il commercio elettronico - Dipartimento di Informatica

IL COMMERCIO
ELETTRONICO
Alessandro Mariani
543499
A.A. 2009/2010
1
Indice
•
•
•
•
Che cos’è il commercio elettronico;
Cenni sulla normativa vigente;
Il problema della sicurezza
I protocolli più usati:
1. SSL;
2. SET
2
IL COMMERCIO ELETTRONICO
L'espressione commercio elettronico viene utilizzata per
indicare l'insieme delle transazioni per la vendita di beni e
servizi tra un produttore o un venditore (offerta) e un
consumatore (domanda), realizzate per via telematica.
Può essere:
1. indiretto se la cessione del bene avviene per via
telematica, mentre la consegna avviene tramite i canali
tradizionali;
2. diretto se sia la cessione che la consegna del bene
avviene per via telematica. Fanno parte di questo gruppo
un giornale, un libro per cui il problema telematico non
presenta particolari problemi.
3
Le modalità di e-commerce più conosciute sono:
• businness-to-businness (b2b): è il caso in cui
un’azienda utilizza il commercio elettronico per
inviare fatture, ordini, ecc…
• businness-to-consumer (b2c): è il caso della
vendita elettronica al minuto. L’azienda venditrice
cede uno o più beni ad un cliente privato;
• consumer-to-consumer (c2c): se due utenti si
scambiano tra di loro dei beni;
• administration-to-consumer (a2c): è il caso in cui
un cittadino usufruisce dei servizi della pubblica
4
amministrazione.
Vantaggi…
• Possibilità di effettuare ordini e pagamenti
in qualsiasi momento;
• Approvvigionamento;
• Offerta sempre aggiornata;
• Consegna a domicilio;
• Più offerte in un unico ambiente: maggiore
concorrenza
5
SVANTAGGI
• Modalità di accesso ai punti vendita/centri commerciali
virtuali non sempre immediatamente intuibili;
• Soprattutto in passato, mancanza di una normativa
specifica.
• Da uno studio reso noto da Taylor Nelson Sofres emerge
che a livello mondiale il problema della sicurezza è il
principale freno allo sviluppo dell’e-commerce. Il 30%
degli utenti non si fida nel fornire i dati relativi alla propria
carta di credito.
6
Come organizzare l’attività commerciale di un’azienda
on-line?
Per fare commercio elettronico è necessario migliorare
l’attività commerciale attraverso internet; a tal scopo possiamo individuare quattro punti fondamentali:
1. migliorare l’efficacia della comunicazione aziendale verso l’esterno;
2. agire sulla qualità del servizio al cliente;
3. ridefinire internamente i processi aziendali;
4. utilizzare la Rete come vero e proprio canale di vendita.
7
E-COMMERCE COME FORMA DI
COMUNICAZIONE
Internet è un mezzo per diffondere informazioni
o dialogare con i propri interlocutori: gli agenti, le
sedi distribuite sul territorio, il mercato esistente
o potenziale, la catena di vendita o i fornitori. La
distribuzione di informazioni attraverso internet
comporta vantaggi di velocità, la possibilità di
aggiornamento dei dati e dei documenti in tempo
reale, l’abbattimento dei costi di trasporto.
Esempio Ente Nazionale Italiano di Unificazione
(UNI)
8
SERVIZI MIGLIORI PER IL CLIENTE
Molti servizi erogati in Rete anziché su altri
mezzi di comunicazione hanno indubbi vantaggi di riduzione dei costi, maggior velocità
di trasmissione e miglior personalizzazione.
Esempio: pacco FedEx
9
RIDEFINIRE I PROCESSI
AZIENDALI
La digitalizzazione dei processi e la loro
integrazione sul solo canale elettronico sono
i fattori competitivi più ambiziosi che oggi
un’azienda può porsi per preparare l’entrata
nel commercio elettronico. Permettere ai visitatori del sito di fare veri e propri acquisti:
dall’identificazione dei prodotti alla raccolta
degli ordini, dal pagamento on-line attraverso un sistema offerto dal sito fino alla consegna dei prodotti acquistati è un fattore di
10
sempre maggiore importanza
La normativa vigente
Nell’ambito del commercio elettronico le norme
giuridiche che trovano applicazione sono sia quelle
generiche relative al contratto, che quelle
specifiche di tutela dei consumatori.
In ambito comunitario, dunque, si rileva una
tendenza a tutelare non solo i soggetti contrattuali
presumibilmente più deboli, quali i consumatori,
ma anche le imprese che utilizzano lo strumento
del commercio elettronico per la promozione e la
vendita dei propri prodotti e servizi.
