SET (Secure Electronic Transaction)



Podobne dokumenty
SSL (Secure Socket Layer)

Podstawy Secure Sockets Layer

przewodnik po płatnościach internetowych dla użytkowników kart płatniczych wydanych przez Euro Bank S.A.

Bezpieczeństwo usług oraz informacje o certyfikatach

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Przewodnik użytkownika

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

Zdalne logowanie do serwerów

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

REGULAMIN USŁUGI PŁATNOŚCI KARTAMI PŁATNICZYMI

ZESTAW PLATINUM. - instrukcja pobrania i instalacji certyfikatu niekwalifikowanego wersja 1.2

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Protokoły zdalnego logowania Telnet i SSH

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Zadanie 1: Protokół ślepych podpisów cyfrowych w oparciu o algorytm RSA

POLITYKA PRYWATNOŚCI

Kongres Logistyczny PTL 2001

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID

Płatności CashBill - SOAP

Certyfikat niekwalifikowany zaufany Certum Silver. Instalacja i użytkowanie pod Windows Vista. wersja 1.0 UNIZETO TECHNOLOGIES SA

Bezpieczna poczta i PGP

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

Problemy z bezpieczeństwem w sieci lokalnej

2. Kodeks Cywilny ustawa z dnia 23 kwietnia 1964 r. (Dz. U. Nr 16, poz. 93 ze zm.);

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Instrukcja logowania i realizacji podstawowych transakcji w systemie bankowości internetowej dla klientów biznesowych BusinessPro.

POLITYKA PRYWATNOŚCI. 1. uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim

Warszawa, dnia 6 października 2016 r. Poz. 1626

Zastosowania informatyki w gospodarce Wykład 8

SPIS TREŚCI. 1. O systemie Płatności Online. 2. Oferowane formy płatności. 3. Schemat procesu płatności. 4. Opis procesu płatności

ZiMSK. Konsola, TELNET, SSH 1

Protokół HTTPS. Adam Danecki Informatyka gr. 1.4

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

PŁATNOŚCI ELEKTRONICZNE I NIE TYLKO

Instrukcja obsługi certyfikatów w programie pocztowym MS Outlook Express 5.x/6.x

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

Migracja EMV czas na decyzje biznesowe

Technologia Internetowa w organizacji giełdy przemysłowej

Moduł do płatności mobilnych najprostszy sposób zatwierdzenia płatności w komórce

Protokół SSL/TLS. Algorytmy wymiany klucza motywacja

Wasze dane takie jak: numery kart kredytowych, identyfikatory sieciowe. kradzieŝy! Jak się przed nią bronić?

Dokumentacja Techniczna SMS MO

Polityka prywatności

Certyfikat niekwalifikowany zaufany Certum Silver. Instrukcja dla uŝytkowników Windows Vista. wersja 1.1 UNIZETO TECHNOLOGIES SA

Szczegółowe informacje dotyczące przekazywania do Bankowego Funduszu Gwarancyjnego informacji kanałem teletransmisji

SMB protokół udostępniania plików i drukarek

OFERTA Erata - zakupy na raty w Dotpay

Ochrona systemów informacyjnych. SSL (Secure Socket Layer) - protokół bezpiecznych połączeń sieciowych

ZAKRES USŁUG OFEROWANYCH W SERWISIE KANTOR- INTERNETOWY.EU

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Protokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

REGULAMIN ŚWIADCZENIA USŁUG I ORGANIZACJI PŁATNOŚCI SYSTEMU GoPay

Sieci VPN SSL czy IPSec?

Certyfikat Certum Basic ID. Rejestracja certyfikatu. wersja 1.0

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

Zarządzanie systemami informatycznymi. Bezpieczeństwo przesyłu danych

Regulamin Sklepu Internetowego DaDum.pl z dnia 25. grudnia 2014r.

Informator. dla użytkowników kart prestiżowych

System automatycznego wysyłania SMSów SaldoSMS

REGULAMIN SKLEPU INTERNETOWEGO


Strategia gospodarki elektronicznej

OPCJE DOSTAWY W SERWISIE WIRTU.PL

Silne uwierzytelnianie dla klienta indywidualnego

REGULAMIN SKLEPU INTERNETOWEGO z dnia

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Regulamin frontin.pl 1. Postanowienia ogólne

Silne uwierzytelnianie dla klienta instytucjonalnego

Dostosowanie środków dostępu użytkowanych w bankowości internetowej. do wymogów silnego uwierzytelniania (SCA)

4. W sklepie oferowane są produkty fabrycznie nowe, pozbawione wad fizycznych.

SGB. Spółdzielcza Grupa Bankowa

Instrukcja użytkownika

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

REGULAMIN SKLEPU INTERNETOWEGO BINI

Kantor online - regulamin

ZAŁĄCZNIK 2. Specyfikacja Techniczna Oprogramowania Billon

Dokumentacja techniczna - PBL

Aktywacja konta. Weryfikacja konta. Konfiguracja dostępu

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

Praktyczne aspekty wykorzystania nowoczesnej kryptografii. Wojciech A. Koszek

WorkshopIT Komputer narzędziem w rękach prawnika

Aby Twoje transakcje zawsze przebiegały sprawnie i bezpiecznie. Terminale Ingenico ict / iwl Skrócona instrukcja obsługi dla Klientów Elavon

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Sklep internetowy, działający pod adresem prowadzony jest przez:

Regulamin. Regulamin zakupów w sklepie Scarpa Dolce oraz warunków korzystania z treści serwisu.

