scorecardresearch

विदासुरक्षेचा ‘प्रमाण’ मार्ग!

‘पीकेआय’वर पब्लिक की कूटप्रणालीचा संपूर्ण डोलारा उभा असतो असं म्हणणं वावगं ठरणार नाही.

|| अमृतांशु नेरुरकर

समाजमाध्यमांवरील प्रचंड विदानिर्मिती तसेच करोडोंचे सुरक्षित आर्थिक व्यवहार यांचे श्रेय पब्लिक की कूटप्रणाली, पीकेआय व्यवस्थापन आणि त्याद्वारे दिली जाणारी डिजिटल प्रमाणपत्रं या त्रिकुटाला आहे.

‘पब्लिक की’ कूटप्रणालीमुळे डिजिटल व्यासपीठांवरील आर्थिक व्यवहार सुरक्षित राखण्यासाठी भक्कम पाठबळ मिळालं असलं तरीही काही प्रश्न अजूनही अनुत्तरित राहिले होते. माझा संदेश कूटबद्ध (एन्क्रिप्ट) करताना मी संदेश स्वीकारणाऱ्याने सार्वजनिकरीत्या उपलब्ध केलेल्या त्याच्या पब्लिक कीचा उपयोग करत असलो तरी या प्रक्रियेत हे गृहीत धरण्यात आलं आहे की मला संदेश स्वीकारणाऱ्याच्या व्यक्तित्वाची खात्री आहे. थोडक्यात, ही पब्लिक की खरोखरच त्या व्यक्तीनेच प्रसारित केली आहे जिला मला गोपनीय संदेश पाठवायचा आहे आणि यात काही फसवणुकीचा प्रकार नाही, याची खातरजमा मी केलेली असणं गरजेचं आहे. ‘पब्लिक की’ कूटप्रणाली अशा प्रकारची हमी मला देत नाही.

ई-कॉमर्स संस्थळांवर काही खरेदी करण्यासाठी आर्थिक व्यवहार करताना याची सर्वाधिक गरज आहे. समजा मला अ‍ॅमेझॉनवर एक पुस्तक विकत घ्यायचे आहे. पुस्तकाची निवड करून मी माझ्या क्रेडिट/ डेबिट कार्ड/ नेट बँकिंग अशा कोणत्याही ऑनलाइन पैसे अदा करण्याच्या पद्धतीचा वापर करायचं ठरवलं, तर एका विशिष्ट ठिकाणी अ‍ॅमेझॉन मला क्रेडिट/ डेबिट क्रमांक व इतर गोपनीय आर्थिक माहिती भरायला सांगते. आता माझी गोपनीय माहिती सुरक्षित ठेवण्यासाठी अ‍ॅमेझॉन पब्लिक की प्रणालीचाच वापर करत असली तरी ही गोपनीय माहिती मी खऱ्याखुऱ्या अ‍ॅमेझॉन डॉट कॉमलाच देत आहे याची हमी मला कशी मिळू शकेल? ते संस्थळ बनावट असेल तर मग माहिती कूटबद्ध करूनही काही उपयोग नाही कारण शेवटी ही माहिती चोराच्या हाती पडणार आहे व ती वाचण्यासाठी लागणारी चावी (प्रायव्हेट की) त्याच्याच हाती आहे.

प्रमाणीकरणाची गरज

विदासुरक्षेच्या दृष्टीने अत्यंत मूलभूत आणि महत्त्वाच्या अशा या प्रश्नाला संगणकशास्त्रात ‘प्रमाणीकरणाचा प्रश्न’ (ऑथेंटिकेशन प्रॉब्लेम) असं म्हटलं गेलंय. एक वापरकर्ता किंवा ग्राहक म्हणून मला एखाद्या ई-कॉमर्स संस्थळाबरोबर आर्थिक व्यवहार करायचा असेल तर त्याचा अस्सलपणा जाणण्याची क्षमता माझ्याकडे खचितच नाही. म्हणूनच अशा संस्थळाची साक्ष एका विश्वासार्ह व त्रयस्थ संस्थेने देऊन त्याद्वारे त्या संस्थळाला प्रमाणित करण्याची आवश्यकता इथे अधोरेखित केलेली आहे. पब्लिक की प्रणालीला प्रत्यक्ष वापराच्या दृष्टीने परिपूर्ण बनवण्यासाठी टाकलेलं हे पुढचं पाऊल होतं, ज्याला पब्लिक की इन्फ्रास्ट्रक्चर (पीकेआय) असं संबोधलं जातं.

