Задача обеспечения анонимности участников СЭП в каждом конкретном случае может быть сформулирована по-разному. Крите рии классификации анонимности участников СЭП и соответствую щие им различные степени анонимности удобно сформулировать в виде своеобразных вопросов и ответов.
Кто является анонимным? В большинстве случаев требуется только анонимность плательщика, но технически СЭП можно по строить так, чтобы в ней обеспечивалась анонимность получателя или сразу обоих названных участников.
В каких действиях проявляется анонимность? Обычно пла
тельщики анонимны только в платежах, но не при снятии «элек тронных» денег со счета. Другими словами, в большинстве случаев предполагается применение обычных, неанонимных счетов, с кото
рых должны сниматься «электронные» деньги, и только после этого
их использование становится анонимным. Технически возможно сделать анонимными и банковские счета или даже построить ано нимную СЭП вообще без банковских счетов.
Относительно каких других действий достигается анОНим ность? Выделяют две степени анонимности: анонимность без неот
слеживаемости и анонимность с неотслсживаемостыо.
В первом случае каждое действие участника СЭП анонимно, но между ними прослеживается связь, т. е. сторонний наблюдатель мо жет определить, что несколько действий были сделаны одной и той же персаной. С этой проблемой тесно связана проблема реиденти фикации участников системы: система построена технически верно и: обеспечивает анонимность ее участников, но тем не менее неот слеживаемость теряется из-за того, что действия участников могут быть связаны между собой по каким-либо посторонним, косвенным признакам. К примеру, телефонная компания может «вычислить» своего анонимного абонента по номерам сделанных им телефонных
звонков.
Во втором случае достигается реальная анонимность, т. е. участ ники системы анонимны, и между действиями каждого отдельно
взятого участника нет логической связи, позволяющей установить принадлежность этих действий одному и тому же, пусть и аноним
ному участнику.
170 Запечкиков С. В. Криптографическиепротоколы 11 IIX применение
Для достижения свойства неотслеживаемости часто использу ется простой подход заключающийся в том, что каждому участнику системы присваивается псевдоним, который остается действитель ным либо в течение одной транзакции, либо в течение всего времени его участия в работе СЭП.
От кого обеспечивается анонимность участников? По этому
критерию можно выделить три степени анонимности: реальную ано нимность, одностороннюю анонимность и k-из-n-стороннюю ано
нимность.
Самая высокая степень анонимности - реальная анонимность - подразумевает анонимность участника СЭП от всех без исключения
остальных участников, даже если они кооперируются для получения
информации о нем. Это похоже на анонимность, которую дают реальные деньги их обладателю.
Более низкая степень анонимности - только односторонняя ано
нимность, т. е. анонимность одного участника двустороннего прото кола по отношению к другому участнику. В платеже это, к примеру, означает, что он является анонимным только либо от получателя, либо от банков (если они не кооперируются).
Наконец, k-из-n-сторонняя анонимность подразумевает, что в системе есть несколько центральных сторон, причем, если k из них скооперируются (образуют коалицию), они могут идентифицировать анонимного участника. Это свойство анонимности в некотором роде подобно свойству конфиденциальности разделенного секрета, дос
тигаемого в схемах разделения секрета.
Между сколькими лицами скрывается анонимный участник системы? Очевидно, чем больше группа участников, среди которых скрывается анонимный участник) тем лучше. Если множество лиц, которые потенциально могли бы выполнить ТО же самое действие, становится слишком малой, возрастает риск реидентификации. То гда увеличивается и риск применения санкций ко всей группе уча стников СЭП за какое-либо действие, проведенное одним «подозре ваемым» из этой группы. Идеальным вариантом была бы аноним ность среди всех клиентов СЭП либо среди всех клиентов банка. Однако в реальных СЭП анонимность чаще всего можно достичь только среди всех участников СЭП, снявших со счета монеты одно го номинала либо выполнивших платежи в определенный промежу
ток времени.
