Безопасность платежей

Этап защищенного взаимодействия с параметрами SSL-сессии

SSL-сессия

1. Каждая сторона при передаче сообщения формирует код для последующей проверки целостности сообщения на приемной стороне (MAC) и исходное сообщение вместе с кодом шифрует на своем секретном сеансовом ключе.
2. Каждая сторона при приеме сообщения расшифровывает его и проверяет на целостность (вычисляется MAC и сверяется с кодом проверки целостности, полученным вместе с сообщением); в случае обнаружения нарушения целостности сообщения SSL-сессия закрывается.

Описанная процедура установления SSL-сессии, безусловно, не обладает полнотой изложения, однако дает представление о возможностях протокола SSL. (далее…)

Юридические аспекты защиты информации в России

защита информации

Остановимся теперь на правовых аспектах применения средств защиты информации от несанкционированного доступа в России. В настоящее время правовая база отношений субъектов в области защиты информации основывается на следующих основных нормативных актах:

  • Конституции РФ,
  • Гражданском Кодексе РФ,
  • Федеральных законах РФ «Об информации, информатизации и защите информации», «О государственной тайне». (далее…)

Электронная коммерция на основе протокола SSL

Электронная коммерцияСегодня наиболее распространенным протоколом, используемым при построении систем ЭК (по различным оценкам не менее 99 % всех транзакций ЭК совершаются с его использованием) является протокол SSL, о котором достаточно подробно рассказывалось в предыдущей главе книги. Принято все протоколы ЭК, использующие SSL, называть также протоколом SSL. Как правило, это не приводит к путанице, поскольку из контекста обычно понятно, о чем в конкретном случае идет речь. Кроме того, использование протокола SSL в протоколах электронной коммерции однотипно — для закрытия соединения между владельцем карты и ТП, а также ТП и его обслуживающим банком. Тем самым решается задача обеспечения конфиденциальности и целостности информации, циркулирующей между участниками ЭК в процессе проведения транзакции. Нужно отметить, что последнее утверждение верно с некоторыми оговорками, о которых будет сказано далее.

(далее…)

Архитектура системы центров сертификации

центр сертификации

Как уже отмечалось ранее, необходимым условием создания глобальной системы аутентификации, основанной на использовании асимметричной криптографии, является наличие иерархической однокорневой системы центров сертификации. Основные функции системы ЦС — генерация и распределение сертификатов открытых ключей, обновление сертификатов, а также генерация и распределение списков отозванных ключей (Certificate Revocation Lists, или сокращенно CRL). (далее…)

Процедуры генерации, обновления и отзыва сертификатов

генерация сертификата

В самых общих чертах процедуры генерации сертификатов для участников транзакции ЭК выглядят следующим образом.

Чтобы получить сертификат своего открытого ключа, владелец карты направляет специальный запрос в адрес своего ССА. В ответ ССА передает владельцу карты сертификат своего открытого ключа.

Владелец карты передает ССА номер своей карты, зашифрованный на открытом ключе ССА, и в ответ получает регистрационную форму, соответствующую данной карте.

Владелец карты заполняет регистрационную форму, включая в нее сведения о себе, идентифицирующие владельца карты данные (включая, например, разовый пароль, предоставленный эмитентом карты), а также открытый ключ владельца карты.

ССА с помощью эмитента идентифицирует владельца карты и генерирует для него сертификат открытого ключа.

Более детальное описание процедуры генерации сертификата владельца карты будет приведено далее. (далее…)

Реализация транзакций в протоколе SET

протокол SET

Опишем теперь типы транзакций, используемых в протоколе SET. В протоколе SET сообщения, с помощью которых реализуются различные транзакции, имеют парный характер (запрос-ответ). (далее…)

Расширения стандарта SET

Common Chip Extension

Версия 1.0 стандарта SET была принята в 1997 г. С тех пор протокол получил дальнейшее развитие в виде ряда расширений (сегодня их насчитывается 8). (далее…)

Сравнение протоколов SSL и SET

защита

В таблице ниже, приведены результаты сравнения протоколов SET и SSL по отношению к наиболее вероятным типам мошенничества в ЭК, перечисленным ранее. (далее…)

Концепция Server Based Wallet

Server Based Wallet

Для платежных систем разработана модель плавного постепенного перехода от наиболее популярного сегодня протокола ЭК — SSL к стандарту SET. (далее…)

Технологические компоненты электронной коммерции

Технологии

Сразу после появления спецификаций протокола SET многие разработчики приступили к созданию реализующего его программного обеспечения. Сегодня на рынке присутствует около 50 программных продуктов, реализующих SET от более чем 20 производителей. Среди лидеров в этом направлении следует назвать компании Globeset (в конце 2000 г. компания была приобретена Trintech), IBM, Hewlett-Packard/ VeriFone, Trintech и Brokat. (далее…)

Вверх