Коммерсанты от Internet уже предвкушают новую эру в бизнесе, когда среда будет виртуальной, а денежные расчеты что ни на есть реальными.


РАСЧЕТ
ЗАДРАИВАНИЕ ПОРТА
ЧЬЯ ЗАЩИТА ЛУЧШЕ
CYBERCASH
ЗАЩИТА НЕ ЗНАЧИТ КОНФИДЕНЦИАЛЬНОСТЬ
ВВЕДИТЕ ЭЛЕКТРОННУЮ НАЛИЧНОСТЬ
БОЛЬШИЕ ПРОБЛЕМЫ
ДЕРЖИМ В УМЕ
УЧЕТ И КОНТРОЛЬ
ОСНОВНОЕ НАПРАВЛЕНИЕ
ЗВОНОК В INTERNET
Желудь от дуба недалеко падает
КОНТАКТНЫЕ ТЕЛЕФОНЫ
Назовите ваши источники
RSA - ЭТО ЗАЩИТА
Ключи от царства

Роберт Ольсон занимался разработкой интерактивных телевизионных продуктов в Silicon Graphics (Маунтин-Вью, шт. Калифорния). Сегодня Ольсон виноторговец. Он может определить каберне по запаху и знает как приготовить бутылочку хорошего шардонэ. Это вовсе не означает, что наш герой навсегда распрощался со своим прошлым: основным инструментом для продажи вина ему служит компьютер на базе процессора Pentium, подсоединенный к Internet через T-1.

Сегодня Ольсон одновременно и технический гуру, и президент Virtual Vineyards ("Виртуальные винодельни") из http://virtualvin.com/ (в реальном мире - Лос-Альтос, шт. Калифорния). Он один из немногих виноторговцев в мире, кто помимо всего прочего еще и подписчик "LAN Magazine".

Узел Virtual Vineyards Website оснащен профессиональной графикой и предоставляет щедрую информацию не хуже чем у других. Однако есть в этом узле такое, что отличает его от 25000 других торговых точек в World Wide Web. Ольсону мало пробудить в вас жажду, он хочет ее утолить. Сделка совершается непосредственно в вашей программе просмотра.

"Клиент мечтает, чтобы вино текло прямо по проводам в подставленный стакан рядом с компьютером (эта конкретная возможность пока находится на стадии исследования и разработки)", - говорит Ольсон. - Кроме того, он рвется сразу же согласовать дату доставки". "Вы будете держать бутылку завтра утром", - неизменно отвечает Ольсен, и это действует безотказно, ведь людям свойственно стремление получить желаемое как можно быстрее.

РАСЧЕТ

В Virtual Vineyards процесс покупки бутылки или ящика весьма упрощен. Во-первых, вы получаете обширный каталог вин: вина последнего урожая; вина, запас которых ограничен; вина от столовых до марочных; вина по 15 долларов и меньше за бутылку для вечножаждущих хакеров и их шатии-братии с дырявым кошельком.

Выбрав сорта приглянувшихся вам вин, вы нажимаете кнопку и их названия помещаются в ваш заказ. После этого можно перейти к интерактивному бланку заказа для внесения информации о количестве бутылок и адресе, по которому должен быть доставлен заказ. Когда бланк заполнен, настает черед судьбоносной кнопки "Select Payment Method" ("Выбор способа расчета").

В настоящее время заказ оплачивается двумя способами. Первый, весьма старомодный способ, осуществляется посредством кредитной карточки: вы указываете номер и дату оплаты. Но делать это без надежного шифрования крайне нежелательно (конечно, если вы не хотите, чтобы информация о вашей кредитной карточке стала всеобщим достоянием). Программа просмотра Navigator для Web компании Netscape (Маунтин-Вью, шт. Калифорния) должным образом защитит вводимую вами информацию, поскольку на другом конце Virtual Vineyards используют Commerce WebServer компании Netscape.

Второй способ состоит в использовании CyberCash. В этом случае вы также используете кредитную карточку, но расчеты производятся непосредственно между вашим банком и CyberCash (Рестон, шт. Вирджиния); в этом случае пользователь загружает по линии связи бесплатное клиентское обеспечение, которое первоначально используется для установления защищенной паролем "личности пользователя" и передачи зашифрованной информации о кредитной карточке в CyberCash, где та и хранится.

