SET Secure Electronic Transaction

Transkript

1 SET Secure Electronic Transaction Proseminar: Electronic Commerce und Digitale Unterschriften Sommersemester 2004 Seminarleiter: Dr. Ulrich Tamm Vortragender: Alexander Märsch

2 Überblick 1. Einführung 2. SET in Action Motivation Voraussetzungen Historische Entwicklung Verwendete Konzepte Nachrichtenaufbau Nachrichtenfluss 3. Bewertung Vergleich mit SSL Vorteile / Nachteile Kosten Mögliche Kompromisse

3 Einführung Kartenzahlung: Händler Internet Kunde Bank

4 Voraussetzungen Für Kunde: - Zertifikat (ausgestellt durch die Kundenbank), damit weist man sich später als Kreditkarteninhaber aus - Wallet (kostenlos als elektronische Geldbörse), dient zur Speicherung des Zertifikats und der Transaktionen Für Händler: - Zertifikat (ausgestellt durch die Händlerbank) - SET-Payment Server verwaltet Händlerzertifikat, Kauftransaktionen ( muß nicht unbedingt bei Händler stehen) und stellt Schnittstelle zur Shopsoftware zur Verfügung

5 Entstehung von SET Konkurrierende Spezifikationen von VISA (STT) und MasterCard (SEPP) Gemeinsame Entwicklung von SET (zusammen mit GTE, IBM, Microsoft, Netscape, SAIC, Terisa and VeriSign) Spezifikation (Version 1.0) von SET Gründung der SETCo

6 Ziele von SET Vertraulichkeit Seven major business requirements : 1.Provide confidentiality of payment information 2.Provide authentication of the Authentizität cardholder 3.Provide authentication of the merchant 4. Ensure the integrity of all transmitted data 5.Ensure the use of the best security Integrität practices and system design techniques to protect all parties 6.Create a protocol that neither depends on transport security nor prevents its use 7.Facilitate and encourage interoperability Interoperabilität among software and network providers

7 Verwendete Konzepte Interoperabilität: Durch Festlegung der Protokolle und Nachrichtenformate Unabhängig vom verwendeten Netzwerk als reine Anwendungsschicht (OSI Schicht 7) Vertraulichkeit durch Verschlüsselung: Kombination aus symmetrischer (DES) 56 - Bit und asymmetrischer (RSA) (1024 Bit) Verschlüsselung Bit - Schlüssel für die Karten-Nr.

8 Verwendete Konzepte Authentizität durch Zertifikate Verknüpfen Informationen über die Identität einer Person mit einem Public Key Werden von vertrauenswürdigen Instanzen verwaltet: Hierarchy of Trust Integrität durch digitale Signaturen One-way Hashes der Daten werden mit Private Key verschlüsselt Können mit Hilfe des Zertifikats überprüft werden

9 Überblick 1. Einführung 2. SET in Action Motivation Voraussetzungen Historische Entwicklung Verwendete Konzepte Nachrichtenaufbau Nachrichtenfluss 3. Bewertung Vergleich mit SSL Vorteile / Nachteile Kosten Mögliche Kompromisse

10 Nachrichtenaufbau OI Kunde 1 Internet Händler 2 OI: Order Information : Purchase Information Bank

11 1. Welche Informationen? SET Zahlungsvorgang: OI Kunde 1 Internet Händler 2 OI: Order Information : Purchase Information Bank

12 2. Eindeutigkeit der Zahlung Verwenden einer Transaktions-ID T_ID muss pro Händler eindeutig sein OI 1 Händler Kunde Internet 2 OI: Order Information : Purchase Information Bank

13 3. nur von der Bank lesbar Verschlüsseln mit Public Key der Bank OI 1 0 Händler 2 Kunde T_ID OI: Order Information : Purchase Information Bank

14 4. Integrität t der Daten Signaturen einfügen: Duale Signaturen! OI 1 0 Händler 2 Kunde T_ID OI: Order Information : Purchase Information Bank

15 Duale Signaturen Um Daten des Kunden nur an die gewünschten Instanzen weiterzugeben OI an den Händler und an die Bank werden bei SET dualen Signaturen verwendet. Der Kunde kennt und auch OI, und kann beiden jeweils einen Hash-Wert, zu Ordnen H() und H(OI) Er konkateniert diese Werte, und erstellt daraus nochmals einen Hashwert, also H( H() & H() ) = H3. Dann fügt er noch das Ergebnis der Funktion H() XOR H(OI) an duale Signatur besteht aus H3 und H() XOR (OI). Unter Kenntnis des Hashwertes von kann die Bank unter Verwendung des Ergebnisses der XOR-Funktion (dieses liegt den bei) H3 überprüfen, ohne Informationen von OI zu bekommen Händler prüft nach dem selben Schema die Richtigkeit der Signatur

16 5. Authentifizierung Signatur vom Händler erforderlich OI 1 0 Händler 2 Kunde T_ID OI: Order Information : Purchase Information Bank

17 6. Sicherheit des Händlers Händler kann nicht prüfen Prüfung übernimmt die Bank OI 1 0 Händler 2 Kunde T_ID OI: Order Information : Purchase Information Bank

18 7. Bestätigungen senden Bank sendet verschlüsseltes Capture Token OI 1 Händler Kunde Internet 2 OI: Order Information : Purchase Information Bank

19 Nachrichtenfluss SET Zahlungsvorgang: 1. Purchase Request 2. Payment Authorization 3. Payment Capture InitReq. Kunde InitRes. PurchReq. PurchRes. InqReq. Händler AuthReq. AuthRes. CapReq. CapRes. Payment Gateway InqRes.

