Säkerheten inom Internet-poker

Säkerheten inom Internet-poker Institutionen för informationsbehandling Åbo Akademi 2005 Jonas Lind, 27172

Innehållsförteckning Sammandrag 1. Inledning 2. Spelen 2.1 Texas Hold em 2.2 Omaha 2.3 7 stud 3.. Integritets- och säkerhetsföreskrifter på olika pokerplatser 3.1 Partypoker 3.2 Pokerstars 3.3 ParadisePoker 4. Säkerhet på nätet 4.1 Transaktioner 4.2 Standarder och certifikat 4.3 Kryptering 4.4 Virusrisker 5. Avslutning 6. Referenser 2

Sammandrag: Texas Hold em poker på nätet är för tillfället en av världens mest växande trender. I föreliggande uppsats presenteras olika pokerspel och olika pokerplatsers säkerhetsföreskrifter på Internet. I uppsatsen behandlas transaktioner på Internet, virusrisker, kryptering, samt olika standarder och algoritmer som de olika pokerplatserna använder sig av. Det visade sig att de tre olika pokerplatserna som granskades i uppsatsen använder sig av relativt likadana rutiner vad gäller säkerhet, registreringsrutiner och algoritmer. Kryptering, krypteringens kvalitet, och olika krypteringssystem förefaller vara det väsentligaste när det gäller säkerhet och personlig integritet på nätet. I framtiden kommer biometri troligen att spela en allt större roll inom datasekretess. Nyckelord: Texas Hold em, nätpoker, elektroniska transaktioner, kryptering, kryptografi, nätsäkerhet, datasekretess 3

1. Inledning Den enorma tillväxten av datasystem och deras sammanlänkande via nätverk, har ökat såväl organisationers som individers beroende av information som sparas och kommuniceras via dessa system. Detta har i sin tur, lett till ökad medvetenhet om behovet av att skydda data och resurser, för att garantera riktigheten i data och meddelanden, och för att skydda system från nätverksbaserade attacker. Lyckligtvis har kryptografin och nätverkssäkerheten utvecklats, och lett till praktiska och tillgängliga sätt öka nätverkssäkerheten [4]. Pokerspelandet på Internet ökar idag explosionsartat. Texas Hold em poker är det mest växande casinospelet för tillfället. Speciellt i USA har spelet slagit igenom stort. Det finns idag ett massivt utbud av spelet på Internet. Populariteten har troligen, till exempel, att göra med att olika tv-bolag som ESPN regelbundet följer med de största pokerturneringarna i världen [8]. Texas Hold em poker är populärt också i andra delar av världen. Det finns pokerplatser som uppger att de till exempel har uppemot 200 000 registrerade svenska kunder. Andra har uppgett att de har 50 000 svenska spelare. Antalen är dock omöjliga att fastställa med säkerhet, i och med att de internationella spelbolagen inte är officiella [2]. Transaktioner av pengar via nätverk hör ihop med pokerspelandet på Internet. För att kunna spela om pengar måste man kunna sätta in pengar, och om man vinner pengar, kan man behöva uppge kontouppgifter för att inbetalning av vinstpengarna ska kunna förverkligas. I samband med spelandet på nätet kan man också behöva uppge diverse personlig information, så som födelsedatum och postadress. De olika pokerrummen på nätet använder kryptografi för att skydda spelarnas integritet och garantera ett rättvist spel. Syftet med föreliggande arbete är att presentera och diskutera Internet-poker, med fokus på säkerheten. Inledningsvis presenteras några av de olika pokerspelen kortfattat. Därefter presenteras tre olika pokersplatsers säkerhetsföreskrifter på Internet. Sedan följer 4

