном виде доходит до банка эквайера, где она полностью дешифруется и направляется в платежную систему. Эмитент дает (или не дает) подтверждение на операцию, эквайер шифрует это сообщение в соответствии с протоколом SET и отправляет его торговцу.
После принятия этого протокола в правила Visa был добавлен еще один тип операции - электронная коммерческая операция, которая при наличии сертификата владельца карточки и сертификата торговца уже не принадлежит к классу обслуживания по телефону или почте. Это означает, что она имеет обычный уровень риска, и поэтому банк при выполнении таких операций берет обычную комиссию у торговца, как если бы он работал через пост-терминал.
Однако в розничных операциях через Сеть оплачиваются, как правило, небольшие суммы, а пластиковые карточки для микроплатежей (платежей на сумму меньше доллара) неэффективны. Решения же на основе SET пока еще очень дороги. В России их предлагают только два производителя, и они настолько дороги, что не соответствуют не только доходам, но даже ожидаемому обороту. Кроме того, в SET применяется стандарт шифрования DES и RSA, что, естественно, не приветствуется ФАПСИ. Поэтому именно в России логично рассматривать альтернативные механизмы оплаты через Internet, а наиболее популярной альтернативой являются электронные деньги.
Наиболее перспективным способом передачи платежных поручений, возможно, является перевод средств в системе бизнес - бизнес. Использование общедоступных средств оплаты через Internet, как уже говорилось, связано с определенным риском. Если же все участники финансовой операции заранее известны, как это бывает в случае платежей между совместно работающими компаниями, то договориться об использовании того или иного платежного средства и протокола значительно проще. Поэтому, вероятно, развитие платежных систем через Internet должно начинаться с обслуживания крупных сделок между компаниями и банками в определенной межкорпоративной среде. Это поможет разорвать замкнутый круг, который упоминался в самом начале статьи.
Вот что говорит по этому поводу Сергей Петров, начальник департамента Морбанка: "Сейчас российским банкам достаточно сложно прийти в Internet для обеспечения розничных операций, так как отсутствует правовая база и стандарты на ведение банковской деятельности и на защиту информации. Гораздо более перспективным представляется направление бизнес - бизнес, то есть ведение деловых отношений между партнерами, которые уже имеют присутствие в Internet и пользуются электронными средствами обмена сообщениями".
Такой сценарий развития электронной коммерции возможен еще по одной причине - из-за неготовности массового пользователя к работе с Internet, а тем более к осуществлению платежей через нее. В Internet еще нет массового пользователя, а ведь именно на него рассчитаны розничные операции, как по кредитным карточкам, так и с помощью системы электронных денег. Обычный пользователь просто не знает, как пользоваться Internet и что с его помощью можно сделать. "Реальная ситуация такова, - говорит Анатолий Ясинсткий, директор "Компьютерного дома на Руставели" компании Formoza, - мы продаем компьютеры, в который встроен факс-модем с бесплатными часами работы в Internet. Когда же мы собираем статистику за полгода (обзваниваем клиентов и спрашиваем: "Ну, как вам Internet?"), то половина клиентов только после нашего звонка понимают, что у них в компьютере стоит тот самый факс-модем".
Пластиковые деньги
До сих пор речь шла о платежах с помощью кредитных карточек, но что делать тем, кто по каким-либо причинам не желает заводить пластиковую карточку, а покупать товары в Сети все-таки хочет. Именно для этого случая и разрабатываются так называемые электронные деньги, использовать которые смогут даже те, кто не имеет счета в банке. Причем этому обещанию легче было бы поверить, если воспользоваться таким электронным кошельком можно было бы даже дома, установив в домашний компьютер небольшое устройство, похожее на дисковод.
Электронные деньги строятся на основе все той же электронной подписи. Естественно, переводом денег из бумажной формы в электронную должен заниматься банк, который действует, например, по следующей схеме. Банк получает от клиента деньги, выписывает расписку в том, что он получил определенное количество денег, и заверяет эту расписку своей электронной подписью. Таким образом, расписка превращается в купюру, которая будет во всем аналогична бумажной, за исключением того, что она хранится в электронном виде на каком-либо носителе.
Электронные деньги аналогичны наличным деньгам, то есть это платежное средство, которое обладает следующими свойствами.
При совершении операции продавец может проверить его платежеспособность, причем для этого ему не нужно связываться с банком, выдавшим электронную купюру.
Операции с электронной наличностью совершаются анонимно.