20 Überblick 1. Einführung 2. SET in Action Motivation Voraussetzungen Historische Entwicklung Verwendete Konzepte Nachrichtenaufbau Nachrichtenfluss 3. Bewertung Vergleich mit SSL Vorteile / Nachteile Kosten Mögliche Kompromisse

21 Vergleich mit SSL SSL SET Teilnehmer 2 3 oder mehr OSI Schicht Transport Applikation Vertraulichkeit Ja Ja Integrität Ja Ja Authentizität Server (Client optional) Sicherheit der Karteninformatio nen nur bei Übertragung Server & Client während der Transaktion Verbindlichkeit Nein Ja Verbreitung in Browsern integriert bisher kaum im Einsatz

22 Vorteile von SET Sichere Identifikation aller Teilnehmer Verfahren wird wie eine persönlich getätigte Kreditkartenzahlung behandelt Zahlungsgarantie für Händler Hohes Sicherheitsniveau im Gegensatz zu SSL verschlüsselten Kreditkartenzahlungen Standardverfahren zur internationalen Kreditkartenabwicklung Automatisierte Transaktionsabwicklung

23 Schwächen von SET Sicherheit wird auf Kosten der Benutzerfreundlichkeit erreicht Aufwand des Kunden durch - Download und Installation der Wallet-Software - Beantragung eine Zertifikates Folge: Trotz großer Firmennamen immer noch mangelnde Akzeptanz beim Kunden

24 Kosten von SET Zertifikat für den Kunden ca. 2,50 bis 5 Zertifikat für den Händler ca. 150 p.a.

25 Zusammenfassung & Ausblick SET wird den wesentlichen Sicherheitsanforderungen gerecht: Vertraulichkeit, Authentifizierung, Integrität ist ein sehr umfangreiches, komplexes Protokoll welches Sicherheit bietet Die Akzeptanz von Kunden und Händlern ist noch nicht vorhanden SETCo arbeitet derzeit an Version

26 Literaturangaben 1] Ravi Kalakota, Andrew B Whinston: Readings in Electronic Commerce. In AddisonWesley, 1997, Part 3: Pricing and Electronic Transactions [2] Ravi Kalakota, Andrew B Whinston: Frontiers of Electronic Commerce. In Addison Wesley, 1996, Chapter 8: Electronic Payment Systems [3] B Clifford Neuman, Gennandy Medivinsky: NetCash: A design for practical electronic currency on the Internet. In Proceedings of the First ACM Conference on Computer an Communication Security, November 1993 [4] B. Clifford Neuman, Gennady Medvinsky: Requirements for Network Payment: The NetCheque Perspective. In Proceedings of IEEE Compcon 95, March 1995 [5] B Clifford Neuman, Theodor Ts o: Kerberos: An Authentication Service for Computer Networks. In IEEE Communications Magazine, Volume 32, Number 9, Seite 33-38, September 1994 [6] B.Clifford Neuman: Proxy-Based Authorisation and Accounting for Distributed Systems. In Proceedings of the 13th International Conference on Distributed Computing Systems, pages , May [7] David Chaum: Achieving Electronic Privacy. In Scientific American, August 1992, Seite [8] NetBank: NetCash FAQ, [9] NetCheque: NetCheque FAQ, [10] DigiCash - Company Brochure: DigiCash - Numbers that are Money, [11] First Virtual - Company Information: Company Profile, [12] Holger Reif, Axel Kossel: Elektronisches Geld im Internet. In c t report, Geld online, 2/97 [13] Holger Reif: Elektronisches Geld im Internet. In c t - magazin für computer technik, Mai 1996 [14] Adam Shostack: An Overview of SSL,

27 Literaturangaben [15] Peter Lipp, Vesna Hassler: Security Concepts for the WWW, In Proceedings of the IFIP TC6/TC11 International Conference on Communications and Multimedia Security II, September 1996 [16] Mastercard: SET Specification Book 1: Business Description, [17] Mastercard: SET Specification Book 2: Programmer s Guide, [18] Mastercard: SET Specification Book 3: Formal Protocol Definition, [19] RSA Laboratories: Security in the SET Protocol, [20] CyberCash: CyberCash Financial Services Whitepaper, [21] CyberCash: CyberCash Merchant Services Whitepaper, [22] Norbert Luckhardt: Kryptologische Begriffe und Verfahren, In c t - magazin für computer technik, Dezember 1996 [23] Jörg Birkelbach: Online Banking: Gefahren von außen und innen, In c t - magazin für computer technik, Dezember 1996 [24] Hagen Hagemann, Andreas Rieke: Grundlagen der Kryptologie, In c t - magazin für computer technik, August 1994 [25] Jens-Uwe Schmidt, Bert Ungerer: Die Diskussion um Kryptographie, In ix - Magazin für professionelle Informationstechnik, April 1997 [26] Stefan Kelm: Aufbau und Gültigkeit von Zertifizierungsinstanzen, In ix - Magazin für professionelle Informationstechnik, April 1997 [27] Dirk Fox: Schutzmechanismen fürs Internet, In ix - Magazin für professionelle Informationstechnik, Mai 1997 [28] William Stallings: Networking and Internetworking Security, Printice Hall 1995