W pełni wirtualny mBank posiada w swojej ofercie wyłącznie internetowe konta oszczędnościowo-rozliczeniowe. Jednymi z nich są e-Konto oraz izzyKonto. Ten drugi rodzaj rachunku jest kierowany do młodzieży, która ukończyła co najmniej 13 rok życia. Jest to takie samo konto bankowe jak e-Konto, jednak e-Konto kierowane jest do osób pełnoletnich.
Otworzenie i prowadzenie e-Konta oczywiście jest zwolnione z opłat. Zaletą tego rachunku jest niewątpliwie wysokie jego oprocentowanie efektywne, które wynosi aż 3,04%. Nie trzeba posiadać stałych dochodów (i tym samym wpłat) oraz nie ma się obowiązku utrzymywania minimalnej kwoty rachunku. Jest to duża zaleta. Z chwilą założenia rachunku osoba otrzymuje bezpłatnie kartę płatniczą Visa Elektron, tak jak to ma miejsce w Lukas Banku.
Generalnie rzecz ujmując bezpieczeństwo obu banków jest bardzo podobne, a nawet można pokusić się o stwierdzenie, że jest prawie takie samo.
Charakterystyka procedur kryptograficznych
Procedury kryptograficzne służą do ochrony wysyłanych przez Internet danych, a także mogą znaleźć zastosowanie do wiarygodnej identyfikacji użytkownika. Zazwyczaj dzieje się tak, iż “wędrujące” dane w sieci są w postaci niezaszyfrowanej. Jeśli chce się, aby dane nie były odczytywane przez niepowołane osoby, musimy szyfrować je kluczem szyfrującym. Nadawca przesyła te dane w postaci zaszyfrowanej, natomiast odbiorca korzystając z klucza deszyfrującego, deszyfruje tekst i jest w stanie odczytać go.
Owym kluczem może być długi ciąg znaków w zapisie dwójkowym. Im znaków więcej, tym większy jest klucz szyfrujący i tym trudniej dla osób postronnych złamać szyfr (bez klucza deszyfrującego).
Oba klucze (szyfrujący i deszyfrujący) nie muszą być identyczne, zaś istotne jest, aby strony komunikacji używały tej samej procedury szyfrującej. Występują dwa rodzaje szyfrowania:
- szyfrowanie symetryczne
- szyfrowanie asymetryczne
Szyfrowanie symetryczne opiera się na użyciu tego samego, identycznego szyfrującego i deszyfrującego poufnego klucza. Ten rodzaj szyfrowania wykonywany jest szybko, więc zwykle jest używany wówczas, gdy nadawca musi zaszyfrować duże ilości danych. Bezpieczeństwo tej metody nie tkwi w tajności jej budowy, ale w konstrukcji odpornej na kryptoanalizę. Bowiem każda metoda, której szczegóły nie zostały ujawnione, może zawierać w sobie tzw. tylne drzwi, czyli miejsce w algorytmie, które może być wykorzystane przez przeciwnika znającego szczegóły algorytmu.
Najpopularniejszym symetrycznym algorytmem szyfrującym jest DES (Data Encryption Standard), który został stworzony w 1977 roku przez dużą firmę IBM. W tym samym roku rząd Stanów Zjednoczonych przyjął go za oficjalny standard. Na początku DES oparty był na 56-bitowym kluczu, co teraz nie jest już zabezpieczeniem nie do złamania. Dlatego też zmodyfikowano ten algorytm do wersji z kluczem 128-bitowym (Triple-DES), który w dalszym ciągu daje dużą gwarancję bezpieczeństwa szyfrowanych danych. Do kodowania/dekodowania danych używany jest 1 klucz. Z tego względu protokół DES musi być wspomagany przez protokoły umożliwiające bezpieczną wymianę klucza poprzez sieć rozległą.
