E ticaret ve Güvenlik Protokolleri

Kredi kartı numarası, isim, adres vb gibi bilgiler güvenli olarak iletilir. İnternet üzerinde alışveriş yapılan tüm merkezlerde alışveriş yapılırken bu tip güvenlik sistemleri kullanılır. 128 bir şifreleme algoritmaları kullanan bu sistemler, e-ticaret için gerekli "güvenli iletişim" ortamını sağlarlar. Anahtarlar üretilirken kullanılan bazı popüler algoritmalar olarak, DES (Data Encryption Standard), RSA, IDEA verilebilir. Bunlardan RSA'nın RC4 algoritması (128 bit şifreleme olarak) Netscape ve Internet Explorer'da da kullanılan bir algoritmadır.

Sanal Mağazaya müşterilerin güvenli erişimi için, SLL standartı kullanılmaktadır. Satıcı firma, bir onay kurumundan aldığı elektronik web sitesi kimliği ile mağazasının sanal dünyadaki kaydını gerçekleştirmektedir. Müşteri ile Satıcı Firma arasındaki iletişimde güvenliği sağlayan SLL; internette ulaşılan adresin gerçekten aranan mağaza olup olmadığını kontrol etmekte ve bilgilerin şifrelenerek gönderilmesini sağlamaktadır.

Satıcı firma ile banka arasındaki iletişimin güvenliği ise SET protokolü ile gerçekleştirilmektedir. Müşteriden SLL ile alınan ödeme bilgileri (kredi kartı), satıcı firma tarafından bankaya SET protokolü ile şifrelenerek gönderilmektedir. Banka, müşterinin hesabının uygun olması durumunda, alışverişini onaylamakta ve provizyon bilgisini satıcı firmaya göndermektedir. Satıcı firma, müşterisine siparişin tamamlandığını bildirdikten sonra bankaya bağlanarak alışveriş tutarını hesabına aktarmaktadır. Ülkemizde kitap, kaset, CD, çiçek, elektronik, giyim, bilgisayar, gıda, vb. ürünlerin İnternette doğrudan müşteriye satışını yapan sanal mağaza sayısı 250'yi aşmıştır (*).

Geniş Anlamıyla SSL

SSL (Secure Sockets Layer), ağ üzerindeki web uygulamalarında güvenli bilgi aktarımının temini için (bilginin doğru kişiye güvenli olarak iletimi), "Netscape" firması tarafından geliştirilmiş bir program katmanıdır . Burada, bilgi iletiminin güvenliği, uygulama programı (web browser, https) ile TCP/IP katmanları arasındaki bir program katmanında sağlanmaktadır. SSL, web sunucularına (Apache vb), bir modül olarak yüklenir ve böylece web sunucuları güvenli erişime uygun hale gelir. SSL, hem istemci (bilgi alan) hem de sunucu (bilgi gönderen) bilgisayarda bir doğrulama (authentication: iki bilgisayarın karşılıklı olarak birbirini tanıması) mekanizması kullanır. Böylece, bilginin doğru bilgisayardan geldiği ve doğru bilgisayara gittiği teyit edilir.

Bilgisayarların birbirlerini "tanıma" işlemi, açık-kapalı anahtar tekniğine (public-private key encryption) dayanan bir kripto sistemi ile sağlanır. Bu sistemde, iki anahtardan oluşan bir anahtar çifti vardır. Bunlardan açık anahtar (public key) herkes tarafından bilinebilen ve gönderilen mesajı "şifrelemede" kullanılan bir dijital anahtardır. (Burada anahtar' dan kasıt, aslında bir şifreleme -kriptolama- algoritmasıdır. Bu algoritma (yani, anahtar) kullanılarak gönderilecek bilgi şifrelenir). Ancak, açık anahtar ile şifrelenen mesaj sadece bu anahtarın diğer çifti olan "kapalı anahtar" (private key) ile açılabilir (deşifre edilebilir). Kapalı anahtar da, sadece sizin bildiğiniz bir anahtar olduğundan, mesaj güvenliği sağlanmış olur. Örnek olarak, size mesaj göndermek isteyen birine kendi açık anahtarınızı gönderirsiniz. Karşı taraf bu anahtarı kullanarak mesajını şifreler ve size gönderir. Şifrelenen mesajı, sadece sizde olan ikinci bir anahtar (kapalı anahtar, private key) çözebilir ve bu anahtarı sadece siz bilirsiniz.

