TJTC75 / ITK236 Turvallisen liiketoimen kriteerit Luottamuksellisuus Eheys Kiistämättömyys Autenttisuus Auktorisoitu Tunnistaminen Maksaminen B-to-c B-to-b Rikollisuus Petokset Sensuuri 1 Why identification? Authentication ID for public services for continuous relationship Non-repudiation signed document digital signature Security tamper proof documents encryption fingerprints watermarking 2
Authority Authorization from the owner of the rights can commit business transactions has the right to access public services committing own actions age, trusted person on behalf of other individuals on behalf of an organisation association company public service 3 On the Internet, nobody knows you re a dog Identification for authorization is who claims to be, and can do what is about to do individuals Digital signatures Electronic ID s organizations Certificates Visual image Self-sertification vs. Certification Authority From PGP to VeriSign to HST Salaisista ja julkisista avaimista lue kirjoista! 4
Käyttäjän tunnistaminen ja todennus Arat kohteet vaativat useaa tunnistamistapaa Perusongelma verkossa: tunnistaminen ontuu Avain tai henkilökortti» Elektroninen allekirjoitus Etäyhteyspisteen tunnus»esim. takaisinsoittolaite Tunnus- ja salasana Sormenjälki, verkkokalvo, yms GSM verkon imago turvallinen Suojaus- ja salaustekniikoiden vientiä valvotaan Wassenaarin sopimuksella www.wassenaar.org 5 Electronic IDs A certificate authority is responsible of proofing and guaranteeing the person is who she claims to be she has only one valid electronic ID from that register Additional services encryption and decryption embedded, additional functionality Standards PKI (ISO/IEC) Criticized X.509 (for secure database access, not EC; e.g. the use of blacklists is obsolete) Alternatives from PGP; SET; IBM Network Security Program, MIT Kerberos Blacklist should be replaced with, e.g., LDAP (ks. myöhemmin EMV) 6
Electronic ID - private sector Service providers Certificate authorities (e.g. Certall Finland Oy, or VRK-FINSIGN Gov. CA) Teleoperators? IT vendors? Producers id2 Technologies (Sonera Smarttrust v 2001) Baltimore Entrust CyberTrust 7 Electronic public ID - HST (VRK, 1998) Sopimukseen perustuva yhteistyö ja mahdollinen ristiinvarmennus Varmenneviranomaiset (VV) VRK Varmennepolitiikka Mahdolliset muut kotimaiset VV:t EU- ja muut kansainväliset VV:t Varmentajat (VA) VRK Operatiivinen vastuu Mahdolliset muut kotimaiset VA:t Mahdollisilla muilla varmentajilla on omat kortit, varmennepalvelut ja korttien myöntämisestä vastaavat rekisteröijät. Toiminta perustuu kuitenkin yhteisen varmennuspolitiikan noudattamiselle. Rekisteröijät (RE) HST-kortin rekisteröijät Kihlakunnat, maistraatit ja poliisin paikallisyksiköt Yhteispalvelupisteet KELA:n paikallistoimistot Mahdolliset muut kortit ja niiden rekisteröijät Kortin myöntäjä toimii rekisteröijänä myös HST-varmenteen osalta Mahdolliset muut kortit HST-varmenteella Henkilöllisyystodistus Kaupunkikortit Sosiaali- ja terveydenhuollon asiakaskortti Postin asiakaskortti Pankkien luotto-, pankki-, automaatti- ja rahakortit Kauppojen kanta-asiakaskortit Muut sähköisen asioinnin ja maksamisen kortit 8