PolishAPI. Rekomendacje oraz podstawowe założenia do przygotowania interfejsu awaryjnego. Dokument opracowany przez Grupę Projektową ds.

systemów intra- i internetowych Platformy softwarowe dla rozwoju Architektura Internetu (2) Plan prezentacji: Architektura Internetu (1)

Certyfikat niekwalifikowany zaufany Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.2 UNIZETO TECHNOLOGIES SA

REGULAMIN ELEKTRONICZNEJ PLATFORMY DO SKŁADANIA ZAMÓWIEŃ 'SKLEP-DOMWHISKY.PL'

Jak...zarejestrować się w serwisie OB10

Obsługa bankowości mobilnej MobileBanking

REGULAMIN dla konsumentów. 1 Postanowienia ogólne

SSL VPN Virtual Private Network with Secure Socket Layer. Wirtualne sieci prywatne z bezpieczną warstwą gniazd

Instrukcja pobrania i instalacji. certyfikatu niekwalifikowanego na komputerze lub karcie kryptograficznej wersja 1.2

Ministerstwo Finansów

4 Zmiana zakresu usługi przez Bank wymaga zachowania warunków i trybu przewidzianego dla zmiany regulaminu.

REGULAMIN ŚWIADCZENIA USŁUG

POLITYKA PRYWATNOŚCI ORAZ ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

Transkrypt:

SET (Secure Electronic Transaction) Krzysztof Maćkowiak Wprowadzenie SET (Secure Electronic Transaction) [1] to protokół bezpiecznych transakcji elektronicznych. Jest standardem umożliwiający bezpieczne przeprowadzanie transakcji z wykluczeniem bezpośredniego kontaktu przez Internet, z użyciem kart kredytowych. Projekt ten został ogłoszony 1 lutego 1996 roku. Popierany jest przez dwie największe organizacje związane z kartami płatniczymi VISA i MasterCard oraz wspierany przez firmę IBM. Protokół ten posiada cechy następujących technologii: SSL (Secure Socket Layer) [2], STT (Secure Transaction Technology), SEPP (Secure Electronic Payment Protocol) oraz S- HTTP (Secure Hypertext Transfer Protocol). SET rozszerza możliwości SSL przez wprowadzenie identyfikacji drugiej strony - klienta. Protokół zawiera, więc mechanizmy identyfikacji obu stron. Została wyeliminowana możliwość podejrzenia numeru karty przez sprzedawcę zakodowane numery kart przesyłane są wprost do firmy zajmującej się ich obsługą. Do przeprowadzenia transakcji wymagane są: po stronie klienta przeglądarka internetowa Netscape Navigator lub Internet Explorer w wersji od 4.0 wzwyż, system operacyjny posiadający mechanizmy służące do obsługi certyfikatów (np. repozytorium). po stronie sprzedawcy serwer obsługujący protokół SET. Certyfikaty, w przeciwieństwie do SSL, stosowane są jedynie do transakcji z udziałem kart płatniczych. Firmy, zajmujące się rozliczaniem kart kredytowych, zarządzają specjalnymi serwerami, które w sposób automatyczny wystawiają certyfikaty. Osoba, chcąca uzyskać certyfikat, łączy się z takim serwerem szyfrowanym połączeniem i podaje swoje dane osobowe oraz dane związane z posiadaną kartą kredytową. Dane te następnie sprawdzane są przez prywatne sieci międzybankowe, które służą do autoryzacji kart kredytowych. W przypadku, gdy weryfikacja jest poprawna zostaje wydany certyfikat. Krzysztof Maćkowiak 1

Zapewnienie dwóch stron o wiarygodności partnera podczas przeprowadzania każdej transakcji, jest uzyskiwane poprzez sprawdzanie certyfikatów po obu stronach. Strony wyróżniane w protokole SET: kupujący (klient) zamawiający towary u sprzedawcy i dokonujący zapłaty, sprzedawca oferujący towary, usługi oraz zapewniający przeprowadzenie transakcji, bank będący instytucją finansową, która założyła konto klientowi i wydała mu kartę kredytową, centrum autoryzacji dokonujące autoryzacji kart płatniczych oraz płatności, brama autoryzacji przetwarzająca komunikaty sprzedawcy w czasie realizacji płatności elektronicznych, system płatniczy np. VISA, MasterCard ustalający mechanizmy obsługi i akceptacji kart płatniczych. Zanim klient i sprzedawca będą mogli korzystać z protokołu SET muszą się zarejestrować. Rejestracja klienta i sprzedawcy polega na wystawieniu certyfikatu przez centrum autoryzacyjne (CA). Przebieg transakcji elektronicznej: przeglądanie i zakupy, wybór sprzedawcy i towaru, negocjacje i zamówienie, wybór sposobu płatności, żądanie przeprowadzenia transakcji (SET), uwierzytelnianie płatności (SET), dostarczenie towaru, przeprowadzenie płatności (SET). Tylko trzy zaznaczone procesy są wykonywane z wykorzystaniem protokołu SET. Krzysztof Maćkowiak 2