Открывая счет, продавец в Virtual Vineyards (или любой другой торговой фирме, поддерживающей CyberCash) щелкает на пиктограмме CyberCash, что приводит к генерации запроса об оплате на сервере торговца и пересылке его в расчетный центр CyberCash.

ЗАДРАИВАНИЕ ПОРТА

Netscape обеспечивает частный канал между клиентами и поставщиком с использованием разработанного компанией протокола, предлагаемого ею на роль отраслевого стандарта для создания и поддержки шифрованного соединения между двумя узлами Internet - Secure Socket Layer (SSL). SSL не рассчитана специально на Web, однако ничто не мешает создать SSL-соединения для ftp и telnet. В самом деле, покопавшись в Сети, вы непременно найдете сразу несколько экспериментальных реализаций.

Посредством реализации SSL-сервера Web компания Netscape решила создать собственную версию стандартного демона для протокола передачи гипертекста (HyperText Transport Protocol) и дать ему свой порт (443 вместо стандартного 80). Сервер настроен на распознавание универсальных локаторов ресурсов URL как адреса HTTPS, а не HTTP (буква s на конце обозначает secure - защищенный). Таким образом, устанавливая защищенное соединение с продавцом, использующим Netscape Commerce WebServe, вы устанавливаете канал связи с адресатом, исходные данные которого программа просмотра, отличная от Netscape, отвергнет как неправильно оформленные. Netscape не позволяет вам передавать бланки заказов в виде обычного текста при использовании отличных от SSL программ просмотра.

В настоящее время единственным SSL-совместимым сервером является собственная разработка Netscape. Программный продукт Netscape Commerce WebServer (оборудование ваше) стоит 5000 долларов плюс дополнительная обязательная ежегодная плата в 2000 долларов за поддержку.

ЧЬЯ ЗАЩИТА ЛУЧШЕ

SSL - не единственный способ защиты от хакеров, сующих свой нос в чужие дела. Компания Enterprise Integration Technologies (EIT) создала специально для Web схему защиты информации S-HTTP (Secure HTTP) задолго до появления SSL. Несмотря на то, что Netscape настойчиво уверяет, что SSL - многофункциональный протокол, так как он работает на нижнем слое и совместим с S-HTTP, в группах новостей на Usenet кое-кто из комментаторов рассматривает SSL только как конкурента EIT.

В общем S-HTTP позволяет пользователям обговорить практически любой аспект шифрования - от механизмов, с помощью которых можно получить ключи шифрования, до способа шифрования (так же как два модема договариваются о взаимоприемлемой скорости передачи в бодах). Кроме того, можно обговорить режим взаимодействия. Иными словами, клиент и сервер должны прийти к соглашению - шифровать ли запросы полностью или только подтверждать цифровой подписью, или одновременно шифровать и подписывать.

Тогда как SSL гарантирует, что соединение между программой просмотра и клиентом устанавливается с сервером и ни с кем иным, то S-HTTP предоставляет широкий спектр инструментов шифрования и делает это на уровне отдельного документа.

Возможно, наиболее существенным преимуществом S-HTTP над SSL (SSL ориентирован прежде всего на соединение) является цифровая подпись (см. врезку "Ключи к царству" о шифровании с открытыми ключами и цифровых подписях). В отличие от SSL протокол S-HTTP полностью совместим с отличными от S-HTTP серверами Web, хотя, понятно, информация не будет защищена, если хотя бы один из игроков не озабочен защитой.

В настоящее время на стадии разработки находится несколько коммерческих реализаций серверов HTTP. Эталонная реализация на базе сервера Web Национального центра суперкомпьютерных приложений (NCSA) тестируется концорциумом CommerceNet.

CYBERCASH

Как Netscape, так и EIT сосредоточили свои усилия на защите информации при передаче между серверами и программами просмотра. Конечно, ничто не заставляет вас осуществлять расчетные операции только в рамках HTTP. CyberCash позволяет программе просмотра инициировать транзакцию, однако реальная транзакция происходит вне HTTP-сеанса.