The roles in PKI (Tedis II project FAST; ETS II INFOSEC-project) Registration and revocation Local Registration Authority (LRA, checks identity) Certification Authority (CA, grants cards) Directory (of valid keys/certificates) Directory Service Agent (DSA, on-line registers and DAP) Certificate Revocation List (CRL, blacklists) Service Providers Trusted Third Parties Support services: registration, certification, service messaging of keys Independent services: Independent time stamping of docs and sigs; archiving documents, ownership, etc; recording and maintaining legal attributes of entities; issuing electronic cash End-Users legal and personal entities - two keys (signing/encryption) 9 Certificate authority LY-tunnus (company ID) = oikeustoimihenkilön tunnus Duns-Bradstreet (company ID) = oikeustoimihenkilön ja toimipaikkojen tunnukset (Duns-Bradstreet + 4) Verisign (www.verisign.com) ID for Browser Email Server Software Channel EDI by e-mail for hundreds of USD attaches ID to a specific equipment of a specific real organization 10
VRK:n varmennettu serveri 11 Varmenteiden kehittyminen taataan ristiinvarmennuksella Laki digitaalisista allekirjoituksista sähköinen tunnistaminen, aineiston salaaminen ja digitaalinen allekirjoitus tietoverkoissa ristiinvarmennuksen turvaaminen eri maiden varmenneviranomaisten välillä.» Ristiinvarmennus on tarpeen ainakin kansainvälisissä EU:n sisäisissä ja ulkoisissa varmennussuhteissa, mutta se sopii myös mahdollisten rinnakkaisten kotimaisten varmenneviranomaisten väliseksi toimintamalliksi, (VRK, 1998). suomalaisesta mallista puuttuu ns. ylin varmenneviranomainen (key escrow, repository), joka on esitetty anglo-amerikkalaisena vaihtoehtona varmenneviranomaisten kansalliselle ja kansainväliselle yhteistyölle ja ristiinvarmennukselle. Puhelinverkossa ristiinvarmennusta vastannee tiedonvaihto operaattorien välisten Roaming-sopimusten perusteella. 12
What is needed? on HTTP client HST -card card reader (PCMCIA, serial, USB) card driver (CSP or PKCS depending on browser) application specific logic? on WWW-server: server HST-certificate user certificate validation module for requesting signature for checking signatrure validity (authenticator) for checking signature and encryption of the message for checking blacklist (DAP) 13 14
Maksu - järjestelmät Maksutapa Luotto Perinteinen maksuväline ja tapahtuman todentaminen Myyjän ylläpitämä Sähköinen maksuväline Kauppiaan tilivelkaluettelo; tilinomistajan tavaroita hallinta (numero ja + palveluita Plussa allekirjoitus Luottokortti; kortin haltijan Kanta-asiakaskortin allekirjoitus) Luottokortin numero + allekirjoitus veloitustositteeseen digitaalinen Yleinen: mitä tahansa Tilisiirto Velkakirja (osamaksu/vekseli); velallisen allekirjoitus todistajin velkakirjassa Pankkisiirto; tilin käyttäjän allekirjoitus tilissiirtolomakkeeseen Shekki; tilin käyttäjän allekirjoitus shekkilomakkeeseen nimikirjoitus tai SETvarmenne Tunnusluku salasanalla ja yhteyskohtaiset, vaihtuvat tunnukset (ei käytössä Suomessa) Esimerkki sähköisestä maksuvälineestä S-etukortti, K- Luottokortit First Virtual Merita Solo, OP Kultaraha (ei käytössä Suomessa) Raha; maksuvälineen anonyymi Elektroninen kukkaro E-Cash Virallinen luovutus maksuväline Etenkin PostiennakkoPohjolassa ja Saksassa Esim. teleoperaattorin pitämä tilivelkaluettelo Rajoitettu määrä soitetuista ja eräkoko puheluista; Käteinen Muut teleoperaattorin järjestelmään kirjautunut puhelu, Mondex 15 Maksujärjestelmät I/II Elektroninen raha / kukkaro maksu anonyymisti rahalla, ei ID:llä joku takaa, että raha on aito ja käytetään vain kerran tarkistetaanko heti vai vasta rahoja pankkiin viedessä valuutta- ja hukkaamisriski Pankki Solo, Kultaraha tarvitaan tili, jolta lasku maksetaan Taustalla monimutkainen järjestelmä, esim. Suomessa PATU SWIFT 16