en redogörelse om datasekretess i anslutning till spelandet på nätet. Transaktioner, virusrisker och kryptering behandlas. Uppsatsen avslutas med en diskussion om bland annat datasekretess i framtiden. 2. Spelen Det finns 3 olika varianter av varje enskilt spel; No Limit, Pot Limit och Fixed Limit. I No Limit kan man satsa alla pengar man har vid bordet på en och samma gång, i Pot Limit kan man satsa upp till pottens storlek, och i Fixed Limit är en höjning alltid lika stor [11]. 2.1 Texas Hold em Texas Hold em är det populäraste av alla pokerspel. I Texas Hold em består grundgiven av två kort per person. Efter att grundgiven är utdelad kommer en satsningsrunda, där alla beslutar om korten som de fått är värda att spelas eller inte. Därefter följer The Flop som består av tre kort och används lika av alla spelare som fortfarande sitter med i handen. The Flop delas med framsidan uppåt på bordet, varefter det igen följer en satsningsrunda. Fjärde kortet som kommer upp på bordet med framsidan uppåt kallas för The Turn. Efter The Turn följer igen en satsningsrunda för kvarvarande spelare. Sista kortet som svängs med framsidan uppåt kallas The River. Därefter kommer den sista satsningsrundan för kvarvarande personer före ShowDown, vilket betyder att spelarna visar sina kort och den bästa 5-korts pokerhand vinner hela potten [11]. 2.2 Omaha Spelet skiljer sig från Texas Hold em på det viset att i Omaha får varje spelare fyra kort vid grundgiven. Annars fungerar det likadant med satsningar och de gemensamma korten. I Omaha måste man alltid använda två av sina egen kort och tre av de gemensamma korten, för att få fram den bästa 5-korts-pokerhanden [11]. 5

2.3 7Stud 7stud skiljer sig från Texas Hold em och Omaha på det viset att i 7stud spelar man endast Fixed Limit spel. Själva spelet i sig skiljer sig också rätt mycket från de två andra. Här delas först två mörka och ett öppet kort ut till varje spelare runt bordet, varefter det följer en satsningsrunda. Därefter delas ett nytt öppet kort ut till spelarna före nästa satsningsrunda. Sammanlagt får varje spelare sju kort, varav de två första och det sista kortet är mörka och de fyra andra korten är öppna. Här gäller också att man plockar ut den bästa 5-korts-pokerhanden efter att alla kort delats ut och alla satsningar är färdigt gjorda [11]. 3. Integritets- och säkerhetsföreskrifter på olika pokerplatser Det finns 100-tals olika pokerplatser på Internet. I föreliggande uppsats granskas tre av dessa; PartyPoker, ParadisePoker och PokerStars. Dessa tre har valts ut dels för att de hör till de största platserna, dels för att de är de mest bekanta platserna för författaren till uppsatsen. 3.1 PartyPoker PartyPoker använder sig av Partygamings mjukvara, vilket är ett av världens ledande företag som utvecklar mjukvara för spel online. Partygaming betonar snabbhet, reliabilitet och utveckling. PartyPokers kryptografi är av hög nivå vad gäller processering av betalningar. För att försäkra högsta möjliga nivå av konfidentialitet och privathet av spelarnas uppgifter används en 128-bits kryptografinyckel. Spelkonton på PartyPoker är tillgängliga endast med ett personligt kontonamn och lösenord. En spelare tillåts bara ha ett konto. PartyPoker uppmanar sina kunder att bevara lösenordet hemligt, och att begära 6

ett nytt kontonamn och lösenord om man tappar bort dem. Spelarna måste registrera sig genom sin riktiga identitet. Spelarna bör uppge kompletta kontaktuppgifter och e- postadress vid registrering. Stickprov av identitet och annan säkerhet görs regelbundet för att skydda systemets integritet. Om registrering med falskt namn eller e-postadress upptäcks, stängs kontot [10]. Förutom personuppgifter så som för- och efternamn, adress, e-postadress, kreditkortsnummer, telefonnummer och födelsedatum, registreras det när en spelare loggar in på PartyPoker även IP-adress, tid och datum för inloggningen, språkval, rapporter av problem med mjukvara, samt vilken typ av webbläsare som används. Information om spelarna används bland annat för att sköta spelarnas transaktioner då de exempelvis vunnit pengar vid spel på PartyPoker, vid säkerhetskontroller, vid verifiering av identitet, för att distribuera information i anknytning till PartyPoker, samt för marknadsföring. PartyPoker samlar också information om icke-registrerade besökare på deras webbsidor genom så kallade cookies. För att sända eller få pengar från PartyPoker i samband med spel måste man gå med på att PartyPoker ger ut personlig information åt en tredje part. PartyPoker använder sig av elektroniska betalningsprocessorer och/eller finansiella institutioner för att sköta dylika transaktioner. All personlig information på PartyPoker bevaras i en databas inom PartyPokers säkerhetsnätverk. Databasen är skyddad av lösenord och av aktiva brandväggar [10]. PartyPoker använder sig av en mjukvara som upptäcker automatiserade program som tillåter artificiell intelligens att påverka platsen. Mjukvaran använder sig av olika funktioner för att upptäcka användandet av förbjudna program och för att försäkra att inget fusk förekommer. Mjukvaran kan skanna spelarens lista av aktiva mjukvarutillämpningar och lista aktiva processer medan spelaren är inloggad. Mjukvaran kan också skanna filerna i spelarens kataloger som är relaterade till PartyPoker, för att försäkra att endast sådana versioner av mjukvaran används i vilka inget intrång, hacking, skett. Mjukvaran genomför dock inga utförligare sökningar av till exempel hårdskivan. Mjukvaran ändrar inga filer eller information på datorn eller annan utrustning, och blandar sig inte i hur andra tillämpningar fungerar [10]. 7