CyberCash не использует ни SSL, ни S-HTTP. У CyberCash своя собственная схема шифрования; и немаловажен тот факт, что номера кредитных карточек никогда не передаются в открытую по Internet.

Так как транзакция осуществляется между двумя копиями программного обеспечения CyberCash, процесс напрямую не привязан к какой-либо конкретной программе просмотра или к серверу; данное обстоятельство может стать существенным преимуществом в соперничестве с Netscape Communications.

Нет нужды говорить, что любая схема работы с кредитными карточками подразумевает операции с кредитом (или дебетом), а не с наличностью. В ближайшие несколько месяцев Cybercash планирует представить дебетную систему, при которой открытие лицевого счета автоматически повлечет за собой открытие беспроцентного счета в одном из банков-партнеров CyberCash (в настоящее время это банки Wells Fargo в Сан-Франциско и First of Omaha в Омахе).

Деньги снимаются с чекового счета и переводятся на дебетный счет, после чего вы можете снимать n-ные суммы с вашего дебетного счета и рассчитываться наличностью.

ЗАЩИТА НЕ ЗНАЧИТ КОНФИДЕНЦИАЛЬНОСТЬ

Общей чертой всех вышеперечисленных продуктов является то, что разрабатывающие их компании делают ставку на защиту денежных расчетов. Шифрование обеспечивает защиту, но не конфиденциальность - вся информация о покупателе становится доступной продавцу и его банку.

Автор данной статьи немало встревожился, когда получил ежегодную информативную сводку о своей карточке CompuServe Visa со следующим текстом на обложке: "Мы рады предоставить информацию, которая напомнит вам о всех приятных приобретениях за прошедший год". В сводке скрупулезно перечислялись расходы за истекший год: медицинское обслуживание, всевозможные покупки, развлечения, ремонт и так далее. Информация, честно говоря, не из приятных, и это понятно - кому понравится, когда другим о твоих расходах известно больше, чем тебе самому?

ВВЕДИТЕ ЭЛЕКТРОННУЮ НАЛИЧНОСТЬ

Недавно созданная голландская компания Digicash предложила использовать алгоритмы, разработанные и запатентованные ее основателем Дэвидом Чаумом. Алгоритмы обеспечивают тот же уровень конфиденциальности с помощью тех же самых обычных технологий шифрования с окрытыми ключами, что и твердая звонкая монета. Электронная система денежных расчетов Digicash - это нечто экстраординарное по сложности математических вычислений.

Может быть, наиболее удивительной возможностью Digicash является то, что она закодирована на запуск аудиторской проверки только при попытке обмана системы.

Жизнеспособность электронной наличности в настоящее время демонстрируется с использованием вымышленных денег - миллионы кибердолларов из моделируемого Digicash банка.

При работе с такого рода "валютой" используется программное обеспечение для создания электронного кошелька. Вы можете снять деньги со счета в банке и передать их в виде длинной-предлинной зашифрованной строки цифр вместе с заверяющими подписями и номиналом, например: 10 однодолларовых кодовых чисел и две 20-долларовые строки в сумме дают 50 долларов. Эти цифры невозможно проследить без явного участия с вашей стороны. Если вы передаете кому-то одну 10-долларовую и две 20-долларовые банкноты на углу улицы в столице штата Айдахо, то банкноты никому не скажут о том, что когда-то они принадлежали вам. То же самое верно для эквивалентных сумм электронной наличности.

Банки не бросились сломя голову получать лиценцию на электронную систему денежных расчетов Digicash. Вы спросите - почему? Вероятно, конфиденциальность в данном вопросе невыгодна банкам: банкиру важно знать, куда уходят деньги. И с точки зрения общественных интересов такое отношение к проблеме конфиденциальности вполне объяснимо.

В настоящее время торговля на электронные деньги ведется весьма активно разве что в игре "Монополия". Продавцы берут кибердоллар или два за продукты от порнографических картинок до игры в очко и до высокоприоритетного доступа к управлению телескопом Bradford Robotic Telescope.

