Протокол ssl и set

Протокол SSL – предназначен для решения традиционных задач обеспечения информационного взаимодействия:

- пользователи – сервер должны быть уверены, что общаются с теми, которые нужны, не ограничены паролевой защитой

- после установления соединения К-С весь информационный потом должен быть защищен от несанкционированного доступа

- при обмене

Протокол SSL позволяет С и К перед началом информационного взаимодействия аутентифицировать друг друга, согласовывать алгоритм шифрования и сформировывать общие криптографические ключи.

С этой целью в протоколе используется двухключевые (асимметричные) криптосистемы RSA.

Протокол SSL включает 2 этапа взаимодействия сторон:

1. Установка сессии (идентификация сервера и клиента [опционально]; стороны договариваются об используемых криптографических алгоритмах и формируют общий «секрет», на основе которого создаются общие сеансовые ключи для последующей защиты соединения («процедура рукопожатий»))

2. Защита потока данных (информационное сообщение прикладного уровня «нарезается» на блоки и для каждого блока вычисляется код сообщения. После данные шифруются и отправляются приемной стороне. Приемная сторона – обратные действия: расшифровка, проверка кода аутентификации, сборка сообщения)

Если 2 пользователя хотят быть уверены, что информацию которой они обмениваются, не получит 3, то каждый должен по 1 компоненту ключей пары (открытый ключ) передать другому и хранить другую компоненту (секретный ключ)

Сообщение шифруется с помощью открытого и расшифровываются только закрытым.

Только так они могут быть переданы по открытой сети без опасения, что их прочтут.

Для распределения своих публичных ключей был придуман сертификат. Он состоит:

- имя человека\организации, выпустившей сертификат

- субъект сертификата

- публичный ключ субъекта

- некоторые временные параметры

Сертификат подписывается приватным ключом человека\организации, выпустившей сертификат.

Организация, выпускающая сертификат (СА)

SSL на сегодня наиболее распространенный протокол при распространении 99% всех транзакций.

Широкое распространение обусловлено:

- является составной частью всех браузеров и веб-серверов

- простота протокола и высокая скорость реализации транзакций

Недостатки:

- покупатель не аутентифицируется, продавец аутентифицируется по URL, ЦП используется при установлении SSL секции, не обеспечивается конфиденциальность данных о реквизитах карты для продавца.

Протокол set

Основан на использовании цифровых сертификатов по стандарту X509, который распространен MasterCard и Visa при участии IBM. Он позволяет покупателям приобретать товары через интернет, используя самый защищенный на настоящее время механизм выполнения платежей с использованием пластиковых карточек. SET обеспечивает кросс-аутентификацию счета держателя карточки, продавца и банка продавца для проверки готовности оплаты товара, целостность и секретность сообщений, шифрование ценных и уязвимых данных. Set позволяет подтвердить подлинность всех участников сделки в интернете. С помощью криптографии и применения цифровых сертификатов.

SET обеспечивает следующие специальные требования защиты операций электронной коммерции:

1. Секретность данных оплаты и конфиденциальность заказа

2. Сохранение целостность данных платежей с помощью ЦП

3. Специальная криптография с открытым ключом для проверки аутентификации

4. Аутентификацию держателя по кредитной карте, которая обеспечивается применением ЦП и сертификатов держателя карты

5. Аутентификацию продавца и его возможность принимать платежи по пластиковой карте, также с применением ЦП и сертификатов продавца

6. Подтверждение того, что банк продавца является действующей организацией, которая может принимать платежи через связь процессинговой системой. Это подтверждение обеспечивается ЦП и сертификатом продавца

7. Готовность оплаты транзакции в результате аутентификации сертификата с открытым ключом для всех сторон

8. Безопасность передачи данных посредством преимущественного использования криптографии.

Основным преимуществом SET перед другими системами защиты: использование цифровых сертификатов ст X509, которые ассоциируют держателя карточки, продавца и банк продавца с рядом банковских учреждений Visa и MasterCard

Пунктирные линии – возможные операции

Сплошные – обязательные операции

ДК – держатель карты

Пр - продавец

БП – банк покупателя

ВПр – банк продавца

СО – сертифицирующая организация – доверительная структура, выдающая и проверяющая сертификат.

ПШ – платежный шлюз – система контролируемая банком продавца, которая обрабатывает запросы от продавца и взаимодействует с БП

1. Участники запрашивают и получают сертификаты от сертифицирующей организации

2. Владелец карточки выбирает товар и посылает заказ

3. Продавец предъявляет свой сертификат владельцу карточки

4. Владелец карточки предъявляет свой сертификат продавцу

5. Продавец запрашивает у платежного шлюза выполнение операции проверки. Шлюз сверяет предоставленную информацию с информацией банка, выпустившей электронную карточку.

6. После проверки платежный шлюз возвращает информацию продавцу

7. Продавец требует у платежного шлюза выполнить финансовую операцию и шлюз посылает запрос на перевод средств из банка покупателя в банк продавца.

Сравнительные характеристики SET и SSL:

- SSL при аутентификации обеспечивает только двухточечное взаимодействие (только покупателя и продавца)

- в SET вовлечены 4 стороны

- SET требует аутентификации всех сторон

- SET предотвращает доступ к информации о пластиковой карточке и доступ банка-эмитента к частной информации заказчика, касающейся его заказа.

- в SSL разрешается контролируемый доступ к серверам, директориям, файлам и другой информации

- оба протокола используют современную систему криптографии с систему цифровых сертификатов

- SSL предназначен преимущественно для защиты коммуникаций в интернете, SET обеспечивает защиту транзакций электронной коммерции в целом, что обеспечивает юридическую значимость защищаемой ценной информации

- при этом через SET транзакции происходят медленнее, чем в SSL, и ее стоимость (SET) намного выше, поэтому, несмотря на технологическое совершенствование протокола SET его использование во всем мире весьма ограничено.

Безопасность электронных платежных систем

Система безналичных расчетов при помощи электронных карт называется электронной платежной системой.

В системах электронных платежей существуют следующие уязвимые места информационной безопасности:

1. Пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом.

2. Обработка информации внутри информации отправителя и получателя

3. Доступ клиента к средствам, аккумулированных на счета

Электронная пластиковая карта – носитель информации, который идентифицирует владельца и хранит определенные учетные данные.

Различают кредитные и дебетовые карты.

Для идентификации владельца на карточку наносится:

- логотип банка-эмитента

- логотип платежной системы

- обслуживающей карту

- имя владельца карты, номер счета владельца карты, срок действия карты и т д

Алфавитно-цифровые данные могут быть эмпассированы, то есть нанесены рельефным шрифтом, что дает возможность при ручной обработке карты быстро перенести данные на чек с помощью специального устройства – импринтера, осуществляющего «прокатывание» карты.

Активная и пассивная пластиковая карты.

Пассивные лишь хранят информацию, к ним относятся пластиковые карты с магнитной полосой (наиболее распространены).

Отличительной особенностью активной пластиковой карты – наличие в ней специальной микросхемы.

Испытанным способом идентификации владельца пластиковой карты является использование секретного персонального идентификационного номера (PIN).

Метод генерации значения PIN оказывает существенное влияние на безопасность электронной платежной системы.

PIN может формироваться либо банком, либо клиентом.