M-handel kräver säkerhet

Någon total säkerhet för transaktioner över mobilnätet kan operatörerna inte garantera. Det finns idag hyfsat tillförlitliga lösningar för att lösa säkerhetsproblemen vid mobil datakommunikation.

Problemet är inte bara att hitta en standardlösning, utan också att avgöra vem som ska styra användningen. Det handlar mycket om mobiloperatörens framtida roll när mobil datakommunikation blir billigare och mera tillgänglig. Vill operatörerna styra trafiken i sina nät genom att ha kontroll över tjänsteutbudet? Eller vill de maximera trafiken och tillåta alla tjänsteleverantörer att få plats? Dessa alternativ kräver olika slags säkerhetslösningar.

Ringer gratis

Säkerhetsproblemen inom den trådlösa trafiken har så här långt, när 98 procent av trafiken utgörs av rösttelefoni, inte varit särskilt påtaliga. Visst förekommer manipulationer av mobiltelefonerna där användaren har kunnat ringa gratis, men problemet är trots allt begränsat. Säkerheten klaras också skapligt i dagsläget eftersom teleoperatören äger nätverket och kan ha kontroll på trafiken.

Men nu, när vi förväntas börja köpa varor och tjänster över mobilnätet, ökar säkerhetskraven drastiskt. När vi ska skicka kontokortsnummer, lösenord, PIN-koder och annan känslig information växer också incitamenten för obehöriga att avlyssna och komma åt denna information i mobilnätet. Även om informationen kommer att krypteras måste det ju finnas någon som garanterar att den överförda informationen behåller sin korrekthet.

Stjäl lösenord

Vad gäller m-handeln, det vill säga mobil elektronisk handel, är det första problemet med dagens GSM-nät inte säkerheten, utan att de inte är byggda för att kommunicera i bred skala så att de exempelvis kan hantera bankernas enklare internettjänster, som betalningar och kontoöverföringar. När väl dessa problem är lösta kommer säkerhetsaspekten in.

När allt fler nät blir publika och trafiken allt mer kommer att utgöras av paketerad data ökar också säkerhetsriskerna dramatiskt.

Dagens Wap-teknik, som ofta betraktas som en övergångsteknik, gör att krypteringen inte blir helt tillförlitlig. Många har påpekat att det rent teoretiskt är relativt enkelt att avlyssna Wap-transaktioner. Ett exempel är att den som gör intrång kan stjäla lösenord och koder.

Med bredband kan också problemen öka för intrång, i och med att den anslutna datorn eller mobiltelefonen är uppkopplad så fort den slås på.

Digitala certifikat

Men de flesta bedömare verkar idag vara ense om att så kallade PKI-lösningar kommer att bli det dominerande säkerhetssystemet.

PKI (Public Key Infrastructure) är en infrastruktur eller ett ramverk bestående av flera produkter som används för att klara två säkerhetsuppgifter. För det första autenticering av användarna, för det andra kryptering av trafiken mellan parterna. Autenticeringen innebär en garanti för att de iblandade parterna verkligen är de som de utgör sig för att vara. Grunden till detta utgörs av så kallade digitala certifikat där en tredje part, som ska vara en organisation med stort förtroende, skapar två digitala nycklar. En är publik och en är privat för användaren och de passar endast för varandra. Den privata nyckeln kan exempelvis levereras i ett smartcard. Genom att certifikatutställaren garanterar identiteten, ungefär som staten gör som utfärdare av körkortet vid legitimering på banken, så ska också affärerna vara juridiskt bindande.

Operatören kontrollerar

Det finns olika PKI-lösningar. Ett exempel på PKI-system är det som den finska telekomjätten Soneras dotterbolag Smart Trust har tagit fram. Smart Trust har för övrigt köpt de båda svenska säkerhetsföretagen Across Wireless och iD2. Systemet har en lösning där identifikationen och krypteringsfunktionen är placerade i telefonens SIM-kort. Men i och med att det

är operatören som kontrollerar utdelningen av SIM-kort kommer operatören att med detta system också i stor utsträckning avgöra vilka funktioner som säkerhetssystemen i SIM-kortet ska klara.

En lösning som ingår i bland annat Smart Trusts produktfamilj är lösningen med ett så kallat WIM-kort (Wireless Identification Module). Modulen ska ha en plats vid sidan av SIM-kortet. Därmed blir det möjligt att erbjuda tjänsterna till alla som har mobilabonnemang, oavsett operatör. Med sådana lösningar kan det bli så att operatören får finna sig i att bli en ren transportör.

Fingeravtryck

Till detta smartcard går det också att lägga in så kallade biometriska identifieringsmetoder såsom fingeravtryck, röstigenkänning, med mera. De båda svenska börsföretagen Fingerprint Card och Precise Biometrics har utvecklat metoder för detta.

De stora mobiltelefontillverkarna Eriksson, Motorola och Nokia håller också på att utveckla en standard för säker m-handel: Mobile Electronic Transactions (MET). Även MET arbetar bland annat med en WIM-lösning.

Det finns emellertid bedömare som menar att det inte finns några helt säkra system. För även de som vill komma åt informationen utvecklar ständigt sina metoder. Det finns särskilda kodknäckningsprogram för att spräcka kodnycklarna och så kallade nätverksscannrar för att avlyssna trafik.

Några av de befintliga PKI-systemen har också visat sig innehålla buggar som öppnar för obehöriga att tyda den krypterade informationen.

Krypterad post

I vissa program har man också skapat en funktion med en tredje krypteringsnyckel som ska deponeras, så att exempelvis polisen ska kunna öppna krypterad post vid misstanke om brott. Om man som användare inte kan hålla reda på sin tredje nyckel finns dock risk att systemen kan öppnas.

Det finns vissa allmänna principer om autenticering, digitala signaturer och stark kryptering, som markant kan höja säkerheten. Viktigast är att man har en strikt policy om vem som har tillgång till vad i systemet.

M-handeln står heller inte och faller med om man har helt idiotsäkra system eller inte. Det handlar istället om att användarna ska ha en tillräcklig tillit till systemet så att det blir allmänt accepterat.