Elektroninen raha Esim. elektroninen käteinen - Digicash anonyymi maksaminen 1) Tilille talletetaan rahaa 2) Nostetaan elektroniseen kukkaroon rahaa 3) Tilataan tavara 4) Myyjä käy kukkarollasi 5) Raha merkitään käytetyksi 6) Tuote toimitetaan Kokeiluasteella (vieläkin) Salakirjoitussuojaus tarpeen Asiakas 1. Ecash-kukkaro 3. 2. Internet Digicash-pankki Ecash pankkitili 4. 5. 6. Myyjä 17 Elektroninen kaupankäynti tarvitsee elektronista rahaa Älykortit Rahoituslaitoksessa ladataan rahaa Maksaessa ladattua rahaa siirretään kortilta lukulaitteen kautta myyjälle Myyjä voi veloittaa pankkia Esim. pankkimaksu Solo 1) Asiakas tilaa myyjältä 2) Laskutustiedot asiakkaalle Solo 3) Asiakas maksaa käyttäen Soloa 4) Solo maksu hyväksytään ja kuitataan 5) Kuittaus myyjälle 4. 3. 5. Asiakas (oma laskutus) 1. 2. Myyjä 18
19 20
Maksujärjestelmät II/II Luottoyhtiö SET - identifiointi, salauksen, purkamisen ja kiistämättömyys (allekirjoitukset), auktorisoitu, myöntämällä luottokortin numero (luotettava avaintenhallinta) edellyttää myyjältä SET-ohjelmistoa, käyttäjältä varmennetta luottoyhtiöltä osa riskistä luottoyhtiöllä mm. reklamaatioissa kevennetty malli MIA (Merchant Initiated Authorization, VISAWallet) Verified by Visa: joko pankin tunnuksilla tai Visan ja käyttäjän yhteissalasanalla Muut GSM-veloitus Asiakastilit (kanta-asiakkuus) Laskutus Postiennakko 21 Cheque (American Curiosity: Check) E-check by Financial Services Tech. Consortium 1997 #checks 63G, growing processing cost $1, e-check $0.1 Benefits increased security, more info, simpler than EDI FSML, (Financial Services Markup Language) + bulk crypto hardware + FSTC infrastructure Recent Developments BIPS (Bank Internet Payment System) + EPP (Electronic Payment Protocol) UVX (Universal Value exchange): architecture and protocol 22
Elektronista luottoa/maksuaikaa Esim. luotto VISA/MC 0) Hankittava tunnukset 1) Asiakas tilaa myyjältä (klikkaa) 2) Kauppiaalta tiliveloituspyyntö (luottokorttinro ja veloitustiedot) pankille 3) Pankki tarkastaa luottoyhtiöltä tiedot 4) Luottoyhtiö tarkastaa asiakastiedot 5) Jos OK, auktrorisointi pankille ja kauppiaalle 6) Tapahtuma asiakkaan kannalta OK. 7) Myyjäpyytäävaroja. 4. 8) Varat myyjälle Luottokorttifirma Internet 1. 3. 8. 5. Pankki 8. 2. Myyjä 7. 7. VISA/MC -verkko Asiakas 6. 23 EMV = Europay, Mastercard, Visa reaaliaikainen varmennus 24
Vuonna 2005 kv. järjestelmä käynnissä 3. = Korttien ja julkisten avainten jakaminen 4. = Päätelaitteiden, tietoliikenteen ja sanomien std:t 25 Finvoicen toimintaympäristö (Pankkiyhdistys) - Ketkä vastaanottavat verkkolaskuja ja missä muodossa? - Osoitteet ja tunnukset VERKKOLASKUTTAJAT (YLEINEN HAKEMISTO) - Soveltamisohje - Tekninen kuvaus (dtd) - Laskun ulkoasu (xsl) MYYJÄ LAYOUT ja KUVAUS (XSL,DTD) (PANKKIYHDISTYS) OSTAJA MYYNTI- RESKONTRA- JA LASKUTUS- OHJELMISTO ASI PY- OHJ. Vastaanoton varmistus Laskun tiedot Lasku- tai laskurivikohtainen tiliöintiehdotus (perustililuettelo) Maksun tiedot (epi) ASI=Application Service Interface PY-OHJ.=Pankkiyhteysohjelma Finvoice suoraan maksajalle (HTTP(S), SMTP jne.) MYYJÄN PANKKI tai Finvoice Pankin/laskuoperaattorin kautta ostajalle OSTAJAN PANKKI Lähettäjän varmistus ASI PY- OHJ. OSTO- RESKONTRA- JA MAKSATUS- OHJELMISTO Tilausviite =>automaattinen tilauksen tarkistus Perustililuettelo =>automaattinen tiliöinti Maksun tiedot => automaattinen maksaminen 26
