Безопасность электронных платежных систем в интернет
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?гии открытых ключей необходимо, чтобы пользователь открытого ключа . В настоящее время в этой области предлагается общий стандарт для Интернет с использованием формата X.509 v3:
Номер версии
Серийный номер
Эмитент
Субъект
Открытый ключ , ключ)
Период действия
Дополнительные (необязательные) значения
Алгоритм подписи сертификата
Значение подписи сертификата-сертификаты хранятся как правило в виде DER -файлов.
Cписок отзыва сертификатов (CRL)
CRL представляет собой список отозванных сертификатов с указанием времени. Он подписывается CA и свободно распространяется через общедоступный репозиторий. В списке CRL каждый отозванный сертификат опознается по своему серийному номеру. Когда у какой-то системы возникает необходимость в использовании сертификата (например, для проверки цифровой подписи удаленного пользователя), эта система не только проверяет подпись сертификата и срок его действия, но и просматривает последний из доступных списков CRL, проверяя, не отозван ли этот сертификат.
2. Безопасность электронных транзакций в системах В2С и С2С
.1 Безопасность заочных карточных транзакций
На сегодняшний день существует три угрозы безопасности карточных транзакций. Первая - подделка карт, вторая - кража или потеря карты, и третья - случаи мошенничества при проведении транзакции, совершаемой без предъявления платежной карты. При этом первые две причины занимают сегодня в мире 73% всех случаев карточного мошенничества, поэтому многие банки ставят первоочередной задачей борьбу именно с этими категориями мошенничества.
В качестве примера рассмотрим проблему подделки микропроцессорной карты (Counterfeit).
На сегодняшний день рынок EMV-карт преимущественно состоит из карт, использующих статическую аутентификацию карты (Static Data Au-thentication, или SDA).
В отличие от карт с динамической аутентификацией (DDA-карт) их обозначают как SDA-карты. На SDA-карте хранятся подписанные эмитентом данные, целостность которых, с его точки зрения, является критичной (например, номер карточки, порядковый номер владельца карты, дата истечения срока действия, профиль использования карты и т. п.).
Все эти данные, включая подпись эмитента, хранятся на карте в открытом виде. Смысл статической аутентификации состоит в том, чтобы сделать невозможной модификацию подписываемых данных (для чего необходимо знать специальный ключ, используемый при персонализации карты и известный только эмитенту) и иметь защиту от персонализации чипа без авторизации эмитента.
Очевидно, что, несмотря на эти меры, SDA-карту сравнительно легко подделать. Имея на руках подобный продукт, его фальсификация обойдется мошеннику в сумму, равную примерно 30 долл. При этом вновь изготовленная карта при офлайновых транзакциях успешно пройдет процедуру статической аутентификации и, более того, даже подтвердит правильность любого введенного преступником PIN-кода.
Таким образом, можно утверждать, что применение микропроцессорных SDA-карт не решает полностью проблему подделанных, а также украденных/потерянных карт. А ведь на базе именно этих карт сегодня эмитируется не менее 99% EMV-продуктов!
Дело в том, что переход на DDA-карты, обеспечивающие действительно высокий уровень безопасности, сегодня достаточно дорог. Стоимость таких карт примерно в 2 раза выше стоимости SDA-карт и составляет около 2 долл., что объясняется необходимостью наличия дополнительного криптографического процессора и 4 Кбайт памяти EEPROM.
Кроме того, миграция на DDA-карты потребует от банка и существенных изменений в своем карточном бэк-офисе. В частности, ему придется менять ПО на машине персонализации. Последнее обусловлено не только изменением данных, записываемых на карту, но и тем, что при переходе на карту другого производителя придется менять набор адми