امنيت در تجارت الكترونيك

مديريت سيستمهاي امنيت اطلاعات

مقدمه
گرچه بحث دسترسي به اطلاعات و از سوي ديگر امنيت و حفاظت از اطلاعات در سطح كشوري براي حكمرانان از زمانهاي قديم مطرح بوده و دستيابي به اطلاعات نظامي و كشوري گاه موجب نابودي قومي مي شده است اما با توسعه فناوري اطلاعات و استفاده از اطلاعات به عنوان يك ابزار تجاري و سرمايه سود آور، بحث امنيت اطلاعات بعد جديدي به خود مي گيرد.

در تجارت امروز، اطلاعات نقش سرمايه يك شركت[۱] را ايفا مي كند و حفاظت از اطلاعات سازمان يكي از اركان مهم بقاي آن مي باشد. جهاني شدن اقتصاد منجر به ايجاد رقابت در سطح جهاني شده و بسياري از شركتها براي ادامه حضور خود در عرصه جهاني، ناچار به همكاري با ساير شركتها هستند. به اين ترتيب، طبقه بندي و ارزش گذاري و حفاظت از منابع اطلاعاتي سازمان ( چه در مورد سيستم اطلاعاتي و چه اعضاي سازمان) بسيار حياتي و مهم بشمار مي رود. سيستم مديريت اطلاعات ابزاري است در جهت طراحي پياده سازي و كنترل امنيت نرم افزار و سخت افزار يك سيستم اطلاعاتي(Pipkin, 2000)
مسايل امنيتي در تجارت الكترونيكي

اينترنت به عنوان بستر انتقال اطلاعات در دنياي كنوني مطرح است. TCP/IP پروتكل انتقال اطلاعات در شبكه اينترنت است. با مطرح شدن اينترنت به طور گسترده، مسئله امنيت اطلاعات قابل انتقال، به شكل مشخصي بازگو شد زيرا اطلاعات مهم نيز از طريق اين بستر فرستاده مي شد. اطلاعاتي مثل، شماره كارت اعتباري، فرم پرداخت و غيره از جمله مسايلي بود كه احتياج به امنيت بيشتري داشت. به همين دلايل امنيت در تجارت الكترونيكي جايگاه مهمي داراست.

به چند روش مي توان در اطلاعاتي مداخله كرد كه بين دو كامپيوتر مبادله مي گردد و اين روشها عبارتند از [۶,:۹]
۱ – استراق سمع: اطلاعات توسط فردي خوانده مي شود و مي تواند بعداً مورد استفاده قرار گيرد. مثل شماره حساب يك فرد، در اين حالت محرمانه بودن اطلاعات از بين مي رود؛

۲ – تغييردادن پيام: امكان دارد پيام هنگام انتقال تغيير كند و يا كلاً عوض شود و سپس فرستاده شود. مثلاً سفارش كالا مي تواند تغيير يابد؛
۳ – تظاهركردن: ممكن است شخصي خود را به جاي يك سايت معرفي كرده و همان اطلاعات را شبيه سازي كند و پس از دريافت مقادير قابل توجه هيچ پاسخي به خريداران نداده و ناپديد گردد.

روشهاي متفاوتي براي جلوگيري از اين مسايل وجود دارد كه يكي از آنها رمزدار كردن پيام است كه خود به چند دسته تقسيم مي گردد. ديگري درهم سازي و فشرده سازي پيام و تهيه DIGEST است. در امضاي ديجيتالي عملاً تلفيقي از اين روشهــا مـــورد استفـاده قرار مي گيرد. انواع روشهاي رمزنگاري بدين شرح است:
! رمزنگاري با كليد متقارن: در اين روش از يك كليد استفاده مي شود. بدين شكل كه يك كليد مشترك بين طرفين وجود دارد. اطلاعات بااين كليد رمزدار شده و فقط توسط طرف مقابل كه دارنده كليد است قابل بازگشايي است. مشكل اين روش تبادل اين كليد قبل از رمزداركردن پيام است.

