Электронные платежные системы: принципы функционирования и защиты информации

Протокол SSL позволяет серверу и клиенту перед началом информационного взаимодействия аутентифицировать друг друга, согласовать алгоритм шифрования и сформировать общие криптографические ключи. С этой целью в протоколе используются двух ключевые (ассиметричные) криптосистемы, в частности, RSA RSA -- криптографический алгоритм с открытым ключом, основывающийся на вычислительной сложности задачи факторизации больших целых чисел..

Конфиденциальность информации, передаваемой по установленному защищенному соединению, обеспечивается путем шифрования потока данных на сформированном общем ключе с использованием симметричных криптографических алгоритмов (например, RC4_128, RC4_40, RC2_128, RC2_40, DES40 и др.). Контроль целостности передаваемых блоков данных производится за счет использования так называемых кодов аутентификации сообщений, вычисляемых с помощью хэш-функций.

Протокол SSL включает два этапа взаимодействия сторон защищаемого соединения:

установление SSL-сессии;

защита потока данных.

На этапе установления SSL-сессии осуществляется аутентификация сервера и клиента, стороны договариваются об используемых криптографических алгоритмах и формируют общий "секрет", на основе которого создаются общие сеансовые ключи для последующей защиты соединения.

На втором этапе (защита потока данных) информационные сообщения прикладного уровня нарезаются на блоки, для каждого блока вычисляется код аутентификации сообщений, затем данные шифруются и отправляются к приемной стороне. Приемная сторона производит обратные действия: расшифрованную, проверку кода аутентификации сообщения, сборку сообщений, передачу на прикладной уровень.

В SSL используется криптография с открытым ключом, также известная как асимметричная криптография. Она использует два ключа: один - для шифрования, другой - для расшифровывания сообщения. Два ключа математически связаны таким образом, что данные, зашифрованные с использованием одного ключа, могут быть расшифрованы только с использованием другого, парного первому. Каждый пользователь имеет два ключа - открытый и секретный. Пользователь делает доступным открытый ключ любому корреспонденту сети. Пользователь и любой корреспондент, имеющий открытый ключ, могут быть уверены, что данные, зашифрованные с помощью открытого ключа, могут быть расшифрованы только с использованием секретного ключа.

Если два пользователя хотят быть уверенными, что информацию, которой они обмениваются, не получит третий, то каждый из них, должен передать одну компоненту ключевой пары (а именно открытый ключ), другому и хранит другую компоненту (секретный ключ). Сообщения шифруются с помощью открытого, расшифровываются только с использованием секретного ключа. Именно так сообщения могут быть переданы по открытой сети без опасения, что кто-либо сможет прочитать их.

Целостность и аутентификация сообщения обеспечиваются использованием электронной цифровой подписи.

Для того что бы распознать публичные ключи существует специальная форма - сертификат. Сертификат состоит из следующих частей:

Имя пользователя/организации, выпускающей сертификат;

Субъект сертификата (для кого был выпущен данный сертификат);

Публичный ключ субъекта;

Некоторые временные параметры (срок действия сертификата и т.п.).

Сертификат "подписывается" приватным ключом человека (или организации), который выпускает сертификаты. Организации, которые производят подобные операции, называются Certificate authority (CA). Если в стандартном Web-браузере, который поддерживает SSL, зайти в раздел security, то там можно увидеть список известных организаций, которые "подписывают" сертификаты. Технически создать свою собственную CA достаточно просто, но также необходимо уладить юридическую сторону дела, и с этим могут возникнуть серьезные проблемы.

SSL на сегодня является наиболее распространенным протоколом, используемым при построении систем электронной коммерции. С его помощью осуществляется 99% всех транзакций. Широкое распространение SSL объясняется в первую очередь тем, что он является составной частью всех браузеров и Web-серверов. Другое достоинство SSL - простота протокола и высокая скорость реализации транзакции.

В то же время, SSL обладает рядом существенных недостатков:

покупатель не аутентифицируется;

продавец аутентифицируется только по URL;

цифровая подпись используется только при аутентификации в начале установления SSL-сессии. Для доказательства проведения транзакции при возникновении конфликтных ситуаций требуется либо хранить весь диалог покупателя и продавца, что дорого с точки зрения ресурсов памяти и на практике не используется, либо хранить бумажные копии, подтверждающие получение товара покупателем;

не обеспечивается конфиденциальность данных о реквизитах карты для продавца.

