Скачать презентацию Università Degli Studi Di Perugia Sicurezza Informatica A Скачать презентацию Università Degli Studi Di Perugia Sicurezza Informatica A

afce33328bd19a20229ae7e82336a1a1.ppt

  • Количество слайдов: 35

Università Degli Studi Di Perugia Sicurezza Informatica A. A. 2011/2012 Il protocollo S. E. Università Degli Studi Di Perugia Sicurezza Informatica A. A. 2011/2012 Il protocollo S. E. T. (Secure Electronic Transaction) Andrea Valentini Albanelli Fabrizio Cardellini

S. E. T. INTRODUZIONE PROTOCOLLO q ATTORI q DOPPIA FIRMA q SET IN AZIONE S. E. T. INTRODUZIONE PROTOCOLLO q ATTORI q DOPPIA FIRMA q SET IN AZIONE VANTAGGI E SVANTAGGI

PERCHÈ S. E. T. ? PERCHÈ S. E. T. ?

SVILUPPATORI SVILUPPATORI

INTRODUZIONE DES X. 509 SHA-1 RSA INTRODUZIONE DES X. 509 SHA-1 RSA

Strumenti utilizzati DES RSA SHA-1 X. 509 Strumenti utilizzati DES RSA SHA-1 X. 509

S. E. T. INTRODUZIONE PROTOCOLLO q ATTORI q DOPPIA FIRMA q SET IN AZIONE S. E. T. INTRODUZIONE PROTOCOLLO q ATTORI q DOPPIA FIRMA q SET IN AZIONE VANTAGGI E SVANTAGGI

ATTORI CARDHOLDER COMMERCIANTE EMITTENTE ACQUIRENTE PAYMENT GATEWAY CA ATTORI CARDHOLDER COMMERCIANTE EMITTENTE ACQUIRENTE PAYMENT GATEWAY CA

ATTORI CARDHOLDER COMMERCIANTE Soggetto autorizzato ad utilizzare una carta di credito Persona o Istituto ATTORI CARDHOLDER COMMERCIANTE Soggetto autorizzato ad utilizzare una carta di credito Persona o Istituto finanziario organizzazione (es. banca) che vuole fornisce una carta vendere beni o di credito per il servizi ai CARDHOLDER EMITTENTE

ATTORI ACQUIRENTE PAYMENT GATEWAY Interfaccia tra Istituto finanziario che acquirente e reti di pagamento ATTORI ACQUIRENTE PAYMENT GATEWAY Interfaccia tra Istituto finanziario che acquirente e reti di pagamento ha un rapporto con carte con i bancarie commercianti CA Entità atta a rilasciare certificati per titolari, commercianti e payment gateway

S. E. T. INTRODUZIONE PROTOCOLLO q ATTORI q DOPPIA FIRMA q SET IN AZIONE S. E. T. INTRODUZIONE PROTOCOLLO q ATTORI q DOPPIA FIRMA q SET IN AZIONE VANTAGGI E SVANTAGGI

Dual Signature Collegare 2 messaggi per 2 differenti destinazioni FOR NT IN TION MA Dual Signature Collegare 2 messaggi per 2 differenti destinazioni FOR NT IN TION MA AYME P CARDHOLDER ORD ER I PAYMENT GATEWAY NFO RMA TION COMMERCIANTE

Creazione della Dual Signature DS CARDHOLDER SHA-1 PIMD PI + SHA-1 OI OIMD SHA-1 Creazione della Dual Signature DS CARDHOLDER SHA-1 PIMD PI + SHA-1 OI OIMD SHA-1 POMD

Verifica della Dual Signature DS PIMD COMMERCIANTE + OIMD SHA-1 PIMD OI OI SHA-1 Verifica della Dual Signature DS PIMD COMMERCIANTE + OIMD SHA-1 PIMD OI OI SHA-1 CLIENTE POMD

Verifica della Dual Signature DS PIMD COMMERCIANTE PIMD + OIMD OI SHA-1 CLIENTE POMD Verifica della Dual Signature DS PIMD COMMERCIANTE PIMD + OIMD OI SHA-1 CLIENTE POMD = DS CLIENTE POMD

Verifica della Dual Signature DS OIMD PI CLIENTE PAYMENT GATEWAY + PIMD SHA-1 OIMD Verifica della Dual Signature DS OIMD PI CLIENTE PAYMENT GATEWAY + PIMD SHA-1 OIMD PI SHA-1 POMD

Verifica della Dual Signature DS OIMD PI CLIENTE PAYMENT GATEWAY OIMD + PIMD SHA-1 Verifica della Dual Signature DS OIMD PI CLIENTE PAYMENT GATEWAY OIMD + PIMD SHA-1 POMD = DS CLIENTE POMD

S. E. T. INTRODUZIONE PROTOCOLLO q ATTORI q DOPPIA FIRMA q SET IN AZIONE S. E. T. INTRODUZIONE PROTOCOLLO q ATTORI q DOPPIA FIRMA q SET IN AZIONE VANTAGGI E SVANTAGGI

SET IN AZIONE Le fasi previste dallo standard sono: Registrazione del cardholder Registrazione del SET IN AZIONE Le fasi previste dallo standard sono: Registrazione del cardholder Registrazione del commerciante Sottomissione di un ordine Autorizzazione Adempimento del pagamento delle due parti

