Вопрос 29. Обеспечение безопасности
электронных платежей через сеть Internet
1. Под термином "электронная торговля" понимают предоставление товаров и платных услуг через глобальные информационные сети.1 Наиболее распространенные виды электронной коммерции
• продажа информации, например подписка на базы данных, функционирующие в режиме on-line Этот вид услуг уже получил распространение в России (базы данных "Россия-он-лайн", "Гарант-Парк" и др);
• "электронные магазины". Обычно электронный магазин представляет собой Web-site, в котором имеется оперативный каталог товаров, виртуальная "тележка" покупателя, на которую "собираются" товары, а также средства оплаты по предоставлению номера кредитной карточки по сети Internet или по телефону. Оперативные каталоги товаров могут обновляться по мере изменения предложений продукции либо для отражения сезонных мер стимулирования спроса. Отправка товаров покупателям осуществляется по почте или, в случае покупки электронных товаров (например программного обеспечения), по каналам электронной почты, или непосредственно через Web-site по сети Internet;
• электронные банки. Среди основных достоинств электронных банков можно выделить относительно низкую себестоимость организации такого банка (не нужно арендовать престижные здания, не нужны хранилища ценностей и т. д.) и широкий охват клиентов (потенциальным клиентом электронного банка может стать практически любой пользователь Internet). Поэтому электронный банк может предоставлять клиентам более выгодные, чем у обычного банка, проценты, а также больший спектр банковских услуг за более низкую плату. Электронный банк имеет собственные системы безопасности и защиты электронной информации, например специальные карты — генераторы случайных паролей, синхронизируемых с паролем на банковском сервере (это позволяет создавать уникальный пароль при каждом обращении клиента к банковскому серверу) Другой, менее дорогостоящий подход связан с использованием персональных смарт-карт, также позволяющих генерировать сессионные (сеансовые) ключи.
Некоторая задержка в развитии электронной торговли была обусловлена отсутствием надежной системы защиты Пока платежная информация передается по открытым сетям с минимальными предосторожностями или вовсе без них. Это является благоприятной почвой для автоматизированного мошенничества (например, использование фильтров для всех сообщений, проходящих через какую-либо сеть, с целью извлечения номеров счетов кредитных карточек из потока данных), а также мошенничества "ради озорства", характерного для некоторых хакеров.
2. Традиционный и проверенный способ электронной торговли, который ведет свое начало от обычной торговли по каталогам, представляет собой оплату товаров и услуг кредитной карточкой по телефону] В этом случае покупатель заказывает на Web-сервере список товаров, которые он хотел бы купить, и потом сообщает по телефону номер своей кредитной карточки продавцу коммерческой фирмы. Затем происходит обычная авторизация карты, а списание денег со счета покупателя производится лишь в момент отправки товара по почте или с курьером
Для того чтобы покупатель — владелец кредитной карточки — мог без опасений расплатиться за покупку через сеть, необхо-
димо иметь более надежный, отработанный механизм защиты передачи электронных платежей. Такой принципиально новый подход заключается в немедленной авторизации и шифровании финансовой информации в сети Internet с использованием схем SSL и SET.
Протокол SSL (Secure Socket Layer) предполагает шифрование информации на канальном уровне.
Протокол "Безопасные электронные транзакции" SET (Secure Electronic Transactions), разработанный компаниями Visa и Master Card, предполагает шифрование исключительно финансовой информации. Главное его требование — обеспечение полной безопасности и конфиденциальность совершения сделок. На сегодняшний день технические условия протокола, обеспечивающие безопасность, признаны оптимальными. Ввод этого протокола в действие даст владельцам пластиковых карт возможность использовать компьютерные сети при проведении финансовых операций, не опасаясь за дальнейшую судьбу своих платежных средств.
Стандарт SET существенно увеличивает объем продаж по кредитным карточкам через Internet. Обеспечение безопасности электронных транзакций для такого вида покупателей может привести к заметным изменениям, выражающимся в уменьшении себестоимости транзакции для банков и процессинго-вых компаний.