‘पीकेआय’वर पब्लिक की कूटप्रणालीचा संपूर्ण डोलारा उभा असतो असं म्हणणं वावगं ठरणार नाही. पब्लिक की प्रणालीचं व्यवस्थापन, त्यात सहभागी होणाऱ्या व्यक्ती किंवा संस्थांच्या जबाबदाऱ्या ठरवणं, ही संपूर्ण व्यवस्था उभी करण्यासाठी लागणारं हार्डवेअर तसेच सॉफ्टवेअरची निवड करणं या सर्व प्रक्रिया पार पाडणं हे ‘पीकेआय’ सुविधा पुरवणाऱ्या संस्थेकडून अपेक्षित असतं. पीकेआयचं सर्वात मूलभूत काम म्हणजे कोणाही व्यक्ती किंवा संस्थेने प्रसारित केलेल्या पब्लिक कीला प्रमाणित करणं. अ‍ॅमेझॉन डॉट कॉमसारख्या ई-कॉमर्स संस्थळाने सार्वजनिक केलेल्या पब्लिक कीची अस्सलता सिद्ध करण्यासाठी पीकेआय त्या ‘की’सोबत एक प्रमाणपत्र जोडतं. हे प्रमाणपत्र अ‍ॅमेझॉन डॉट कॉमची सत्यता प्रस्थापित करत असल्याने ग्राहकाला आपण केलेले सर्व आर्थिक व्यवहार सुरक्षित राहतील याची हमी मिळू शकते.

सुरक्षिततेची हमी

व्यक्ती अथवा संस्थांच्या पब्लिक कीला प्रमाणित करण्याचे अधिकार नेमके कोणाकडे असतात? या क्षेत्रातील आद्य ‘प्रमाणपत्र प्राधिकरण’ (सर्टिफिकेशन ऑथॉरिटी) म्हणून ‘वेरिसाईन’ या कंपनीचं नाव घ्यावं लागेल. वेरिसाईनची स्थापना १९९५ मध्ये ‘आरएसए’ पब्लिक की प्रणालीच्या संस्थापकांनी (रिवेस्ट, शमीर, अ‍ॅडलमन) स्थापन केलेल्या ‘आरएसए सेक्युरिटी’ या कंपनीची एक उपकंपनी म्हणून झाली. सुरुवातीपासूनच वेरिसाईनचं मूळ उद्दिष्ट हे संस्थांच्या ‘आरएसए’ पब्लिक कीजना प्रमाणित करून आंतरजालावर होणाऱ्या सर्व ई-कॉमर्स व्यवहारांना सुरक्षितता बहाल करण्याचं होतं. आरएसएच्या संशोधकांचे सर्व एकस्व (पेटंट्स) हाताशी असल्याने आर्थिक व्यवहारांना डिजिटल प्रमाणपत्र प्रदान करण्याच्या क्षेत्रात वेरिसाईनची एक प्रकारे मक्तेदारी तयार झाली.

त्यामुळेच ई-कॉमर्स व इतर डिजिटल कंपन्यांच्या बरोबरीने लष्करी व शासकीय आस्थापनांपासून बँका व आंतरराष्ट्रीय वित्तीय संस्थांपर्यंत विविध आस्थापना वेरिसाईनच्या पीकेआयसंदर्भातील सेवा वापरू लागल्या व कंपन्यांचे ग्राहकांबरोबरचे डिजिटल व्यवहार प्रमाणित करणारी वेरिसाईन जगातील क्रमांक एकची कंपनी बनली. २०१० साली वेरिसाईनचा डिजिटल प्रमाणपत्राशी निगडित व्यवसाय ‘सिमँटेक’ने खरेदी करण्याच्या आधी तिने विविध संस्थांच्या तब्बल ३० लाख ‘पब्लिक की’जचं प्रमाणीकरण केलं होतं. २१ व्या शतकाच्या पहिल्या दशकात पीकेआय निगडित बऱ्याच एकस्व अधिकारांचा कालावधी संपत आला व हळूहळू वेरिसाईनची मक्तेदारी कमी होऊ लागली. पुढे सिमँटेकचा हा व्यवसाय ‘डिजिसर्ट’ या कंपनीने विकत घेतला. आज या क्षेत्रात डिजिसर्टच्या सोबत ‘रॅपिडएसएसएल’, ‘ग्लोबलसाइन’, ‘एनट्रस्ट’ अशा विविध कंपन्या कार्यरत आहेत.

डिजिसर्टसारख्या डिजिटल प्रमाणपत्र देणाऱ्या कंपनीने कोणाही संस्थेच्या पब्लिक कीला प्रमाणित केले तर त्या कीच्या अस्सलतेवर आपण विश्वास ठेवू शकतो. इथे त्या संस्थेच्या अस्सलतेची हमी डिजिसर्ट देत असल्याने, पब्लिक कीची सत्यता सिद्ध करण्याची वेळ आलीच तर ती जबाबदारी पूर्णपणे डिजिसर्टवर असते. डिजिसर्टने प्रमाणित केलेली पब्लिक की बनावट निघालीच तर त्याची फार मोठी आर्थिक किंमत कंपनीला चुकवावी लागेल. त्यामुळे सामान्य परिस्थितीत अशा चुका घडत नाहीत. म्हणूनच जर एखाद्या संस्थळावर पैसे भरताना ‘डिजिसर्ट सेक्युअर्ड’ किंवा ‘सेक्युअर्ड बाय एनट्रस्ट’ अशा स्वरूपाचा घोषणा फलक दिसला तर ग्राहकाला त्या संस्थळाच्या अस्सलतेवर विश्वास ठेवायला हरकत नाही.

