Elektronik ticarette alıcı ve satıcı birbirlerini gormeksizin iş yaptıklarından karşılıklı olarak guvenin sağlanması icin ek bir takım onlemler almaya ihtiyac duyarlar. Oncelikle alıcı ve satıcı taraflar birbirlerinin kimliklerinden emin olmak isterler. İşte bu ihtiyactan dolayı daha sonra bahsedeceğimiz “dijital imza” ve “dijital sertifika” kavramları geliştirilmiştir.

Bunlar aracılığıyla iki taraf birbirlerinin kimliğinden emin olabilmektedir. Turkiye ’de şu anda dijital sertifikalar ile ilgili yasal altyapı henuz oluşturulmadığı icin alıcı tarafında bulunan bireysel kullanıcılar henuz dijital sertifika kullanmaya başlamamışlar, satış yapan siteler de muşterilerine bunu şart koşmamışlardır. Bu nedenle satıcılar alıcıların kimliklerini kontrol edememektedirler. Bazı ozel kuruluşlar, ozel sistemler geliştirerek bu kuşkuyu ortadan kaldırmaya calışmaktadır.

Elektronik ticarette guvenlik konusunda değerlendirilmesi gereken diğer bir konu da alıcıların elektronik ticaret sitelerinden alışveriş yapmak icin vermek durumunda kaldıkları kredi kartı vb. bilgilerin Internet uzerinden iletilirken ucuncu şahısların eline gecmesi riskidir. Bilindiği gibi ozellikle telefonla yapılan satışlarda (gazeteye ilan vermek, katalog satışları vb) kredi kartı numarası ve son kullanma tarihi alışveriş icin yeterli olmaktadır. Bu yuzden bu bilgilerin korunması e-ticaretin gelişimi icin buyuk onem taşımaktadır.

Ancak e-ticarette kredi kartı bilgilerinin başkalarının eline gecme riski gunluk hayattakine gore cok daha azdır. Gunluk hayatta odeme yaparken kredi kartı bir başkasına verilmekte, bu yuzden kredi kartının uzerindeki bilgilerin gizliliği buyuk oranda ortadan kalkmaktadır. Sanal alışveriş hizmeti veren firmalar, kredi kartı bilgilerinin guvenliği ve gizliliğini sağlamak icin yaygın olarak SSL ve SET gibi guvenlik standartlarını kullanmaktadırlar. Kullanıcı, işyeri ve banka arasındaki veri akışı sırasında bilgilerin şifrelenerek aktarılması esasına dayanan guvenlik sistemleri sayesinde bilgilerin başka bir kişinin eline gecmesi durumunda cozulebilmesi (yani kullanılabilmesi) onlenir. Boylece kart bilgilerinin gizliliği ve alışverişin guvenliği sağlanmış olur. Burada onemli bir noktada, gizlilik sağlansa da muşteriye itiraz hakkının verilip verilmeyeceğidir.(Kuruluşlar genelde itiraz hakkı verirler.)

Nasıl ki kredi kartınızı caldırmanız, kaybetmeniz, kasa başında unutmanız v.b. gibi normal kullanım riskleri varsa, internet uzerinden alışverişte de, soz gelimi, kredi kartı bir başkasına vermişseniz ve kişisel bilgilerinizi (isim, adres, telefon vb) başkaları biliyorsa, benzer riskler vardır. Ancak bu risk, genellikle teknolojinin yetersizliğinden değil tam tersine, yanlış ve bilincsiz kullanımından doğmaktadır.


Guvenlik İcin Kullanılan Yaygın Protokoller:

İnternet uzerinde dolaşan bilgi paketleri, bir takım guvenlik protokolleri yardımıyla "şifrelenerek" gonderilir. Bunlardan en populerleri SSL (guvenlikli web oturumu ve karşılıklı bilgi değiş-tokuşu) ve SET (kredi kartı uygulamaları) dir. SSL (Secure Sockets layer) ve SET (Secure Electronic Transaction) sayesinde, bilgi guvenli bir şekilde "sadece" doğru kişiye iletilir ve bilgiyi gonderen bilgisayar ile alan bilgisayar arasında guvenli bir veri iletişimi kurulur.

Kredi kartı numarası, isim, adres vb gibi bilgiler guvenli olarak iletilir. İnternet uzerinde alışveriş yapılan tum merkezlerde alışveriş yapılırken bu tip guvenlik sistemleri kullanılır. 128 bir şifreleme algoritmaları kullanan bu sistemler, e-ticaret icin gerekli "guvenli iletişim" ortamını sağlarlar. Anahtarlar uretilirken kullanılan bazı populer algoritmalar olarak, DES (Data Encryption Standard), RSA, IDEA verilebilir. Bunlardan RSA ’nın RC4 algoritması (128 bit şifreleme olarak) Netscape ve Internet Explorer ’da da kullanılan bir algoritmadır.

Sanal Mağazaya muşterilerin guvenli erişimi icin, SLL standartı kullanılmaktadır. Satıcı firma, bir onay kurumundan aldığı elektronik web sitesi kimliği ile mağazasının sanal dunyadaki kaydını gercekleştirmektedir. Muşteri ile Satıcı Firma arasındaki iletişimde guvenliği sağlayan SLL; internette ulaşılan adresin gercekten aranan mağaza olup olmadığını kontrol etmekte ve bilgilerin şifrelenerek gonderilmesini sağlamaktadır.