Когда вы осуществляете операцию, за которую необходимо платить, запрос об оплате посылается прямо из системы сбора платежей торговца вашему электронному кошельку (опять же через порт, отличный от используемого для HTTP-транзакций, который вы пустили в ход при покупке). Кошелек - на экране это небольшой цифровой дисплей, отображающий имеющуюся у вас "наличность" - выдает диалоговую рамку с запросом о подтверждении вашей готовности расстаться с деньгами.

Заметим, что в отличие от Cybercash, если кошелек не загружен в память и запущен, то транзакция "распадется" и вы получите страницу на языке разметки гипертекста (HTML) с перечислением возможных источников проблемы, однако настоящий источник проблемы в перечне отсутствует.

При успешном завершении транзакции вы становитесь немного беднее (как показывает дисплей кошелька), а торговец - немного богаче, но при этом последний не получает никакой информации о вас.

БОЛЬШИЕ ПРОБЛЕМЫ

Вернемся в Virual Vineyards. По словам Роберта Ольсона, обмен реальными деньгами - посредством кредитов или других средств, отслеживаемый или нет - не был основным препятствием в развитии его бизнеса. "Своевременность доставки зависит от многих причин", - говорит он. К тому же общепринятая форма заказа не подходит для интерактивных продаж, особенно когда товар продается небольшими партиями.

"Основной технической проблемой при раскрутке дела стал выбор гибкой системы управления товарными запасами и оформлением заказов, - рассказывает Ольсон. - В каждый конкретный момент необходимо было знать, каким количеством товара мы располагаем. Представьте такую ситуацию: мы оформляем заказ на вино, которое уже кончилось, а на следующий день разыскиваем покупателя с тем, чтобы извиниться перед ним за отсутствие товара на складе. Это не только нарушает ваши обязательства перед клиентом, но подрывает его доверие к вам, что чревато большими денежными потерями".

Внедренная система управления товарными запасами, как указывает Ольсон, опирается на пакетные технологии. "Я ненавижу их, - заявляет он, - глаза бы мои их не видели. Однако мы построили систему, и она работает на нас. Я не верю в то, что посторонний может написать высококритичное предложение".

Однако если Ольсон в силах создать собственную базу данных, то на это способны немногие коммерсанты. Так что пара наиболее заметных игроков на рынке серверов для Web делает ставку на разработку решений к всеобъемлещему управлению интерактивной коммерцией, а не на реальный финансовый инструмент для денежных взаиморасчетов.

ДЕРЖИМ В УМЕ

"То, что у вас есть касса, не означает, что у вас есть склад", - выразился кратко Дэн Славин, вице-президент и генеральный менеджер по коммерческим услугам компании Open Market из Кэмбриджа (шт. Массачусетс).
Компания Open Market была основана в 1994 году Шихаром Гошем, бывшим исполнительным директором клиринговой компании по оплате сотовой телефонной связи Appex, и Дэвидом Гиффордом, профессором информатики из Массачусетского Технологического института и экспертом по системам платежей.

Open Market имеет большие планы насчет электронной коммерции в виде интегрированной среды электронной коммерции Integrated Commerce Environment, ключевыми компонентами этих планов является сервер содержимого (content server), такие управляемые базой данных процессы, как идентификация пользователя и собственно сервер Web.

Поддержка сервера содержимого обеспечивается Open Market. Он настраивается в соответствии с конкретной моделью бизнеса, прототипом которой служит обычный "складской предбанник".

Славин так описывает работу склада: "Вы имеете кладовщиков, принимающих заказы, ведущих денежные расчеты, составляющих и выдающих заказы; работа на складе налажена таким образом, что покупатель может просмотреть отобранный товар; кроме того, необходима техническая поддержка на тот случай, если на складе происходит какая-то поломка и т.п. Короче говоря, вам нужны инструменты управления складом". Для этой цели Open Market предлагает Store Builder и Store Builder Pro.

Store Builder позволяет создавать одностраничный Web-склад с пятью наименованиями товара. Это начальный пакет. В более же сложных случаях устанавливается собственный сервер (с помощью продукта Secure Webserver компании Open Market ценой 4995 долларов), и затем используется StoreBuilder Pro, способный обрабатывать тысячи наименований товаров, импортируемых из СУБД данных и еще много чего.