Innym algorytmem symetrycznym jest 128-bitowy IDEA (International Data Encryption Algorithm). Stworzono go w latach 90-tych w Europie z myślą o większym bezpieczeństwie danych, gdyż uważano że wielkość kluczy DES-a jest za mała. Inną ważną przyczyną były regulacje prawne w USA uznające DES za produkt o znaczeniu militarnym i tak używanie go poza granicami tego kraju – bez stosownych licencji – było czynem przestępczym. Działo się tak, ponieważ prawo USA zabraniało do dnia 14 stycznia 2000 roku eksportu technologii szyfrowania stosujących klucze “mocniejsze” niż 56 bitów. Stwarzało to blokadę dla rozwoju bankowości internetowej w Europie (eksportowano systemy operacyjne wraz z uboższą wersją przeglądarki). Istniała potrzeba znalezienia algorytmu, którego stosowanie nie prowadziłoby do konfliktów z amerykańskimi organami bezpieczeństwa. I tak IDEA to algorytm, z którego korzystać można bezpłatnie do celów niekomercyjnych. Klucze używane przez algorytm IDEA są złożone z 128 bitów, co oznacza, że poszukiwanie pasującego klucza do pary kryptogram (poprzez wypróbowywanie wszystkich kluczy) jest niewykonalne. Mimo wielkości kluczy programy szyfrujące i deszyfrujące według algorytmu IDEA nie są wolniejsze niż programy realizujące DES.
Poza tymi dwoma wymienionymi algorytmami szyfrującymi symetrycznie można się doszukąc innych : AES (Advanced Encryption Standard), SQUARE, SAFER (Secure And Fast Encryption Routine), RC2. Zaletą tych wszystkich systemów szyfrujących jest szybkość szyfrowania oraz stosunkowo prosta rachunkowość. Wadą – konieczność bezpiecznej wymiany kluczy przed komunikacją, oraz potrzeba posiadania oddzielnego klucza dla każdej pary nabywca/odbiorca[1].
Natomiast szyfrowanie asymetryczne, jak można się domyśleć, polega nie na posługiwaniu się przez obie strony tym samym, identycznym kluczem, zaś dwóch różnych. Klucz publiczny i klucz prywatny tworzą parę. Ten pierwszy jest dostępny dla wszystkich, zaś tego drugiego powinno się bardzo dobrze strzec. Metoda szyfrowania asymetrycznego polega na tym, iż dane szyfrowane są jednym kluczem z pary i aby je odszyfrować należy użyć drugiego klucza. Nadawca zatem wysyłając wiadomość, używa klucza publicznego odbiorcy, a wówczas ten posiadający odpowiedni, pasujący klucz prywatny, będzie w stanie odkodować wiadomość. W szyfrowaniu symetrycznym przed wymianą zaszyfrowanych informacji nadawca i odbiorca muszą najpierw wymienić klucze (aby te były takie same), zaś w szyfrowaniu asymetrycznym nie jest to konieczne. Poprzez takie szyfrowanie, obie strony nie muszą siebie spotykać, znać.
Najbardziej znanym szyfrowaniem asymetrycznym jest algorytm RSA o długości klucza 768 bitów. Stworzyła go w 1978 roku trójka utalentowanych matematyków z MIT – Ronald Rivest, Adi Shamir, Leonard Adleman. Obecnie już mamy algorytmy RSA o długościach klucza od 512 do nawet 4096 bitów. Wadą szyfrowania asymetrycznego jest powolność oraz ogromna rachunkowość, przez co tylko najpotężniejsze komputery świata mogą odkodowywać szyfr o tymże algorytmie.
Pewnego rodzaju udoskonaleniem szyfrowania symetrycznego i asymetrycznego są systemy hybrydowe. Użytkownik nie musi już wymieniać z bankiem tajnego klucza, bowiem nie występuje tutaj (znany z szyfrowania asymetrycznego) długi czas obliczeń szyfru. Ponadto metoda ta jest jakby połączeniem wyżej wymienionych dwóch metod, gdyż w sposób symetryczny odbywa się szyfrowanie danych (wykorzystuje się zwykle metodę DES), natomiast w sposób asymetryczny odbywa się wymiana tego samego klucza tzw. klucza sesyjnego. Sesja wymiany informacji wygląda więc tak: strona inicjująca komunikację generuje losowo klucz sesyjny, następnie szyfruje jego treść za pomocą publicznego klucza odbiorcy. Odbiorca odszyfrowyje klucz sesyjny swoim kluczem prywatnym i informuje nadawcę o gotowości do przesyłu danych[2]. Dalsza interakcja komputera klienta z komputerem banku odbywa się na zasadzie algorytmu symetrycznego.