Satıcı firma ile banka arasındaki iletişimin guvenliği ise SET protokolu ile gercekleştirilmektedir. Muşteriden SLL ile alınan odeme bilgileri (kredi kartı), satıcı firma tarafından bankaya SET protokolu ile şifrelenerek gonderilmektedir. Banka, muşterinin hesabının uygun olması durumunda, alışverişini onaylamakta ve provizyon bilgisini satıcı firmaya gondermektedir. Satıcı firma, muşterisine siparişin tamamlandığını bildirdikten sonra bankaya bağlanarak alışveriş tutarını hesabına aktarmaktadır. Ulkemizde kitap, kaset, CD, cicek, elektronik, giyim, bilgisayar, gıda, vb. urunlerin İnternette doğrudan muşteriye satışını yapan sanal mağaza sayısı 250 ’yi aşmıştır (*).

Geniş Anlamıyla SSL

SSL (Secure Sockets Layer), ağ uzerindeki web uygulamalarında guvenli bilgi aktarımının temini icin (bilginin doğru kişiye guvenli olarak iletimi), "Netscape" firması tarafından geliştirilmiş bir program katmanıdır . Burada, bilgi iletiminin guvenliği, uygulama programı (web browser, HTTP) ile TCP/IP katmanları arasındaki bir program katmanında sağlanmaktadır. SSL, web sunucularına (Apache vb), bir modul olarak yuklenir ve boylece web sunucuları guvenli erişime uygun hale gelir. SSL, hem istemci (bilgi alan) hem de sunucu (bilgi gonderen) bilgisayarda bir doğrulama (authentication: iki bilgisayarın karşılıklı olarak birbirini tanıması) mekanizması kullanır. Boylece, bilginin doğru bilgisayardan geldiği ve doğru bilgisayara gittiği teyit edilir.

Bilgisayarların birbirlerini "tanıma" işlemi, acık-kapalı anahtar tekniğine (public-private key encryption) dayanan bir kripto sistemi ile sağlanır. Bu sistemde, iki anahtardan oluşan bir anahtar cifti vardır. Bunlardan acık anahtar (public key) herkes tarafından bilinebilen ve gonderilen mesajı "şifrelemede" kullanılan bir dijital anahtardır. (Burada anahtar ’ dan kasıt, aslında bir şifreleme -kriptolama- algoritmasıdır. Bu algoritma (yani, anahtar) kullanılarak gonderilecek bilgi şifrelenir). Ancak, acık anahtar ile şifrelenen mesaj sadece bu anahtarın diğer cifti olan "kapalı anahtar" (private key) ile acılabilir (deşifre edilebilir). Kapalı anahtar da, sadece sizin bildiğiniz bir anahtar olduğundan, mesaj guvenliği sağlanmış olur. Ornek olarak, size mesaj gondermek isteyen birine kendi acık anahtarınızı gonderirsiniz. Karşı taraf bu anahtarı kullanarak mesajını şifreler ve size gonderir. Şifrelenen mesajı, sadece sizde olan ikinci bir anahtar (kapalı anahtar, private key) cozebilir ve bu anahtarı sadece siz bilirsiniz.

SSL, web sunucusunu tanımak icin, dijital olarak imzalanan sertifikalar kullanır. Sertifika, aslında, o organizasyon hakkında bazı bilgiler iceren bir veri dosyasıdır. Aynı zamanda da, kuruluşun acık-kapalı anahtar ciftinin "acık" anahtarı da sertifika icinde yer alır. Sunucu sertifikası da, o sunucuyu işleten kuruma ait bilgiler iceren bir sertifikadır. Sertifikalar, "guvenilir" sertifika kuruluşları tarafından dağıtılır (Orneğin VeriSign vb.).
İstemci(bilgi alan) bilgisayar, SSL destekleyen bir sunucuya bağlandığı anda, (bu, https:// ile başlayan URL satırları ile gercekleşir) doğrulama işlemi başlar. İstemci, kendi acık anahtarını sunucuya gonderir. Sunucu ise, bu anahtarı kullanarak şifrelediği bir mesajı istemciye geri gonderir. Bir sonraki adımda istemci sadece kendinde olan kapalı (private) anahtarı kullanarak gelen şifreli mesajı cozer ve sunucuya geri gonderir. Mesajı alan sunucu ise, bunu kendisinin gonderdiği orijinal mesaj ile karşılaştırır ve eğer iki mesaj "aynı" ise "doğrulama" işlemi başarıyla tamamlanmıştır ve sunucu bu noktadan itibaren "doğru bilgisayarla/kişiyle" iletişimde olduğunu anlar. Daha sonra sunucu istemciye o an gercekleşen web oturumunda kullanılacak tum onemli anahtarları gonderir ve guvenli iletişim başlar.

SSL, bugun icin yaygınlıkla kullanılan ve bircok yazılımın desteklediği bir stantard haline gelmiştir. Ozellikle internet uzerinden bankacılık, elektronik kimlik belgesi cıkartma gibi hizmetler veren siteler SSL kullanmaktadırlar.