3. Для того чтобы обеспечить полную безопасность и конфиденциальность совершения сделок, протокол SET должен гарантировать непременное соблюдение следующих условий:1
• абсолютная конфиденциальность информации. Владельцы карточек должны быть уверены в том, что их платежная информация надежно защищена и доступна только указанному адресату. Это является непременным условием развития электронной торговли;
• полная сохранность данных. Участники электронной торговли должны быть уверены в том, что при передаче от отправителя к адресату содержание сообщения останется неизменным. Сообщения, отправляемые владельцами карточек коммерсантам,
содержат информацию о заказах, персональные данные и платежные инструкции. Если в процессе передачи изменится хотя бы один из компонентов, то данная транзакция не будет обработана надлежащим образом. Поэтому во избежание ошибок протокол SET должен обеспечить средства, гарантирующие сохранность и неизменность отправляемых сообщений. Одним из таких средств является использование цифровых подписей; • аутентификация (установление подлинности) счета владельца карточки. Использование цифровых подписей и сертификатов владельца карточки гарантирует аутентификацию счета владельца карточки и подтверждение того, что владелец карточки является законным пользователем данного номера счета.
Владелец карточки должен быть уверен, что коммерсант действительно имеет право проводить финансовые операции с финансовым учреждением. Использование цифровых подписей и сертификатов коммерсанта гарантирует владельцу карточки, что можно безопасно вести электронную торговлю.
4. Протокол SET изменяет способ взаимодействия участников системы расчетов.1 В данном случае электронная транзакция начинается с владельца карточки, а не с коммерсанта или эквайера.
Коммерсант предлагает товар для продажи или предоставляет услуги за плату. Протокол SET позволяет коммерсанту предлагать электронные взаимодействия, которые могут безопасно использовать владельцы карточек.
Эквайером (получателем) является финансовое учреждение, которое открывает счет коммерсанту и обрабатывает авторизации и платежи по кредитным карточкам. Эквайер обрабатывает сообщения о платежах, переведенных коммерсанту посредством платежного межсетевого интерфейса. При этом протокол SET гарантирует, что при взаимодействиях, которые осуществляет владелец карточки с коммерсантом, информация о счете кредитной карточки будет оставаться конфиденциальной.
Финансовые учреждения создают ассоциации банковских кредитных карточек, которые защищают и рекламируют данный тип карточки, создают и вводят в действие правила использования кредитных карточек, а также организуют сети для связи финансовых учреждений друг с другом.
Системы кредитных карт утвердились в значительной степени в качестве платежного средства для приобретения товаров непосредственно у продавца. Основное отличие использования кредитных карт в сети Internet заключается в том, что в соответствии со стандартом SET для защиты транзакций электронной торговли используются процедуры шифрования и цифровой подписи.
Сеть Internet рассчитана на одновременную работу миллионов пользователей, поэтому в коммерческих Internet-приложениях невозможно использовать только симметричные криптосистемы с секретными ключами (DES, ГОСТ 28147-89). В связи с этим применяются также асимметричные криптосистемы с открытыми ключами. Шифрование с использованием открытых ключей предполагает, что у коммерсанта и покупателя имеются по два ключа:
• открытый, который может быть известен третьим лицам;
• частный (секретный), известный только получателю информации.
Правила SET предусматривают первоначальное шифрование сообщения с использованием случайным образом сгенерированного симметричного ключа, который, в свою очередь, шифруется открытым ключом получателя сообщения. В результате образуется так называемый электронный конверт. Получатель сообщения расшифровывает электронный конверт с помощью своего частного (секретного) ключа, чтобы получить симметричный ключ отправителя. Далее симметричный ключ отправителя используется для расшифровки присланного сообщения.
Целостность информации и аутентификации участников транзакции гарантируется использованием электронной цифровой подписи.
Для защиты сделок от мошенничества и злоупотреблений организованы специальные центры {агентства) сертификации в Internet, которые следят за тем, чтобы каждый участник электронной коммерции получал бы уникальный электронный сертификат. В этом сертификате с помощью секретного ключа сертификации зашифрован открытый ключ данного участника коммерческой сделки. Сертификат генерируется на определенное время, и для его получения необходимо представить в центр сертификации документ, подтверждающий личность участника (для юридических лиц — их легальную регистрацию), и затем, имея "на руках" открытый ключ центра сертификации, участвовать в сделках.