PartyPoker erkänner dock att det finns risker i samband med att uppge personlig information, och vid penningtransaktioner via nätet. En tredje part kan till exempel samla information från PartyPokers hemsida. Och på grund av teknologin är komplex och kontinuerligt förändras, kan PartyPoker inte garantera felfri behandling av personlig information [10]. 3.2 PokerStars På PokerStars är all kommunikation mellan spelarnas datorer och PokerStars servrar krypterad. PokerStars har satsat mycket på designen av deras säkerhetssystem och säkerhetspolicy. När PokerStars mjukvara laddas ner, är det viktigt att mjukvaran förblir omodifierad. För att detta skall lyckas är nerladdningsprocessen för olika webbläsare olika [11]. För säkerheten inom själva spelen använder PokerStars en certifierad RSA-nyckel som är 1024 bitar lång. Deras mjukvara använder sig av SSLv3 protokollet. PokerStars uppdaterar privata nycklar var tredje månad. För att upptäcka fusk i spelen spårar PokerStars system ovanliga spelmönster och varnar säkerhetspersonalen som sedan gör en grundlig manuell utredning. PokerStars undersöker också alla rapporter som inkommer av spelande kunder om misstänk fusk. Om det kommer fram att en spelare deltagit i någon form av fusk, kan dennes spelkonto stängas för gott [11]. En rättvis och förutsägbar blandningsalgoritm är en mycket väsentlig del av PokerStars mjukvara. För att garantera detta använder PokerStars två oberoende källor av slumpmässigt data. Det ena är användardata så som sammanfattning av musrörelser och händelsers tidpunkter, insamlat från mjukvaruklienten. Det andra är en random number generator (RNG) som väljer ut nummer på basis av termiskt ljud. Båda dessa källor genererar tillräckligt med spridning för att försäkra en rättvis och oförutsägbar delning. En kortlek kan delas på 52! olika sätt. 52! är 2^225. PokerStars använder 249 slumpmässiga bitar från båda spridningskällorna, för att uppnå en jämn och skiftande 8

statistisk distribution. För att dela ut korten i ett spel, använder PokerStars en enkel och tillförlitlig algoritm (Knuth s algoritm); Först dras ett kort slumpmässigt ur ursprungskortleken och placeras i en ny kortlek. Originalkortleken innehåller då 51 kort, och nya kortleken ett kort. Därefter dras ett annat kort slumpmässigt från ursprungskortleken, och placeras överst i nya kortleken. Processen upprepas tills alla kort förflyttats från ursprungskortleken till den nya kortleken [11]. När man öppnar ett spelkonto på PokerStars, ombeds man uppge personlig information så som namn, postadress, e-postadress, lösenord och födelsedatum (Figur1). Den insamlade informationen används för att bekräfta olika transaktioner, för att sända information och för att erbjuda kundservice. För att spela om riktiga pengar måste man göra en insättning på sitt spelkonto, och spelare måste då uppge till exempel kreditkortsnummer. PokerStars anstränger sig för att skydda spelarnas identitet och personliga uppgifter, genom att satsa på sina serverar, databaser, backup, brandväggar och kryptografi. PokerStars samlar också information om sina spelare med cookies. Med hjälp av cookies beräknar PokerStars till exempel hur och när spelaren använder PokerStars webbsajt [11]. PokerStars poängterar värdet av att inse att kryptering inte garanterar fullständig säkerhet. Till exempel, på en plats där allas spelares uppgifter om deras mörka kort sänds ut till varandra, kan säkerheten inte garanteras trots kryptografi [11]. 9