Протокол SET

Другой протокол безопасных транзакций в Интернете - SET.

Протокол выполнения защищенных транзакций SET является стандартом, разработанным компаниями MasterCard и VISA при значительном участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет, используя самый защищенный на настоящее время механизм выполнения платежей. SET является открытым стандартным многосторонним протоколом для проведения безопасных платежей с использованием пластиковых карточек в Интернет. SET обеспечивает кросс-аутентификацию счета клиента карточки, продавца и банка продавца для проверки готовности оплаты товара, целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET можно назвать стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карточек через Интернет.

SET позволяет потребителям и продавцам подтвердить подлинность всех участников сделки, происходящей в Интернет, с помощью криптографии, применяя, в том числе, и цифровые сертификаты.

Объем потенциальных продаж в области электронной коммерции ограничивается достижением необходимого уровня безопасности информации, который обеспечивают вместе покупатели, продавцы и финансовые институты, обеспокоенные вопросами обеспечения безопасности платежей через Интернет. Как упоминалось ранее, базовыми задачами защиты информации являются обеспечение ее доступности, конфиденциальности, целостности и юридической значимости. SET, в отличие от других протоколов, позволяет решать указанные задачи защиты информации.

В результате того, что многие компании занимаются разработкой собственного программного обеспечения для электронной коммерции, возникает еще одна проблема. В случае использования этого ПО все участники операции должны иметь одни и те же приложения, что практически неосуществимо. Следовательно, необходим способ обеспечения механизма взаимодействия между приложениями различных разработчиков.

В связи с перечисленными выше проблемами компании VISA и MasterCard вместе с другими компаниями, занимающимися техническими вопросами (IBM IBM -- транснациональная корпорация со штаб-квартирой в Армонке, штат Нью-Йорк, один из крупнейших в мире производителей и поставщиков аппаратного и программного обеспечения, а также ИТ-сервисов и консалтинговых услуг., которая является ключевым разработчиком в развитии протокола SET), определили спецификацию и набор протоколов стандарта SET. Эта открытая спецификация очень быстро стала де-факто стандартом для электронной коммерции. В этой спецификации шифрование информации обеспечивает ее конфиденциальность. Цифровая подпись и сертификаты обеспечивают идентификацию и аутентификацию (проверку подлинности) участников транзакций. Цифровая подпись также используется для обеспечения целостности данных. Открытый набор протоколов используется для обеспечения взаимодействия между реализациями разных производителей.

SET обеспечивает следующие специальные требования защиты операций электронной коммерции:

секретность данных оплаты и конфиденциальность информации заказа, переданной вместе с данными об оплате;

сохранение целостности данных платежей; целостность обеспечивается при помощи цифровой подписи;

специальную криптографию с открытым ключом для проведения аутентификации;

аутентификацию клиента по кредитной карточке, которая обеспечивается применением цифровой подписи и сертификатов клиента карточек;

аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;

подтверждение того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым карточкам через связь с процессинговой системой; это подтверждение обеспечивается с помощью цифровой подписи и сертификатов банка продавца;

готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;

безопасность передачи данных посредством преимущественного использования криптографии.

Основное преимущество SET перед многими существующими системами обеспечения информационной безопасности заключается в использовании цифровых сертификатов, которые ассоциируют пользователя карточки, продавца и банк продавца с рядом банковских учреждений платежных систем VISA и MasterCard. SET позволяет сохранить существующие отношения между банком, пользователем карточек и продавцами, и интегрируется с существующими системами, основываясь на следующие качества:

открытый, полностью документированный стандарт для финансовой индустрии;

основан на международных стандартах платежных систем;

опирается на существующие в финансовой отрасли технологии и правовые механизмы.

Динамика взаимоотношений и информационных потоков в соответствии со спецификацией стандарта SET включает следующие действия: Участники запрашивают и получают сертификаты от сертифицирующей организации. Владелец пластиковой карточки просматривает электронный каталог, выбирает товары и посылает заказ продавцу. Продавец предъявляет свой сертификат владельцу карточки в качестве удостоверения. Владелец карточки предъявляет свой сертификат продавцу.

Продавец запрашивает у платежного шлюза выполнение операции проверки. Шлюз сверяет предоставленную информацию с информацией банка, выпустившего электронную карточку.