5. Альтернативой безопасной передаче ключа служит использование доверенной третьей стороны — центра сертификации (агентства по сертификатам) для подтверждения того, что открытый ключ принадлежит именно владельцу карточки.'
Центр сертификации создает сообщение, содержащее имя владельца карточки и его открытый ключ, после предъявления владельцем карточки доказательств идентификации личности (водительские права или паспорт). Такое сообщение называется сертификатом. Сертификат снабжается подписью центра сертификации и содержит информацию об идентификации владельца, а также копию одного из открытых ключей владельца.
Участники протокола SET имеют две пары ключей и располагают двумя сертификатами. Оба сертификата создаются и подписываются одновременно центром сертификации.
Сертификаты владельцев карточек функционируют как электронный эквивалент кредитных карточек. Они снабжаются цифровой подписью финансового учреждения и поэтому не могут быть изменены третьей стороной. Эти сертификаты содержат номер счета и срок действия, которые шифруются с использованием однонаправленного алгоритма хэширования. Если номер счета и дата окончания действия известны, то связь с сертификатом можно подтвердить, однако эту информацию невозможно получить путем изучения данного сертификата. В рамках протокола SET владелец карточки представляет информацию о счете в тот платежный межсетевой интерфейс, где проводится данная связь.
Сертификат выдается владельцу карточки только с разрешения финансового учреждения — эмитента карточки. Запрашивая сертификат, владелец карточки указывает свое намерение использовать торговлю электронными средствами. Эти сертификаты передаются коммерсантам вместе с запросами о покупке и зашифрованными платежными инструкциями. Когда коммерсант получает сертификат владельца карточки, он может не сомневаться в том, что номер счета подтвержден финансовым учреждением.
Сертификаты коммерсантов являются электронным аналогом фирменной картинки, которая выставляется в витрине элек-
тронного магазине, Эти сертификаты снабжены цифровой подписью финансового учреждения коммерсанта и не могут быть изменены третьей стороной. Сертификаты служат гарантией того, что коммерсант имеет действующее соглашение с эквайером.
Коммерсант должен иметь по меньшей мере одну пару сертификатов, для того чтобы участвовать в операционной среде SET, но у одного коммерсанта может быть множество пар сертификатов - для каждого типа кредитных карточек, которые он принимает к оплате.
Сертификаты платёжных межсетевых интерфейсов выдаются эквайерам или их обработчикам для систем, которые обрабатывают авторизации и получают сообщения. Ключ шифрования конкретного интерфейса, который владелец карточки получает из этого сертификата, используется для защиты информации о счете владельца карточки. Сшифшш. мшптши тторфеШ йый№пкя..Ж(шт оператором ттйиш, ощийшнною шит-
• сертификаты этайеров выдаются для того, чтобы они могли принимать и обрабатывать запросы о сертификатах, инициированных коммерсантами. Эквайеры получают сертификаты от каждой ассоциации кредитных карточек;
• сертификаты титентов нужны для того, чтобы пользоваться услугами центра сертификации, который может принимать и обрабатывать запросы о сертификатах непосредственно от владельцев карточек по открытым и частным сетям. Эмитенты получают сертификаты от ассоциации кредитных карточек.
Сертификаты SET проверяются в иерархии доверия. Каждый сертификат связан с сертификатом подписи того объекта, который снабдил его цифровой подписью, Следуя по "дереву доверия" до известной доверенной стороны, можно быть уверенным в том, что сертификат является действительным. Например, сертификат владельца карточки связан с сертификатом эмитента (или ассоциации по поручению эмитента), который, в свою очередь, связан с корневым ключом через сертификат ассоциации.
Открытый ключ для корневой подписи известен всем программным средствам SET и может быть использован для проверки каждого из сертификатов,1 Корневой ключ будет рас-
пространяться в сертификате с автоподписью. Этот сертификат корневого ключа будет доступен поставщикам программного обеспечения для включения в их программные средства.
Протокол SET определяет множество протоколов транзакций, которые используют криптографические средства для безопасного ведения электронной коммерции. Среди этих протоколов транзакиий наиболее распространенными являются:
• регистрация владельца карточки;
• регистрация коммерсанта;
• запрос о покупке;
• авторизация платежа;
• получение платежа.