! رمزنگاري با كليد نامتقارن يا كليد عمومي: در اين روش يك جفت كليد براي انتقال پيام استفاده مي گردد. به اين شكل كه هركاربر داراي يك كليد عمومي و يك كليد خصوصي است. كليد عمومي در يك دايركتوري در اختيار هركس مي تواند قرار گيرد و كليد خصوصي هر فرد را، فقط خودش مي داند. در ارسال پيغام از A به B ، ابتدا A پيام را با كليد خصوصي خود رمزدار كرده سپس با كليد عمومي پيام را ارسال مي كند.

در طرف مقابل B پيام را با كليد عمومي رمزگشايي كرده و سپس با كليد خصوصي خود رمز را باز مي كند و پيغام را مشاهده مي كند. اشكال اين روش اين است كه شخص ثالثي مانند C مي تواند خود را به جاي A معرفي كرده و پيامي را با كليد خصوصي خود و سپس كليد عمومي رمزدار كرده وبراي B ارسال كند. در اين روش B نمــي تواند تشخيص دهد كه پيغام ارسال شده حتماً از طرف A بوده است. امضاي ديجيتالـي به عنوان روشي براي جلوگيري از ايجاد اين مشكل به وجود آمده است.

! رمزنگاري بااستفاده از روش كليد عمومي با امضاي ديجيتالي:
امضاي ديجيتالي همراه با كليد عمومي، موجوديتي است كه به شخص طرف مقابل اين امكان را مي دهد تا تشخيص دهد كسي را كه پيغام را فرستـــاده، همان كسي است كه ادعا مي كند، و پيغام دريافت شده همان پيغام ارسال شده است. (تصديق اصالت).
در روش امضاي ديجيتالي از كليد عمومي همراه با توابع HASH استفاده مي شود. اين كليد داراي يك تاريخ انقضا نيز هست كه هرچه مدت اعتبارش كوتاهتر باشد اعتبار آن بالاتر است زيرا احتمال جعل آن بالا مي رود. گيرنده پيغام امضاي انجام شده را چك مي كند تا از اصالت آن باخبر شود.

مراكزي كه امضاي ديجيتالي را در اختيار قرار مي دهند خود از مراكز ديگري اعتبار گواهينامه را دريافت كرده اند. اين مركز موجوديتي است كه اعتبار را براي يك فرد ايجاد مي كند. چند نمونه از آنها XCERT ، VENSIGN ، THAWTE هستند كه با دريافت وجه مشخصي اين اعتبار را در اختيار قرار مـــي

مديريت امنيت اطلاعات
مديريت امنيت اطلاعات بخشي از مديريت اطلاعات است كه وظيفه تعيين اهداف امنيت و بررسي موانع سر راه رسيدن به اين اهداف و ارائه راهكارهاي لازم را بر عهده دارد. همچنين مديريت امنيت وظيفه پياده سازي و كنترل عملكرد سيستم امنيت سازمان را بر عهده داشته و در نهايت بايد تلاش كند تا سيستم را هميشه روزآمد نگه دارد.

هدف مديريت امنيت اطلاعات در يك سازمان، حفظ سرمايه هاي (نرم افزاري، سخت افزاري، اطلاعاتي و ارتباطي و نيروي انساني) سازمان در مقابل هر گونه تهديد ( اعم از دسترسي غيرمجاز به اطلاعات، خطرات ناشي از محيط و سيستم و خطرات ايجاد شده از سوي كاربران) است ( دشتي، ۱۳۸۴: ۱۵۹). و براي رسيدن به اين هدف نياز به يك برنامه منسجم دارد. سيستم امنيت اطلاعات راهكاري براي رسيدن به اين هدف مي باشد.

