S-38.116 Teletietotekniikka
Tero Saukko
42125C, SIV
Verkkoraha
1 Lyhenne- ja termiluettelo
2 Johdanto
3 Verkkoraha
3.1 Verkkorahan taustaa
3.2 Verkkorahan toiminta
3.3 Verkkoraha Suomessa
4 Verkkorahan turvallisuus ja salaus
4.1 Verkkorahan turvallisuus
4.2 Tiedon salaaminen
4.2.1 Digitaalinen allekirjoitus (RSA)
4.2.2 Sokea allekirjoitus
5 Verkkorahan käyttö Internetissä
6 Yhteenveto
7 Lähdeluettelo
RSA = Rivest-Shamir-Adleman, julkisen avaimen salausmenetelmä
IDEA = International Data Encryption Algorithm, yleinen symmetrisen salauksen algoritmi
SET = Secure Electronic Transaction, Netscapen ja Microsoftin yhdessä kehittämä turvallinen elektroninen yhteys
2 Johdanto
Verkkoraha on ohjelmistopohjaista rahaa, jota käytetään Internetissä pienimuotoisiin maksuihin. Se mahdollistaa maksujen siirtymisen välittömästi ostajalta myyjälle. Verkkoraha vastaa seteleitä, kullakin setelillä on sarjanumero ja rahamäärä. Verkkoraha palvelujen tarjoajana Suomessa on Eunet-Finland, joka tarjoaa ecash nimistä tuotettaan. Tässä työssä perehdytään verkkorahan toimintaan ja tekniikkaan.
Verkkoraha mahdollistaa kaupankäynnin ja palvelun maksun välittömästi. Sen toteuttamiseksi on kehitetty useita tuotenimikkeitä, joista ensimmäisenä käsitteen digitaalinen raha otti käyttöön Mark Twain Banks huhtikuussa vuonna 1990. Tämän myötä syntyi Yhdysvaltoihin tuotenimi Ecash. Myös Euroopassa otettiin käyttöön toiminnaltaan aivan vastaava, alunperin hollantilainen DigiCash verkkoraha. Kuitenkin ecash maksuvälineenä on vakiintumassa myös Euroopassa, siksi jatkossa puhunkin vain ecashistä tai verkkorahasta. Suomessa verkkorahaa markkinoi EUnet Finland Oy, jolla on ollut Suomen markkaan pohjautuva digitaalinen maksuväline nimeltään Ecash ensimmäisenä Euroopassa.
Verkkorahan perusajatuksena on omalle tietokoneelle sijoitettu digitaalinen kukkaro. Sieltä asiakas voi erillisen ohjelmiston avulla nostaa rahaa digitaalisesta pankista ja vastaavasti tallettaa sitä tämän jälkeen oman PC:nsä kovalevylle. Kukkaroon ostetaan pankista tilisiirtona vakiosuuruisia kolikoita, joilla voidaan sitten käydä kauppaa Internetissä.
Suomessa EUnet Finlandin verkkorahan käyttöönotto vaatii noin yhden megan kokoisen ohjelmapaketin kopioimisen Eunetin kotisivuilta. Sen asentamisen yhteydessä hankitaan Eunetilta käyttäjätunnus ja salasana, joilla varsinaisen ohjelman voi ottaa käyttöön. Ohjelman käyttöönoton yhteydessä saadaan lisäksi pelastuskoodi kadonneiden rahojen takaisin saamiseksi.
Tämän jälkeen ostetaan verkkorahaa haluttu summa, maksimissaan kuitenkin 100 markkaa. Kun alkuun on päästy on maksaminen tämän jälkeen helppoa. Graafinen Windows pohjainen käyttöliittymä tarjoaa maksujen suorittamisen helposti muutamalla hiiren painalluksella. Käyttöympäristöä havainnollistaa kuva 2.