УЧЕТ И КОНТРОЛЬ

В то время как Open Market начинает с Web и прокладывает путь к прилавку, система бухгалтерского учета компании SBT Accounting System (Сан-Рафаэль, шт. Калифорния) отталкивается от джентльменского набора бухгалтерских продуктов для офиса под Windows и движется в направлении Web.

Дэвид Харрис, вице-президент по продажам и маркетингу, считает, что 60000 клиентам SBT необходимо обратить внимание на WWW. Электронное присутствие - это то, от чего в ближайшем будущем не уйти любому традиционному бизнесу (в том числе и бухгалтерским операциям).

Почему? Потому что, как уверяет Харрис, к 2000 произойдут следующие три события; во-первых, Internet станет всемирной почтой (это происходит уже сегодня); во-вторых, Internet станет главным источником информации для принятия решений в бизнесе; и в-третьих, на рубеже второго тысячелетия 20 процентов валового национального продукта Соединенных Штатов будет покупаться и продаваться по Internet. "Я вовсе не имею в виду электронный обмен документами, - поясняет он, - я говорю об обмене такими экономическими инструментами, как чеки, декларации о намерениях и подписанные контракты. Иными словами, я говорю о самом бизнесе, который уже сегодня невозможно представить без электронной почты".

SBT предлагает два взаимосвязанных продукта для внедрения Web. WebTrader - складской инструмент с набором шаблонов домашних страниц и программного обеспечения для сбора форм и внесения данных в наличную бухгалтерскую базу данных SBT. WebSpace позволяет компании-клиенту SBT разместить ее Website на серверное оборудование, обслуживаемое и поддерживаемое SBT.

ОСНОВНОЕ НАПРАВЛЕНИЕ

Как есть место для дебетных и кредитных карточек и наличности в банкоматах, так в Internet, вне всякого сомнения, найдется место для более чем одной системы взаиморасчетов и более чем одного уровня конфиденциальности и защиты. Однако занимаемое ими место будет существенно зависеть от того, какую позицию займет Microsoft на рынке продуктов для интерактивных взаиморасчетов.

Билл Гейтс и компания столкнулись с неожиданными препятствиями, когда встал вопрос о законности предполагаемого приобретения Intuit и законности многих действий компании вообще. Так что-что, а юридические препоны и то упорство, с которым Microsoft их преодолевает, служат ясными признаками того, с какой серьезностью команда из Редмонда (шт. Вайоминг) подходит к вопросу электронных взаиморасчетов. Какой бы ни была валюта, сомневаться, что Гейтс еще не выложил все свои козыри, не приходится.

Широкомасштабный переход к электронной коммерции будет происходить хаотически, но лучше рассматривать его как возможность - виртуальное золото в проводах - и заказать бутылочку (конечно, интерактивно), чтобы попробовать вкус нарождающейся киберэкономики.


Роберт Ричардсон - системный оператор на форуме CompuServe журнала LAN Magazine (GO LANMAG) и администратор Web для LAN (http://www.lanmag.com). C ним можно связаться через Internet по адресу: robert@fiction.com.


ЗВОНОК В INTERNET

Желудь от дуба недалеко падает

В Internet возможно осуществлять платежи без использования шифрования. Загляните в интерактивный музыкальный магазин Cdnow! (http://www.cdnow.com/) и вы сможете расплатиться за заказ на компакт-диски и видеокассеты с помощью кредитной карточки. Как они это делают? Да очень просто: вам предлагают позвонить или переслать факс с номером кредитной карточки отдельно от заказа через Web.

Они сохраняют (с вашего позволения) информацию о вашей кредитной карточке на несоединенном с Internet компьютере и защищают ее посредством пароля.

Компания First Virtual (Ла-Меса, шт. Калифорния) делает то же самое на более высоком уровне. Как и Cdnow! компания First Virtual получает номер кредитной карточки по телефону или факсу, сохраняет его (за 2 доллара) и после этого подтверждает покупку сообщением по электронной почте.