سيستم امنيت اطلاعات
يكي از وظايف مديريت امنيت بررسي و ايجاد يك سيستم امنيت اطلاعات است كه متناسب با اهداف سازمان باشد. براي طراحي اين سيستم بايد عوامل مختلفي را در نظر گرفت. محاسبه ارزش اطلاعات از نظر اقتصادي، بررسي خطرات و محاسبه خسارتهاي احتمالي و تخمين هزينه- سودمندي استفاده از سيستم امنيت اطلاعات، بررسي تهديدات احتمالي و بررسي راهكارهاي مختلف و انتخاب سودمندترين روش براي طراحي سيستمهاي امنيت اطلاعات ضروري بنظر ميرسد(Pipkin, 2000).

مجموعه مراحلي كه در طراحي يك سيستم امنيت اطلاعات در نظر گرفته
مي شود به شرح زير مي باشد:
آشنايي با منابع اطلاعاتي موجود در سازمان: مجموعه منابعي كه يك سازمان در اختيار دارد شامل افرادي كه در سازمان شاغل هستند، امكانات و سرمايه هاي مادي، اطلاعاتي و كه حوضه هاي كاري را مشخص مي كند و سازمان را از ساير سازمان ها جدا مي كند، ساختارها يك سازمان مثل نيروي برق، ارتباطات و تبادلات اطلاعاتي و غيره … مي باشد.

بعلاوه طراح سيستم بايد با مجموعه الگوريتمها و نرم افزارهاي سيستم اطلاعاتي سازمان، امكانات موجود در سازمان و فرايند توليد و بازيابي اطلاعات و كاربران اين اطلاعات آشنايي كامل داشته باشد. آشنايي با منابع مربوط به حوضه اطلاعات يك سازمان موجب درك وضعيت و ميزان نياز به امنيت و چگونگي اعمال راهكارهاي امنيتي مناسب با آنها خواهد شد.

• ارزيابي ارزش اطلاعات: قيمت گذاري اطلاعات به دو شكل قابل تخمين(محسوس) و غير قابل تخمين ( غير محسوس ) قابل محاسبه است[۲]. اطلاعات موجود در سازمان مورد ارزيابي قرار گرفته و هزينه توليد آن به هر دو شكل بايد محاسبه شود. علاوه بر اين ضروري است ارزش هزينه توليد و هزينه توليد دوباره اطلاعات در صورت تهديد امنيتي و از بين رفتن اطلاعات محاسبه شود هزينه بازتوليد اطلاعات شامل نيروي انساني، ماشين، تجهيزات و زماني است كه صرف جمع آوري و ورود و هماهنگي اطلاعات خواهد و همچنين مقايسه آن با هزينه ايجاد امكانات حفظ اطلاعات مثل تهيه پشتيبان مناسب و بارگزاري به موقع اطلاعات و همچنين هزينه نرسيدن به موقع اطلاعات در هر يك از اين مدل ها موجب مي شود مديريت امنيت اطلاعات سيستمي متناسب با ارزش اطلاعات سازمان طراحي كند(Pipkin, 2000).

• هزينه فاش شدن اطلاعات: مورد ديگري كه بايد بدقت مورد بررسي قرار گيرد هزينه فاش سازي اطلاعات است اينكه چه اطلاعاتي با فاش شدن صدمات بيشتري به سرمايه هاي سازمان وارد خواهد كرد و به اين ترتيب تعيين سطوح مختلف ارزش اطلاعاتي و سازمان دهي و طبقه بندي اطلاعاتي و هزينه افشا سازي هر يك از سطوح اطلاعاتي مسئله اي است كه نبايد در طراحي سيستم هاي اطلاعاتي مورد غفلت قرار گيرد(Pipkin, 2000).

• تهديدات سيستم اطلاعاتي: مجموعه تهديداتي كه متوجه سيستم اطلاعاتي مي باشد به دو صورت كلي مي باشد برخي به صورت عمدي ايست مثل كلاهبرداري هاي اينترنتي، حملات ويروسها و هكرها، و يا به صورت غير عمدي صورت مي گيرد مثل اشتباهات انساني، مشكل سخت افزاري و نرم افزاري و بلاياي طبيعي.

