Весной этого года электронная коммерция в Internet может сделать большой шаг в своем развитии, поскольку пять крупнейших американских банков приступят к тестированию нескольких различных технологий цифровых сертификатов.

Если тестирование пройдет успешно, банки перейдут к оплате по Internet и откажутся от использования внутренних сетей электронных денежных расчетов, подобных системе Automated Clearinghouse (ACH).

Использование Internet вместо таких систем оказалось бы дешевле и проще еще и потому, что для осуществления транзакций можно было бы применять популярные Web-браузеры, а не специализированное программное обеспечение.

Тестирование, которое наметили банки, касается в основном цифровых сертификатов (CA) на основе стандарта X.509, по сути представляющих собой электронные идентификационные карты. Эти сертификаты дают клиентам возможность ставить электронные подписи на бланках платежных требований, используя браузеры, предлагаемые, к примеру, Microsoft и Netscape. Данные сертификаты также позволяют обращаться к доверенным лицам для подтверждения подлинности отправителя и гарантируют, что никто не сможет исказить или подделать информацию.

Работы над пилотным проектом продлятся, как предполагается, несколько месяцев. В нем примут участие банки ABN AMRO North America, Bank of America, Citibank, Mellon Bank и Zions Bank. Каждый из них будет использовать системы с инфраструктурой открытого ключа различных производителей, в том числе IBM и Entrust Technologies.

В банках будут установлены серверы, действующие, подобно хранилищам сертификатов, для подтверждения подлинности и обработки платежных требований, подписанных вне Internet.

Обмениваясь между собой информацией, банки смогут проверять интероперабельность продуктов. В конечном итоге именно банки, по всей вероятности, станут уполномоченными по выдаче сертификатов, то есть организациями, выдающими их пользователям Internet.

"Цель тестирования - определить набор операций, необходимых для банков, - пояснил Девид Меррит, вице-президент Mellon Bank. - Пока у нас небольшой опыт работы с цифровыми сертификатами".

Тестирование Internet банками пройдет под эгидой National Automated Clearinghouse Association (NACHA), ассоциации, устанавливающей правила, которыми руководствуются банки при работе с системой ACH.

"Мы пытаемся выработать некоторые модели, определяющие методы использования Internet при выплате по системе ACH, - отметила Джулия Фостер, директор по сетевым продуктам NACHA. - Мы сможем понять, какие усовершенствования сети ACH необходимы, а кроме того, разобраться в том, что требуется для организации продаж услуг CA".

Если различные продукты, реализующие инфраструктуру открытого ключа, продемонстрируют свою интероперабельность, то сертификаты можно будет рассматривать как легитимные инструментальные средства электронной коммерции. Если же тестирование докажет несостоятельность используемых продуктов, придется на время отказаться от попытки проведения сложных банковских операций через Internet.

Возьмем, к примеру, Wells Fargo Bank. Этот банк уже разрешает своим клиентам передавать средства между личными счетами с помощью протокола Secure Sockets Layer (SSL), где не предусмотрены возможности аутентификации пользователя. Wells Fargo также передает отчеты по управлению денежными средствами корпоративным клиентам через Internet. Но до того, как банк сможет начать осуществление крупных межбанковских транзакций по Internet, по словам Алана Холройда, исполнительного вице-президента Wells Fargo, возглавляющего в банке группу электронной коммерции, "необходимо обзавестить средствами шифрования открытым ключом и сертификатами цифровой подписи, чтобы гарантировать аутентификацию и секретность. Без этого никакого прогресса, по крайней мере в отношении работы с крупными денежными суммами, быть не может".

При тестировании новой технологии будут использованы реальные счета клиентов банков, но не реальные деньги.

Банки станут совместно использовать информацию, размещенную в Сети, через свои системы шифрования с открытым ключом. В их состав входят серверы, выпускающие сертификаты и осуществляющие управление, а также хранилища сертификатов, обеспечивающие поддержку протокола Lightweight Directory Access Protocol (LDAP).

Еще до начала тестирования банки отметили ряд технологических изъянов, подлежащих срочному устранению. "Дело в том, что LDAP 2.0 даже не требует ввода имени пользователя и пароля для получения доступа", - подчеркнул Меррит из Mellon Bank.

LDAP 3.0 наделена более совершенной защитой, но для извлечения информации по конкретному держателю сертификата, а не целому списку людей, банковская отрасль предполагает использовать новую технологию, получившую название Online Status-Checking Protocol. Такой протокол мог бы стать частью предложенного IETF стандарта обмена открытыми ключами Public-Key Infrastructure Exchange.

Для определения порядка обмена платежными поручениями по Internet банки разрабатывают интерфейс оплаты. Кроме того, весьма важен вопрос, кто будет нести ответственность за транзакции оплаты в случае возникновения сбоя или мошенничества.

Украденный сертификат будет внесен в список аннулированных, но на это потребуется время. Банки пока согласились, что законный владелец сертификата не должен нести ответственности за этот риск.

Во время осуществления пилотного проекта компании, ведущие торговлю в Internet, обязаны подтверждать подлинность подписи посредством HTTP или по электронной почте, а производители - поддерживать списки утративших силу сертификатов для банков.

Поделитесь материалом с коллегами и друзьями