Взгляд изнутри

Ашот Оганесян

Спецвыпуск: Хакер, номер #061, стр. 061-030-5

Петр Дарахвелидзе: Если бы дела обстояли плохо, мы бы с Вами не беседовали. WebMoney одной из первых на российском рынке, еще в 1998 г., взяла на вооружение ассиметричные криптографические алгоритмы, цифровую подпись и другие средства защиты данных. Все переводы средств действительно представляют собой транзакции на уровне базы данных: средства попадают на кошелек получателя, только если они списаны с отправителя, одной операцией. Поэтому у нас никогда не было путаницы со счетами, пропадания или "удвоения" денег, которыми грешили даже очень крупные и известные международные системы.

XS: Какие методы разграничения доступа пользователей используются, помимо традиционного пароля?

Елена Колмановская: Большинство пользователей соглашаются на стандартный уровень безопасности ради удобства работы с web-кошельком — то есть работать просто через браузер. При этом у них, кроме обычного пользовательского пароля, есть еще и защищенный платежный пароль. Те, кто ради дополнительного уровня защиты готовы пойти на дополнительные ограничения, могут установить у себя на компьютере специальную программу-кошелек, которая дополнительно шифрует данные о транзакциях.

Александр Покровский: Для корпоративных клиентов используется 1024-битный сертификат, для мобильных телефонов — 512-битные ключи. Сейчас мы обдумываем вопрос использования ЭЦП для частных клиентов. Но здесь есть ряд сложностей. А вообще (я в очередной раз повторюсь) уровень защиты адекватен хранимым суммам. В подавляющем большинстве случаев для обеспечения защиты вполне хватает SSL-соединения с достаточно длинным ключом.

Петр Дарахвелидзе: Классический пароль, с нашей точки зрения, полностью дискредитировал себя как средство разграничения доступа. Вообще, вся информация, хранящаяся на компьютере пользователя, потенциально уязвима. Нужно исходить из того, что существующие и еще не найденные "дырки" в программах и протоколах рано или поздно позволят взломщику получить доступ к персональным данным среднестатистического пользователя. Но если защитить информацию на компьютере невозможно, значит…ее там не должно быть. Именно так работает наш метод аутентификации e-num (enum.ru). Пользователю выдается уникальный одноразовый шифроблокнот в виде сгенерированного специально для него Java-мидлета для мобильного телефона или программы для КПК. При входе в защищенную зону тебе посылают число-запрос, а ты получаешь с мобильника число-ответ. Таким образом можно пользоваться WM Keeper и другими сервисами, которые используют e-num, из любого, даже самого ненадежного интернет-кафе или клуба. Твою персональную информацию выудят только вместе с мобильником, а это уже совершенно другая статья Уголовного кодекса, в отличие от рассылки троянов и установки кейлоггеров.

XS: Какие криптографические алгоритмы применяются для защиты платежей? Как вообще обеспечивается шифрование транзакций?