Compres "on-line"/Sistemes de seguretat en les compres en línia
La seguretat és un dels elements més importants en el comerç electrònic, ja que aquesta genera confiança, i fa que els usuaris al dipositar les seves dades en la xarxa estiguin segurs de que aquests no seran alterats, visualitzats ni enviats a usuaris no autoritzats. Perquè un sistema sigui segur s'ha de garantir la confidencialitat, la integritat i l’autenticació.
Confidencialitat
modificaLa confidencialitat és la qualitat que ens garanteix que les dades enviades per la xarxa no puguin ser vistes per receptors no autoritzats, és a dir, si algú captura les nostres dades no ha de ser capaç de veure-les. Per a això s'utilitza l'encriptació de missatges, sent l'algoritme RSA el més utilitzat. Aquest algoritme es basa en la factorització d'un nombre que sigui producte de dos nombres primers molt grans (més de 200 dígits cadascun). D'aquesta forma, el missatge xifrat RSA és computacionalment segur, és a dir, no es poden obtenir les dades xifrades(el missatge original), sense posseir la clau, en un temps acceptable (utilitzant nombres primers de 200 dígits per a generar les claus i els ordinadors més potents es trigaria més de 4 mil milions d'anys a poder esbrinar les dades originals). A més, aquest algoritme és dels denominats asimètrics, és a dir, a partir de la clau de desxifrat no es pot obtenir la de xifrat. D'aquesta forma, l'ús de l'algoritme sol ser:
Primerament el venedor genera dues claus a partir de dos nombres primers molt grans. Una vegada generades selecciona una d'elles com clau privada (Kpv), la qual coneixerà només ell, i l'altra serà la clau pública (Kpb), la qual farà arribar a tots els seus compradors, per exemple, posant-la en la seva pàgina web.
Després, quan el comprador vol transferir les seves dades (per exemple, el número de targeta de crèdit) agafa la clau pública i encripta les dades. Una vegada encriptades les envia per la xarxa, aconseguint així que en cas que siguin capturats per una altra persona aquesta no pugui veure la informació original.
I finalment, quan les dades encriptades arriben al venedor, aquest les desencripta, d'una manera ràpida, utilitzant la clau privada que solament ell coneix.
Aquests passos són realitzats pel navegador de forma transparent, és a dir, l'usuari solament introdueix les dades en el formulari i pressiona el botó “enviar”, en aquest moment el navegador agafa la clau pública del venedor i encripta les dades sense que l'usuari se’n doni compte.
Integritat
modificaAquesta qualitat garanteix que les dades que arriben al venedor són realment les que ha enviat el comprador. Això és necessari perquè, encara que ningú pot veure les dades que s'envien al estar encriptades, aquestes dades encriptades si que poden ser modificades per altra persona durant el seu trajecte per la xarxa. Per poder detectar aquests casos s'utilitza la denominada signatura digital. Per això el comprador signa les dades que ha d’enviar i afegeix aquesta signatura al final del missatge, és a dir, mitjançant la utilització d'un algoritme i la seva clau privada obté un resum de les dades a enviar i ho afegeix al final del missatge per tant la signatura i el missatge són concordants. S’ha de tenir en compte que al utilitzar la seva clau privada és impossible que altra persona pugui realitzar la mateixa signatura sobre aquest missatge. Quan el missatge juntament amb la signatura arriba al venedor, aquest utilitza la clau pública del comprador per a comprovar la signatura i, en el cas que aquesta sigui correcta, es creu que el missatge no ha estat modificat pel camí, ja que en aquest cas la signatura no concordaria amb el missatge (dos missatges distints signats per una mateixa persona produeixen diferent signatura).
En l'actualitat, els governs ja han regulat el mecanisme de la signatura digital, perquè aquesta signatura tingui el mateix valor que la signatura clàssica.
Autentificació
modificaL'última qualitat que ha de complir un sistema per a considerar-se segur és l'autentificació, la qual ens assegura que tant el venedor com el comprador són realment els qui diuen ser, evitant d'aquesta forma que algú suplanti a una de les dues parts i ens proporcioni la seva clau pública, en lloc de la veritable. Per a això la clau pública es transmet dintre del que es denomina un certificat digital. Aquest certificat ens garanteix que la clau pública rebuda pertany a la persona que en ell s'indica, per a això esta signat per una autoritat de certificació, la qual ens assegura que les dades d’aquest certificat son veritables.