Kuva 2, ecash ohjelmistopaketin käyttöympäristö
Ostettaessa palveluita Internetistä ecash-ohjelmisto lisää kolikoihin satunnaisen sarjanumeron, joka lähetetään koodattuna digitaaliseen pankkiin, eli Eunetin palvelimeen. Digitaalinen pankki tarkistaa, että asiakkaalta tosiaan löytyy tarvittava määrä rahaa ja ettei kyseistä kolikkoa ole käytetty vielä aikaisemmin. Tämän jälkeen pankki merkitsee verkkorahan sarjanumeron käytetyksi, laittaa rahoihin pankin leiman ja välittää tiedon asiakkaan ohjelmistoon joka vastaavasti vähentää kolikot asiakkaan kovalevyltä. Myyjän puolella ohjelmisto varmistaa että verkkorahaan on tullut pankin leima. Kolikoiden käyttäjä voi määritellä itse voiko digitaalista rahaa veloittaa kukkarosta automaattisesti vai määritelläänkö eri maksuille ylärajat tai tarkistukset. Verkkorahan liikkuvuutta on havainnollistettu kuvassa 1.
Kuva 1, Verkkorahan liikkuvuus
Eräs ecashin käteisen rahan luonteesta on maksun anonymiteetti. Maksun saaja ei saa tietoa maksajasta ellei maksaja sitä itse välttämättä halua. Periaate on aivan sama kuin käteisellä maksettaessakin. Verkkoraha eroaa tavallisesta rahasta myös siinä suhteessa, että sähköiset rahat ovat henkilökohtaisia ja jokaisen ecash-kolikkoon on piilotettu niin käyttäjän kuin myyjänkin henkilöllisyys, täten myyjä ei voi käyttää asiakkaan ecash-kolikoita, eikä myöskään todeta asiakkaan henkilöllisyyttä. Kun myyjä haluaa kuluttaa ansaitsemiaan ecash-kolikoita on hänen vaihdettava sähköiset rahat joko omiksi henkilökohtaisiksi ecasheiksi tai tavallisiksi rahoiksi. Ostaja ei voi vaihtaa verkkorahoja tavallisiksi rahoiksi muutoin kuin lopettamalla koko toiminnan.
Ecash -niminen verkkoraha tuli käyttöön Suomessa maaliskuussa 1996. Internet-operaattori EUnet ja elektronisen rahan kehittäjä DigiCash BV julkistivat tällöin Euroopan varsinaisen elektronisen rahan ostamisen ja myymiseen.
Sähköisestä rahasta innostuivat Suomessa myös monet suuret ja nimekkäät yritykset. Merita-pankki ilmoitti heti tukevansa ecashia. Myös esimerkiksi MTV3 ja Keltainen Pörssi-lehti kertoivat ottavansa verkkorahan maksuvälineenä välittömästi käyttöön.
EUnet Finlandin toimitusjohtaja Johan Helsingius uskoo palvelun alkavan levitä Suomessa syksyllä hurjaa vauhtia. Ecashiä ryhdytään tarjoamaan myös useimpiin Eunetin 41 eurooppalaisesta toimintamaasta.
Verkkorahan on tarkoitettu ensisijaisesti pienimuotoisiin maksuihin Internet-verkossa. Alimmillaan maksut voivat olla vain kymmeniä pennejä. Ecashilla voidaan ostaa ja myydä erimuotoista tietoa kuten artikkeleita, tiedostoja, ohjelmistoja, tapahtuma- ja tuotetietoja, kuvia, tiedonhakupalveluja. Myös tavaraa voi ostaa ja myydä. Sähköistä rahaa voidaan lähettää turvallisesti myös sähköpostilla, mikä mahdollistaa uusien mielenkiintoisten sovellusten kehittämisen.
Verkkorahaa hyväksyvillä yrityksillä on Suomessa Eunetin hyväksymä, allaolevan kuvan mukainen logo.
Kuva 3, Verkkorahaa hyväksyvien kauppojen logo
Eunet ottaa 2% provision kaikista myydyistä tuotteista. Lisäksi Merita-pankki ottaa kahden markan maksun siitä että maksu siirretään heti käyttäjän tilille.