Например, когда покупатель приходит в обычный магазин и дает продавцу купюру, то продавцу для проверки ее платежеспособности не нужно запрашивать центральный банк. Да и на самой купюре нет никаких сведений о покупателе. Реализовать такие свойства можно, например, с помощью смарт-карточек. Уже сейчас появляются устройства для чтения смарт-карт, которые вставляются наподобие дискет в обыкновенный дисковод. Однако использование дополнительного оборудования для платежей через Сеть - не самое оптимальное решение проблемы. Вполне достаточно электронных сертификатов в виде последовательности байтов, которые могут храниться как на дискете, так и внутри программы-кошелька или просто в защищенном месте компьютера.
Основной вопрос, связанный с электронными деньгами, - как исключить возможность копирования электронной купюры и изготовления "фальшивых денег". Видимо, для этого все-таки потребуется связь с банком, который изготовил электронную купюру, чтобы проверить, была ли она использована ранее. Однако необходимость прямой связи с банком существенно ограничивает распространение электронной валюты, так как не всякий магазин, а тем более пользователь может позволить себе прямое подключение к Сети. Собственно, поэтому разработчики программного обеспечения для обслуживания электронных денег и стремятся свести к минимуму обмен информацией между банком, выдавшим электронную купюру, и продавцом, который эту купюру получает.
На сегодняшний день невозможно без связи с банком в реальном времени подтвердить платежеспособность электронных денег, которые не связаны с какими-либо дополнительными устройствами типа карточек. Чтобы проверить, не использовалась ли ранее данная купюра, продавцу приходится подключаться к специальному центру и запрашивать у него всю необходимую информацию. А это означает, что для надежности всех этапов электронной операции необходимо запрашивать много различной проверочной информации. А ведь такие операции и их поддержка стоят определенных денег, поэтому оказывается, что работа с электронной наличностью не столь дешева, как это предполагалось изначально. Впрочем, есть вариант платежной системы, где кроме продавцов и покупателей фигурирует еще одно дополнительное звено - брокеры, которые имеют относительно постоянную клиентуру среди торговцев и среди покупателей. В такой системе некоторые платежные операции с небольшими суммами могут авторизоваться без прямого подключения к банку. В общем случае всегда можно найти некий компромисс между безопасностью и эффективностью платежного средства.
Кроме того, клиенты банков, у которых уже есть кредитные карточки, скорее всего, не захотят использовать электронные деньги. Ведь с карточкой всегда связан единый счет в банке, на котором хранятся средства держателя карточки. Если же появится возможность покупать через Internet с помощью другого платежного средства, например электронных денег, то клиенту придется часть своих средств с карточного счета перевести в электронные деньги. Это не всегда удобно, так как держатель карточки будет вынужден отдельно приобретать другие платежные средства, хотя у многих людей, в том числе и в России, средства тем или иным образом автоматически попадают на карточный счет. Например, некоторым служащим зарплата выдается через карточки. Карточка аккумулирует средства на одном счету, она широко распространена, везде принимается, и ее владельцы, вероятно, не захотят отказываться от такого платежного средства.
Хотя Банк России очень консервативен, в его недрах уже создается группа по электронным деньгам, в которую будут входить представители коммерческих банков. Есть и другие инициативы, которые, например, выдвигал заместитель председателя главного управления Центрального банка по Москве, возглавивший рабочую группу по новым платежным инструментам. Эта группа около года назад рассматривала идею по разработке национальной системы платежных карточек. К сожалению, она не реализована до сих пор.
Технологически нет никаких сложностей с реализацией системы электронных денег - есть другие проблемы. Например проблема налоговая, так как в случае внедрения пластиковых денег, через Internet можно будет переводить огромные суммы, которые не будут контролироваться государством. Скажем, покупатель из России хочет приобрести товар в электронном магазине в Америке. Он переводит деньги получает товар (к примеру, оцифрованный видеофильм). Продавец получил прибыль, однако абсолютно непонятно, по какому закону и кто должен платить налоги, если сервер, на котором происходит сделка, находится, например, в Антарктиде. Вот что говорит об этой проблеме Анатолий Лебедев: "Возможность анонимной оплаты через Internet - это проблема не технологическая, а политическая, так как первыми, кто захочет переводить миллионы долларов через Сеть, будут торговцы наркотиками и оружием".
Главное - договориться
Сейчас в мире разрабатывается порядка 10-20 работающих технологий для оплаты через Internet. Аналогичные процессы происходят и в России. Но разработать инструмент мало, нужно, чтобы его поддержала какая-либо авторитетная организация, которая могла бы обеспечить их внедрение, включая и арбитраж, привлечение авторитетов, таких как ФАПСИ, РОЦИТ, АРБ. Если этого не сделать, то реализовать проекты не удастся. Если бизнес будет ограничен тысячами долларов, то никакие вложения не оправдаются, а ведь вложения в реализацию подобных проектов должны быть немалые. Если не привлечь участников, которые служат авторитетом как для банков, так и для крупнейших Internet-торговцев, то вряд ли стоит рассчитывать на успех. Одной из таких влиятельных организаций является РОЦИТ.
