Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Введение

Еще несколько лет назад сеть Internet использовалась в основном только для обмена почтовыми сообщениями и пересылки файлов. Однако в последние годы современные информационные технологии превратили Internet в развитую инфраструктуру, которая охватывает все основные информационные центры, мировые библиотеки, базы данных научной и правовой информации, многие государственные и коммерческие организации, биржи и банки. Любая организация может распространять информацию по всему миру, создав информационный абонентский пункт в WWW Internet.

Все большее значение приобретает электронная торговля. Число покупок по банковским картам будет расти по мере создания систем заказов в оперативном режиме Internet. Сегодня Internet может рассматриваться как огромный рынок, способный охватить практически все население планеты Земля. Пользование открытой компьютерной сетью Internet меняет способ доступа к информации о приобретении, предложении и оплате услуг, покупке товаров и расчетах. Места совершения сделок постепенно перемещаются от традиционных рынков к более комфортным для потребителя в дом или офис. Именно поэтому производители программных и аппаратных средств, торговые и финансовые организации активно развивают различные виды и методы ведения коммерческой деятельности в Internet-электронной торговли, проявляя надлежащую заботу об обеспечении ее безопасности.

Под термином «электронная торговля» понимают предоставление товаров и платных услуг через глобальные информационные сети. Рассмотрим наиболее распространенные на сегодня виды электронной коммерции:

* Традиционной услугой в области электронной торговли является продажа информации, например подписка на базы данных, функционирующие в режиме on-line. Этот вид услуг уже получил распространение в России (базы данных «Россия-он-Лайн», «Гарант-Парк» и др.)

* На данный момент в России получило огромное распространение система «электронных магазинов». Обычно электронный магазин представляет собой Web-site, в котором имеется оперативный каталог товаров, виртуальная «тележка» покупателя, на которую «собираются» товары, а также средства оплаты по предоставлению номера кредитной карточки по сети Internet или по телефону. Оперативные каталоги товаров могут обновляться по мере изменения предложений продукции либо для отражения сезонных мер стимулирования спроса. Отправка товаров покупателям осуществляется по почте или, в случае покупки электронных товаров (например, программного обеспечения), по каналам электронной почты, или непосредственно через Web-site no сети Internet.

* Начинает развиваться новый вид электронной коммерции - электронные банки. Среди основных достоинств электронных банков можно выделить относительно низкую себестоимость организации такого банка (не нужно арендовать престижные здания, не нужны хранилища ценностей и т.д.) и широкий охват клиентов (потенциальным клиентом электронного банка может стать практически любой пользователь Internet). Поэтому электронный банк может предоставлять клиентам более выгодные, чем у обычного банка, проценты, а также больший спектр банковских услуг за более низкую плату. Естественно, что электронный банк имеет собственные системы безопасности и защиты электронной информации, например специальные карты - генераторы случайных паролей, синхронизируемых с паролем на банковском сервере (это позволяет создавать уникальный пароль при каждом обращении клиента к банковскому серверу). Другой, менее дорогостоящий подход связан с использованием персональных смарт - карт, также позволяющих генерировать сессионные (сеансовые) ключи.

Некоторая задержка в развитии электронной торговли была обусловлена отсутствием надежной системы защиты. Пока платежная информация передается по открытым сетям с минимальными предосторожностями или вовсе без них. Это является благоприятной почвой для автоматизированного мошенничества (например, использование фильтров для всех сообщений, проходящих через какую-либо сеть, с целью извлечения номеров счетов кредитных карточек из потока данных), а также мошенничества «ради озорства», характерного для некоторых хакеров.

Традиционный и проверенный способ электронной торговли, который ведет свое начало от обычной торговли по каталогам, представляет собой оплату товаров и услуг кредитной карточкой по телефону. В этом случае покупатель заказывает на Web-сервере список товаров, которые он хотел бы купить, и потом сообщает по телефону номер своей кредитной карточки продавцу коммерческой фирмы. Затем происходит обычная авторизация карты, а списание денег со счета покупателя производится лишь в момент отправки товара по почте или с курьером.

Для того чтобы покупатель - владелец кредитной карточки мог без опасений расплатиться за покупку через сеть, необходимо иметь более надежный, отработанный механизм защиты передачи электронных платежей. Такой принципиально новый подход заключается в немедленной авторизации и шифровании финансовой информации в сети Internet с использованием схем SSL и SET.

