38. Протокол ssl

Протокол SSL – предназначен для решения традиционных задач обеспечения информационного взаимодействия:

- пользователи – сервер должны быть уверены, что общаются с теми, которые нужны, не ограничены паролевой защитой

- после установления соединения К-С весь информационный потом должен быть защищен от несанкционированного доступа

- при обмене

Протокол SSL позволяет С и К перед началом информационного взаимодействия аутентифицировать друг друга, согласовывать алгоритм шифрования и сформировывать общие криптографические ключи.

С этой целью в протоколе используется двухключевые (асимметричные) криптосистемы RSA.

Протокол SSL включает 2 этапа взаимодействия сторон:

1. Установка сессии (идентификация сервера и клиента [опционально]; стороны договариваются об используемых криптографических алгоритмах и формируют общий «секрет», на основе которого создаются общие сеансовые ключи для последующей защиты соединения («процедура рукопожатий»))

2. Защита потока данных (информационное сообщение прикладного уровня «нарезается» на блоки и для каждого блока вычисляется код сообщения. После данные шифруются и отправляются приемной стороне. Приемная сторона – обратные действия: расшифровка, проверка кода аутентификации, сборка сообщения)

Если 2 пользователя хотят быть уверены, что информацию которой они обмениваются, не получит 3, то каждый должен по 1 компоненту ключей пары (открытый ключ) передать другому и хранить другую компоненту (секретный ключ)

Сообщение шифруется с помощью открытого и расшифровываются только закрытым.

Только так они могут быть переданы по открытой сети без опасения, что их прочтут.

Для распределения своих публичных ключей был придуман сертификат. Он состоит:

- имя человека\организации, выпустившей сертификат

- субъект сертификата

- публичный ключ субъекта

- некоторые временные параметры

Сертификат подписывается приватным ключом человека\организации, выпустившей сертификат.

Организация, выпускающая сертификат (СА)

SSL на сегодня наиболее распространенный протокол при распространении 99% всех транзакций.

Широкое распространение обусловлено:

- является составной частью всех браузеров и веб-серверов

- простота протокола и высокая скорость реализации транзакций

Недостатки:

- покупатель не аутентифицируется, продавец аутентифицируется по URL, ЦП используется при установлении SSL секции, не обеспечивается конфиденциальность данных о реквизитах карты для продавца.

39. Протокол set

Основан на использовании цифровых сертификатов по стандарту X509, который распространен MasterCard и Visa при участии IBM. Он позволяет покупателям приобретать товары через интернет, используя самый защищенный на настоящее время механизм выполнения платежей с использованием пластиковых карточек. SET обеспечивает кросс-аутентификацию счета держателя карточки, продавца и банка продавца для проверки готовности оплаты товара, целостность и секретность сообщений, шифрование ценных и уязвимых данных. Set позволяет подтвердить подлинность всех участников сделки в интернете. С помощью криптографии и применения цифровых сертификатов.

SET обеспечивает следующие специальные требования защиты операций электронной коммерции:

1. Секретность данных оплаты и конфиденциальность заказа

2. Сохранение целостность данных платежей с помощью ЦП

3. Специальная криптография с открытым ключом для проверки аутентификации

4. Аутентификацию держателя по кредитной карте, которая обеспечивается применением ЦП и сертификатов держателя карты

5. Аутентификацию продавца и его возможность принимать платежи по пластиковой карте, также с применением ЦП и сертификатов продавца

6. Подтверждение того, что банк продавца является действующей организацией, которая может принимать платежи через связь процессинговой системой. Это подтверждение обеспечивается ЦП и сертификатом продавца

7. Готовность оплаты транзакции в результате аутентификации сертификата с открытым ключом для всех сторон

8. Безопасность передачи данных посредством преимущественного использования криптографии.

Основным преимуществом SET перед другими системами защиты: использование цифровых сертификатов ст X509, которые ассоциируют держателя карточки, продавца и банк продавца с рядом банковских учреждений Visa и MasterCard

Пунктирные линии – возможные операции

Сплошные – обязательные операции

ДК – держатель карты

Пр - продавец

БП – банк покупателя

ВПр – банк продавца

СО – сертифицирующая организация – доверительная структура, выдающая и проверяющая сертификат.

ПШ – платежный шлюз – система контролируемая банком продавца, которая обрабатывает запросы от продавца и взаимодействует с БП

1. Участники запрашивают и получают сертификаты от сертифицирующей организации

2. Владелец карточки выбирает товар и посылает заказ

3. Продавец предъявляет свой сертификат владельцу карточки

4. Владелец карточки предъявляет свой сертификат продавцу

5. Продавец запрашивает у платежного шлюза выполнение операции проверки. Шлюз сверяет предоставленную информацию с информацией банка, выпустившей электронную карточку.

6. После проверки платежный шлюз возвращает информацию продавцу

7. Продавец требует у платежного шлюза выполнить финансовую операцию и шлюз посылает запрос на перевод средств из банка покупателя в банк продавца.