Najczęściej wykorzystywanym systemem hybrydowym jest protokół SSL (Secure Socket Layer) pozwalający na przesyłanie danych w standardzie HTTPS (HyperText Transfer Protocol – Secure). Firma Netscape stworzyła ten sposób szyfrowania danych. Do korzystania z metody SSL potrzebna jest przeglądarka internetowa, która już sama w sobie posiada “siłę szyfrowania” danych o mocy 128-bitów. Istnieje także szyfrowanie za pomocą innego protokołu – SSL/SGC (Server Gated Cryptography). Niektóre banki (Fortis Bank) używają protokołów SSL/SGC 128 bitów, chociaż należy podkreślić, iż SSL jest uważany za bezpieczniejszy (większość banków ma SSL).
Podczas inicjalizacji bezpiecznego połączenia odbywa się szereg czynności, które komputery banku i użytkownika muszą sprawdzić – ustalenie wersji protokołu, kluczy, rodzaji kompresji danych, hashowania, szyfrowania i tym podobne. Co ważniejsze odbywa się także wymiana certyfikatów obu stron, weryfikująca ich wierzytelność. Klucz sesyjny użyty do połączenia banku z klientem jest – jak wcześniej zostało wspomniane – kluczem sesyjnym, który prawidłowo będzie funkcjonował tylko przy tym jednym, konkretnym połączeniu. Od 2002, najczęściej stosowane na świecie są klucze o długości 128 bitów, które jeszcze pod koniec XX wieku były zastrzeżone jedynie dla zastosowań militarnych i rządowych w USA..
Zgodnie z artykułem 3, pkt 1 ustawy o podpisie elektronicznym z dnia 18 września 2001 roku, podpis elektroniczny to “dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone, lub z którymi są logicznie powiązane, służą do identyfikacji osoby skłądającej podpis elektroniczny”[3]. Podpis cyfrowy (zamiennie nazywany) to – innymi słowy – ciąg bitów, sekwencja znaków, która dołączona do przesyłanych danych ma stanowić podstawę weryfikacji wierzytelności jego posiadacza. Podpis ten jest odpowiednikiem podpisu odręcznego, jego znaczenie prawne jest takie same. Podpis cyfrowy daje gwarancję identyfikacji stron umowy. Wykorzystanie tego podpisu przy jakichkolwiek transakcjach pomiędzy stronami jest potwierdzeniem tożsamości podpisującego, a także jednoznacznym zaaprobowaniem umowy lub dokumentu przesłanego przez Internet.
Cały proces podpisywania elektronicznego dokumentów przebiega w następujący sposób[4]:
- Pakiet danych, który ma zostać wysłany przez nadawcę, formatowany jest w ciąg bitów.
- Z powyższego ciągu przy pomocy jednokierunkowej matematycznej funkcji skrótu generowana jest unikalna wartość hash (ekstrakt wiadomości).
- Otrzymany ekstrakt szyfrowany jest kluczem prywatnym nadawcy i tak otrzymany kryptogram stanowi podpis cyfrowy.
- Pakiet danych razem z podpisem wysyłane są do odbiorcy.
Funkcjonowanie zaszyfrowanego podpisu cyfrowego jest związane z asymetrycznym algorytmem szyfrującym (nadawca koduje kluczem prywatnym, odbiorca odkodowuje kluczem publicznym). Ponadto podpis ten jest składową ciągu bitów składających się na niego (zależny od treści wysyłanych danych) oraz od osoby, która podpisuje się. Nie jest przeszkodą posiadanie przez jedną osobę nawet kilku cyfrowych podpisów, ponieważ każdy podpis jest 128-bitowy, co daje niewyobrażalnie wielką ilość różnych podpisów.