1. Преимущества и недостатки протокола SET

Для того чтобы обеспечить полную безопасность и конфиденциальность совершения сделок, протокол SET должен гарантировать непременное соблюдение следующих условий:

· Абсолютная конфиденциальность информации. Владельцы карточек должны быть уверены в том, что их платежная информация надежно защищена и доступна только указанному адресату. Это является непременным условием развития электронной торговли.

· Полная сохранность данных. Участники электронной торговли должны быть уверены в том, что при передаче от отправителя к адресату содержание сообщения останется неизменным. Сообщения, отправляемые владельцами карточек коммерсантам, содержат информацию о заказах, персональные данные и платежные инструкции. Если в процессе передачи изменится хотя бы один из компонентов, то данная транзакция не будет обработана надлежащим образом. Поэтому во избежание ошибок протокол SET должен обеспечить средства, гарантирующие сохранность и неизменность отправляемых сообщений. Одним из таких средств является использование цифровых подписей.

· Аутентификация (установление подлинности) счета владельца карточки. Использование цифровых подписей и сертификатов владельца карточки гарантирует аутентификацию счета владельца карточки и подтверждение того, что владелец карточки является законным пользователем данного номера счета.

· Владелец карточки должен быть уверен, что коммерсант действительно имеет право проводить финансовые операции с финансовым учреждением. Использование цифровых подписей и сертификатов коммерсанта гарантирует владельцу карточки, что можно безопасно вести электронную торговлю.

Протокол SET (Secure Electronic Transaction) был разработан консорциумом во главе с Visa и Master Card. Официальной датой рождения стандарта SET является 1 февраля 1996 г. В этот день Visa International и MasterCard International совместно с рядом технологических компаний (включая IBM, GlobeSet) объявили о разработке единого открытого стандарта защищенных Интернет-расчетов. SET представляет собой набор протоколов, предназначенных для использования другими приложениями (такими, как Web-браузер). Он был рекомендован как стандарт обработки транзакций, связанный с расчетами за покупки по кредитным картам в Интернет.

В декабре 1997 г. была создана некоммерческая организация SETCo LLC, призванная координировать работы по развитию стандарта и осуществлять тестирование и сертификацию предлагаемого на рынке программного обеспечения с целью контроля над соответствием этого программного обеспечения спецификациям SET.

В основе системы безопасности, используемой SET, лежат стандартные криптографические алгоритмы DES (Data Encryption Standard - стандарт шифрования данных) и RSA (Rivest-Shamir-Adleman - алгоритм цифровой подписи Райвеста-Шамира-Адлемана). Инфраструктура SET построена в соответствии с инфраструктурой открытого ключа (Public Key Infrastructure, PKI) на базе сертификатов, соответствующих ISO-стандарту X.509.

Протокол SET не привязан ни к HTTP, ни к Web-коммерции. Его можно использовать с самыми различными протоколами. SET шифрует сами сообщения, а не канал связи, как, например. SSL.

Оригинальный протокол SET подразумевает следующую схему взаимодействия между участниками процесса платежа в Интернете.

Владелец карточки и магазин устанавливают у себя программное обеспечение - Cardholder Wallet и Merchant Server соответственно. Эквайер должен установить себе Payment Gateway.

Всем участникам необходимо получить Certificate Authority так называемые сертификаты, которые используются для формирования цифровых подписей и шифрования данных. Для этого участники запрашивают и получают сертификаты от сертифицирующих организаций (SETCo). SET-сертификат Интернет-Магазина содержит идентификационные параметры торговой точки. SET-сертификат Покупателя - это электронный документ, который содержит зашифрованные параметры платежной карты (её номер, имя владельца и т.д.).

Чтобы однозначно идентифицировать друг друга, все участники системы должны обменяться цифровыми SET-сертификатами. Интернет-Магазин предъявляет свой сертификат в качестве удостоверения. Покупатель в свою очередь также предъявляет SET-сертификат. Эта процедура заменяет ввод данных о кредитной карте и, следовательно, обеспечивает защиту информации о карте от злоумышленников. При этом очень важно, что номер карточки остается скрытым от магазина. Тем самым ставится заслон на пути хакеров и недобросовестных администраторов Интернет-магазинов, ворующих номера карточек.

