КОРОЛЕВСКИЙ ИНСТИТУТ УПРАВЛЕНИЯ ЭКОНОМИКИ И СОЦИОЛОГИИ ИНФОРМАЦИОННО ТЕХНОЛОГИЧЕСКИЙ ФАКУЛЬТЕТ

КОРОЛЕВСКИЙ ИНСТИТУТ УПРАВЛЕНИЯ, ЭКОНОМИКИ И СОЦИОЛОГИИ ИНФОРМАЦИОННО–ТЕХНОЛОГИЧЕСКИЙ ФАКУЛЬТЕТ КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ ПЛАТЕЖЫХ СИСТЕМ Выполнила: студентка группы ЗИ-041 Е. А. Борисова Научный руководитель: А. И. Сухотерин

ЭЛЕКТРОННАЯ ПЛАТЕЖНАЯ СИСТЕМА. ОПРЕДЕЛЕНИЯ n n Электронная платежная система - аппаратнопрограммный комплекс, предназначенный для осуществления расчетов, к примеру, при покупке в Интернет-магазине через Интернет. Элементы такого комплекса устанавливаются на компьютерах покупателя, торгового предприятия и обслуживающего банка. Система безналичных расчетов с помощью пластиковых карт называется электронной платежной системой.

ОБЗОР РЫНКА УЧАСТНИКОВ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ

КЛАССЫ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ СИСТЕМ СПОСОБ РАСЧЕТОВ? с помощью пластиковых карт с помощью электронной наличности Подавляющее большинство систем относятся к первому классу. Системы второго класса очень хорошо подходят для проведения микроплатежей, но в силу отсутствия в большинстве случаев юридической основы для своего применения, а также международного стандарта, практически в мире не используются (в России к подобным системам относятся Web. Money Transfer и Paycash - системы между собой несовместимые вследствие отсутствия стандарта).

УЯЗВИМОСТИ В СИСТЕМАХ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ n n n пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом; обработка информации внутри организаций отправителя и получателя сообщений; доступ клиентов к средствам, аккумулированным на счетах.

ОСОБЕННОСТИ ПЕРЕСЫЛКИ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ • внутренние системы организаций отправителя и получателя должны обеспечивать необходимую защиту при обработке электронных платежей (защита оконечных систем); • взаимодействие отправителя и получателя электронного платежа осуществляется опосредовано - через канал связи. ПРОБЛЕМЫ ПРИ ПЕРЕСЫЛКЕ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ • взаимное опознание абонентов (проблема установления взаимной подлинности при установлении соединения); • защита электронных платежей, передаваемых по каналам связи (проблема обеспечения конфиденциальности и целостности); • защита процесса обмена электронными платежами (проблема доказательства отправления и доставки); • обеспечение исполнения платежа (проблема взаимного недоверия между отправителем и получателем из-за их принадлежности к разным организациям и взаимной независимости). МЕХАНИЗМЫ ЗАЩИТЫ • управление доступом на оконечных системах; • контроль целостности сообщения; • обеспечение конфиденциальности сообщения; • взаимная аутентификация абонентов; • невозможность отказа от авторства сообщения; • гарантии доставки сообщения; • невозможность отказа от принятия мер по сообщения; • регистрация последовательности сообщений; • контроль целостности последовательности сообщений.

СУРОВАЯ РЕАЛЬНОСТЬ… Наиболее распространенными сегодня являются системы, основанные на использовании протокола SSL. Достоинства: простота реализации и дешевизна. В SSL-системах клиенту и торговому предприятию достаточно иметь на своем компьютере один из браузеров (практически все современные браузеры поддерживают протокол SSL). Поэтому и стоимость SSL -решений обычно составляет несколько тысяч долларов. Недостатки: низкая защищенность расчетов от возможных мошенничеств. Практически SSL-системы обеспечивают лишь защиту реквизитов карт при их передаче через Интернет. При этом отсутствует аутентификация клиента, что делает возможным проведение мошенничества при знании реквизитов карты (ее номера и срока действия) и, возможно, некоторой персональной информации и клиенте (например, его адреса). Кроме отсутствия аутентификации клиента SSL-системы имеют и ряд других серьезных недостатков (аутентификация торговой точки производится лишь по ее URL, открытость информации о реквизитах карты для торгового предприятия (ТП), слабые ключи (по-прежнему, большинство браузеров позволяют работать с 40 битными ключами DES и 512 -ти битными ключами RSA. )

ОБНАДЕЖИВАЮЩИЕ ТЕНДЕНЦИИ n n n Всех перечисленных недостатков SSL лишен протокол SET (Secure Electronic Transaction), разработанный компаниями VISA и Master. Card, и сегодня принятый всеми международными платежными системами в качестве международного стандарта. Архитектура SET-совместимой системы электронной коммерции состоит из 4 -х компонент: ЦС (центра сертификации), интернет-шлюза, платежного сервера и ПО клиента. Достоинства: - аутентификация клиента как ТП, так и обслуживающего банка-члена платежной системы; - аутентификация ТП как покупателем, так и обслуживающим банком; - аутентификация обслуживающего банка ТП, аутентификация клиента его банкомэмитентом; - скрытие информации о реквизитах карты от ТП; - только при использовании протокола SET ответственность в случае возникновения диспута по транзакции лежит на банке-эмитенте (в остальных случаях ответственность лежит на обслуживающем банке); - только при использовании SET возможно применение дебетовых карт, в остальных случаях - применяются только кредитные карты. Недостатки: высокая стоимость. К примеру, стоимость системы, состоящей из 1000 ТП, 100. 000 карт и осуществляющей около 7 б 5 млн. транзакций в год стоит: - ПО от 650 до 1100 тыс. долларов; - аппаратные средства от 150 до 300 тыс. долларов. В последнее время система VISA начала предлагать в качестве промежуточного шага для перехода к SET протокол 3 D SSL.