PAYTERMS Maksutapalausekkeet Payment on an agreed date Date of payment determined by delivery of the goods Payment in advance - ANTICIP Payment on delivery - CASH Payment to the carrier on delivery - REMBURS Payment by end of month of delivery - ULTIMO DEL/nM - Payment at the end of a period following delivery Date of payment determined by receipt of the invoice CASHFAC; CASHINV - Payment on receipt of the invoice vastaavasti FACULTIMO; INVULTIMO; FAC/nM; INV/nM Compensatory payment - COMPENSE Payment on consignment - CONSIGN 27 Rahaliikenteen EDI Suomessa pankkien välinen maksuliikennejärjestelmä tilit arvo-osuustilit jne. Kansainvälisesti SWIFT Society for Worldwide Inter-bank Financial Telecommunications pankkiryhmien tunnukset Viimeksi hyväksytty Kansainvälinen pankkitilin numero (International Bank Account Number, IBAN) otettiin Suomessa käyttöön 01.10.2001 kansainvälisen maksuliikenteen helpottamiseksi. Numeron on määritellyt Eurooppalaisten pankkien standardointijärjestö (European Committee for Banking Standards, ECBS) dokumentissa EBS204 (European Banking Standard) ja se on myös ISO:n standardi 13616 (c.f. Vuori, 2002). 28
Tietotekniikkarikokset Tietotekniikkarikoksella tarkoitetaan rikosta, jonka kohteena, välikappaleena tai tekoympäristönä on tietojärjestelmä siihen kuuluvine laitteineen ja jonka tekeminen edellyttää tietotekniikan asiantuntemusta Tietotekniikkarikos siis toteutetaan tietokoneen avulla ja suunnataan tietokoneita, ohjelmistoja tai tiedostoja vastaan Pedofiliaa, viruksia, tekijänoikeusrikkeitä, pörssikurssien vääristelyä, laittomien uhkapelien järjestämistä, petoksia & maksuvälinepetoksia Väline tai ympäristö ei ratkaise rikoksesta koituvaa rangaistusta. Netin välityksellä tehdyt laittomuudet on kirjattu rikoslakiin lukuun tieto- ja viestintärikoksista Laki soveltuukin yhtä lailla tietokonejärjestelmiin murtautumisen kuin tietokoneen välityksellä tehtyihin asiakirjaväärennöksien, petoksien ja vahingontekojen rankaisemiseen 29 Also: illegal and harmful content on global networks Illegal content (i.e., police matters) national security protection of minors protection of human dignity economic security protection of information protection of privacy protection of reputations intellectual property Harmful content: technologies that enable users to reject such content by promoting awareness among parents and fostering self-regulation, which could be an adequate way of protecting minors in particular 30
Laajuudesta 31 Cyber vs. real 32
Luottokortin käytön seuranta: Ongelmat 33 Menetykset 34
Kuinka vakava ongelma luottokort eilla huijaamin en on? 35 Huija usten seura ukset 36
v. 2000 Kauppiaan näkökulma E.g. Identity Theft in USA, 2002 168000 of which 2352 on the Net (I.e. 1.4% - reported on the press as alarming ;^) 37 US-consumer viewpoint Fraud complaints (FTC, 2002) Magazines and buyers clubs Health care Telephone services Business opportunity and work-at-home plans Prizes/sweepstakes and lotteries Foreign money offers Shop-at-home/catalog sales Advance fee loans and credit protection Internet services and computer complaints Internet auctions 0 2 4 6 8 10 12 14 % 38