Преимущества использования SET:

· продавцы защищены от покупок с помощью неавторизованной платежной карточки и от отказа от покупки; продавцы видят только информацию о приобретаемых предметах, но не данные о счете клиента

· банки защищены от неавторизованных покупок; банки видят только информацию о лицевом счете клиента, но не информацию о покупаемых товарах.

· клиенты не пострадают от перехвата номера кредитки и от покупки у несуществующих продавцов.

Недостатки использования SET:

· Дороговизна решения и высокие эксплуатационные расходы

· Внедрение защиты с помощью протокола SET весьма сложное дело, влекущее за собой существенные изменения в уже работающем программном обеспечении магазинов и эквайеров.

· Очень существенный минус в том, что владельцу карточки требуется установить на свой компьютер довольно сложный в настройке Cardholder Wallet.

· Оригинальный SET предполагает, что все участники платежа в Интернете (владелец карточки, магазин, банк-эквайер) получили в Certificate Authority так называемые сертификаты, что существенно усложняет процедуру покупки и приводит к удорожанию транзакций. Стандарт MIA SET - это несколько упрощенный вариант протокола SET (Secure Electronic Transaction).

· Полноценное использование SET-технологий, предполагает наличие SET-сертификатов у всех участников сделки. Но существует также упрощённый вариант - технология MIA SET, которая также признана международными платёжными систeмами.

MIA SET предполагает, что владельцу карточки и магазину не нужно устанавливать у себя сложного программного обеспечения. Фактически, Cardholder Wallet перекочевывает на сервер эмитента, а Merchant Server - на сервер эквайера. Эмитент и эквайер обмениваются между собой по SET от имени владельца карточки и магазина. Эмитент при этом может на свое усмотрение использовать любые средства идентификации владельца карточки (пароль, смарт-карта и т.д.). Это же правило распространяется и на эквайера при идентификации магазина. Благодаря этому MIA SET более прост во внедрении и эксплуатации чем традиционный SET.

Важно отметить, что Visa объявила о том, что некогда популярный протокол SET уже не отвечает современным требованиям безопасности и должен быть замещен более совершенными системами, такими как - Verified by Visa, работающий на основе протокола 3D Secure и Secure Payment Application (SPA) от MasterCard.

2. Преимущества и недостатки протокола SSL

Криптографический протокол SSL (Secure Socket Layer) был разработан в 1996 году компанией Netscape и вскоре стал наиболее популярным методом обеспечения защищенного обмена данными через Интернет. Этот протокол интегрирован в большинство браузеров и веб серверов и использует ассиметричную криптосистему с открытым ключом, разработанную компанией RSA.

Для осуществления SSL соединения необходимо, чтобы сервер имел инсталлированный цифровой сертификат. Цифровой сертификат - это файл, который уникальным образом идентифицирует пользователей и серверы. Это своего рода электронный паспорт, который проводит аутентификацию сервера до того, как устанавливается сеанс SSL соединения. Обычно цифровой сертификат независимо подписывается и заверяется третьей стороной, что гарантирует его достоверность. В роли такой третьей стороны выступают центры сертификации, в частности, компания thawte. Компания thawte является наиболее известным в мире центром сертификации.

Протокол SSL обеспечивает защищенный обмен данными за счет сочетания двух следующих элементов:

Аутентификация - цифровой сертификат привязан к конкретному домену сети Интернет, а центр сертификации проводит проверки, подтверждающие подлинность организации, а уже затем создает и подписывает цифровой сертификат для этой организации. Такой сертификат может быть установлен только на тот домен web-сервера, доля которого он прошел аутентификацию, что и дает пользователям сети Интернет необходимые гарантии.

Шифрование - это процесс преобразования информации в нечитаемый для всех вид, кроме конкретного получателя. Оно основывается на необходимых для электронной коммерции гарантиях конфиденциальности передачи информации и невозможности ее фальсификации.

Один из признаков того, имеет ли web-сайт SSL сертификат, вы найдете в строке состояния (status bar) браузера. Обратите внимание на значок в виде замочка. Если интернет - страница не имеет сертификата, в строке состояния браузера Internet Explorer (IE) замочка не будет. Если же устанавливается защищенное соединение по SSL протоколу, то в строке состояния появляется замок. В web-браузере Netscape используются значки как «открытого», так и «закрытого» замка. Соответственно, это означает незащищенное и защищенное соединение с web-сайтом.