3. Системы электронных платежей
171
3.2. Неанонимные СЭП, работающие в реальном масштабе времени
Начнем теперь рассматривать конкретные классы СЭП, опираясь на выдвинугые ранее критерии их классификации. Как уже было оп ределено, основные технические сложности при построении СЭП - достижение анонимности участников и реализация СЭП, работаю
щих в автономном режиме, т. е. таких систем, участники которых не имеют доступа к каналам связи реального масштаба времени. Есте ственно было бы рассматривать СЭП в порядке их усложнения, на чиная с систем, не обладающих ни одним из этих двух важных свойств, а затем добавлять в них свойства автономности и аноним ности: сначала по одному, а затем сразу оба.
Неанонимные системы, работающие в реальном времени - са мый простой класс СЭП. Чтобы получить защищенную систему это го класса, необходимо просто взять за основу классическую банков скую систему и заменить традиционные, бумажные документы с собственноручными подписями на электронные документы с ци фровыми подписями.
В принципе рассматриваемые здесь системы довольно прими тивны: их можно отнести к уровню знаний 1980-х ГГ., но в практику они вошли только недавно благодаря широкому распространению веб-приложений и легкости доступа к сети Интернет. С точки зрения устройства криптосистемы СЭП этого класса не имеют почти ничего примечательного. Они используют типовые приемы криптозащиты,
поэтому мы рассмотрим их довольно кратко.
3.2.1. Системы без криптографической защиты
Некоторые электронные платежные системы не используют ни какой криптографической защиты вообще. Плательщик при выпол
нении платежа просто посылает получателю в открытом виде номер своей кредитной карты. Это безопасно для плательщика (пока кто-то другой не умеет подделывать его собственноручную подпись), хотя полностью небезопасно с точки зрения криптографии.
Такого рода система платежей является «электронным» анало гом так называемых МОТО-транзакций(maiI order/transfer order), где покупатель заранее уведомляет продавца о желании приобрести тот
или иной товар (услугу), но предполагаемый получатель платежа не
172 Запечников С. В. Криптографические протоколы и I/X применение
имеет подписи плательщика,т. е. клиент может отказатьсяот предъ являемого ему при поставке товара счета. Это условие вполне ло
гично, так как получатель не имеет никаких реальных свидетельств
того, что плательщикдействительножелаетзаплатитьему деньги. В некоторых,не очень ответственныхслучаяхиспользованиета
ких платежных систем вполнедопустимо,например для магазинов,
продающихкниги в малыхколичествахфизическимлицамс достав кой на дом. Издержки,связанныес вероятнымиотказамизаказчиков
от поставляемого им товара, в таких случаях компенсируютсяпро
давцом за счет повышенияцен на свои товары.
Примеромтакой системыявляется система платежейв сети ИН
тернетFirst Virtual.
3.2.2. Системы с защищенными
симметричными каналами
Другой возможный вариант построения простой СЭП - проведение платежей по кредитным картам через защищенный канал, образуемый протоколом SSL, который предоставляет веб-браузер. Того же можно достичь и используя обычную схему аутентификации с фиксирован ными либо одноразовыми паролями, общими для системы и клиентов. По защищенному каналу передается номер кредитной карты покупате ля или другой пароль, но не подпись плательщика.
Для плательщика такая система по-прежнему является безопас ной, но для получателя платежа риск снижается, так как для ата кующего собирать номера кредитных карт становится намного сложнее из-за необходимости решать задачи криптоанализа либо иным путем узнавать ключи (пароли), используемые клиентами сис
темы.
По этому принципу работает большинство локальных платеж ных систем и «электронных магазинов», действующих в сети ИН
тернет.