सुरक्षितता कशी तपासाल?

कोणत्याही संस्थळाची अस्सलता जाणून घ्यायचा अजूनही एक मार्ग आहे. आपल्या ब्राऊजरवर जिथे त्या संस्थळाचा पत्ता लिहिलेला असतो त्याच्या बाजूला ते संस्थळ प्रमाणित केलं असेल तर एक कुलपासारखं दिसणारं एक प्रतीकात्मक चिन्ह दिसत असतं. त्याच्यावर क्लिक केल्यावर त्या संस्थळाच्या प्रमाणपत्राची विस्तृत माहिती ब्राऊजर आपल्याला देतो. कोणत्या संस्थेने हे प्रमाणपत्र दिलं, किती कालावधीपर्यंत ते वैध आहे, पब्लिक की तयार करण्यासाठी कोणत्या कूटप्रणालीचा वापर केला आहे, संस्थळाचा पब्लिक की क्रमांक कोणता आहे अशी इत्थंभूत माहिती यातून आपल्याला मिळू शकते. उदाहरणार्थ, अ‍ॅमेझॉन डॉट को डॉट इन या संस्थळाच्या प्रमाणपत्राची माहिती पाहिली तर असं दिसेल की अ‍ॅमेझॉनला ‘डिजिसर्ट’ने (मूळची वेरिसाईन) प्रमाणित केलंय, त्यात आरएसए पब्लिक की प्रणालीचा वापर करण्यात आलाय, प्रमाणपत्र ऑक्टोबर २०२२ पर्यंत वैध आहे वगैरे. विशेष म्हणजे या प्रमाणपत्राची एक प्रत डाऊनलोड करण्याची मुभाही ब्राऊजर आपल्याला देतो.

आंतरजालावर ब्राऊजरच्या माध्यमातून प्रदर्शित होणाऱ्या मजकुराच्या देवाणघेवाणीसाठी एचटीटीपीचा (हायपर टेक्स्ट ट्रान्स्फर प्रोटोकॉल) वापर होतो हे सर्वज्ञात आहे. टीव्ही किंवा रेडिओप्रमाणे संस्थळं एकतर्फी पद्धतीने माहिती प्रसारित करत होती तोवर हा प्रोटोकॉल पुरेसा होता. २१ व्या शतकात मात्र तंत्रज्ञानातील प्रगतीमुळे आंतरजालावरील संवाद दुहेरी झाला. ई-कॉमर्स व समाजमाध्यमांच्या उदयानंतर तर आंतरजालावरील ९९ टक्के विदा ही वापरकर्त्यांकडून निर्माण होऊ लागली. व्यक्तिगत स्वरूपाच्या या विदेच्या सुरक्षित देवाणघेवाणीसाठी मग एचटीटीपीचा नवा सुरक्षित अवतार, एचटीटीपीएस (एस=सेक्युअर) निर्मिला गेला.

एचटीटीपीएस या आद्याक्षरांनी ज्या संस्थळांच्या पत्त्याची सुरुवात होते ती संस्थळं पीकेआय सेवा पुरवणाऱ्या डिजिसर्ट, ग्लोबलसाइनसारख्या कंपन्यांकडून प्रमाणित झालेली असतात व म्हणूनच त्यावरून झालेली विदेची देवाणघेवाण सुरक्षित समजली जाते. ज्या संस्थळांनी अजूनही अशी प्रमाणपत्रं घेतली नसतील तर ब्राऊजरच आपल्याला ‘हे संस्थळ सुरक्षित नाही’ याची जाणीव करून देतो. अशा संस्थळांना आपली कोणत्याही प्रकारची वैयक्तिक माहिती न पुरवणंच कधीही श्रेयस्कर!

असो. आज समाजमाध्यमांवर सेकंदाला लाखो टेराबाईट्समध्ये होणारी वैयक्तिक स्वरूपाची विदानिर्मिती किंवा ई-कॉमर्स संस्थळांवर दिवसाला करोडोंच्या संख्येने होणारे सुरक्षित आर्थिक व्यवहार पाहिल्यावर एक गोष्ट नक्की म्हणता येईल की गेल्या केवळ दशकभरात झालेल्या या विदाक्रांतीचं बरंचसं श्रेय हे पब्लिक की कूटप्रणाली, पीकेआय व्यवस्थापन आणि त्याद्वारे दिली जाणारी डिजिटल प्रमाणपत्रं या त्रिकुटाला सार्थपणे देता येईल.

लेखक माहिती व तंत्रज्ञान क्षेत्रातील तज्ज्ञ आहेत. amrutaunshu@gmail.com

मराठीतील सर्व विदाव्यवधान ( Vidavyavdhan ) बातम्या वाचा. मराठी ताज्या बातम्या (Latest Marathi News) वाचण्यासाठी डाउनलोड करा लोकसत्ताचं Marathi News App.

Web Title: Huge scholarships on social media secure financial transactions of crores outgoing digital certificates akp

ताज्या बातम्या