Figur1 Registreringsexempel på PokerStars [11]. 10

3.3 ParadisePoker På ParadisePoker är man hela tiden medveten om risken med samarbete och fusk vid pokerborden. Samarbete betyder att två eller flera spelare vid samma bord spelar ihop, och känner igen varandras kort, och med hjälp av det försöker vinna så mycket som möjligt av andra spelare. De spelare som försöker samarbeta och blir upptäckta av ParadisePoker, blir avstängda från ParadisePoker för livstid. ParadisePoker använder sig av sofistiska algoritmer för att identifiera, känna igen, och avslöja fuskare [9]. För att kunna spela på ParadisePoker måste man ladda ner deras mjukvaruklient från deras hemsida. För att kunna använda sig av mjukvaran måst man acceptera användarvillkoren innan man installerar mjukvaran. När en spelare registrerar sig på ParadisePoker, måste man förse ParadisePoker med personlig information så som namn, adress, e-postadress, telefonnummer och kreditkortsnummer. En spelare får endast ha ett registrerat konto på ParadisePoker. Användning av artificiell intelligens är strikt förbjudet på ParadisePoker. ParadisePoker förebygger och försöker identifiera program som är gjorda så att artificiell intelligens kan sköta spelandet [9]. ParadisePoker erbjuder sina kunder mycket hög säkerhet mot hackers. All kommunikation mellan ParadisePokers server i Costa Rica och klientprogrammen som körs på någon användares dator, är krypterad med den internationella standarden SSLv3/TLSv1 kryptografialgoritmen. Det här betyder att en spelares kort, namn, adress, kreditkortsnummer och lösenord är skyddade på lika hög nivå som hos en bank. ParadisePoker använder spelarnas IP-nummer för att lokalisera problem med deras server och spel, samt för att administrera hemsidan. IP-adressen kan också användas för att identifiera en spelare, att spåra aktivitet inom deras sajt, för att samla demografisk information, samt för att avslöja fusk och bedrägeri [9]. ParadisePoker använder sig av Knuth s algoritm för att blanda korten. Det här innebär att alla korten i kortleken i tur och ordning flyttas till en plats i en ny kortlek mellan 1 och 51. Den här blandningen utförs tio gånger inför varje giv, och ger inga ensidiga kort, inga 11

kortmönster eller fördelar var man än sitter runt bordet. ParadisePoker har testat den här blandningen mer än 21miljoner gånger, och inte en enda gång har den ena blandningen varit lik en annan [9]. 4. Säkerhet på nätet I de kommande kapitlen behandlas säkerheten över Internet i samband med onlinepoker. Först tas transaktioner över Internet upp. Därefter behandlas standarder och certifikat som har att göra med transaktionerna. Sedan tas kryptering upp, vilket är väsentligt för säkra transaktioner. Sist behandlas virus, vilket är en säkerhetsrisk bland annat i samband med transaktioner. 4.1 Transaktioner Secure Electronic Transaction (SET) är en öppen kryptografi och säkerhetsspecificering som är skapad för att skydda kreditkortstransaktioner på Internet. Dylika säkerhetsstandarder efterfrågades av MasterCard och Visa, och SET utvecklades genom ett samarbete av många företag så som IBM, Microsoft, Netscape, RSA, Therisa och Verisign. SET är i sig inte något betalningssystem, utan ett antal säkerhetsprotokoll och format som gör det möjligt för användare att använda den existerande infrastrukturen för kreditkortsbetalningar på ett öppet nätverk på ett säkert sätt. SET erbjuder säkra kommunikationskanaler mellan alla parter som är involverade i en transaktion. Säkerheten ökas genom användandet av X.509v3 digitala certifikat. SET garanterar säkerhet eftersom informationen endast är tillgänglig för parterna i en transaktion när och där det är nödvändigt [4]. Information som kreditkortsinnehavare uppger i samband med transaktioner måste vara tillgängligt endast för den ämnade mottagaren. För att försäkra konfidentialitet använder 12