"РОЦИТ - это организация, которая смогла стать неким авторитетом, - говорит Валерий Торхов, эксперт АРБ. - Вообще же компьютерный мир отличается неким радикализмом, что особенно заметно в открытых сетях. Ведь есть, например, ФАПСИ или какие-либо провайдеры, которые делают бизнес в Internet, а РОЦИТ - это центр, который может объединить. Объединить прежде всего провайдеров и электронных торговцев. В отличие от других платежей в платежах по Internet более заинтересованы продавцы, сейчас это Internet-провайдеры, потом может появиться кто-либо другой. Я надеюсь, что к РИФ-98 сформируется решение, которое будет представлять совместное мнение РОЦИТ и АРБ, и продвигать принятые к тому моменту концепции. На РИФ можно будет относительно легко предложить эти концепции и договориться с ведущими банками, действующими на рынке розничных операций с частными лицами. На Форуме будет больше участников, которые делают бизнес в Internet, и тех, кто заинтересован в том, чтобы решения появились. Но, с другой стороны, и финансовые структуры, уважая запросы клиентов, смогут принять пусть не очень выгодный для себя, но перспективный в будущем инструмент".
Такое же мнение выражает и Анатолий Лебедев: "В отличие от формальных мероприятий - в Госдуме, Совете безопасности и так далее - на этом Форуме разговоры с государственными чиновниками могут носить гораздо более содержательный характер, так как госаппаратчики не смогут так давить на слушателей, как на государственных собраниях. На общественных форумах есть другой диктат - не нашего государства и не Клинтона - там есть диктат Билла Гейтса, у которого огромные деньги и глобальные идеи.
Главный вопрос, на который нужно ответить на Форуме, - что для общества полезней: жесткое регулирование государства по защите информации или, наоборот, свободное".
Таковы основные проблемы, связанные с электронной коммерцией, и возможные пути их решения. К сожалению, мне не удалось поговорить с представителями крупных банков, хотя их мнение может оказаться достаточно интересным, что еще раз подтверждает отсутствие должной заинтересованности банков в электронной коммерции. Будем надеяться, что представители крупных финансовых структур согласятся участвовать во втором Российском Интернет-Форуме, - милости просим.
Дополнительную информацию о РИФ-98 можно найти на сервере РОЦИТ по адресу http://www.rocit.org.
Как распознать аннулированные сертификаты
ValiCert, молодая компания, специализиpующаяся на создании инструментов шифрования, утверждает, что ей удалось найти решение замысловатой проблемы, связанной с контролем цифровых сертификатов. ValiCert может помочь компаниям, осуществляющим электронную торговлю, распознавать недействительные сертификаты.
Те, кто выпускает цифровые сертификаты, равно как и те, кто пользуется ими, должны, как и в случае с обыкновенными кредитными карточками, гарантировать, что эти сертификаты (используемые для подтверждения платежей или санкционирования транзакций) действительны. Если сертификат утерян, например в результате кражи компьютера, или аннулирован, так как его обладатель не заплатил по счетам, организация, выпускающая сертификаты, должна так или иначе уведомить об этом компании, осуществляющие электронную торговлю. Формирующаяся в настоящее время структура электронной торговли основана на так называемых перечнях аннулированных сертификатов (certificate revocation lists, CRL). Эти файлы очень похожи на списки недействительных кредитных карточек, которые используются в обычной торговле.
Однако основатели ValiCert утверждают, что с ростом популярности электронной торговли и с увеличением числа цифровых сертификатов, которые растут как грибы после дождя, перечни СRL будут "разбухать", что затруднит быструю обработку транзакций в режиме реального времени.
ValiCert сумела решить эту проблему, собрав воедино перечни различных организаций, выпускающих сертификаты, и создав "деревья" аннулированных сертификатов при помощи специального математического алгоритма. Снабдив каждый сертификат перечня ярлыком с различными уровнями соответствующей информации о нем, можно усовершенствовать процесс поиска нужных данных, так как отпадает необходимость исследования всего объема информации. Сертификат указывает место данных в структуре. Для обеспечения целостности данных при поддержке деревьев будет использоваться кэширование, что позволит создать небольшие зашифрованные версии таких данных.