После проверки платежный шлюз возвращает результаты продавцу.

Некоторое время спустя, продавец требует у платежного шлюза выполнить одну или более финансовых операций. Шлюз посылает запрос на перевод определенной суммы из банка покупателя в банк продавца.

Представленная схема взаимодействия подкрепляется в части информационной безопасности спецификацией Chip Electronic Commerce, созданной для использования смарт-карточек стандарта EMV в Интернете (www.emvco.com). Ее разработали Europay, MasterCard и VISA. Сочетание стандарта на микропроцессор EMV и протокола SET дает беспрецедентный уровень безопасности на всех этапах транзакции.

Заключение

Платёжная система -- совокупность правил, процедур и технической инфраструктуры, обеспечивающих перевод стоимости от одного субъекта экономики другому.

Информация - сведения о чём-либо, независимо от формы их представления. Системы защиты все менее становится уязвимой для злоумышленников, защита электронных платежных систем все время улучшается, добавляются новые средства аутентификации пользователей, для безопасности средств пользователя.

Так же безопасность данных проходящих по сети обеспечиваются специальными протоколами безопасности транзакции. Главной задачей платежных систем является защита конфиденциальной информации, которая передается по сети. Защита информации в платежные системах обеспечивается при помощи криптографических методов защиты.

Для пользовательской защиты используются логины и пароли, номера карточки, ССV2 номера, PIN коды, секретные слова и другая личная информация пользователя. Существуют и угрозы для электронных платежных систем, но при соблюдении ряде правил угрозы можно устранить. Электронные платежные системы хорошо развиваются в нашем обществе, и с каждым днем пользователей системы становится все больше и больше. Эти системы являются очень удобными и быстрыми для перевода финансов, покупки товаров или оплата услуг (Телевидение, Штрафы, Оплата мобильной связи).

Список литературы

1. Электронные деньги и платежные системы Мусалаева С. А. [Электронный ресурс]: // URL: http://cyberleninka.ru/ (дата обращения 3.02.2014).

2. Генкин А.С. Планета Web-денег. [Текс]: - М.: Альпина, 2003 - ISBN 978-5-390-00147-9

3. Калистратов Н.В., Кузнецов В.А, Пухов А.В. Банковский розничный бизнес [Текс]: Издательская группа «БДЦ-пресс», 2006 - ISBN 5-93306-076-3

4. Системы электронных денег, их формы, виды и методы использования

[Электронный ресурс]: // URL: http://www.y-money.com.ua (Дата обращения 20.03.2014).

5. Комаров А. Электронные деньги: преимущества и недостатки [Текс]: - Региональный выпуск. -- 2008. -- № 8 (февраль).

6. Комаров А. Электронные деньги: преимущества и недостатки [Текс]: - Региональный выпуск. -- 2008. -- № 8 (февраль).

7. Анин Б.Ю. Защита компьютерной информации [Текс]: - СПб.: БХВ-Петербург, 2000 - ISBN 5-8206-0104-1

8. Мамаев М., Петренко С. Технологии защиты информации в Интернете: Специальный справочник [Текс]: - СПб.: Питер, 2002 - ISBN 5-318-00244-7

9. Чмора А.Л. Современная прикладная криптография. [Текс]: - М.: Гелиос АРВ, 2001- ISBN 5-85438-046-3

10. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. [Текс]: Под ред. В.Ф. Шаньгина. - 2-е изд., перераб. и доп. - М.: Радио и связь, 2001 - ISBN 5-256-01518-4

11. Федеральный закон от 27.06.2011 N 161-ФЗ "О национальной платежной системе" [Электронный ресурс]: // ИПС «Консультант Плюсэ»

12. Защита информации в компьютерных системах Колесников Виктор Геннадьевич [Электронный ресурс]: // URL: http://protect.htmlweb.ru/ (дата обращения 18.03.2014)

13. Компьютерная безопасность и криптография. Защита информации в электронных платежных системах [Электронный ресурс]: // URL: http://hashcrash.ru/ (дата обращения 18.03.2014)

14. Безопасность электронной коммерции. Колесников Виктор Геннадьевич [Электронный ресурс]: // URL: http://protect.htmlweb.ru/ (дата обращения 29.03.2014)

Размещено на Allbest.ru