11
Secondo la normativa italiana (d.l. 1 marzo
1998, n. 114; infatti, l’articolo 18) precisa
che, per avviare l’attività di commercio via
internet, si deve dare comunicazione
preventiva al Comune nel quale l'esercente
ha la residenza, se persona fisica, o nel
quale è fissata la sede legale, se persona
giuridica.
12
Per quanto riguarda i contratti la legge attribuisce valore legale ad ogni
effetto, agli atti, ai dati, ai contratti formati dai privati e dalla pubblica
amministrazione mediante strumenti informatici, trasmessi per via
telematica e redatti con formalità previste dal regolamento attuativo della
stessa legge.
Affinché i contratti telematici siano considerati giuridicamente validi occorre:
• utilizzare il sistema solo in modalità dimostrativa, ovvero che l’utente non
possa compiere inavvertitamente operazioni che lo potrebbero vincolare
giuridicamente;
• prevedere la possibilità di abbandonare la stipulazione e cancellare i dati
inseriti fino a quel momento;
• fare in modo che l’utente/cliente dia inequivocabilmente il proprio
consenso;
• accertarsi dell’identità del cliente.
Il contratto on-line si considera concluso quando il destinatario del servizio
ha ricevuto dal fornitore, per via elettronica, l’avviso di ricevimento (cioè la
ricevuta di ritorno) dell’accettazione dell’ordine.
13
COME AVVIENE LA
COMUNICAZIONE
SERVER VENDITORE
BANCA
UTENTE\COMPRATORE
14
Il problema della sicurezza (1/2)
Problematica relativa alla trasmissione in
chiaro di alcune informazioni sensibili tra cui
il numero della carta di credito.
Affinché il commercio elettronico abbia effettivamente successo, è necessaria l’autenticazione degli utenti.
15
Sebbene la disciplina sul commercio elettronico sia volta alla tutela del consumatore, è
altrettanto importante per il venditore l’opportunità di operare sul mercato in maniera
serena.
16
Il problema della sicurezza (2/2)
Per risolvere questi problemi i maggiori siti
di commercio elettronico, utilizzano diversi
protocolli. I più utilizzati sono:
• SSL e TLS;
• SET
17
Secore Socket Layer
Progetto inizialmente ideato da Netscape
nel 1994. Successivamente tale progetto è
stato sottoposto ad un processo di
standardizzazione dal quale si costituì il TLS
(transport layer security). La prima versione
di TLS è considerata come l’evoluzione di
SSL 3.1.
18
Il protocollo SSL è nato al fine di garantire la privacy delle
comunicazioni su Internet. SSL garantisce la sicurezza del
collegamento mediante tre funzionalità fondamentali:
• Privatezza del Collegamento: i dati vengono protetti
utilizzando algoritmi di crittografia a chiave simmetrica (ad es.
DES, RC4, ecc.);
• Autenticazione: L'autenticazione dell'identità nelle connessioni
può essere eseguita usando la crittografia a chiave pubblica (per
es. RSA, DSS ecc.).
• Affidabilità: Il livello di trasporto include un controllo
sull'integrità del messaggio basato su un’apposita autenticazione
chiamata MAC (Message Authentication Code) che utilizza funzioni
hash sicure (come ad es. SHA, MD5 ecc.).
19
Gli scopi di SSL sono:
• Sicurezza del collegamento;
•Interoperabilità: i programmatori di diverse aziende
dovrebbero essere in grado di scrivere applicazioni accordandosi sui parametri utilizzati senza conoscere il
codice altrui;
•Ampliamento: possibilità di includere futuri metodi di
SSL senza dover riscrivere o creare un nuovo protocollo;
•Efficienza: minimizzazione dell’utilizzo della CPU e dello scambio sulla rete
20
ARCHITETTURA SSL
SSL
SSL Change
Handshake Cipher Spec
prt.
prt.
SSL Alert
protocol
HTTP
SSL Record protocol
TCP
IP
21
SSL è formato da quattro diversi livelli di protocolli:
• SSL Handshake: fornisce un processo di autenticazione tra client e server per la creazione di un
canale sicuro;
• SSL Record: trasporto dei messaggi fornendo
riservatezza ed integrità dei dati;
• SSL Alert: gestione eccezioni;
• SSL Change Cipher Spec: finalizzato a segnalare le transizioni nelle strategie di crittografia.