Protokół SET jest wykorzystywany, gdy klient jako sposób płatności wybierze kartę kredytową. Transakcja SET: KLIENT SPRZEDAWCA BRAMA PŁATNICZA PInitReq PInitRes PReq AuthReq AuthRes PRes CapReq CapRes Rys.1. Komunikaty podstawowej transakcji. Komunikaty transakcji SET opisane są poniżej. PInitReq żądanie rozpoczęcia transakcji, zawiera informację o systemie płatniczym. PInitRes identyfikator transakcji podpisany kluczem prywatnym sprzedawcy oraz zawierający certyfikaty: sprzedawcy i bramy płatniczej. PReq złożenie zamówienia. Krzysztof Maćkowiak 3

AuthReq żądanie uwierzytelnienia płatności. AuthRes odpowiedź potwierdzająca weryfikację klienta, sprzedawcy i transakcji w banku. PRes w przypadku poprawnej weryfikacji, sklep potwierdza przeprowadzenie transakcji. CapReq, CapRes realizacja płatności. Wszystkie te komunikaty są obowiązkowe i występują w każdym procesie transakcji. Dodatkowo mogą występować jeszcze opcjonalne komunikaty m.in. AuthRevReq, AuthRevRes stosowane do zmiany lub anulowania procesu uwierzytelniania. Etap uwierzytelnienia (AuthReq/AuthRes) Ze względu na bezpieczeństwo transakcji najważniejszym etapem jest etap uwierzytelnienia. Uwierzytelnienie służy zapewnieniu, że otrzymane dane zostały wysłane przez określoną osobę. Na podstawie otrzymanych danych odbiorca może zidentyfikować nadawcę tych danych. Proces ten jest dokonywany z użyciem podpisu cyfrowego oraz certyfikatów wystawianych przez CA. W protokole SET uwierzytelnieniu podlegają: kupujący, sprzedawca oraz brama płatnicza. Proces uwierzytelniania składa się z dwóch wiadomości: prośby uwierzytelnienia (AuthReq) generowanej przez sprzedawcę i wysyłanej do bramy płatniczej oraz odpowiedzi generowanej przez bramę płatniczą i przesyłanej do sprzedawcy. Wiadomości te używane są zarówno w transakcjach uwierzytelniania jak i w transakcjach sprzedaży. Para komunikatów dostarcza sprzedawcy mechanizm do dokonania uwierzytelnienia związanego z realizacją zakupów. Sprzedawca generując prośbę o uwierzytelnienie wysyła dane związane z realizacją zakupów, które są podpisane i zaszyfrowane oraz dodatkowe informacje (PI) otrzymane od osoby dokonującej zakupu. Przesłane informacje zawarte są w komunikacie AuthReq i służą do dokonania uwierzytelnienia, które wykonuje brama płatnicza z wykorzystaniem sieci międzybankowych. Krzysztof Maćkowiak 4

Brama płatnicza korzystając z sieci międzybankowych przeprowadza proces uwierzytelnienia, w wyniku czego generowany jest komunikat i przesyłany do sprzedawcy, który zwracał się z prośbą o uwierzytelnienie. Algorytmy używane w protokole SET: Certyfikaty X.509v3 Szyfrowanie symetryczne DES CBC, CDMF. Szyfrowanie asymetryczne RSA z kluczami o długości 1024 i 2048 bitów. Podpis cyfrowy RSA. Funkcja skrótu SHA-1 generująca skrót o długości 160 bitów. System certyfikatów występujący w protokole SET: certyfikat klienta (Cardholder), certyfikat sprzedawcy (Merchant), certyfikat bramy płatniczej (Payment Gateway), certyfikat centrum autoryzacji klienta (banku) (Cardholder CA), certyfikat centrum autoryzacji sprzedawcy (Merchant CA), certyfikat centrum autoryzacji bramy płatniczej (Payment Gateway CA), certyfikat geopolitycznego centrum autoryzacji (Geo-Politicial CA), certyfikat wyższego rzędu (Brand CA), certyfikat główny (Root CA). Krzysztof Maćkowiak 5

Największym problemem związanym z wprowadzeniem protokołu SET w życie jest problem z masowym generowaniem certyfikatów dla każdego klienta i jednoczesnym zapewnieniu ich wiarygodności oraz pełnej identyfikacji użytkowników. Jednym z możliwych rozwiązań może być wydawanie certyfikatu wraz z kartą kredytową w banku. Literatura 1. http://www.setco.org, Maj 2003. 2. http://www.openssl.org, Maj 2003. Krzysztof Maćkowiak 6