Registrazione del cardholder CARDHOLDER EMITTENTE Il cardholder acquista una carta di credito dall'emittente che Registrazione del cardholder CARDHOLDER EMITTENTE Il cardholder acquista una carta di credito dall'emittente che gliela rilascia insieme ad un certificato e ad un e-wallet

Registrazione del commerciante COMMERCIANTE ACQUIRENTE Il commerciante ottiene 2 certificati: Il suo e quello Registrazione del commerciante COMMERCIANTE ACQUIRENTE Il commerciante ottiene 2 certificati: Il suo e quello dell'acquirente, e un thin-wallet

Sottomissione di un ordine GIVE ME YOUR CERTIFICATE AND PAYMENT GATEWAY'S CERTIFICATE! CARDHOLDER Il Sottomissione di un ordine GIVE ME YOUR CERTIFICATE AND PAYMENT GATEWAY'S CERTIFICATE! CARDHOLDER Il COMMERCIANTE cardholder, navigando nel sito web del commerciante, decide di effettuare un ordine Invia un messaggio di Initiate Request

Sottomissione di un ordine Initiate Response CARDHOLDER Il TID COMMERCIANTE commerciante risponde con un Sottomissione di un ordine Initiate Response CARDHOLDER Il TID COMMERCIANTE commerciante risponde con un messaggio di Initiate Response Fornisce i certificati richiesti ed un TID criptato con la sua chiave privata

Sottomissione di un ordine PI CARDHOLDER Il OI + DS + TID 3 -DES Sottomissione di un ordine PI CARDHOLDER Il OI + DS + TID 3 -DES P. G. + DS + TID cardholder prepara le informazioni di pagamento (PI), le informazioni sull'ordine (OI), il certificato e crea una doppia firma (DS)

Sottomissione di un ordine Purchase Request CARDHOLDER Il COMMERCIANTE cardholder invia tutto il messaggio Sottomissione di un ordine Purchase Request CARDHOLDER Il COMMERCIANTE cardholder invia tutto il messaggio preparato precedentemente al commerciante. E' un messaggio di Purchase Request

Autorizzazione del pagamento PI TID PAYMENT GATEWAY COMMERCIANTE Il commerciante invia le PI criptate, Autorizzazione del pagamento PI TID PAYMENT GATEWAY COMMERCIANTE Il commerciante invia le PI criptate, il suo certificato e il certificato del cardholder al payment gateway. Il payment gateway può: • leggere le PI • verificare l'integrità del pagamento • autenticare entrambe le parti

Autorizzazione del pagamento PR ED OV AP PAYMENT GATEWAY Deve AP PR OV ED Autorizzazione del pagamento PR ED OV AP PAYMENT GATEWAY Deve AP PR OV ED EMITTENTE esistere un canale di comunicazione sicuro tra payment gateway ed emittente Il payment gateway comunica i PI all'emittente che, dopo averli verificati, fornisce l'autorizzazione

Autorizzazione del pagamento PR ED OV AP PR AP PAYMENT GATEWAY OV ED EMITTENTE Autorizzazione del pagamento PR ED OV AP PR AP PAYMENT GATEWAY OV ED EMITTENTE COMMERCIANTE

Autorizzazione del pagamento Purchase Response CARDHOLDER Il ACK + TID COMMERCIANTE commerciante invia una Autorizzazione del pagamento Purchase Response CARDHOLDER Il ACK + TID COMMERCIANTE commerciante invia una notifica (ACK) ed il TID criptate con la sua chiave privata E' un messaggio di Purchase Response

Adempimento delle 2 parti CARDHOLDER Viene COMMERCIANTE effettuato l’addebito sulla carta di credito del Adempimento delle 2 parti CARDHOLDER Viene COMMERCIANTE effettuato l’addebito sulla carta di credito del cardholder Il commerciante viene rimborsato dall’acquirente Il commerciante fornisce il bene o il servizio acquistato

S. E. T. INTRODUZIONE PROTOCOLLO q ATTORI q DOPPIA FIRMA q SET IN AZIONE S. E. T. INTRODUZIONE PROTOCOLLO q ATTORI q DOPPIA FIRMA q SET IN AZIONE VANTAGGI E SVANTAGGI

VANTAGGI INTEGRITÀ AUTENTICAZIONE PRIVACY CONFIDENZIALITA’ VANTAGGI INTEGRITÀ AUTENTICAZIONE PRIVACY CONFIDENZIALITA’

VANTAGGI IMMUNE A MOLTI ATTACHI § Uno sniffer non ricaverebbe informazioni interessanti § Attacchi VANTAGGI IMMUNE A MOLTI ATTACHI § Uno sniffer non ricaverebbe informazioni interessanti § Attacchi di replica inefficaci

SVANTAGGI ATTACCO ALL’E-WALLET COMPLESSITA’ CONFIDENZIALITA’ E PRIVACY NON GARANTITE PER OI SVANTAGGI ATTACCO ALL’E-WALLET COMPLESSITA’ CONFIDENZIALITA’ E PRIVACY NON GARANTITE PER OI

CONCLUSIONE SET HA BUONE CARATTERISTICHE DI SICUREZZA COMPLESSITA’ ELIMINABILE? TORNERA’ AD ESSERE USATO? CONCLUSIONE SET HA BUONE CARATTERISTICHE DI SICUREZZA COMPLESSITA’ ELIMINABILE? TORNERA’ AD ESSERE USATO?