Протокол SSL и SET

Безопасность электронной коммерции

Бизнес признается электронным, если хотя бы 2 его составляющие из 4х (производство товара и\или услуги, маркетинг, доставка, расчет) осуществляется с помощью интернета.

Более узкая трактовка понятия электронной коммерции характеризует наличие электронных платежей.

Ключевым вопросом для электронной коммерции является электронный платеж.

Классификация возможных видом мошенничества в электронной коммерции:

1. Транзакции (операции безналичных расчетов) выполненные мошенниками с использованием правильных реквизитов карточки.

2. Получение данных о клиенте через взлом БД торговых предприятий или путем перехвата сообщений покупателя, содержащих его персональные данные.

3. Магазины-бабочки, возникающие, как правило, на непродолжительное время, для того, чтобы исчезнуть после получения от покупателя средств за несуществующие товары и услуги.

4. Увеличение стоимости товара по отношению к предлагающейся покупателю цене или повтор списания.

5. Магазины или торговые агенты, предназначенные для сбора информации о реквизитах карт и других персональных данных покупателя.

Лекция 13

Протокол SSL – предназначен для решения традиционных задач обеспечения информационного взаимодействия:

- пользователи – сервер должны быть уверены, что общаются с теми, которые нужны, не ограничены паролевой защитой

- после установления соединения К-С весь информационный потом должен быть защищен от несанкционированного доступа

- при обмене

Протокол SSL позволяет С и К перед началом информационного взаимодействия аутентифицировать друг друга, согласовывать алгоритм шифрования и сформировывать общие криптографические ключи.

С этой целью в протоколе используется двухключевые (асимметричные) криптосистемы RSA.

Протокол SSL включает 2 этапа взаимодействия сторон:

1. Установка сессии (идентификация сервера и клиента [опционально]; стороны договариваются об используемых криптографических алгоритмах и формируют общий «секрет», на основе которого создаются общие сеансовые ключи для последующей защиты соединения («процедура рукопожатий»))

2. Защита потока данных (информационное сообщение прикладного уровня «нарезается» на блоки и для каждого блока вычисляется код сообщения. После данные шифруются и отправляются приемной стороне. Приемная сторона – обратные действия: расшифровка, проверка кода аутентификации, сборка сообщения)

Если 2 пользователя хотят быть уверены, что информацию которой они обмениваются, не получит 3, то каждый должен по 1 компоненту ключей пары (открытый ключ) передать другому и хранить другую компоненту (секретный ключ)

Сообщение шифруется с помощью открытого и расшифровываются только закрытым.

Только так они могут быть переданы по открытой сети без опасения, что их прочтут.

Для распределения своих публичных ключей был придуман сертификат. Он состоит:

- имя человека\организации, выпустившей сертификат

- субъект сертификата

- публичный ключ субъекта

- некоторые временные параметры

Сертификат подписывается приватным ключом человека\организации, выпустившей сертификат.

Организация, выпускающая сертификат (СА)

SSL на сегодня наиболее распространенный протокол при распространении 99% всех транзакций.

Широкое распространение обусловлено:

- является составной частью всех браузеров и веб-серверов

- простота протокола и высокая скорость реализации транзакций

Недостатки:

- покупатель не аутентифицируется, продавец аутентифицируется по URL, ЦП используется при установлении SSL секции, не обеспечивается конфиденциальность данных о реквизитах карты для продавца.