Подход First Virtual привлекателен тем, что цена невысока (по крайней мере, цена начального взноса). В настоящее время 10 долларов - достаточный капитал для начала сбора платежей при помощи системы First Virtual. За каждую транзакцию получатель фондов платит 29 центов, 2 процента от суммы транзакции и 1 доллар за помещение накопленных сумм на чековый счет продавца.

Несмотря на всю простоту, First Virtual далеко до того положения на рынке, которое занимают Cybercash и Netscape. Причиной этого отчасти является то обстоятельство, что применение системы First Virtual ограничено информационными товарами (цифровыми изображениями, текстовыми файлами, базами данных и программным обеспечением).


КОНТАКТНЫЕ ТЕЛЕФОНЫ

Назовите ваши источники

Ниже приводятся несколько адресов в World Wide Web, которые можно получить и использовать непосредственно из вашей программы просмотра Web в LAN, http://www.lanmag.com.

CyberCash
(703) 620-4200
e-mail: info@cybercash.com
http://www.cybercash.com/

Digicash
31 20 665 2611
e-mail: info@digicash.com
http://www.digicash.com/

First Virtual Holdings
(800) 570-0003
e-mail: info@fv.com
http://www.fv.com/

Netscape Communications
(800) 638-7483
e-mail: info@netscape.com
http://www.netscape.com/

Open Market
(617) 621-9500
e-mail: info@openmarket.com
http://www.openmarket.com/

RSA Data Systems
(415) 595-8782
e-mail: info@rsa.com
http://www.rsa.com/

SBT Accounting Systems
(415) 444-9900
e-mail: info@sbtcorp.com
http://www.sbtcorp.com/


RSA - ЭТО ЗАЩИТА

Ключи от царства

Тайным компонентом большинства схем взаиморасчетов в Internet является криптография. В частности, относительно недавно появившись на сцене, шифрование с открытыми ключами сделало коммуникации и цифровые подписи сверхзащищенными.
Шифрование с открытыми ключами отличается от традиционных систем шифрования тем, что оно использует два ключа вместо одного. Старомодные схемы имеют один закрытый ключ, который известен и отправителю, и получателю. Ключ используется один раз при шифровке, а второй - при расшифровке получателем.

Недостатком - и существенным, если участники переговоров никогда раньше не встречались, - является то, что отправитель должен каким-то образом передать ключ получателю, а посылка ключа в открытую может быть перехвачена.
Подход с открытыми ключами был изобретен в 1976 году Уитфилдом Диффи и Мартином Хэллманом и воплощен годом позже профессорами Рональдом Ривестом, Ади Шамиром и Леном Адлеманом. (Кстати сказать, технология и компания названы по первым буквам фамилий).

Этот подход использует схему, при которой один ключ используется для шифровки, а другой ключ - для расшифровки. При таком раскладе каждый участник переговоров имеет собственный набор из двух ключей: закрытый и открытый ключи.
Открытый ключ полностью соответствует своему имени. Он публикуется в открытой печати и в этом нет никакого вреда, потому что сообщение, зашифрованное при помощи открытого ключа, не может быть расшифровано при помощи того же самого открытого ключа.

Ключи могут также применяться в обратном порядке для создания надежных цифровых подписей, гарантирующих, что полученное сообщение действительно послано отправителем и его текст не был изменен при передаче. С этой целью сообщение и личная подпись случайным образом перемешиваются со специальным программным обеспечением, которое формирует строку цифр, являющуюся цифровой подписью.

После получения текста сообщение снова перемешивается, на этот раз вместе с открытой подписью отправителя. Если все в порядке, то результаты второго сравнения совпадают с подписью заранее определенным образом.

Заметим, что безопасность и надежность схемы шифрования с открытыми ключами целиком зависит от достоверности открытого ключа. Доказательством идентичности данного открытого ключа служит сертификат (своего рода цифровая подпись).

Всякая схема взаиморасчетов по Internet, использующая шифр, опирается на схему шифрования с открытыми ключами, по крайней мере, до обмена закрытыми ключами (шифрование при помощи закрытых ключей осуществляется быстрее, чем при помощи открытых). Лицензия на технологию шифрования с открытыми ключами принадлежит компании RSA Data Security (Редвуд Шорс, шт. Калифорния).

Поделитесь материалом с коллегами и друзьями