Другой признак вы найдете в строке адресов. Если между браузером и web-сервером устанавливается защищенное соединение, то префикс адреса «http» сменится на «https».

Также возможно получить дополнительную информацию о степени защищенности конкретного SSL сеанса. В браузере IE просто наведите курсор мыши на замочек, и Вы увидите битность (длину) ключа шифрования.

В браузере Netscape двойной щелчок по значку замка покажет вам SSL сертификат. Битность ключа шифрования Вы найдете на первой закладке сертификата.

3. Сравнение работы протоколов SET и SSL

протокол безопасность интернет платеж

Ключевым вопросом для внедрения электронной коммерции является безопасность. Платежные системы являются наиболее критичной частью электронной коммерции, и будущее их присутствия в сети во многом зависит от возможностей обеспечения информационной безопасности и других сервисных функций в Internet. SET и SSL - это два широко известных протокола передачи данных, каждый из которых используется в платежных системах Internet.

Протокол SET (Secure Electronic Transaction) предназначен для защиты электронных платежей в Internet с помощью платежных карточек. Протокол SET является протоколом верхнего уровня, и имеет довольно простую структуру.

Все операции, осуществляемые через протокол SET, производятся в зашифрованном виде, что способствует повышенной конфиденциальности транзакций. Протокол SET позволяет безопасно передавать платежные данные покупателя продавцу и реализует другие операции по защите предоставленной информации:

· обеспечивает секретность данных оплаты и конфиденциальность информации заказа, переданной вместе с данными об оплате;

· сохраняет целостность данных платежей при помощи цифровой подписи;

· содержит специальную криптографию с открытым ключом для проведения аутентификации;

· имеет аутентификацию держателя по кредитной карточке, которая обеспечивается применением цифровой подписи и сертификатов держателя карточек;

· имеет аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;

· выдаёт подтверждение того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым карточкам через связь с процессинговой системой;

· гарантирует безопасность передачи данных посредством преимущественного использования криптографии.

Криптографический протокол SSL (Secure Socket Layer) был разработан в 1996 году компанией Netscape и вскоре стал наиболее популярным методом обеспечения защищенного обмена данными через Internet. Этот протокол интегрирован в большинство браузеров и Web-серверов и использует ассиметричную криптосистему с открытым ключом, разработанную компанией RSA.

Протокол SSL для распространения публичных ключей использует специальную форму - сертификат, который содержит:

· имя человека / организации, выпускающей сертификат;

· субъект сертификата (для кого был выпущен данный сертификат);

· публичный ключ субъекта;

· некоторые временные параметры (срок действия сертификата и т.п.).

SSL на сегодня является наиболее распространенным протоколом, используемым при построении систем электронной коммерции. С его помощью осуществляется 99% всех транзакций. Широкое распространение SSL объясняется в первую очередь тем, что он является составной частью всех браузеров и Web-серверов. Другое достоинство SSL - простота протокола и высокая скорость реализации транзакции.

Выводы

На основании изложенного материала можно с уверенностью утверждать, что протокол SЕТ обеспечивает защиту значительно лучше протокола SSL, так как протокол SSL не аутентифицирует продавца и покупателя, а также не обеспечивает конфиденциальности информации о карте пользователя для продавца. То есть, нет возможности определить достоверность информации о субъектах сделки, а продавец при желании без проблем может воспользоваться данными о реквизитах карты покупателя в корыстных целях. Использование протокола SЕТ позволяет избежать всех этих угроз. Однако SЕТ-протоколы используются очень редко, в основном крупными фирмами, которые могут себе позволить тратить большие деньги на информационную безопасность (использование SЕТ обходится гораздо дороже, чем использование SSL). Но учитывая высокий уровень мошенничества в сети Internet, можно сделать прогноз, что протокол SЕТ в будущем станет ведущим протоколом обеспечения безопасности электронной коммерции.

Cписок использованной литературы

1. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. - М.; Радио и связь, 1999.

2. Просихин В.П. Безопасность электронных платежей в сети интернет: учебное пособие/ СПб, 2000

3. Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий/ СПбГУ, - СПб, 1999

4. http:WWW.setco.org.

5. М.Ю. Рягин. Статья «Платежные системы в электронной коммерции», от 5.03.2004 г.

6. Олег Смородинов. Статья «Что такое «развитoй карточный рынок», от 16.02.2004 г.

Размещено на Allbest.ru