انواع خطرهاي تهديد كننده سيستم اطلاعاتي
اشتباه‌هاي انساني: كه بيشترين ميزان خسارات از اين طريق به سيستم اطلاعاتي وارد مي شود. عدم ارائه آموزشهاي مناسب و عدم آگاهي و روزآمدسازي اطلاعات توسط كاربران و توليدكننده گاه اطلاعات و گاه بي توجهي آنها در كار موجب تحميل هزينه هاي سنگين بر سازمان مي شود. كه با آموزش مناسب بخش مهمي از مسايل مربوط به كاربران اطلاعاتي حل خواهد شد.

بي دقتي و بي توجهي كارمندان نسبت به مسايل امنيتي نيز گاه موجب بروز مشكلات مي شود شخصي به عنوان منشي دفتر فني به كارمندان زنگ زده و مي گويد براي رفع مشكل امنيتي نياز به اسم كاربري و كلمه عبور كارمندان بخش دارد احتمال اينكه از هر ۱۰۰ كارمند تعدادي به اين سوال جواب دهند زياد است.

ممكن است پنجره اي باز شود و بگويد كه اتصال شما به شبكه قطع شده براي وصل شدن اسم كاربري و كلمه رمز خود را وارد كنيد(احترامي، ۱۳۸۳: ۱۳۸). اينها مثالهايي هستند كه در صورت سهل نگاري كاربران شركت اطلاعات به راحتي در اختيار جاسوسان اطلاعاتي قرار مي گيرد. نوع ديگر از خطراتي كه توسط كاربران متوجه سازمان است شكل عمدي داشته و در اين حالت سازمان بايد با تعيين دقيق حدود اطلاعات و نيز دقت در انتخاب كاربران اطلاعاتي صدمات آن را تا حد امكان كاهش دهد.

در جهاني كه اطلاعات سرمايه اي براي رقابت سازمانها و شركتها مي باشد، با داشتن امكانات و تجهيزات امنيتي نمي توان مطمئن بود كه سيستم امن است، ممكن است مشاور يك شركت براي رقيب نيز نقش مشاوره داشته باشد در اين صورت احتمال فاش شدن اطلاعات سازمان شما وجود دارد. كارمندان خوب، وجود روابط مناسب و خوب در محيط كاري تا اندازه زيادي موجب كاهش اين خطرات مي شود(Pipkin, 2000).

۱٫ خطرات ناشي از عوامل طبيعي: سيل، زلزله، آنش سوزي، طوفان، صاعقه و غيره… جز عواملي هستند كه هر سيستمي را تهديد مي كنند. استفاده از تجهيزات مناسب و ساختمان مقاوم در مقابل بلاياي طبيعي و طراحي نظام بازيابي مجدد اطلاعات تا حدي مي تواند مشكلات ناشي از آن را كاهش دهد.

۲ . ايرادات سيستمي: مشكلات نرم افزاري و سخت افزاري سيستم ممكن است تهديدي براي امنيت اطلاعات سيستم محسوب شود. امروزه سيستمهاي سخت افزاري و نرم افزاري نسبت به قبل بهتر شده است مشكلات سخت افزاري شامل توپولوژي نامناسب شبكه اطلاعاتي، تجهيزاتي كه با هم هماهنگ نيستند، مشكلات مربوط به تجهيزات ارتباطات شبكه(كابلها و مسيريابها ) و قطع و وصل برق و غيره بوده و از مشكلات نرم افزاري مي توان به سيستمهاي [۳]legacy، holl هاي موجود در سيستم نرم افزار كه امكان حمله هاي هكرها را بيشتر مي كند، عدم هماهنگي ميان نرم افزار و سخت افزار اشاره كرد(Pipkin, 2000).

