Преимущества и недостатки протокола SET, его общая характеристика, функциональность и роль в обеспечении полной безопасности и конфиденциальности совершения сделок. Протокол SSL, условия и возможности его использования. Сравнение протоколов SET и SSL.
Краткое сожержание материала:

Размещено на

Размещено на

Введение

Еще несколько лет назад сеть Internet использовалась в основном только для обмена почтовыми сообщениями и пересылки файлов. Однако в последние годы современные информационные технологии превратили Internet в развитую инфраструктуру, которая охватывает все основные информационные центры, мировые библиотеки, базы данных научной и правовой информации, многие государственные и коммерческие организации, биржи и банки. Любая организация может распространять информацию по всему миру, создав информационный абонентский пункт в WWW Internet.

Все большее значение приобретает электронная торговля. Число покупок по банковским картам будет расти по мере создания систем заказов в оперативном режиме Internet. Сегодня Internet может рассматриваться как огромный рынок, способный охватить практически все население планеты Земля. Пользование открытой компьютерной сетью Internet меняет способ доступа к информации о приобретении, предложении и оплате услуг, покупке товаров и расчетах. Места совершения сделок постепенно перемещаются от традиционных рынков к более комфортным для потребителя в дом или офис. Именно поэтому производители программных и аппаратных средств, торговые и финансовые организации активно развивают различные виды и методы ведения коммерческой деятельности в Internet-электронной торговли, проявляя надлежащую заботу об обеспечении ее безопасности.

Под термином «электронная торговля» понимают предоставление товаров и платных услуг через глобальные информационные сети. Рассмотрим наиболее распространенные на сегодня виды электронной коммерции:

* Традиционной услугой в области электронной торговли является продажа информации, например подписка на базы данных, функционирующие в режиме on-line. Этот вид услуг уже получил распространение в России (базы данных «Россия-он-Лайн», «Гарант-Парк» и др.)

* На данный момент в России получило огромное распространение система «электронных магазинов». Обычно электронный магазин представляет собой Web-site, в котором имеется оперативный каталог товаров, виртуальная «тележка» покупателя, на которую «собираются» товары, а также средства оплаты по предоставлению номера кредитной карточки по сети Internet или по телефону. Оперативные каталоги товаров могут обновляться по мере изменения предложений продукции либо для отражения сезонных мер стимулирования спроса. Отправка товаров покупателям осуществляется по почте или, в случае покупки электронных товаров (например, программного обеспечения), по каналам электронной почты, или непосредственно через Web-site no сети Internet.

* Начинает развиваться новый вид электронной коммерции - электронные банки. Среди основных достоинств электронных банков можно выделить относительно низкую себестоимость организации такого банка (не нужно арендовать престижные здания, не нужны хранилища ценностей и т.д.) и широкий охват клиентов (потенциальным клиентом электронного банка может стать практически любой пользователь Internet). Поэтому электронный банк может предоставлять клиентам более выгодные, чем у обычного банка, проценты, а также больший спектр банковских услуг за более низкую плату. Естественно, что электронный банк имеет собственные системы безопасности и защиты электронной информации, например специальные карты - генераторы случайных паролей, синхронизируемых с паролем на банковском сервере (это позволяет создавать уникальный пароль при каждом обращении клиента к банковскому серверу). Другой, менее дорогостоящий подход связан с использованием персональных смарт - карт, также позволяющих генерировать сессионные (сеансовые) ключи.

Некоторая задержка в развитии электронной торговли была обусловлена отсутствием надежной системы защиты. Пока платежная информация передается по открытым сетям с минимальными предосторожностями или вовсе без них. Это является благоприятной почвой для автоматизированного мошенничества (например, использование фильтров для всех сообщений, проходящих через какую-либо сеть, с целью извлечения номеров счетов кредитных карточек из потока данных), а также мошенничества «ради озорства», характерного для некоторых хакеров.

Традиционный и проверенный способ электронной торговли, который ведет свое начало от обычной торговли по каталогам, представляет собой оплату товаров и услуг кредитной карточкой по телефону. В этом случае покупатель заказывает на Web-сервере список товаров, которые он хотел бы купить, и потом сообщает по телефону номер своей кредитной карточки продавцу коммерческой фирмы. Затем происходит обычная авторизация карты, а списание денег со счета покупателя производится лишь в момент отправки товара по почте или с курьером.

