SSL、SET和PGP是當前Internet (i)上比較常用的加密方法,它們在各自的應用范圍內都擁有很大的用戶群。本文將對這三種流行的加密方法做一較詳細介紹。
■SSL(Secure Socket Layer)
SSL協議是由Netscape首先發表的網絡資料安全傳輸協定,其首要目的是在兩個通信間提供秘密而可靠的連接。該協議由兩層組成,底層是建立在可靠的傳輸協議(例如:TCP)上的是SSL的記錄層,用來封裝高層的協議。SSL握手協議準許服務器端與客戶端在開始傳輸數據前,能夠通過特定的加密算法相互鑒別。SSL的先進之處在于它是一個獨立的應用協議,其它更高層協議能夠建立在SSL協議上。
目前大部分的Web Server及Browser大多支持SSL的資料加密傳輸協定。因此,可以利用這個功能,將部分具有機密性質的網頁設定在加密的傳輸模式,如此即可避免資料在網絡上傳送時被其他人竊聽。
SSL是利用公開密鑰的加密技術(RSA)來作為用戶端與主機端在傳送機密資料時的加密通訊協定。目前,大部分的Web Server及Browser都廣泛使用SSL 技術。
對消費者而言,SSL已經解決了大部分的問題。但是,對電子商務而言問題并沒有完全解決,因為SSL只做能到資料保密,廠商無法確定是誰填下了這份資料,即使這一點做到了,還有和銀行清算的問題。
■SET(Secure Electronic Transaction)
SET是IBM、信用卡國際組織(VISA/MasterCard)以及相關廠商針對網絡電子交易共同制定的安全協議,它運用了RSA安全的公鑰加密技術,具有資料保密性、資料完整性、資料來源可辨識性及不可否認性,是用來保護消費者在Internet持卡付款交易安全中的標準。SET 1.0版于1997年6月正式問世。現在,SET已成為國際上所公認的在Internet電子商業交易中的安全標準。
SET協議用在安全電子銀行卡的支付系統中,使用客戶端的瀏覽器,應用于從商業站點到商業銀行中。網上銀行使用已經存在的程序和設備通過確認信用卡,清算客戶銀行戶頭完成交易。SET協議則通過隱藏信用卡號來保證整個支付過程的安全。所以,SET必須保證信用卡持有者與銀行在現存系統和網絡上,能夠保持持續的聯系。SET協議為在不同的系統中使用信用卡創建了一套完整的解決辦法。可靠的身份驗證使SET成為一個非常好的在線支付系統。它使交易中每個合法參與者能夠擁有一個合理的身份,而對持卡者的身份驗證是由銀行來進行的。當然這其中還包括其它服務,比如:身份認證、客戶服務等。這是建立另外一個可靠的用戶連接的方法。同時可以方便在發生糾紛時進行仲裁。
SET與SSL都是做消費者的認證工作的,也就是說不僅全球數據網購物站需要在認證單位進行認證,消費者也必須從認證機構獲取認證。
SET是由Electronic Wallet(電子錢包)、Merchant Server(商店端服務機)、Payment Gateway(付款轉接站)和Certification Authority(認證中心)組成的,它們構成了Internet 上符合SET標準的信用卡授權交易。
一般來說,在開放式網絡上進行金融交易以SSL及SET交易協定為主,其中又以 SET被國際公認為最安全的。有鑒于此,VISA/MASTER在1997年6月提出了名為電子交易(SET:Secure Electronic Transaction)的網絡交易安全規格,這個規格基本上也是利用與SSL同樣的大數值編碼技術,來保證資料保密與使用者認證的工作。
目前信用卡的安全交易標準SET仍在進行前期建設。在該系統尚未正式運作前,消費者在網絡上利用信用卡進行購物時,仍須承擔信用卡資料被盜用的風險。
敏感性資料在傳遞過程中被竊聽,交易資料在傳遞過程中被篡改,交易的雙方身份被假冒,完全相同的訂單重復送出,這些問題即使對于目前SET安全交易標準來說仍舊有一定困難。利用WWW給用戶提供機密性的資料時更多的會使用User Profile、SSL或CA,以避免資料在網絡上傳送時被其他人竊聽。
■PGP(Pretty Good Privacy)
目前,還有一種非常好的連接網絡與桌面的安全方法,PGP(Pretty Good Privacy)。
PGP是一個公鑰加密程序,與以前的加密方法不同的是PGP公鑰加密的信息只能用私鑰解密。在傳統的加密方法中,通常一個密鑰既能加密也能解密。那么在開始傳輸數據前,如何通過一個不安全的信道傳輸密鑰呢?使用PGP公鑰加密法,你可以廣泛傳播公鑰,同時安全地保存好私鑰。由于只有你可擁有私鑰,所以,任何人都可以用你的公鑰加密寫給你的信息,而不用擔心信息被竊聽。
使用PGP的另一個好處是可以在文檔中使用數字簽名。一個使用私鑰加密的密鑰只能用公鑰解密。這樣,如果人們閱讀用你的公鑰解密后的文件,他們就會確定只有你才能寫出這個文件。
目前最新版本的PGP 2.6.3是美國和加拿大使用的版本,PGP 2.6.3i是一般Internet上使用的,它可以從www.pgpi.org下載。
PGP是一個軟件加密程序,用戶可以使用它在不安全的通信鏈路上創建安全的消息和通信。PGP協議已經成為公鑰加密技術和全球范圍消息安全性的事實標準。因為所有人都能看到它的源代碼,從而查找出故障和安全性漏洞,所有的故障和漏洞都在發現后被改正了。