Suomessa esimerkiksi postimerkkejä voi tilata kyseisen lomakkeen avulla:
Kuva 4, esimerkki tilauslomakkeesta
Verkkorahan käyttö on varsin vähäistä Suomessa vaikkakin suuret yritykset ovat sen tukena. Käyttöä on hidastanut tiliraha vaihtoehtojen tuominen markkinoille (esimerkiksi Veikkaus Oy), sekä hankalahko asennus ja verkkorahan käyttöönotto.
4 Verkkorahan turvallisuus ja salaus
Verkkorahan turvallisuuteen on kiinnitetty paljon huomiota. Ensinnäkin DigiCash-yhtiön perustaja David Chaum on maailman johtavia salakirjoitusmatemaatikkoja ja on keksinyt itse bittirahaan liittyvät keskeiset patentit sekä koko käsitteen. Turvallisuus on pyritty saattamaan lähtökohdaksi toiminnalle.
Kun asiakas ostaa tuotetta myyjäosapuolen ohjelmisto paljastaa satunnaisesti hieman kolikon maksajan henkilöllisyyttä, järjestelmässä säädettävällä tavalla. Kun sama henkilö yrittää maksaa saman sarjanumeron omaavalla rahalla uudelleen, paljastuu maksajan henkilöllisyyttä jälleen satunnaisesti hieman lisää. Kun kahden saman sarjanumeron omaavan verkkorahan tiedot yhdistetään saadaan suurella todennäköisyydellä rahan monistaja kiinni jo kahden saman sarjanumeron omaavan rahan perusteella ja hänet voidaan tuomita rahan kopioimisesta. On kuitenkin mahdollista, että satunnaisesti paljastuu kaksi kertaa juuri samat informaation jyväset, jollain rahan monistajaa ei vielä saada kiinni. Tämä on kuitenkin varsin epätodennäköistä.
Verkkorahan turvallisuuteen vaikuttaa myös Internet-verkon turvallisuus. Internet-verkossa on voi katkoksia olla yhteyden aikana. Käyttäjä ei voi koskaan luottaa 100% Internettiin. Valtionhallinnon tietoturvallisuuden johtoryhmä on vuoden 1995 alussa antanut tietoturvallisuussuositukset Internettiin. Heidän mielestään Internet-verkon käyttöä tiedonsiirtoväylänä ei suositella. Suositukset kuitenkin kaksi vuotta vanhoja, eikä niiden luotettavuus ole kovin suuri.
Internetin kaupallisuutta jarruttavana turvallisuustekijänä on ollut myös käyttäjien luotettavan tunnistamisen puuttuminen. Myös niin sanottu IP-huijaus on mahdollista. Siinä annetaan väärää tietoa palvelimelle josta tietoa haetaan. Palvelin luulee käyttäjää joksikin toiseksi ja antaa näin käyttäjälle väärää tietoa. On myös ihmisiä jotka tarkkailevat Internet-verkon liikennettä ja pystyvät poimimaan matkalta salasanatiedot sekä luottokorttitiedot vääriin tarkoituksiin. Lisäksi tietopaketit saattavat kadota matkan varrella muista syistä, kuten käyttökatkos ja sähköiset häiriöt. Myös verkon eri osat on toteutettu hyvinkin eri tavalla eri puolilla maailmaa, verkon hallinta saattaa olla puutteellista ja yhteydet epäluotettavia. On siis välttämätöntä että tieto suojataan standardoidulla tiedon suojausmenetelmällä. Lisäksi tiedon kuittaus perille menosta on välttämätöntä.
Verkkoraha-ohjelmisto on pyrkinyt varmistamaan kaikki verkosta johtuvat viat, sekä myös käyttökatkoista ja muista häiriöistä johtuvat maksunsiirto häiriöt. Menetetyt kolikot vähenevät kovalevyn muistista, mutta ovat vielä Eunetin palvelimella. Sieltä kolikot saadaan takaisin salasanaa ja tunnusta vastaan.