В состав консультативного совета ValiCert входит эксперт по шифрованию Мартин Хеллман - один из авторов технологии шифрования открытым ключом Диффи-Хеллмана. Он рассказал, что новая технология поможет устранить самое серьезное препятствие, которое грозит замедлить проверку сертификатов.
Однако для того чтобы технология ValiCert заработала, необходимо многое. Она должна быть встроена в самые разнообразные приложения для электронной торговли, ее должны одобрить все крупнейшие организации, контролирующие выпуск сертификатов, и, наконец, компании, осуществляющие электронную торговлю, должны избрать для проверки сертификатов именно ее.
О поддержке концепции ValiCert заявили несколько крупнейших участников рынка электронной торговли, в числе которых Entrust Technologies и GTE CyberTrust. Однако еще предстоит выяснить, насколько действенна эта концепция. Хотелось бы знать, будет ли для разработки реальных приложений поддержки этой концепции использоваться инструментальный набор ValiCert.
Для некоммерческого использования и тестирования инструментальный набор ValiCert можно бесплатно загрузить с Web-узла компании. Годовая стоимость лицензий на разработку приложений - 995 долл. Сервер ValiCert будет лицензироваться организациям, выпускающим сертификаты.
Есть мнение, что расцвет использования цифровых сертификатов начнется не раньше конца 1998 года. Старт ValiCert получился многообещающим. Теперь компании необходимо подождать реакции рынка и определить, станет ли ее технология столь же популярной, как сами сертификаты.
@Computerworld
DigiCash подсчитывает микроплатежи
В мире информационных технологий, где стоимость сделок оценивается миллиардами долларов, вряд ли можно представить себе фирму, преуспевающую на продажах товара по цене менее доллара. Однако в датской компании DigiCash BV посчитали, что у таких "микроплатежей" и таких технологий - большое будущее.
Как утверждает Роберт Зипплис, менеджер по деловому развитию DigiCash, пользователи готовы платить по Internet небольшие суммы (микроплатежом считается любая сумма ниже 10 долл.) за различные товары и услуги, например предоставление метеорологических сводок, продажу коллекционных марок, отдельных газетных статей, сборников рецептов или полезных советов.
Однако трудно сказать, в каком направлении будет развиваться этот вид бизнеса, поскольку сейчас по Internet в основном продают компьютерное оборудование и ПО. "Ассортимент продуктов и контингент потенциальных пользователей пока нестабилен", - отметил Зиплис.
Система, разработанная DigiCash, используется в первом в Германии экспериментальном проекте электронной коммерции, осуществляемом Deutsche Bank AG.
1500 клиентов банка, участвующих в эксперименте, установили ПО компании DigiCash на свои домашние машины, получив возможность создавать с его помощью электронные "монеты". Когда клиент "отправляется за покупками", приложение DigiCash связывается с банковским сервером, чтобы узнать, не превышает ли количество "созданных" электронных монет реальную сумму на счету.
Приобретение товара у одного из 35 участвующих в тестировании продавцов (среди которых, к примеру, служба продажи по почте Online Versandhaus) осуществляется с помощью щелчка мышью. После получения подтверждения о платежеспособности продавцу переводятся деньги, а он отправляет покупателю товар.
Клиенты банка могут приобрести много различных товаров и услуг, в том числе и таких, которые предусматривают микроплатежи. Эксперимент Deutsche Bank будет длиться до января.
Для защиты покупателя и продавца используется алгоритм шифрования с закрытым ключом. Кроме того, ПО позволяет покупателю не называть своего имени; нельзя идентифицировать клиента и по монетам.
Есть и другие меры предосторожности, скажем, исключающие повторное использование монет и обеспечивающие возможность их восстановления в случае сбоя жесткого диска.
Технология DigiCash используется и в других схожих проектах, осуществляемых в США, Голландии, Австралии, Австрии, Норвегии и Японии.
Участники эксперимента Deutsche Bank могут рассчитываться только немецкими марками, но со временем ПО обеспечит возможность работы с любой валютой, как это сделано в PSIWeb WorldPay и других системах электронной оплаты.
Зиплис не отрицает, что электронные деньги, электронные кошельки и смарт-карты еще не скоро станут популярными способами "виртуальной" оплаты, но аналитики высоко оценили потенциал технологии.
Проведенное недавно для MasterCard исследование показало, что 88% покупок по Internet совершаются по кредитным картам, 11% - по чекам, а 1% - путем оплаты по факту. В ходе исследования людям, интенсивно использующим Internet, задали вопрос, какой метод оплаты они предпочитают. 10% назвали электронные деньги, 44% - кредитные карты.
Служба новостей IDG, Мюнхен