Keeping eye on potential felons Especially the first time contact Check blacklists Check issuer the address Check credit records (Luottotietorekisteri) Customer is too busy to be contacted First time shipping address <> billing address Beware of too good to be true orders Large quantities - no detailed specs Fastest shipping to overseas Precautions Changing addresses Separate deliveries in a short time frame Teen products 39 Prenventing losses Basic security Payment security invalid/stolen cards copying the card number from screen/e-mail unauthorized card use (children) repudiation of the transaction/order Fraud/cancellation is costly credit card issuer is on the customers side charge-back is taken from the merchants pocket loss of credit card license/higher fees Co-operation within industy, between competitors with credit card issuers CyberSource, etc 40
Estämiskeinot 41 Cybersource Internet Fraud Screening 42
43 44
V. 2003 toimenpiteet 45 Maitten välillä suuria eroja 46
Yhteenveto ongelmakohdista Oikeustoimen kiistäminen esim. koska osapuolia ei tunnisteta Väärentäminen suojaamaton yhteys Informaatiota ihmisestä tai käyttäytymisestään käytetään väärin esim. evästeet, refererit, sivukäynnit Kahdenkeskisyys/luottamuksellisuus kärsii Tapahtumaa päästään tarkkailemaan jälkiä jättämättä Tiedonsiirto- ja käsittelyvirheet toteutuu osin, väärin, tai jää toteutumatta Kierretään yhteiskunnallisia velvoitteita forum-shopping 47 Kulutt ajan varoto imia (Luottokuntaa mukaellen) Älä koskaan lähetä kortin tietoja salaamattomassa yhteydessä tai (salaamattomassa) sähköpostissa Pyri asioimaan vain ennalta tuntemiesi kauppiaiden kanssa ks. Kuluttajayhteisöistä ja luottoyhtiöiltä Älä anna kortin tietoja mielipidekyselyihin tai vastaaviin tiedusteluihin, jos tarkoituksenasi ei ole ostaa mitään. Älä anna kortin tietoja esim. sähköpostin välityksellä tuleviin ilmoituksiin, jossa kerrotaan yllättävästä arpajaisvoitosta tai palkinnosta ja pyydetään lähettämään kortin tiedot palkinnon saamisen edellytyksenä. Luottokunta ei toimita kauppiaalle kortinhaltijasta ikä tms. henkilötietoja, joten kortin numeron pyytäminen niiden saamiseksi on huijausta Aikuispalveluissa monesti sitoudutaan jatkuvaan kuukausittaiseen laskutukseen, käytti palveluja tai ei - varmista ennen sitoumusta, miten voit halutessasi myöhemmin perua laskutuksen. Huomioi, että hotellien oikeus veloittaa ns. "No Show" -maksu on voimassa myös Internetin välityksellä tehdyissä varauksissa, mikäli varattua huonetta ei peruuteta ajoissa. Muista perua varaus, jos päätätkin varata huoneen toisesta hotellista tai et matkusta ollenkaan. 48
Vinkkejä shoppailuun (sitoumusten hallinta) Tallenna tai tulosta itsellesi kauppiaan www-sivulla antama kuvaus ostoksista ja maksuehdoista, jotka aiot hyväksyä ennen korttitietojen syöttämistä ja maksun lopullista hyväksymistä. Hyväksy maksu syöttämällä mm. kortinnumero ja voimassaoloaika www-lomakkeelle ja etene kauppiaiden antamien ohjeiden mukaan. Sinulta voidaan pyytää myös lisätarkistuksia, kuten laskutusosoite (Luottokunnan tiedossa oleva laskutusosoite) ja/tai nimikirjoituspaneelissa oleva kolminumeroinen kortin tunnus eli Card Verification Value = CVV (=VISA) tai CVC (=MC) tai verification Number VID (=Amex). Euroopassa kauppiaalta pitää saada tilausvahvistus sisältää myös maksutavan, pane vahvistus talteen Säilytä tallentamasi tai tulostamasi tiedot myöhempää tarkistusta ja vertailua varten. Mikäli mahdollinen reklamointi (esim. ostos ulkomaiselta kauppiaalta; Chargeback) tapahtuu Luottokunnan kautta, tarvitsemme tallentamasi tai tulostamasi tiedot 49 Merchants strategy: Trust enhancement services Security Availability Processing integrity Online privacy Confidentiality 50
51 Sisällön rajaaminen/sensurointi vrt harmful content Difficult to censor directly, therefore either self-censored NetNanny, Cyberwatch etc. 52