SET kryptografi. Kryptografin minskar risken för fusk av någondera parten i transaktionen, eller av en tredje part. För att försäkra integritet av all data som överförs, använder SET digitala tecken. På så vis försäkras att inga förändringar i innehållet sker vid överföring av SET-meddelanden. SET kontrollerar också att kortinnehavaren är en laglig innehavare av kreditkortet. För att verifiera att kortinnehavaren är den lagliga användaren, använder sig SET av digitala tecken och certifikat. Digitala tecken och certifikat används också för att kortinnehavaren skall kunna identifiera betalningsmottagaren. Med hjälp av mycket säkra kryptografiska algoritmer och protokoll skyddas alla lagliga parter i elektroniska transaktioner. SET blandar sig inte i och påverkar inte användandet av andra säkerhetsmekanismer, så som IPSec och Secure Sockets Layer (SSL)/ Transport Layer Security (TLS). SET underlättar och uppmuntrar samarbete mellan olika mjukvaru- och nätverksoperatörer, SETs protokoll och format är oberoende av hårdvaruplattform, operativsystem, och webb-mjukvara [4]. För att försäkra informationens konfidentialitet använder SET konventionell kryptografi av Digital Data Storage (DDS). Kortinnehavarens konto- och betalningsinformation är säkrad under överflyttning längs nätverk. Endast ifrågavarande bank har tillgång till kortinnehavarens kortnummer, och det är inte möjligt för betalningsmottagaren att lära sig kreditkortsnumret. Betalningsinformation som sänds från kortinnehavare till betalningsmottagare innehåller information om beställningen, betalningsinstruktioner och personuppgifter. SET garanterar att innehållet i dessa meddelanden inte ändras under transaktionerna. Integriteten försäkras med hjälp av RSA (Ron Rivest, Adi Shamir och Len Adleman) digitala tecken, genom användandet av Secure Hash Algorithm-1 (SHA-1) koder. Vissa meddelanden skyddas också av Hash Message Authentication Code (HMAC), genom användandet av SHA-1. För att betalningsmottagare skall kunna försäkra sig om att kortinnehavaren är en laglig användare av ett kortnummer, använder SET X.509v3 digitala certifikat med RSA signaturer. För att kortinnehavare skall kunna försäkra sig om att betalningsmottagaren har ett förhållande med en finansiell institution som gör det möjligt för den att acceptera betalningskort, använder SET också X.509v3 och digitala tecken [4]. 13

Komponenter i ett SET-system är kortinnehavaren, betalningsmottagaren, två olika finansiella institutioner, en funktion som sköter om betalningen, och en Certification Authority (CA). Kortinnehavaren är en auktoriserad innehavare av ett betalningskort, till exempel MasterCard eller VISA. Betalningsmottagaren, försäljaren, är en person eller en organisation som har varor eller service att sälja till kortinnehavaren, vanligtvis erbjuds dessa varor och service via en webbplats eller e-post. En betalningsmottagare som accepterar betalningskort måste ha ett förhållande till en finansiell institution. Den ena typen av finansiell institution erbjuder kreditkort till kortinnehavaren, och kan till exempel vara en bank. Det är vanligt att ansökandet av konto och öppnandet av kontot sköts via e-post. Den andra typen av finansiell institution som behövs, är en som upprättar ett konto med en betalningsmottagare och sköter om auktorisering av betalningskort samt betalningar. Denna typ av finansiell institution ger betalningsmottagaren uppgifter om att ett givet kortkonto är i användning och att transaktionssumman inte överskrider kreditgränsen. Den sköter också om den elektroniska överföringen av betalningar till betalningsmottagarens konto. En funktion som förverkligar betalningarna, sköts antingen av den andra typen av finansiell institution eller av en tredje part. Betalningsmottagaren växlar SET-meddelanden med denna funktion över Internet, och funktionen har antingen direkt förbindelse eller nätverksuppkoppling till det finansiella processeringssystem som innehas av den andra typen av finansiell institution. CA är en enhet som handhar X.509v3 certifikat för kortinnehavare, betalningsmottagare och funktioner som förverkligar betalningar. Det hur bra SET lyckas, beror på hurdan CA-infrastruktur det finns tillgängligt för det här syftet [4]. En transaktion består av en sekvens av händelser. Transaktionen inleds med att kunden öppnar ett konto. Kunden får ett kreditkortskonto, så som MasterCard eller VISA med en bank som stöder elektroniska betalningar och SET. Därefter, efter verifiering av identitet, får kunden ett X.509v3 digitalt certifikat, som signeras av banken. Certifikatet verifierar kundens RSA allmänna nyckel och datum för hur länge kortet är i kraft. Betalningsmottagare har sina egna certifikat. En betalningsmottagare som accepterar ett kort av ett visst märke, måste inneha två certifikat för allmänna nycklar som ägs av 14