۳٫ فعاليتهاي خرابكارانه: مجموعه فعاليتهايي كه توسط انسان يا ماشين در جهت حمله به سيستم اطلاعاتي و تهديد منابع و امكانات و در راستاي تخريب، تغيير و يا فاش كردن اطلاعات يك سيستم انجام مي شود. فعاليتهاي خلاف شامل سرقت سخت امكانات سخت افزاري و نيز فعاليتهايي كه به جرايم سايبرنتيكي[۴] معروفند مي شود. راهكارهاي لازم براي حفاظت از مجموعه امكانات سازمان(جه امكانات و تجهيزات مربوط به سيستم اطلاعاتي و چه سيستم هاي ديگر سازمان) براي هر سازمان ضروري ايست.

 كه دزدي رايانه اي[۵] و كلاهبرداري رايانه اي[۶] به ترتيب با ۱۹و ۱۳ درصد، هكرها با ۱۲ درصد و استفاده نامناسب از اطلاعات و ارائه اطلاعات نامناسب با ۸ درصد در رتبه هاي بعدي قرار دارند(Bainbridge, 287). كلاهبرداران اطلاعاتي از طريق دست آوردن اطلاعات شخصي و شماره حسابهاي افراد از هويت آنها براي اعمال خلاف استفاده كرده و يا دست به دزدي از حسابهاي آنها مي زنند.

هكرها با گشودن اطلاعات رمز گذاري شده سعي در افشا اطلاعات، حذف يا تغيير در اطلاعات موجود دارند. ويروسها با حمله به كامپيوترها مشكلاتي براي سيستم نرم افزاري رايانه ها ايجاد مي كنند[۷] و موجب اختلال در كارايي سيستم مي شوند. مجموعه اين جرايم در كل موجب فاش شدن غير مجاز اطلاعات، قطع ارتباط و اختلال در شبكه، تغيير و دستكاري غير مجاز اطلاعات يا بك پيغام ارسال شده مي شود و سيستم هاي اطلاعاتي بايستي تدابير امنيتي لازم براي جلوگيري از اين آسيبها اعمال كنند.

• اتخاذ سياستهاي امنيتي: بر اساس استاندارد BS7799 [8]i مواردي كه يك سازمان براي پياده سازي يك سيستم امنيتي اعمال مي كند به شرح زير مي باشد:
۱٫ تعيين سياست امنيتي اطلاعات
۲٫ اعمال سياستهاي مناسب
۳٫ بررسي بلادرنگ وضعيت امنيت اطلاعاتي بعد از اعمال سياست امنيتي
۴٫ بازرسي و تست امنيت شبكه اطلاعاتي
۵٫ بهبود روشهاي امنيت اطلاعاتي سازمان( دشتي، ۱۳۸۴: ۱۵۹).

در پيش گرفتن سياست امنيتي بايد با توجه بدين نكات باشد:
۱٫ ايجاد امنيت از نظر فيزيكي: همانگونه كه در بخشهاي قبل اشاره شد امنيت تجهيزات و امكانات مادي در ايجاد يك كانال امن براي تبادل اطلاعات بسيار موثر است. انتخاب لايه کانال ارتباطی امن، انتخاب توپولوژی مناسب براي شبکه، امنيت فيزيكي، محل‌های امن برای تجهيزات، منابع تغذيه شبکه و حفاظت تجهيزات در مقابل عوامل محيطی مواردي است كه در امنيت يك سيستم اطلاعاتي بسيار موثرند(بهاري، ۱۳۸۴).
۲٫ سطح بندي صحيح اطلاعات با توجه به ارزش اطلاعات و امكان دسترسي به موقع به اطلاعات براي كاربران هر سطح.

۳٫ آموزش كاربران اطلاعاتي سازمان در چگونگي استفاده از تجهيزات سخت افزاري و نرم افزاري سازمان و نيز آموزش راههايي كه نفوذ گران براي كسب اطلاعات سازمان استفاده مي كنند[۹] و هشدار به كارمندان در حفاظت از اطلاعات سازمان. از سوي ديگر ايجاد حس تعهد نسبت به شغل و سازمان در كارمندان از طريق اعمال مديريت صحيح.
۴٫ رمز گذاري اطلاعات و استفاده از امضا ديجيتال[۱۰] در ارسال اطلاعات موجب افزايش ضريب اطمينان در تجارت الكترونيك خواهد شد.
۵٫ تغير مداوم در الگوريتم هاي استفاده شده براي رمز گذاري در كاهش احتمال كشف رمز توسط نفوذ گران و كلاهبرداران اطلاعاتي بسيار موثر است.

