Автор работы: Пользователь скрыл имя, 24 Февраля 2012 в 21:45, реферат
Современную практику банковских операций, торговых сделок и взаимных платежей невозможно представить без расчетов с применением пластиковых карт. Благодаря надежности, универсальности и удобству пластиковые карты завоевали прочное место среди других платежных средств и обещают занять лидирующее положение по отношению к наличным платежам уже к 2000 г.
Некоторая задержка в развитии электронной торговли была обусловлена отсутствием надежной системы защиты. Пока платежная информация передается по открытым сетям с минимальными предосторожностями или вовсе без них. Это является благоприятной почвой для автоматизированного мошенничества (например, использование фильтров для всех сообщений, проходящих через какую-либо сеть, с целью извлечения номеров счетов кредитных карточек из потока данных), а также мошенничества "ради озорства", характерного для некоторых хакеров.
Основные методы защиты информации
Традиционный и проверенный способ электронной торговли, который ведет свое начало от обычной торговли по каталогам, представляет собой оплату товаров и услуг кредитной карточкой по телефону. В этом случае покупатель заказывает на Web-сервере список товаров, которые он хотел бы купить, и потом сообщает по телефону номер своей кредитной карточки продавцу коммерческой фирмы. Затем происходит обычная авторизация карты, а списание денег со счета покупателя производится лишь в момент отправки товара по почте или с курьером.
Для того чтобы покупатель - владелец кредитной карточки мог без опасений расплатиться за покупку через сеть, необходимо иметь более надежный, отработанный механизм защиты передачи электронных платежей. Такой принципиально новый подход заключается в немедленной авторизации и шифровании финансовой Информации в сети Internet с использованием схем SSL и SET.
Протокол SSL (Secure Socket Layer) предполагает шифрование информации на канальном уровне.
Протокол "Безопасные электронные транзакции" SET (Secure Electronic Transactions), разработанный компаниями Visa и MasterCard, предполагает шифрование исключительно финансовой информации. В течение полугода протокол SET обсуждался учеными всего мира. Главное требование, которое к нему предъявлялось,- обеспечить полную безопасность и конфиденциальность совершения сделок. На сегодняшний день технические условия протокола, обеспечивающие безопасность, признаны оптимальными. Ввод этого протокола в действие даст владельцам пластиковых карт возможность использовать компьютерные сети при проведении финансовых операций, не опасаясь за дальнейшую судьбу своих платежных средств.
Стандарт SET обещает существенно увеличить объем продаж по кредитным карточкам через Internet. Совокупное количество потенциальных покупателей - держателей карточек Visa и MasterCard по всему миру - превышает 700 миллионов человек. Обеспечение безопасности электронных транзакций для такого пула покупателей может привести к заметным изменениям, выражающимся в уменьшении себестоимости транзакции для банков и процессинговых компаний.
Особенности функционирования протокола SET
Для того чтобы обеспечить полную безопасность и конфиденциальность совершения сделок, протокол SET должен гарантировать непременное соблюдение следующих условий .
1. Абсолютная конфиденциальность информации. Владельцы карточек должны быть уверены в том, что их платежная информация надежно защищена и доступна только указанному адресату. Это является непременным условием развития электронной торговли.
2. Полная сохранность
данных. Участники электронной
3. Аутентификация (установление подлинности) счета владельца карточки. Использование цифровых подписей и сертификатов владельца карточки гарантирует аутентификацию счета владельца карточки и подтверждение того, что владелец карточки является законным пользователем данного номера счета.
4. Владелец карточки
должен быть уверен, что коммерсант
действительно имеет право
Участники системы расчетов и криптографические средства защиты транзакций. Протокол SET изменяет способ взаимодействия участников системы расчетов. В данном случае электронная транзакция начинается с владельца карточки, а не с коммерсанта или эквайера.
Коммерсант предлагает
товар для продажи или
Эквайером (получателем) является финансовое учреждение, которое открывает счет коммерсанту и обрабатывает авторизации и платежи по кредитным карточкам. Эквайер обрабатывает сообщения о платежах, переведенных коммерсанту посредством платежного межсетевого интерфейса. При этом протокол SET гарантирует, что при взаимодействиях, которые осуществляет владелец карточки с коммерсантом, информация о счете кредитной карточки будет оставаться конфиденциальной.
Финансовые учреждения создают ассоциации банковских кредитных карточек, которые защищают и рекламируют данный тип карточки, создают и вводят в действие правила использования кредитных карточек, а также организуют сети для связи финансовых учреждений друг с другом.
Системы кредитных карт утвердились в значительной степени в качестве платежного средства для приобретения товаров непосредственно у продавца. Основное отличие использования кредитных карт в сети Internet заключается в том, что в соответствии со стандартом SET для защиты транзакций электронной торговли используются процедуры шифрования и цифровой подписи.
Сеть Internet рассчитана на одновременную работу миллионов пользователей, поэтому в коммерческих Internet-приложениях невозможно использовать только симметричные криптосистемы с секретными ключами (DES, ГОСТ 28147-89). В связи с этим применяются также асимметричные криптосистемы с открытыми ключами. Шифрование с использованием открытых ключей предполагает, что у коммерсанта и покупателя имеются по два ключа - один открытый, который может быть известен третьим лицам, а другой - частный (секретный), известный только получателю информации.
Правила SET предусматривают первоначальное шифрование сообщения с использованием случайным образом сгенерированного симметричного ключа, который, в свою очередь, шифруется открытым ключом получателя сообщения. В результате образуется так называемый электронный конверт. Получатель сообщения расшифровывает электронный конверт с помощью своего частного (секретного) ключа, чтобы получить симметричный ключ отправителя. Далее симметричный ключ отправителя используется для расшифрования присланного сообщения.