betalningsmottagaren. En för signering av meddelanden, och en för växling av nycklar. Nästa händelse i sekvensen är beställningen, detta kan till exempel ske genom att kunden väljer varor på försäljarens webbplats och sänder en beställning till försäljaren. Försäljaren svarar på beställningen genom att fastslå pris och ge ett beställningsnummer. Därefter verifieras försäljaren/betalningsmottagaren, genom att försäljaren sänder en kopia av sitt certifikat till kunden, så att kunden kan försäkra sig om att han eller hon har att göra med en riktig försäljare. Därefter sänder kunden både beställning och betalningsinformation till försäljaren. Betalningsinformationen innehåller kreditkortsdetaljer. Betalningsinformationen är krypterad på så vis att den inte kan läsas av försäljaren. Försäljaren/betalningsmottagaren sänder därefter betalningsinformation till funktionen som förverkligar betalningen, och begär information om att kundens tillgängliga kredit är tillräcklig för inköpet. Efter detta skickar försäljaren en bekräftelse till kunden. Sedan skickar försäljaren de köpta varorna eller erbjuder den köpta servicen till kunden. Till sist tar betalningsmottagaren betalt, och krav om betalning sänds till funktionen som förverkligar betalningen som sedan sköter om betalningsprocessen [4]. 4.2 Standarder och certifikat SSL är ett protokoll utvecklat av Netscape för att överföra data på Internet. SSL använder två nycklar för att kryptera data. En generell som alla användare känner till och en privat som endast mottagaren känner till. Många webbplatser använder sig av SSL för att kunna hemlighålla användarinformation, som till exempel kreditkortsnummer. TLS är ett protokoll som garanterar säker överföring av information mellan klienten och servern under pågående kommunikation på Internet [12]. X.509 är en standard för digitala certifikat. X.509 är egentligen en rekommendation från International Telecommunication Union (ITU), vilket betyder att det inte ännu godkänts som en standardanvändning. Detta har resulterat i att företag tillämpar ITU på olika sätt. Till exempel så använder både Internet Explorer och Netscape X.509 för att implementera SSL i deras webbservrar och webbläsare, men ett X.509 certifikat gjort för Netscape kan var oläsbart för Microsofts produkter, och vise versa [12]. 15

4.3 Kryptering I och med datoriseringen och Internets framfart har betydelsen och användningen av kryptering vuxit. Kryptografi är hemlig skrift. Huvudidén med kryptografi är att kunna skicka information mellan användare, utan att någon annan kan komma åt och läsa informationen. Kryptografi kan till exempel kontrollera integritet och verifiera någons identitet [3]. En normal kryptering består av fem delar (Figur2). Den första är plaintext (klartext), som är det ursprungliga meddelandet eller data som man matar in i algoritmen. Den andra är krypteringsalgoritmen som utför olika ersättningar och omvandlingar på plaintext med hjälp av den publika nyckeln. Sedan följer den hemliga nyckeln som också är input i krypteringsalgoritmen. Nyckeln är ett värde som är oberoende av plaintext. Algoritmen skapar en ny output beroende på vilken specifik nyckel man använder vid just det tillfället. Den exakta ersättningen och omvandlingen som utförs av algoritmen beror på nyckeln. Ciphertext är ett meddelande som kommer som output. Ciphertext är beroende av plaintext och den hemliga nyckeln. Två olika nycklar för ett givet meddelande ger två olika ciphertext. Dekrypteringsalgoritmen omvandlar meddelandet eller data från ciphertext tillbaka till det ursprungliga meddelandet [4]. Om algoritmens krypteringssystem är bra, är det är ingen fara med att personer vet hur algoritmen fungerar, inte ens om det handlar om hackers, eftersom kännedom om algoritmen utan nyckel inte hjälper en att få tillgång till informationen i plaintext [3]. 16