22
SSL ALERT
È un protocollo che notifica eccezioni, anch’essi cifrati, che si possono verificare nella comunicazione. Ad ogni eccezione è associata un livello di fatalità
e una breve descrizione dell’evento occorso. Per esempio un livello “fatal”
comporta l’immediata chiusura della sessione di lavoro. I principali errori
sono:
1. Handshake failure: allerta sempre fatale dovuta all’incapacità del mittente nel generare un set accettabile di parametri tra quelli proposti;
2. Decompression failure: allerta sempre fatale dovuta ad un errato input
della funzione di decompressione;
3. Bad_record_mac: allerta fatale dovuta ad un record ricevuto con un errato mac;
4. Bad_certificate: allerta dovuta ad una certificazione errata.
23
SSL Change Cipher Spec Protocol
Questo messaggio ha lo scopo di segnalare i
cambiamenti delle strategie di cifratura. Esso è
inviato sia dal client che dal server per comunicare
alla parte ricevente che i dati seguenti saranno
protetti dalle chiavi e dal CipherSpec appena
negoziato
24
SSL HANDSHAKE
SSL prevede una fase iniziale, detta di handshake, usata
per iniziare una connessione TCP/IP. Il protocollo SSL usa
una combinazione di chiavi pubbliche e chiavi simmetriche.
La cifratura a chiave simmetrica è molto più veloce della
cifratura a chiave pubblica, anche se quest'ultima provvede
ad una tecnica di autenticazione migliore. Una sessione
SSL inizia sempre con uno scambio di messaggi chiamati di
SSL handshake. L'handshake consente al server di
autenticarsi al client usando una tecnica a chiave pubblica,
quindi permette al client ed al server di cooperare per la
creazione delle chiavi simmetriche usate per una veloce
cifratura, decifratura e controllo delle intrusione durante la
sessione avviata. Eventualmente, l'handshake permette
anche al client di autenticarsi al server.
25
Client U
T
e
m
p
o
Server S
Client Hello
Server Hello
Cert. di S
Rich. cert. U
S Hello done
Pre-master
secret
Cert. di U
Finished
Finished
Scambio
sicuro dei dati
SSL Record
Scambio
sicuro dei dati
26
SSL RECORDS(1/2)
Dopo la fase di handshake i dati vengono compressi, ai
dati viene applicato MAC (Message Authentication
Code utilizzato per il protocollo dell’integrità dei dati),
cifrati, e trasmessi.
I dati ricevuti vengono decifrati, verificati, decompressi, e riassemblati, quindi vengono trasmessi al livello
più alto.
27
SSL RECORDS(2/2)
In generale SSL prende i pacchetti che devono essere
trasmessi e li frammenta in blocchi di dati (record di 214
byte o meno):
Dati
- Protocol
- Size
- Record type
- Block cipher
padding
- MAC
28
SECURE ELETTRONIC
TRANSACTION
Il protocollo SET è stato sviluppato da diverse grandi
imprese tra cui Visa, Mastercard, IBM e Microsoft. Tale
protocollo:
1. fornisce un canale di comunicazione sicuro in una
transazione;
2. garantisce
informazioni;
la
sicurezza
e
la
riservatezza
delle
3.NON è un sistema di pagamento.
4. garantisce autenticazione (sia del compratore che del
venditore)
29
IL PROCESSO
ALICE
1. calcola il digest del messaggio contenente la descrizione dei beni (impronta digitale) del messaggio;
BOB
1. decodifica la busta digitale con la
propria chiave privata;
2. codifica il digest con la propria chiave privata per produrre la propria
firma;
2. usa la chiave simmetrica per decodificare la descrizione dei beni, la
firma e il certificato di Alice;
3. crea una chiave simmetrica casuale
che usa per codificare la descrizione
dei beni, la propria firma e una copia del proprio certificato, contenente una copia della sua chiave di
firma pubblica;
3. decodifica la firma di Alice con la
chiave di firma pubblica di Alice,
ottenuto dal certificato di Alice;
4. dal certificato di Bob, prende la sua
chiave pubblica, con la quale Alice
codifica il messaggio;
4. calcola il digest della descrizione
dei beni con l’algoritmo usato da
Alice e produce un nuovo digest;
5. spedisce a Bob un messaggio che
contiene: il messaggio, la firma, il
certificato, la chiave simmetrica codificata in modo asimmetrico (busta
digitale).
5. confronta il proprio digest con
quello contenuto nella firma digitale di Alice: se sono uguali ok,
30
altrimenti rifiuta il messaggio
Bibliografia
SSL
http://www.zimuel.it/talks/iclc2002.pdf
http://www.dis.uniroma1.it/~alberto/didattica/IPSEC&SSL.pdf
http://www.dia.unisa.it/~ads/corso-security/www/CORSO9900/SSL/ssl.htm
http://www.ippari.unict.it/wikippari/storage/users/55/55/images/51/Protocoll
o%20SSL.pdf
http://www.guideperpc.com/articoli_acquistare_online.htm
Commercio
elettronico
http://it.wikipedia.org/wiki/Commercio_elettronico
http://www.rodostore.eu/sicurezza/leggi.html
http://icms.retecamere.it/UserFiles/File/Commercio%20elettronico.pdf
http://www.zimuel.it/talks/iclc2002.pdf
Set
http://telemat.die.unifi.it/book/Security/set.htm
31