۶٫ استفاده از انواع امكانات امنيتي ( البته با توجه نتايج ارزيابي سطح امنيتي مورد نياز) از جمله استفاده از پراكسي كه نقش ايجاد ديواره آتش (Firewall) فيلتر کردن (Filtering)، ثبت کردن (Logging) و تصديق هويت (Authentication) را در شبكه بر عهده دارد; نيز استفاده از نرم افزارهاي مقابله با ويروسها.
۷٫ استفاده از تست نفوذ پذيري: رويه اي است كه در آن ميزان امنيت اطلاعات سازمان شما مورد ارزيابي قرار مي گيرد.

يك تيم مشخص با استفاده از تكنيك هاي هك يك حمله واقعي را شبيه سازي مي كنند تا به اين وسيله سطح امنيت يك شبكه يا سيستم را مشخص كنند. تست نفوذپذيري به يك سازمان كمك مي كند كه ضعف هاي شبكه و ساختارهاي اطلاعاتي خود را بهتر بشناسد و در صدد اصلاح آنها بر آيد. اين امر به يك سازمان كمك مي كند تا در زمينه تشخيص، توانايي پاسخ و تصميم مناسب در زمان خود، بر روي امنيت نيروها و شبكه خود يك ارزيابي واقعي داشته باشد. نتيجه اين تست يك گزارش مي باشد كه براي اجرايي شدن و بازرسي هاي تكنيكي مورد استفاده قرار مي گيرد(شريفي، ۱۳۸۳).

۸٫ با استفاده از يك سيستم پشتيبان گيري اطلاعات از احتمال از بين رفتن اطلاعات جلوگيري نمايد. سيستم پشتيبان گيري مناسبي را كه سازگار با سيستم اطلاعاتي سازمان است انتخاب نموده و تستهاي مربوط به بازيابي اطلاعات را به صورت آزمايشي روي سيستم اعمال نماييد.
۹٫ بطور مرتب تجهيزات و سيستم اطلاعاتي سازمان را بازرسي نماييد و هر گونه مشكل را گزارش نموده و سعي در رفع آن نماييد. همچنين بطور مرتب سيستم اطلاعاتي و امنيتي سازمان را به روز رساني كنيد و آموزش كارمندان را به صورت مستمر ادامه دهيد(دشتي، ۱۳۸۴: ۱۶۰).

استانداردها و تجارت الكترونيكي:
استانداردها نقش مهمي را در توسعه يك ساختار ايفا مي كنند. استانداردهاي زيادي در زمينه هاي مختلف تجارت الكترونيكي مطرح هستند. مديران IS بايستي با استانداردهاي موجود آشنا بوده و قابليت اجراي آنها را براي ارگانيسم خود ارزيابي كنند. استانداردها و پروتكل هاي تجارت الكترونيك در زمينه هاي مختلف عبارتند از:
! پروتكل هاي امنيتي ( STT,S-HTTP,SSL و…)
! پروتكل هاي امنيتي – پرداختي (SEPP,IKP,SET)
! پروتكل هاي مالي – پرداختي (JEPI,BIPS,OFX و…)

پروتكل هاي امنيتي: اخيراً هر كاربر اينترنت بايد تبادلات را قبل از فرستادن پيام از طريق اينترنت به طور روشن محافظت كند. يك دسته از پروتكل هاي امنيتي، امنيت را براي لايه اينترنت فراهم مي كنند. اين پروتكل ها مثــــل ISAKMP,SKIP,IPSEC و غيــره پروتكل هاي امنيتي لايه اينترنت هستند. سري ديگر از پروتكل هاي امنيتي، پروتكل هاي امنيتي لايه انتقال هستند مثل TLS,PCT,SSL و SSH .آخرين سري از پروتكل هاي امنيتي، پروتكل هاي امنيتي لايه كاربردي هستند. اين پروتكل ها مثـل SMTP,S-HTTP ، امنيت را در لايه كاربرد ايجاد مي كنند.