3.2.3.Системы с симметричной аутентификацией
Вэтих СЭП имеет место аутентификация сообщений, переда
ваемых участниками системы, причем для этого используются сим метричные методы аутентификации - генерация хеш-кодов при по
мощи хеш-функции с ключом. По сути дела, в этих СЭП имитирует-
3, Системы электронных платежей
173
ся классическая система бумажного банковского документооборота,
только ручные подписи на документах заменяются хеш-кодами со
общений, для генерации которых используются общие секретные
ключи, которые имеет каждая пара участников системы.
Например, перевод денег со счета на счет между банками может быть выполнен путем простого обмена двумя сообщениями. В чеко вых системах это имеет смысл только для сэп с неотложным вы полнением платежей, так как получатель не может даже проверить аутентичность платежного сообщения - хеш-код может проверить только банк. Таким образом, получатель даже не знает, имеет ли плательщик сумму, необходимую для выполнения платежа, до тех пор, пока не получит сообщение от банка с хеш-кодом, который он
сможет проверить.
Примером такой СЭП являлась первоначальная версия СЭП NetBill, но новые версии этой СЭП стали использовать для аУТеНТИ фикации сообщений цифровую подпись.
3.2.4. Системы с аутентификацией посредством цифровой подписи
СЭП с аутентификацией сообщений посредством цифровой под
писи открывают широкие возможности для построения аналогов традиционных банковских систем: чековых, систем денежных пере водов, систем с кредитными картами. Ручные подписи на банков ских документах заменяются цифровыми подписями, секретные ключи подписывающего хранятся на защищенных устройствах, а сама структура документооборота и формы документов остаются
точно такими же, как в традиционных платежных системах. Выделяют три области применения СЭП с аутентификацией по
средством цифровой подписи:
1.Домашнее банковское обслуживание. Такие СЭП имитируют традиционные технологии банковского обслуживания физических
лиц, включая открытие счетов, перевод денежных средств, платеж ные поручения и пр. Благодаря использованию сети Интернет бан ковское обслуживание становится доступно для клиентов системы, находящихея дома или на работе. Очевидно" что все пересылки со общений должны защищаться криптографическими методами. В ка-
174 Запечников С. В. Криптографическиепротоколы и их применение
чест.ве примера можно назвать немецкий стандарт НЕС! (Ноте
Banking Computer Interface).
2. Системы с защищенными кредитными картами. Такие сис темы получили в настоящее время, пожалуй, наибольшее распро странение. СЭП строится как комплекс прикладных программ на ба зе одной из спецификаций защищенных протоколов электронных платежей: CyberCash, iKP (фирмы IВМ), а чаще всего на базе специ
фикации SET (Secure Electronic Transactions).
3. Чековые системы. С точки зрения криптографии такие СЭП не имеют реальных отличий от систем с кредитными картами - раз личия заключаются только в самой банковской технологии. В каче стве примера чековой системы с аутентификацией посредством цифровой подписи можно упомянуть американскую FSTC (Financial
Services Technology Consortium).
Остановимся более подробно на спецификации SЕт. Она была разработана как компромисс между множеством протоколов элек тронных платежей, сконструированных отдельными фирмами (Су berCash, iKP, SEPP, STT), а потому получилась довольно сложной и объемной. Сейчас она стала стандартом де-факто для банковских платежных систем, обслуживающих кредитные карты. В качестве технического средства реализации кредитных карт избираются либо карты с магнитной полосой, либо (и чаще всего) ИК.
Спецификация SEТ (Secure Electronic Transactions) - результат
совместных усилий двух крупнейших международных систем бан
ковских платежей: MasterCard Intemational и VISA International -
с целью создания единой системы электронных платежей по кре дитным картам. До разработки SET каждая из двух организаций выдвигала свой собственный протокол электронных платежей и ка ждая заручилась для этого поддержкой множества коммуникацион ных компаний и фирм-производителей компьютерной техники. Сей час большинство участников рынка информационных технологий отдает предпочтение именно SET, и среди них такие крупнейшие корпорации, как ШМ, Мicrosoft, Netscape, ОТЕ и др.
