- •Московский государственный институт электронной техники (технический университет)
- •Протокол Secure Socket Layer
- •Сертификат.
- •Содержание сертификата.
- •Цепочки сертификатов
- •Корневой центр сертификации.
- •Протокол«рукопожатия»
- •Протокол записейSsl.
- •Протокол Secure Electronic Transaction
- •Процедуры генерации, обновления и отзыва сертификатов
- •Реализация транзакций в протоколе set
- •Характеристики протокола set
- •Приложение 1. Использование пакетаOpenSsLдля генерации сертификата.
- •Список литературы
Характеристики протокола set
Утверждение 1.Протокол SЕТ является устойчивым протоколом.
Доказательство этого следует из приведенного описания протокола. Таким образом, SET обладает следующими свойствами:
Мошеннику недостаточно знать реквизиты платежной карты для того, чтобы успешно выполнить SET-транзакцию. Помимо реквизитов карты необходимо иметь закрытый ключ владельца данной карты, а также сертификат соответствующего ему открытого ключа.
Торговая точка при выполнении SET-транзакции точно знает, что владелец карты, совершающий транзакцию, является подлинным, то есть обладает секретным ключом RSA, для которого открытый ключ сертифицирован банком-эмитентом клиента.
Клиент точно знает, что торговая точка, в которой совершается SET-транзакция, является истинной, то есть обладает секретным ключом RSA, для которого открытый ключ сертифицирован обслуживающим банком торговой точки.
Обслуживающий банк точно знает, что владелец карты и торговая точка являются подлинными, то есть обладают сертифицированными ключами.
Информация о реквизитах карты не известна торговой точке.
Торговая точка и владелец карты имеют заверенные подписями соответственно владельца карты и торговой точки подтверждения факта совершения транзакции, что делает невозможным отказ от результатов операции ни одного из участников транзакции.
Утверждение 2.Протокол SET является единственным открытым (известным) устойчивым протоколом в электронной коммерции.
Сегодня не существует никакого другого (кроме SET) опубликованного устойчивого протокола. Другими словами, на рынке аппаратно-программных решений, реализующих устойчивый протокол для использования в электронной коммерции, не существует альтернативы продуктам, реализующим SET. VISA International предполагает в ближайшее время опубликовать спецификации нового глобального стандарта аутентификации; называемого 3D Secure. Однако неочевидно, что этот стандарт будет определять устойчивый протокол.
Утверждение 3.Протокол SET де-факто является отраслевым стандартом в области пластиковых карт.
Будучи признанным ведущими международными платежными системами (VISA, MasterCard, Europay, AmEx, Diners Club) в качестве стандарта в электронной коммерции, SET де-факто является отраслевым стандартом.
Таким образом, протокол SET является на сегодняшний день единственным открытым и устойчивым протоколом в электронной коммерции.
Приложение 1. Использование пакетаOpenSsLдля генерации сертификата.
Генерация секретного ключа.
Следующая команда создает RSAключ длиной 1024 бита и записывает его в файлkey.pm:
Openssl.exe genrsa –key key.pem 1024
После ее выполнения файл key.pemбудет содержать закрытый ключ в следующем виде:
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
Также пакет позволяет зашифровать ключ одним из следующих алгоритмов: DESв режимеCBC,DESв режимеEDECBC,IDEAв режимеCBC. Для этого надо указать ключ –des, -des3 или –ideaсоответственно.
Создание сертификата.
После создания секретного ключа мы можем перейти к созданию собственно сертификата. Это делается следующей командой:
Openssl.exe req –new –x509 –days 365 –key key.pem –out cert.pem
Эта команда создает новый сертификат, произведенный самовыпуском, используя ключ из key.pem, устанавливая срок действия сертификата на 365 дней с момента создания и записывая его в файлcert.pem.
В процессе генерации программа запросит некоторые данные о субъекте сертификата, диалог выглядит следующим образом:
Using configuration from c:/temp/openssl/usr/ssl/openssl.cnf
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Russia
Locality Name (eg, city) []:Moscow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MIEE
Organizational Unit Name (eg, section) []:MP-40
Common Name (eg, YOUR name) []:Egor Shchegolkov
Email Address []:esche@pisem.net
После ввода необходимых данных в файл cert.pemзаписывается наш сертификат в следующем формате:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
На этом процедура создания сертификата завершена и мы его можем использовать для идентификации себя в различного рода приложениях или для создания собственного сертификационного центра.