انتقال اطلاعات مهم مثل شماره كارت اعتباري اشخاص بايد با امنيت كامل انجام گيرد. بافرض يك انتقال ايمن با پروتكل SSL,TCP/IP به عنوان پروتكل امنيتي لايه انتقال در زير لايه كاربردي قرار گرفته و امنيت ارتباطات بين سرويس دهنده و سرويس گيرنده را برقرار مي كند.SSL يكي از پروتــكل هاي امنيتي است و به دليل مزاياي زير براي سرويس تجارت الكترونيك مناسب است [۳,۷].

! مستقل از لايه كاربرد است؛
!، SSI از تكنيك رمزنگاري خود به صورت قابل انعطاف عمل مي كند؛
! تصديق اصالت را براي طرفين معامله فراهم مي سازد؛
! رمـــزنگـاري و امضاي ديجيتالي را به كار مي برد؛
! قابليت كار با FTP ،TOLMET ، HTTP را داراست.
پروتكل S-HTTP جايگزيني براي SSL محسوب مي شود و اولين بار توسطEIT مطرح شد. اين پروتكل به ميزان SSL ، شناخته شده نبوده و فقط با HTTP سازگاري دارد.

SSL نيازهاي امنيتي ذيل را براي سرويس تجارت الكترونيك برآورده مي سازد. اين نيازهاي امنيتي عبارتند از:
! پنهان سازي (PRIVACY) فرض كنيد كه پيغام هاي انتقال يافته از A به B رمزدار شده است. A از كليد عمومي مربوط به B براي كدكردن پيغام استفاده مي كند. در اين حالت B تنها كسي است كه مي تواند پيغام را رمــزگشايي كرده و بااستفاده از كليد خصوصي اش آن را بخواند.
! تصديق اصالت ((AUTHENTICITY
گيرنده اطلاعات اين امكان را پيدا مي كند كه هويت فرستنده را دريابد.

امنيت بازار الكترونيك:
در سيستم بازار الكترونيك امنيت به معناي محرمانگي وجود ندارد بدين معنا كه هر فروشنده ميتواند از محتواي پيشنهادات فروشندگان متاخر ، مطلع شود.اين روش علاوه بر ايجاد امكان رمزگذاري نامتقارن مزيت ديگري نيز دارد. فروشنده ميتواند با ارزيابي ساير پيشنهادات ، پيشنهاد خود را درج كند. پيش فرض ما اين است كه بازار الكترونيك براي خريد هاي غير كلان طراحي گرديده و براي مناقصه ها مناسب نيست.

عامل متحرك بصورت يك قطعه كد و به همراه جداول داده – كه شامل پيشنهادات فروشندگان قبلي است- بين سايت هاي مختلف فروشنده منتقل ميشود. در صورتي كه تدابير امنيتي لازم انديشيده نشود ، هر يك از فروشندگان قادر خواهند بود تغييراتي در پيشنهادات فروشندگان قبلي و يا كد دستورات ايجاد نمايند كه اين امر براي از ميدان به در كردن رقبا كاملا محتمل است.

رمز گذاري نامتقارن
در رمز گذاري معمولي – يا متقارن- يك كليد براي رمزگذاري وجود دارد و از همان كليد هم براي خارج كردن متن از رمز استفاده ميشود. اما در رمز گذاري نامتقارن از دو كليد مجزا براي اين منظور استفاده ميشود.به بيان ديگر در روش رمزگذاري نامتقارن متن رمز شده فقط توسط دارنده كليد اختصاصي قابل ايجاد است اما از رمز در آوردن آن توسط كساني كه كليد عمومي را در اختيار دارند (همه افراد) ممكن است.