SET включает три тома общим объемом более 1 000 страниц: бизнес-руководство, техническое руководство, руководство про граммиста. В ней описана модель взаимодействия участников сис темы электронных платежей, а также протоколы обмена данными,
З. Системы электронныхплатежей
175
форматы данных, порядок применения криптографических алгорит мов, применение ИОК для управления открытыми ключами. SET использует схему открытого шифрования RSA-OAEP.
Рассмотрим в общем виде основные компоненты и процессы, изложенные в этой спецификации (ДЛЯ краткости мы ограничимся их качественнымописанием). В SET определяются основные участ ники СЭП.
Эквайрер (acquirer) - организация, которая обслуживает кредит ные карты и следит за финансовыми потоками: известными приме рами таких организаций являются MasterCard, EuroPay, VISA.
Эмитент (issuer) - организация, выпускающая в обращение кредитные карты и передающая их покупателям: обычно это банк или другое подобное кредитно-финансовое учреждение.
Держатель карты (cardhоlder ) - всякое лицо, получившее кре
дитную карту от эмитента и использующее ее для совершения поку пок в магазинах либо через веб-сервис сети Интернет. В качестве кредитной карты чаще всего используется карта с магнитной поло сой либо ИК.
Платежный шлюз эквайрера (асаиие» payment gateway) - ком понент системы, обеспечивающий интерфейс между продавцом и банковской информационной системой, используемой эквайрером и эмитентом. Важно помнить, что эта система, как правило, уже су ществует к моменту внедрения СЭП на базе SET. Платежный шлюз эквайрера обеспечивает хорошо определенный защищенный интер фейс, отделяющий эту сеть от сети Интернет. Шлюзы будут выпол нять операции от лица эквайреров, но они могут обеспечиваться и сторонними организациями, например интернет-провайдерами,
Удостоверяющий центр (certificate authority). Спецификация SET предполагает использование асимметричных криптосхем, сле довательно, каждый элемент системы нуждается в одном или не скольких сертификатах открытых ключей.
Спецификация SET описывает множество транзакций для вы полнения операций покупки товара, аутентификации держателя кар ты, «отката» платежа и др, На рис. 3.3 показаны транзакции, состав ляющие типовую операцию приобретения держателем карты товара или услуги у продавца, причем каждая транзакция составлена из па
ры сообщений (запроса и ответа).
176 Запечников С. В. Криптографическиепротоколы и IIX примеиение
ДСllЖaТСЛЬь:apTы I I
Продавец
I I Шлю'3ЭКВ:lЙрс:ра
PlnitReq
,
j
>i
1
PlnitRes
2
PReq
~I-----AutllReq,--+-!j
I
:1
!
i
3
!
AtlthRes
;
;
PRes
!<
!i-<
InqReq
4
InqRes
5
1. Инициализация (Plnit). Эта транзакция инициализирует систе му, включая и описание деталей, таких, как принадлежность карты к той или иной международной платежной системе, включая и загруз ку сертификатов открытых ключей держателя карты. Спецификация SET не обязывает к тому, чтобы держатель карты имел подписанные сертификаты своих открытых ключей, но рекомендует это, так как сертификат держателя карты логически связывает номер счета, об служиваемого кредитной картой, с владельцем открытого ключа. Если эквайрер получает запрос для з~анного номера кредитной карты, подписанной открытым ключом держателя карты, то тем са
мым он узнает, что запрос исходит от реального держателя карты. Точнее говоря, он теперь знает, что запрос исходит от компьютера, где была инсталлирована и стала доступна ключевая система держа теля карты. Но это не гарантирует, что компьютером не овладел злоумышленник, узнавший пароль для доступа к ключевой системе.