Inteligo korzysta ze standardowych technik podpisu elektronicznego bazując na algorytmach jawnych o długości 1024 bitów. Algorytm stosowany przez Inteligo jest standardem ogólnoświatowym i zapewnia niezaprzeczalność oraz możliwość kontroli spójności przesyłanych przez nas wyciągów[5]. Jak widać polskie banki stosują najwyższej klasy zabezpieczenia (w tym wypadku podpisu cyfrowego). Aby e-podpisy spełniały swoją rolę muszą być zabezpieczone przez użyciem ich przez osoby trzecie. Jest to zadaniem certyfikatów.
Certyfikat to rodzaj elektronicznego zaświadczenia, za pomocą którego dane służące do weryfikacji podpisu są przyporządkowane do osoby posługującej się nim oraz potwierdzają jej tożsamość. Wydawane one są przez tzw. Jednostki Certyfikujące (Certificate Authority – CA), które pracują w strukturze hierarchicznej. Narodowy Bank Polski (NBP) stoi najwyżej w hierarchii, jeżeli mowa o Polsce. Jednostki mu podległe, otrzymując od NBP certyfikat, uzyskują wiarygodny certyfikat dla siebie. Następnie taka jednostka może emitować certyfikaty dla konkretnych banków, zaś one robić to samo dla swoich klientów.
Certyfikat ma postać zaświadczenia z imieniem i nazwiskiem osoby, jednakże nie będzie posiadał danych, które mogłyby ułatwić osobom trzecim kradzież środków na rachunku. Standardowy certyfikat przechowuje następujące dane: publiczny klucz szyfrujący właściciela, data wygaśnięcia certyfikatu, nazwa właściciela, nazwa wystawcy certyfikatu (CA), wreszcie dodatkowe informacje, potrzebne dla konkretnych zastosowań[6].
Owe certyfikaty dają użytkownikowi pewność, iż strona z którą się połączył jest faktyczną stroną banku, a nie stworzoną przez cyberoszustów, którzy budują systemy, a na nich strony, które tylko zbierają informacje o klientach banku, aby później wykorzystać je w celach kradzieży. Pomaga tutaj protokół SSL (o którym mowa była wcześniej), który pobiera certyfikat banku i jeśli ten będzie zaakceptowany przez wbudowany w przeglądarkę internetową SSL, wtedy komputer akceptuje certyfikat i po ustaleniu procedur szyfrujących między stronami (system hybrydowy), wchodzimy na stronę serwisu banku.
Z kolei bank, aby mógł zweryfikować osobę próbującą wejść do jego komputera, musi powziąć pewne starania i zabezpieczenia. Do nich możemy zaliczyć:
- Identyfikacja użytkownika na podstawie tzw. loginu i hasła,
- Tokeny elektroniczne
- Karty mikroprocesorowe (tzw. smart card)
- Techniki biometryczne
[1] Jakub Grzechnik, “Bankowość Internetowa”,s.109, Internetowe Centrum Promocji, Fundacja Rozwoju Uniwersytetu Gdańskiego, Gdańsk, 2000r.
[2] Jakub Grzechnik, “Bankowość Internetowa”, s.109, Internetowe Centrum Promocji, Fundacja Rozwoju Uniwersytetu Gdańskiego, Gdańsk, 2000r.
[3] Jacek Grzywacz (pod red.), ”, Praca zbiorowa “Bezpieczeństwo systemów informatycznych w bankach w Polsce”., s.71, Szkoła Główna Handlowa, Warszawa, 2003r.
[4] Arkadiusz Jurkowski “Materiały i studia. Zeszyt nr 125 – Bankowość elektroniczna”, s.27, NBP, Warszawa , Czerwiec 2001r.
[6] Marek Kowalkiewicz, artykuł “Zabezpieczenia uslug bankowych poprzez Internet po stronie klienta – rozwiązania stosowane w Polsce”, Gazeta IT nr 8, grudzień 2002r.