Статьи - Защита информации в интернете. Часть 3. Защищенные электронные транзакции (SET)
Защита информации в интернете. Часть 3. Защищенные электронные транзакции (SET)
Протокол защищенных электронных транзакций (SET), разработанный Visa International и MasterCard, специально предназначен для защиты транзакций в электронной коммерции. Протокол SET использует цифровые сертификаты для идентификации каждой стороны в электронной транзакции, включая покупателя, продавца и банк. Защита информации, передаваемой по Сети, дополняется методами криптографии, в которых используются открытые ключи.
Продавцы должны иметь цифровой сертификат и специальное программное течение от SET для обработки транзакций. У заказчика также должен быть цифровой сертификат и программное обеспечение электронного кошелька. Электронный кошелек устроен наподобие реального бумажника. В нем может храниться формация о нескольких кредитных или дебетовых картах, а также цифровой сертификат, удостоверяющий владельца карт. Электронный кошелек упрощает процессс совершения электронных покупок; покупателям больше не требуется повторно вводить информацию о кредитной карте в очередном электронном магазине.
Давайте рассмотрим, как выполняется транзакция электронной торговли, в которой используется протокол SET. Когда покупатель делает заказ, программное обеспечение SET продавца посылает данные заказа и цифровой сертификат продавца электронному кошельку заказчика, активизируя таким образом и программное обеспечение электронного кошелька. Заказчик выбирает карту, которая будет участвовать в транзакции. Затем данные кредитной карты и заказа зашифровываются, используя открытый ключ банка продавца, и отсылаются продавцу вместе с цифровым сертификатом покупателя. Продавец затем переправляет эту информацию в свой банк, где этот платеж должен быть обработан. Расшифровывать сообщение может только банк. Банк продавца посылает сумму платежа и свой цифровой сертификат в банк покупателя, чтобы получить подтверждение о возможности обработки транзакции. Если указанная сумма может быть списана с карточного счета, банк покупателя посылает подтверждение банку продавца. Банк продавца затем посылает разрешение на совершение сделки продавцу. В заключение, продавец посылает свое подтверждение сделки заказчику.
В протоколе SET продавец фактически не имеет доступа к частной информации клиента. Номер кредитной карты клиента не хранится на сервере продавца, что уменьшает риск мошенничества.
Хотя протокол SET специально разработан для транзакций электронной торговли и обеспечивает высокий уровень защиты, пока он не является стандартным протоколом, используемым для совершения транзакций. Часть проблемы заключается в том, что протокол SET требует специального программного обеспечения на стороне сервера, так и на стороне клиента, что приводит к дополнительным издержкам. Кроме того, подобные транзакции отнимают больше времени, чем транзакции, использующие другие протоколы, например SSL.
SET Secure Electronic Transaction LLC — организация, сформированная Visa и MasterCard для поддержки и продвижения на рынок протокола SET.
Пример: Microsoft Authenticode
Как вы сможете узнать, что программное обеспечение, которое вы приобрели в электронном магазине, безопасно и в него не были внесены какие-либо изменения? (каким образом вы можете убедиться в том, что не загружаете вместе с программой компьютерный вирус, который может уничтожить данные на вашем компьютере? Вы уверены в тех, от кого получили программное обеспечение? Этот список вопросов можно продолжить. С развитием электронной торговли компании, торгующие программным обеспечением, предлагают свой товар в электронных магазинах, откуда покупатели могут их загрузить непосредственно на свои компьютеры. Необходимо защищать разгружаемое программное обеспечение, чтобы быть уверенным в том, что при передаче по каналам связи оно не было изменено. Технология Microsoft Authenticode — подписи программного кода — совместно с цифровыми сертификатами VeriSign (цифровыми идентификаторами), идентифицирует издателя программного обеспечения и позволяет обнаружить изменения в коде программы, если они были туда внесены в процессе передачи данных по каналам связи. Защита Authenticode встроена в браузер Microsoft Internet Explorer. Распространители программного обеспечения должны получить цифровые сертификаты, специально разработанные для распространения программного обеспечения. Сертификаты могут быть получены у организаций, отвечающих за распределение сертификатов, таких, как, например, VeriSign. Чтобы получить удостоверение, продавец программного обеспечения должен предоставить свой открытый ключ, информацию о себе и подписать соглашение о том, что они не будут распространять программное обеспечение, которое может нанести ущерб. Это дает покупателям возможность обратиться за помощью, если загруженное программное обеспечение от сертифицированных распространителей причинило им вред.
Технология Microsoft Authenticode использует цифровую подпись. Программное обеспечение, подписанное цифровой подписью и удостоверенное цифровым сертификатом поставщика служат доказательством того, что программное обеспечение не несет в себе опасности и не было изменено.
Когда клиент пытается загрузить файл, на экране появляется диалоговое окно, в котором отображается цифровой сертификат и имя поставщика цифрового сертификата. Кроме того, даются ссылки на поставщика цифрового сертификата и поставщика программного продукта, чтобы клиент мог получить информацию о каждом из них до того, как он загрузит файл. Если Microsoft Authenticode определит, что программное обеспечение было скомпрометировано, транзакция будет прервана.