Figur2. Kryptering [6] Om man använder en konventionell krypteringsmetod och det är meningen att någon annan också ska kunna ta del av informationen, måste mottagaren ha tillgång till samma nyckel som används när informationen krypteras. Mottagaren måste också känna till hur nyckeln används. Man skall försöka undvika att lämna information om nyckeln via Internet, eftersom det är relativt enkelt för en obehörig att då få tag i nyckeln. Därför skall man använda offentlig kryptering när man skickar information på nätet. Detta innebär att man bygger systemet med två olika nycklar i stället för en. I praktiken fungerar nycklarna parallellt med varandra, en nyckel är bara funktionsduglig tillsammans med sitt nyckelpar. I praktiken innebär det att varje användare har två nycklar- en offentlig och en hemlig. Det går att kryptera ett meddelande med vilken nyckel som helst, men bara nyckeln som är nyckelpar med den som meddelandet krypterades med, kan dekryptera meddelandet. Den offentliga nyckeln kan man lätt få av varandra, och det går således att kryptera informationen med den, men bara användaren till den nyckeln som är nyckelpar till den som informationen krypterades med kan läsa informationen [5]. 17

Om man använder sig av en RSA-algoritm kan man inte använda samma nyckel vid kryptering och dekryptering. Algoritmen är en envägsfunktion som består av två mycket stora primtal för att generera två nycklar i krypteringssystemet. Primtalen kan förkastas när de två nycklarna är skapade, eftersom man bara behöver känna igen talens produkt för att kunna kryptera. Om man vill försöka återskapa nycklarna måste man faktorisera talens produkt, vilket är mycket mer invecklat än att bara multiplicera två primtal. RSAalgoritmen använde ursprungligen ett 129-siffrigt tal, och det tog 17 år att faktorisera detta. Nycklarna i en RSA-algoritm är bara korrekta i förhållande till varandra. Det räcker att ha tillgång till produkten av primtalen och den ena nyckeln för att kunna kryptera, men för att dekryptera, måsta man också ha tillgång till den andra nyckeln. Detta betyder att alla som vill kryptera måste förse sig med ett nyckelpar. Den ena kan alla som vill få reda på, medan den andra nyckeln hålls hemlig. Vem som helst kan skicka ett krypterat meddelande till den som har den hemliga nyckeln, men innehavaren av den hemliga nyckeln är den enda som kan läsa meddelandet [5]. 4.4 Virusrisker Virus är ett antal instruktioner som placerar kopior av sig själv i andra program, till exempel en pokerklient. Virus skapas av människor, för att förarga eller förstöra. Ett virus kan installeras i så gott som vilket program som helst, genom att 1) ersätta en instruktion, till exempel instruktionen på plats x, genom ett hopp till någon tillgänglig plats i minnet, till exempel plats y, och sedan 2) låta virusprogrammet starta på plats y, och sedan 3) placera instruktionen som ursprungligen fanns på plats x i slutet av virusprogrammet, följt av ett hopp till x+1 [3] Förutom att förstöra eller skada, kan virusprogrammet kopiera sig själv genom att kolla upp möjliga filer och infektera dem. När ett infekterat program används, sätts viruset igång igen, gör mer skada och kopierar sig själv in i andra program. De flesta virus sprids utan att det märks ända tills någon utlösande faktor gör att det reagerar. Om virusen förstörde hela tiden skulle de inte spridas så vitt. Viruset angriper datorn genom att använda ett infekterat program. Ett infekterat program kan finnas på någon webbplats, 18