Для того чтобы покупатель - владелец кредитной карточки мог без опасений расплатиться за покупку через сеть, необходимо иметь более надежный, отработанный механизм защиты передачи электронных платежей. Такой принципиально новый подход заключается в немедленной авторизации и шифровании финансовой информации в сети Internet с использованием схем SSL и SET.



1. Преимущества и недостатки протокола SET

Для того чтобы обеспечить полную безопасность и конфиденциальность совершения сделок, протокол SET должен гарантировать непременное соблюдение следующих условий:

· Абсолютная конфиденциальность информации. Владельцы карточек должны быть уверены в том, что их платежная информация надежно защищена и доступна только указанному адресату. Это является непременным условием развития электронной торговли.

· Полная сохранность данных. Участники электронной торговли должны быть уверены в том, что при передаче от отправителя к адресату содержание сообщения останется неизменным. Сообщения, отправляемые владельцами карточек коммерсантам, содержат информацию о заказах, персональные данные и платежные инструкции. Если в процессе передачи изменится хотя бы один из компонентов, то данная транзакция не будет обработана надлежащим образом. Поэтому во избежание ошибок протокол SET должен обеспечить средства, гарантирующие сохранность и неизменность отправляемых сообщений. Одним из таких средств является использование цифровых подписей.

· Аутентификация (установление подлинности) счета владельца карточки. Использование цифровых подписей и сертификатов владельца карточки гарантирует аутентификацию счета владельца карточки и подтверждение того, что владелец карточки является законным пользователем данного номера счета.

· Владелец карточки должен быть уверен, что коммерсант действительно имеет право проводить финансовые операции с финансовым учреждением. Использование цифровых подписей и сертификатов коммерсанта гарантирует владельцу карточки, что можно безопасно вести электронную торговлю.

Протокол SET (Secure Electronic Transaction) был разработан консорциумом во главе с Visa и Master Card. Официальной датой рождения стандарта SET является 1 февраля 1996 г. В этот день Visa International и MasterCard International совместно с рядом технологических компаний (включая IBM, GlobeSet) объявили о разработке единого открытого стандарта защищенных Интернет-расчетов. SET представляет собой набор протоколов, предназначенных для использования другими приложениями (такими, как Web-браузер). Он был рекомендован как стандарт обработки транзакций, связанный с расчетами за покупки по кредитным картам в Интернет.

В декабре 1997 г. была создана некоммерческая организация SETCo LLC, призванная координировать работы по развитию стандарта и осуществлять тестирование и сертификацию предлагаемого на рынке программного обеспечения с целью контроля над соответствием этого программного обеспечения спецификациям SET.

В основе системы безопасности, используемой SET, лежат стандартные криптографические алгоритмы DES (Data Encryption Standard - стандарт шифрования данных) и RSA (Rivest-Shamir-Adleman - алгоритм цифровой подписи Райвеста-Шамира-Адлемана). Инфраструктура SET построена в соответствии с инфраструктурой открытого ключа (Public Key Infrastructure, PKI) на базе сертификатов, соответствующих ISO-стандарту X.509.

Протокол SET не привязан ни к HTTP, ни к Web-коммерции. Его можно использовать с самыми различными протоколами. SET шифрует сами сообщения, а не канал связи, как, например. SSL.

Оригинальный протокол SET подразумевает следующую схему взаимодействия между участниками процесса платежа в Интернете.

Владелец карточки и магазин устанавливают у себя программное обеспечение - Cardholder Wallet и Merchant Server соответственно. Эквайер должен установить себе Payment Gateway.

Всем участникам необходимо получить Certificate Authority так называемые сертификаты, которые используются для формирования цифровых подписей и шифрования данных. Для этого участники запрашивают и получают сертификаты от сертифицирующих организаций (SETCo). SET-сертификат Интернет-Магазина содержит идентификационные параметры торговой точки. SET-сертификат Покупателя - это электронный документ, который содержит зашифрованные параметры платежной карты (её номер, имя владельца и т.д.).

Чтобы однозначно идентифицировать друг друга, все участники системы должны обменяться цифровыми SET-сертификатами. Интернет-Магазин предъявляет свой сертификат в качестве удостоверения. Покупатель в свою очередь также предъявляет SET-сертификат. Эта процедура заменяет ввод данных о кредитной карте и, следовательно, обеспечивает защиту информации о карте от злоумышленников. При этом очень важно, что номер карточки остается скрытым от магазина. Тем самым ставится заслон на пути хак...