2. Покупательский ордер (purchase order) - это собственно за прос держателя карты на покупку какого-либо товара либо услуги. Запрос на самом деле состоит из совокупности двух сообщений: ор дерной команды (О!), которая посылается в открытом виде продав цу, и покупательской команды (Р!), которую покупатель передает на платежный шлюз эквайрера. Р/ зашифровывается с помощью от
крытого ключа эквайрера, так что продавец не может ее прочитать.
3. Системы электронных платежей
177
Продавец просто хранит это сообщение для дальнейшей передачи эквайреру. РI включает в себя хеш-код01, так что два сообщения могут восприниматься только в паре. Заметим, что номер кредитной карты помещается только в PI. Это означает, что продавец никогда не получает к нему доступа, предотвращая таким образом злоумыш ленных пользователей от попыток сбора информации о кредитных картах. РI предполагает ответ на нее, который обычно отправляется после получения подтверждения от эквайрера. Однако продавец
может завершить транзакцию с держателем карты до выполнения авторизации. В этом случае он выдает уведомление, что запрос при
нят, но находится в ожидании авторизации.
3.Авторизация (аитопгаиоп). В этой транзакции продавец запра шивает у эквайрера через платежный шлюз авторизацию запроса. Со общение включает описание покупки и информацию о ее стоимости,
атаюке Р1 из покупательского ордера, который был сгенерирован дер жателем карты. Таким образом, эквайрер знает, что и продавец, и дер жатель карты согласовали вид и стоимость приобретаемого товара. Ко гда эквайрер получает запрос, он использует существующую банков скую информационную систему для того, чтобы авторизовать запрос и послать обратно соответствующий ответ.
4.Справка (таий-у). Держатель карты может пожелать узнать ход выполнения его запроса. Для этой цели спецификацией SET
предусмотрена особая справочная транзакция.
5. Утверждение (Саргиге): До начала этой транзакции никакого движения реальных денег еще не происходило. Запрос на утвержде ние покупки от продавца требует от эквайрера осуществить предва рительно авторизованный перевод реальных денег на его счет. На практике эта транзакция может быть внедрена как часть транзакции авторизации (этап 3). Однако есть и такие ситуации, в которых про
давец может пожелать задержать утверждение транзакции по срав нению с авторизацией. Например, большинство продавцов, прини мающих заказы по телефону или по почте, не изменяют состояние счета, обслуживаемого кредитной картой, до момента реального приобретения товара или услуги.
В SET предусмотрен ряд других транзакций, но мы не будем их
рассматривать, так как все они реализуют упомянутые выше прин
ципы.
Спецификация SET рассчитана на крупномасштабную реализа цИЮ СЭП. Предполагается, что в ней будут участвовать сотни тысяч
178 Запечников С. В. Криптографическиепротоколы 11 их примененив
лиц по всему миру. Потенциально каждый из НИХ мог бы иметь по меньшей мере один сертификат открытого ключа. В то же время на практике криптографические протоколы вынуждают участников системы в некоторых случаях иметь множество сертификатов. На пример, платежным шлюзам эквайреров необходимы два сертифи ката: один для подписания сообщений и один ДЛЯ их шифрования. Управление ключами в такой глобальной информационной системе требует развертывания иерархической модели сертификации откры тых ключей, что показано на рис. 3.4.
Корневой удосговеряющцй
центр
Держ.Пe.JПlклрr
Продавцы
Шлюзы эквяйреров
Рис. 3.4. Иерархическая модель сертификации открытых ключей согласно спецификации ВЕТ
На вершине иерархии находится корневой удостоверяющий центр (УЦ), работающий в автономном режиме, так как для него не обходимы крайне высокие меры безопасности, ибо в случае его компрометации происходит утрата безопасности всей глобальной СЭП. Доступ к его секретному ключу возможен в единственном случае: при введении в СЭП новой международной системы плате жей по кредитным картам (что, очевидно, случается крайне редко). Для следующего уровня иерархии - уровня удостоверяющих цен тров платежных систем - также требуется очень высокая степень