Новые достижения в области безопасности использования кредитных карточек, реализованные в стандарте SET, способны удовлетворить самых недоверчивых клиентов электронных платежных систем, поскольку устраняются все их опасения путем внедрения средств шифрования для скремблирования кредитной карточки в таком порядке, чтобы ее могли читать только продавец и покупатель.
Системы указанного типа имеют ряд преимуществ:
• деньги клиента находятся под надежным присмотром банка. Если клиент потеряет карточку, то его счет все равно связан с его именем. В отличие от систем с использованием наличности, у банка есть возможность проверить остаток на счете клиента, поэтому деньги клиента не теряются;
• отпадает необходимость в открытии нового счета. В банке для обработки транзакций данного типа клиент может продолжать пользоваться действующим счетом и кредитной карточкой. Этот фактор имеет большое значение на начальных стадиях электронной торговли в WWW сети Internet.
Недостатком является отсутствие конфиденциальности. В отличие от транзакций с электронной наличностью, которые являются анонимными, в транзакциях с кредитными картами имя клиента жестко связано со счетом.
- Вопрос 1. Понятие и классификация
- Вопрос 2. Итология - наука об информационных технологиях
- Вопрос 3. Проблемы использования
- Вопрос 4. Новая информационная технология
- Вопрос 5. Информационная технология обработки данных
- Вопрос 6. Технологии текстового поиска
- Вопрос 7. Информационная технология поддержки принятия решений
- Вопрос 8. Информационная технология экспертных систем
- 2. Основными компонентами информационной технологии, используемой в экспертной системе, являются:1
- Вопрос 9. Информационная технология управления
- Вопрос 10. Автоматизация офиса
- Вопрос 11. Аудио- и видеоконференции в автоматизации офиса
- Вопрос 12. Технологии баз данных
- Вопрос 13. Корпоративные информационные системы
- Вопрос 14. Классификация локальных вычислительных сетей
- Вопрос 15. Топология локальных вычислительных сетей
- Вопрос 16. Локальные сети Ethernet
- Вопрос 17. Защита информации в сетях
- Вопрос 18. Глобальные
- Вопрос 19. Модель osi
- Вопрос 20. Сеть Internet
- 5. Режимы передачи данных в сети:
- Вопрос 21. Подключение к Internet
- Вопрос 22. Протоколы tcp/ip
- Вопрос 23. Система имен (адресов) в Internet
- Вопрос 24. World Wide Web
- Вопрос 25. Электронная почта
- Вопрос 26. Роль электронной почты
- Вопрос 27. Телеконференции
- Вопрос 28. Обеспечение безопасности в Internet
- Вопрос 29. Обеспечение безопасности
- Вопрос 30. Факсимиле (факс)
- Вопрос 31. Мультимедиа
- Вопрос 32. Ip-телефония
- 5. Соединение "компьютер — телефон" ("телефон — компьютер").
- Вопрос 33. Достоинства и недостатки ip-телефонии
- Вопрос 34. Межсетевой протокол ip
- Вопрос 35. Общая модель передачи речи по сетям передачи данных
- Вопрос 36. Криптология
- Вопрос 37. Современные симметричные криптосистемы
- 2. Стандарт шифрования данных des {Data Encryption Standard)
- Вопрос 38. Асимметричные криптосистемы
- Вопрос 39. Защита информации в электронных платежных системах
- Вопрос 40. Обеспечение безопасности систем pos и банкоматов
- Вопрос 41. Электронная цифровая подпись (эцп)
- Вопрос 42. Сертификация электронной цифровой подписи
- Вопрос 43. Классификация систем мобильной связи
- Вопрос 44. Системы радиосвязи с подвижными объектами
- Вопрос 45. Стандарты систем сотовой радиосвязи и персонального радиовызова
- Вопрос 46. Системы сотовой подвижной связи
- 2. Услуги, которые оказывают системы третьего поколения, делятся на две группы:
- Вопрос 47. Функционирование системы сотовой связи
- Вопрос 48. Дополнительные функции и технологии сотовой связи
- Вопрос 49. Цифровые системы сотовой подвижной связи
- Вопрос 50. Спутниковые системы персональной связи
- Вопрос 51. Информационные технологии обучения (ито)
- Вопрос 52. Основные проблемы использования информационных технологий
- Вопрос 53. Технологии передачи информации при работе с правовыми базами