och ett lagligt köpt program kan likväl vara infekterat. Virus sprids lätt via bifogade filer i e-post. I värsta fall kan viruset förstöra eller infektera alla filer på hårdskivan [3]. Förutom att spridas genom e-postfiler, webbplatser, och disketter eller skivor, kan virus överföra sej själv till en annan dator genom att logga in på den. Detta gör viruset genom att gissa sig till lösenord. Ibland kan användarnamn eller lösenord finnas sparade på filer i datorn, och om viruset lyckas hitta dylik information, kan den lätt logga in på datorn och installera sig själv [3]. Det pågår en ständig kapplöpning mellan människor som analyserar virus, och skapar program för att upptäcka och eliminera de upptäckta virusen, och mellan typerna som uppfinner nya virus som undgår upptäckning av de förstnämnda. Den vanligaste typen av antivirusprogram känner till instruktionssekvensen för mängder av virustyper, och kontrollerar alla filerna på skivan och instruktioner i minnet för kommandomönster, och varnar om den hittar en motsvarighet gömt inuti någon fil. För att undvika att virusen blir upptäckta, har virusskaparna uppfunnit så kallade polymorfa virus, vilka ändrar sin instruktionsordning, eller ändrar till funktionellt likadana instruktioner varje gång den kopierar sig själv. Dylika virus är också möjliga att upptäcka, men det kräver mera ansträngning och kräver ofta en ändring av koder. En annan typ av antivirusprogram tar en snabbkopia av innehållet på skivan genom att banda in information ur katalogerna så som filstorlek. Programmet körs upprepade gånger, och programmet varnar användaren om misstänksamma förändringar upptäcks [3]. 5. Avslutning Det bästa sättet att förhindra intrång i nätverket är säkerhetsväggar mellan inkräktaren och nätverket. Eftersom inkräktarna kommer in i nätverket genom ett mjukvaruprogram, till exempel genom ett virus eller motsvarande, eller en direkt förbindelse, kan brandväggar, kryptering, och kontroll av identitet försvåra intrånget. Ju färre personer som kan få tillgång till känsliga filer eller till serversystem, desto större är säkerheten. 19

Det flesta tillämpningar förlitar sig på lösenord, personliga identifieringsnummer och koder för att komma åt konfidentiella filer. Lösenord, kort, id-nummer och nycklar, kan dess värre glömmas, bli stulna, tappas bort, eller ges bort. Dessutom kan de inte försäkra eller garantera att personer verkligen är de som de uppger sig vara. Biometri är teknologi som använder människors fysiska drag eller beteendedrag för identifieringssyften. Biometriteknologin är överlägset andra identifieringslösningar, eftersom den verifierar en persons identitet på basis av unika fysiska drag, och inte på basis av något papper eller plastkort. Biometriteknologin är ett sätt att uppnå snabb och användarvänlig identifiering och dess tillförlitlighet är hög. Och eftersom ökningen av elektroniska transaktioner har medfört större krav på just snabb och tillförlitlig identifiering av användaren, kommer biometri sannolikt att spela en viktig roll vid identifiering i framtiden. Kännedom och acceptans av biometri har ökat stadigt. Biometri är fortfarande relativt dyrt och outvecklat, men tillämpningen av biometriska drag så som fingeravtryck, ansiktsdrag, och röstmönster vid kontroll av personers identitet håller på att utvecklas och förbättras [1]. Varken företag eller individer kan vara helt säkra i överföring av information via Internet. Bedrägeriförsök har gjorts i många länder, också i Finland. I slutet av oktober 2005 gjordes den första e-postattacken mot en bank i Finland; Hackers låg bakom falska e-post till flera hundratusen finländare [7]. Med sunt förnuft kan man ändå klara sig långt när man handlar, och ger ut personlig information och kreditkortsuppgifter på webben. Man ska inte ge ut dylika uppgifter på okända eller ökända webbplatser eller i e-post. Det lönar sig också att läsa avtalsvillkoren noggrant och skriva ut dem. Information på webbsidor ändras ofta, och genom att skriva ut villkoren kan man visa vad som gällt då affären ingåtts i fall att det uppstår problem senare. Av samma orsak lönar det sig också att skriva ut beställningen och motsvarande dokument. 20