Esittelen lyhyesti tunnetuimpia verkkorahan käyttämiä salausalgoritmeja, jotka ovat RSA julkisen avaimen kryptausjärjestelmä sekä sokea allekirjoitus. Verkkoraha käyttää myös mm. Symmetristä IDEA salausalgoritmia. Algoritmeja käytetään sekaisin, jotta mahdollistetaan erittäin turvallinen tiedonsiirto.
4.2.1 Digitaalinen allekirjoitus (RSA)
RSA-salausalgoritmin julkisenavaimen kryptausjärjestelmää käytetään sekä salakirjoitukseen (enkryptaukseen) että kirjoituksen purkamiseen (dekryptaukseen). Salauksen vaiheet on esitetty alla.
x = viesti
d = salainen avain
e = julkinen avain
p ja q = suuria alkulukuja
modulaarinen aritmeettinen järjestelmä suorittaa viestiin muuntamisen potenssiin korottamalla, laskutoimituksesta säästetään vain tulos
järjestelmä generoi kaksi suurta alkulukua p ja q
yleisesti tunnettu kaava perustana: x^(p-1)(q-1) = 1 (mod pq)
(ehdolla että x ei ole jaollinen p:llä eikä q:lla, joka voidaan helposti määritellä)
generoidaan e julkiseksi avaimeksi ja d salaiseksi avaimeksi
e*d = 1 (mod (p-1)(q-1))
kaikki salaisenavaimen (d) salakirjoitetut viestit voidaan purkaa vain julkisen avaimen (e) avulla:
(x^d)^e = x (mod pq)
julkinen avain levitetään kaikille tarvitseville osapuolille (myyjille)
Julkisen- ja salaisen avaimen toimintaa on vielä havainnollistettu allaolevassa kuvassa.
Kuva 5, julkisen- ja salaisen avaimen toiminta
4.2.2 Sokea allekirjoitus
Sokeaa allekirjoitusta käytetään, jotta maksajan anonymiteetti säilyy. Pankki voi laittaa viestiin salaisen allekirjoituksen ilman, että huomaa mistä viestistä on kyse. Käytetään samoja lyhenteitä kuin digitaalisessa algoritmissa, mutta lisänä on "sokea kerroin" r.
Käyttäjä valitsee sokean kertoimen r satunnaisesti esimerkiksi pyörittämällä hiirtä minuutin kuvaruudella, jonka aikana tietokone generoi koordinaatteja hiiren sijainnista. Viesti välitetään pankille muodossa: xr^e (mod pq)
Pankki allekirjoittaa viestin: (xr^e)^d = rx^d (mod pq)
Käyttäjä jakaa sokean kertoimen pois: (rx^d)/r = x^d (mod pq)
Lopuksi käyttäjä säästää allekirjoitetun viestin x^d, myöhempiä tarpeita varten. Pankki ei huomannut viestin sisältöä koska r oli satunnainen
5 Verkkorahan käyttö Internetissä
Verkkoraha on turvallinen ja luotettava järjestelmä. Tämä ei kuitenkaan vielä takaa sitä että järjestelmä tulisi laajaan käyttöön. Internetissä on paljon kilpailevia maksutapoja kuten uusi SET (Secure Electronic Transactions) -tekniikka. Se mahdollistaa 750 miljoonan Visa- ja Mastercard-käyttäjän ulottuvilla lähiaikoina. SET-tekniikalla palveluita/tuotteita ostaessaan asiakas ottaa ensin yhteyttä luottokorttiyhtiöönsä ja saa sieltä ns. sertifioinnin, jota vastaan kauppias veloittaa halutun online-suorituksen. Toisena maksutapana on tilirahaan perustuva maksumenettely, jossa kukin käyttäjä hankkii käyttäjätunnuksen ja salasanan.