SSL, web sunucusunu tanımak için, dijital olarak imzalanan sertifikalar kullanır. Sertifika, aslında, o organizasyon hakkında bazı bilgiler içeren bir veri dosyasıdır. Aynı zamanda da, kuruluşun açık-kapalı anahtar çiftinin "açık" anahtarı da sertifika içinde yer alır. Sunucu sertifikası da, o sunucuyu işleten kuruma ait bilgiler içeren bir sertifikadır. Sertifikalar, "güvenilir" sertifika kuruluşları tarafından dağıtılır (Örneğin VeriSign vb.).
İstemci(bilgi alan) bilgisayar, SSL destekleyen bir sunucuya bağlandığı anda, (bu, https:// ile başlayan URL satırları ile gerçekleşir) doğrulama işlemi başlar. İstemci, kendi açık anahtarını sunucuya gönderir. Sunucu ise, bu anahtarı kullanarak şifrelediği bir mesajı istemciye geri gönderir. Bir sonraki adımda istemci sadece kendinde olan kapalı (private) anahtarı kullanarak gelen şifreli mesajı çözer ve sunucuya geri gönderir. Mesajı alan sunucu ise, bunu kendisinin gönderdiği orijinal mesaj ile karşılaştırır ve eğer iki mesaj "aynı" ise "doğrulama" işlemi başarıyla tamamlanmıştır ve sunucu bu noktadan itibaren "doğru bilgisayarla/kişiyle" iletişimde olduğunu anlar. Daha sonra sunucu istemciye o an gerçekleşen web oturumunda kullanılacak tüm önemli anahtarları gönderir ve güvenli iletişim başlar.

SSL, bugün için yaygınlıkla kullanılan ve birçok yazılımın desteklediği bir stantard haline gelmiştir. Özellikle internet üzerinden bankacılık, elektronik kimlik belgesi çıkartma gibi hizmetler veren siteler SSL kullanmaktadırlar.

SET nasıl işliyor ?

SET (Secure Electronic Transaction), elektronik ticarette, internet üzerinde güvenli bilgi aktarımını sağlamak amacıyla aralarında VISA, MasterCard ve IBM'in de olduğu kuruluşlar tarafından geliştirilen bir protokoldür. SET uyumlu ilk alışveriş, 18 Temmuz 1997'de San Francisco'da yapılan tanıtımla İspanya ve Singapur'da bulunan sanal mağazalardan gerçekleştirilmiştir. Garanti Bankası Şubat 1998'de gerçekleştirdiği SET uyumlu alışverişle, bu protokolü kullanmaya başlayan Dünya'da yedinci, Avrupa'da dördüncü ve Türkiye'de ilk kuruluş olmuştur.

Amaç, internet üzerinden kredi kartıyla güvenli ödeme yapabilmektir. Diğer bir deyişle, kullanıcının kredi kartı ikinci taraflarca okunmamalı ve ödeme emrindeki mal miktarı, ödeme miktarı zaman bilgisi vb. diğer bilgiler, hem alıcı, hem satıcı hem de aracı kurum olaarkbanka tarafından inkar edilemez nitelikte olmalıdır.
Uygulanma aşamasında, bir takım yazılımların birleştirilmesi ile yapılır. Bunlardan ilki, internet tarayıcı cüzdanı yada elektronik cüzdan(browser wallet)'dır. Tarayıcı czdanı, bir internet tarayıcısı ile birlikte çalışan ve kredi kartı sahibinin alış-veriş yaparken kredi kartlarını ve elektronik kimlik belgelerini taşımasını sağlayan yazılımdır. Satıcıdan gelen SET mesajlarına cevap olarak, alıcıya hangi kredi kartıyla alışveriş yapmak istediğini sorar ve tanımlı olan bütün SET protokolü işlemlerini yerine getirir. Diğer yanda, satıcılar ve satıcı sunucusu yazılımı(merchant server) kullanırlar. Bu yazılım, alıcı ödemelerini karşılar, satıcının iş yaptığı veya anlaşmalı bankası ile iletişime geçer, ödeme ve sipariş ile ilgili benzeri işlemler yapar. Bankalar ise, satıcının yaptığı kredi kartı işlemlerinin doğrulanması ve ödemelerin bankalar arası takasını sağlamak üzere bir yazılım kullanırlar.


SET, özellikle on-line (gerçek zamanda) kredi kartı bilgileri iletimi için geliştirilmiş bir standarttır. SET, kredi kartı ile yapılan online ödemelerde, bilgilerin internet üzerinden aktarımında gizlilik ve güvenlik entegrasyonunu sağlar. SET protokolü sadece müşteri (ürün siparişi veren kredi kartı sahibi) ile sanal dükkan (e-dükkan) ve kredi kartı şirketi arasındaki ödeme fazını şifreler.

SET ile, ödeme işlemine taraf olan herkes (müşteri, dükkan sahibi, kredi kartı şirketi), birbirlerini tanırlar (teşhis ederler, authentication) ve bu ispatlanabilir. "Tanıma" işlemi, SSL'dekine benzer bir dijital sertifikasyon sistemi ile yapılır. Yani, ödeme fazına dahil bütün taraflar kendi kimliklerini belirten dijital bir sertifika kullanır.

Mevcut güvenlik sistemlerinden SET'i farklı kılan sebep; alıcı ile satıcıyı bir finansal kurum ile ilişkilendiren sertifikaların varlığıdır.

SET güvenli bir iletişim altyapısı sağlamasına karşın, beklendiği hızda yaygınlaşamamıştır. Bunun nedenleri uzmanlar tarafından , kullanıcı kolaylığında yaşanan sıkıntılar ve bahsedilen yazılımların dağıtımı ile ilgili zorluklar olarak tespit edilmiştir.