Целостность информации и аутентификации участников транзакции гарантируется использованием электронной цифровой подписи.
Для защиты сделок от мошенничества и злоупотреблений организованы специальные центры (агентства) сертификации в Internet, которые следят за тем, чтобы каждый участник электронной коммерции получал бы уникальный электронный сертификат. В этом сертификате с помощью секретного ключа сертификации зашифрован открытый ключ данного участника коммерческой сделки. Сертификат генерируется на определенное время, и для его получения необходимо представить в центр сертификации документ, подтверждающий личность участника (для юридических лиц - их легальную регистрацию), и затем, имея "на руках" открытый ключ центра сертификации, участвовать в сделках.
Рассмотрим пример шифрования.
Коммерсант Алиса хочет направить
зашифрованное сообщение о
После этого Алиса создает произвольный симметричный ключ и использует его для шифрования описания товара, своей подписи и копии своего сертификата, который содержит ее открытый ключ для подписи. Для того чтобы расшифровать описание товара, Бобу потребуется защищенная копия этого произвольного симметричного ключа.
Сертификат Боба, который Алиса должна была получить до инициации безопасной связи с ним, содержит копию его открытого ключа для обмена ключами. Чтобы обеспечить безопасную передачу симметричного ключа, Алиса шифрует его, пользуясь открытым ключом Боба для обмена ключами. Зашифрованный ключ, который называется цифровым конвертом, направляется Бобу вместе с зашифрованным сообщением.
Наконец, она отправляет сообщение Бобу, состоящее из следующих компонентов:
• симметрично зашифрованного описания товара, подписи и своего сертификата;
• асимметрично зашифрованного симметричного ключа (цифровой конверт).
Продолжим предыдущий пример и рассмотрим процедуру расшифрования.
Боб получает зашифрованное сообщение от Алисы и прежде всего расшифровывает цифровой конверт личным (секретным) ключом для обмена ключами с целью извлечения симметричного ключа. Затем Боб использует этот симметричный ключ для расшифрования описания товара, подписи Алисы и ее сертификата. Далее Боб расшифровывает цифровую подпись Алисы с помощью ее открытого ключа для подписи, который получает из ее сертификата. Тем самым он восстанавливает оригинальный дайджест сообщения с описанием товара. Затем Боб пропускает описание товара через тот же однонаправленный алгоритм, который использовался Алисой, и получает новый дайджест сообщения с расшифрованным описанием товара.
Потом Боб сравнивает свой дайджест сообщения с тем дайджестом, который получен из цифровой подписи Алисы. Если они в точности совпадают, Боб получает подтверждение, что содержание сообщения не изменилось во время передачи и что оно подписано с использованием личного (секретного) ключа для подписи Алисы. Если же дайджесты не совпадают, это означает, что сообщение либо было отправлено из другого места, либо было изменено после того, как было подписано. В этом случае Боб предпринимает определенные действия, например, уведомляет Алису или отвергает полученное сообщение.
Протокол SET вводит новое применение цифровых подписей, а именно использование двойных цифровых подписей. В рамках протокола SET двойные цифровые подписи используются для связи заказа, отправленного коммерсанту, с платежными инструкциями, содержащими информацию о счете и отправленными банку.
Например, покупатель Боб хочет направить коммерсанту Алисе предложение купить единицу товара и авторизацию своему банку на перечисление денег, если Алиса примет его предложение. В то же время Боб не хочет, чтобы в банке прочитали условия его предложения, равно как и не хочет, чтобы Алиса прочитала его информацию о счете. Кроме того, Боб хочет связать свое предложение с перечислением так, чтобы деньги были перечислены только в том случае, если Алиса примет его предложение.
Все вышесказанное Боб может выполнить посредством Цифровой подписи под обоими сообщениями с помощью одной операции подписывания, которая создает двойную цифровую подпись. Двойная цифровая подпись создается путем формирования дайджеста обоих сообщений, связывания двух сообщений вместе, вычисления дайджеста итога предыдущих операций и шифрования этого дайджеста личным операции подписывания, которая создает двойную цифровую подпись. Двойная цифровая подпись создается путем формирования дайджеста обоих сообщений, связывания двух сообщений вместе, вычисления дайджеста итога предыдущих операций и шифрования этого ключом для подписи автора. Автор обязан включить также дайджест другого сообщения, с тем, чтобы получатель проверил двойную подпись.
Получатель любого из этих сообщений может проверить его подлинность, генерируя дайджест из своей копии сообщения, связывая его с дайджестом другого сообщения (в порядке, предусмотренном отправителем) и вычисляя дайджест для полученного итога. Если вновь образованный дайджест соответствует расшифрованной двойной подписи, то получатель может доверять подлинности сообщения.
Если Алиса принимает предложение Боба, она может отправить сообщение банку, указав на свое согласие и включив дайджест сообщения с предложением Боба. Банк может проверить подлинность авторизации Боба на перечисление и дайджеста сообщения с предложением Боба, предоставленного Алисой, чтобы подтвердить двойную подпись. Таким образом, банк может проверить подлинность предложения на основании двойной подписи, но банк не сможет прочитать условия предложения.
Использование сертификатов. Альтернативой безопасной передаче ключа служит использование доверенной третьей стороны - центра сертификации (агентства по сертификатам) - для подтверждения того, что открытый ключ принадлежит именно владельцу карточки.
Центр сертификации создает сообщение, содержащее имя владельца карточки и его открытый ключ, после предъявления владельцем карточки доказательств идентификации личности (водительские права или паспорт). Такое сообщение называется сертификатом. Сертификат снабжается подписью центра сертификации и содержит информацию об идентификации владельца, а также копию одного из открытых ключей владельца.
Информация о работе Защита информации в электронных платежных системах