Verkkorahan etuna on sen hyvä soveltuvuus pienimuotoisiin maksuihin Internetissä, joita voisi olla esimerkiksi artikkelien lukeminen, verkkopelaaminen ja pörssitietojen katseleminen. Yleensäkin verkkoraha on mainio reaaliaikaiseen verkonkautta välitettävään tiedonsiirtoon ja vaihtoon mistäpäin maailmaa milloin vain. Ongelmana on kuitenkin paikkasidonnaisuus, koska verkkoraha ohjelmisto on yleensä asennettu vain yhteen tietokoneeseen, toki on mahdollista kopioida ohjelma disketille ja kuljettaa siinä olevia verkkorahoja aina mukana. Verkkorahaa voidaan siirtää myös sähköpostin välityksellä. Luottokorttimaksuilla ja tilirahalla ei tätä ongelmaa synny, sillä yleensä käytetään käyttäjätunnusta sekä salasanaa. Tilirahalla on kuitenkin ongelmana se että joka paikkaan josta ostetaan täytyy avata oma käyttötili. Lisäksi käyttäjä joutuu muistamaan useita käyttäjätunnus- ja salasanapareja. Luottokorttimaksut sen sijaan ovat yleensä kertaluokkaa suuremmille maksuille. Luottokorttitietojen välittäminen Internetin yli on myöskin suuri riski, ellei yhteyttä ole suojattu luotettavasti.
Verkkoraha mahdollistaa periaatteessa vaikka pennin osien maksun Internetissä. Se sopiikin hyvin yksittäisten tiedonjyvästen lukemiseen eripuolilla Internettiä. Verkkoraha sopii Internettiin myös sen takia, että maksu suoritetaan välittömästi, joten reaaliaikaiset sovellukset voivat yleistyä. Verkkopelit sekä verkonkautta välitettävät tuotteet tulevat varmasti lisääntymään nopeutuvien tietoliikenneyhteyksien myötä. Intertissä jakelukanava saattaa olla lyhyt, suoraan palvelun tuottajalta kuluttajalle, jolloin saavutetaan kustannusetu. On syytä kuitenkin erotella maksullinen Internet, joka tarjoaa jotain lisäarvoa, sekä maksuton Internet, joka on täynnä ihmisten mielipiteitä ja muuta huuhaata.
Maksuliikenne on vasta alkamassa Internetissä, minkä johdosta pelisäännöt eivät ole lainkaan selvät. On väitetty että Eunet-Finlandin pitäisi rekisteröityä pankiksi tai lopetettava toimintansa, mikäli aikoo jatkaa toimintaansa rahan välittämisessä. Myöskin tullit ja eri maiden väliset lainsäädäntöerot tulisi selvittää esimerkiksi väärinkäytösten yhteydessä. On myös epäilty, että Internet-verkosta tulee suosittu veronkierto- ja rahanpesupaikka.
Verkkoraha on turvallinen Internettiin kehitetty maksuväline, jolla pyritään suorittamaan ensisijaisesti pieniä maksuja erillisen ohjelmiston avulla. Verkkoraha tavoittelee valta-asemaa Internetin maksuvälineenä. Verkkorahan käyttö ei ole kuitenkaan saanut odotettua vastaanottoa. Tiliraha ja luottokorttimaksut ovat usein helpompi vaihtoehto niin palvelun tarjoajille, kuin kuluttajillekin. Eunet-Finland on Suomessa ainoa verkkorahan tarjoaja.
/1/ Johan Helsingius, Eunet Finland, tiedote 13.3.1996, Sähköraha käyttöön Euroopassa, http://www.eunet.fi/ecash/tied1103.html
/2/ Kari A. Hintikka, Maksuliikenne Internetissä, 2.10.1996, http://www.uiah.fi/~cons/rn/mte/bittiraha.html
/3/ Valtionhallinnon tietoturvallisuuden johtoryhmä, Internetin käyttö - ja tietoturvallisuussuositukset 31.1.1995, http://nobody.vn.fi/vn/vnk/sy/tpv/internetsuositus.html
/4/ Turvallisuus on vapautta, 7/1996, http://www.lanwan.fi/border02.html
/5/ Mikko Setälä, Internet News: Maksuliikenne Internetissä, Datakutannus, SP- paino 1996, s.22
/6/ http://www.eunet.fi/ecash/
/7/ http://www.digicash.com/ecash/ecash-home.html