ЭЛЕКТРОННЫЕ ПЛАСТИКОВЫЕ КАРТЫ В качестве платежного средства в электронной платежной системе используются электронные пластиковые карты. n Электронная пластиковая карта это носитель информации, который идентифицирует владельца и хранит определенные учетные данные.

ВИДЫ ПЛАСТИКОВЫХ КАРТ Кредитная ЭПК Счет с определенным заранее расходным лимитом, установленным эмитентом карты. Дебетовая ЭПК Расходная ЭПК Не имеют заранее установленного лимита расходов, подлежат полному возмещению в конце каждого месяца. Привязаны к текущему банковскому счету и могут использоваться для оплаты вместо банковского чека.

ПЛАCТИКОВАЯ КАРТА И СТАНДАРТ ISO 9001 n Пластиковая карта представляет собой пластину, изготовленную из специальной пластмассы, устойчивой к механическим и термическим воздействиям. По стандарту ISO 9001 все пластиковые карты имеют размеры 85. 6× 53. 9× 0. 76 мм.

ИДЕНТИФИКАЦИОННЫЕ ДАННЫЕ, НАНОСИМЫЕ НА ПЛАСТИКОВУЮ КАРТУ n n n Для идентификации владельца на пластиковую карту наносятся: логотип банка-эмитента; логотип платежной системы, обслуживающей эту карту; имя владельца карты; номер счета владельца карты; срок действия карты и т. п. на карте может присутствовать фотография владельца и его подпись.

PIN-код… TOP SECRET! n n Испытанным способом идентификации владельца пластиковой карты является использование секретного персонального идентификационного номера PIN. Значение PIN должно быть известно только владельцу карты. С одной стороны, PIN должен быть достаточно длинным, чтобы вероятность угадывания с помощью полного перебора была приемлемо малой. С другой стороны, PIN должен быть достаточно коротким, чтобы владелец мог его запомнить. Обычно длина PIN колеблется от 4 до 8 десятичных цифр, но может достигать 12. Значение PIN однозначно связано с соответствующими атрибутами пластиковой карты, поэтому PIN можно трактовать как подпись владельца карты.

МЕТОДЫ ГЕНЕРАЦИИ ЗНАЧЕНИЯ PIN ГЕНЕРАЦИЯ БАНКОМ ГЕНЕРАЦИЯ КЛИЕНТОМ, ВЛАДЕЛЬЦЕМ КАРТЫ Использование PIN, назначенного банком, неудобно клиентам даже при небольшой его длине. Такой PIN трудно удержать в памяти, и поэтому владелец карты может записать его куда-нибудь. Главное - это не записывать PIN непосредственно на карту или другое видное место. Иначе задача злоумышленников будет сильно облегчена.

ГЕНЕРАЦИЯ PIN БАНКОМ 1 вариант 2 вариант PIN генерируется криптографически из номера счета владельца карточки. Шифрование проводится по алгоритму DES с использованием секретного ключа. Достоинство: значение PIN не нужно хранить внутри электронной платежной системы. Недостаток: при необходимости изменения PIN надо менять либо номер счета клиента, либо криптографический ключ. Но банки предпочитают, чтобы номер счета клиента оставался фиксированным. А с другой стороны, поскольку все PIN вычисляют, используя один ключ, изменение одного PIN при сохранении счета клиента влечет за собой изменение всех персональных идентификационных номеров. При втором варианте банк выбирает PIN случайным образом, сохраняя это значение в виде криптограммы. Выбранные значения PIN передается владельцам карт по защищенному каналу.

ГЕНЕРАЦИЯ PIN ВЛАДЕЛЬЦЕМ КАРТЫ n n n Для большего удобства клиента используют значение PIN, выбираемое самим клиентом. Такой способ определения PIN позволяет клиенту: использовать один и тот же PIN для различных целей; задавать в PIN не только цифры, но и буквы (для удобства запоминания). Выбранный клиентом PIN может быть передан в банк заказной почтой или отправлен через защищенный терминал банковского офиса, который немедленно его шифрует. Если банку необходимо использовать выбранный клиентом PIN, то поступают следующим образом. Каждую цифру выбранного клиентом PIN складывают по модулю 10 (без учета переносов) с соответствующей цифрой PIN, выводимого банком из счета клиента. Получаемое десятичное число называется "смещением". Это смещение запоминается на карте клиента. Поскольку выводимый PIN имеет случайный характер, то выбранный клиентом PIN невозможно определить по его смещению.

А ВЫ ПОМНИТЕ СВОЙ PIN-КОД? . .

Литература и URL материалов n n n n Деднев М. А. , Дыльнов Д. В. , Иванов М. А. Защита информации в банковском деле и электронном бизнесе. М. , Кудиц-образ, 2004. Рассел Р. , Мерков М. , Уолшоу Р. , Бидвел Т. , Кросс М. Защита от хакеров коммерческого сайта. М. , Академия Ай. Ти, 2004. http: //protect. htmlweb. ru/pcard. htm http: //www. rview. ru/payment. html http: //www. marketing. spb. ru/lib-mm/sales/epay. htm http: //www. kiosks. ru/content/rus/3546 -article. asp http: //www. vendera. ru/catalog/payment/app 3. htm http: //www. e-commerce. ru/ biz_tech/implementation/ pay_sys/cost. html