Здесь можно найти учебные материалы, которые помогут вам в написании курсовых работ, дипломов, контрольных работ и рефератов. Так же вы мажете самостоятельно повысить уникальность своей работы для прохождения проверки на плагиат всего за несколько минут.
Предлагаем нашим посетителям воспользоваться бесплатным программным обеспечением «StudentHelp», которое позволит вам всего за несколько минут, выполнить повышение оригинальности любого файла в формате MS Word. После такого повышения оригинальности, ваша работа легко пройдете проверку в системах антиплагиат вуз, antiplagiat.ru, РУКОНТЕКСТ, etxt.ru. Программа «StudentHelp» работает по уникальной технологии так, что на внешний вид, файл с повышенной оригинальностью не отличается от исходного.
Результат поиска
Наименование:
доклад Безопасность Электронной коммерции
Информация:
Тип работы: доклад.
Добавлен: 07.05.2012.
Год: 2011.
Страниц: 4.
Уникальность по antiplagiat.ru: < 30%
Описание (план):
Электронная
коммерция (от англ. e-commerce) — это сфера экономики,
которая включает в себя все финансовые
и торговые транзакции, осуществляемые
при помощи компьютерных сетей, и бизнес-процессы,
связанные с проведением таких транзакций.
Веб-коммерция —
это бизнес, в котором реализованная перспективная
идея дает мощную финансовую отдачу, это
процесс, который требует относительно
малого штата специалистов, но который
можно легко масштабировать и вести по
всей России, выводить в другие страны,
на общемировой рынок.
К электронной
коммерции относят:
электронный обмен информацией (Electroniс
Data Interchange, EDI),
электронное движение капитала (Electronic
Funds Transfer, EFS),
электронную торговлю (e-trade),
электронные деньги (e-cash),
электронный маркетинг (e-marketing),
электронный банкинг (e-banking),
электронные страховые услуги (e-insurance).
Безопасность электронной
коммерции
Широкое внедрение
Интернета не могло не отразиться
на развитии электронного бизнеса. Одним
из видов электронного бизнеса считается
электронная коммерция. В соответствии
с документами ООН, бизнес признается
электронным, если хотя бы две его составляющие
из четырех (производство товара или услуги,
маркетинг, доставка и расчеты) осуществляются
с помощью Интернета. Поэтому в такой интерпретации
обычно полагают, что покупка относится
к электронной коммерции, если, как минимум,
маркетинг (организация спроса) и расчеты
производятся средствами Интернета. Более
узкая трактовка понятия "электронная
коммерция" характеризует системы безналичных
расчетов на основе пластиковых карт.
Ключевым вопросом
для внедрения электронной коммерции
является безопасность.
Высокий уровень
мошенничества в Интернете является
сдерживающим фактором развития электронной
коммерции. Покупатели, торговля и банки
боятся пользоваться этой технологией
из-за опасности понести финансовые
потери. Люди главным образом используют
Интернет в качестве информационного
канала для получения интересующей
их информации. Лишь немногим более 2% всех
поисков по каталогам и БД в
Интернете заканчиваются покупками.
Кратко рассмотрим
этапы приобретения продуктов и
услуг через Internet.
Заказчик выбирает
продукт или услугу через сервер
электронного магазина и оформляет
заказ. Заказ заносится в базу данных заказов
магазина. Проверяется доступность продукта
или услуги через центральную базу данных.
Если продукт не доступен, то заказчик
получает об этом уведомление. В зависимости
от типа магазина, запрос на продукт может
быть перенаправлен на другой склад. В
случае наличия продукта или услуги заказчик
подтверждает оплату и заказ помещается
в базу данных. Электронный магазин посылает
заказчику подтверждение заказа. В большинстве
случаев существует единая база данных
для заказов и проверки наличия товаров.
Клиент в режиме online оплачивает заказ.
Товар доставляется заказчику.
Рассмотрим основные
угрозы, которые подстерегают компанию
на всех этапах. Подмена страницы Web-сервера
электронного магазина. Основной способ
реализации - переадресация запросов пользователя
на другой сервер. Проводится путем замены
записей в таблицах DNS-серверов или в таблицах
маршрутизаторов. Особенно это опасно,
когда заказчик вводит номер своей кредитной
карты. Создание ложных заказов и мошенничество
со стороны сотрудников электронного
магазина. Проникновение в базу данных
и изменение процедур обработки заказов
позволяет незаконно манипулировать с
базой данных. По статистике больше половины
всех компьютерных инцидентов связано
с собственными сотрудниками. Перехват
данных, передаваемых в системе электронной
коммерции. Особую опасность представляет
собой перехват информации о кредитной
карте заказчика. Проникновение во внутреннюю
сеть компании и компрометация компонентов
электронного магазина. Реализация атак
типа "отказ в обслуживании" и нарушение
функционирования или выведение из строя
узла электронной коммерции.
В результате всех этих
угроз компания теряет доверие клиентов
и теряет деньги от несовершенных
сделок. В некоторых случаях этой
компании можно предъявить иск за
раскрытие номеров кредитных
карт. В случае реализации атак типа
"отказ в обслуживании" на восстановление
работоспособности тратятся временные
и материальные ресурсы на замену
оборудования. Перехват данных не зависит
от используемого программного и
аппаратного обеспечения.. Это связано
с незащищенностью версии протокола IP
(v4). Решение проблемы - использование криптографических
средств или переход на шестую версию
протокола IP. В обоих случаях существуют
свои проблемы. В первом случае применение
криптографии должно быть лицензировано
в соответствующем ведомстве. Во втором
случае возникают организационные проблемы.
Еще возможны несколько угроз. Нарушение
доступности узлов электронной коммерции
и неправильная настройка программного
и аппаратного обеспечения электронного
магазина.
Приведем классификацию
возможных типов мошенничества
в электронной коммерции:
транзакции (операции
без наличных расчетов), выполненные мошенниками
с использованием правильных реквизитов
карточки (номер карточки, срок ее действия
и т.п.);
получение данных
о клиенте через взлом БД торговых предприятий
или путем перехвата сообщений покупателя,
содержащих его персональные данные;
магазины-бабочки,
возникающие, как правило, на непродолжительное
время, для того, чтобы исчезнуть после
получения от покупателей средств за несуществующие
услуги или товары;
увеличение стоимости
товара по отношению к предлагавшейся
покупателю цене или повтор списаний со
счета клиента;
магазины или
торговые агенты, предназначенные для
сбора информации о реквизитах карт и
других персональных данных покупателя.
Протокол
SSL
Протокол SSL (Secure
Socket Layer) был разработан американской компанией
Netscape Communications. SSL обеспечивает защиту данных
между сервисными протоколами (такими
как HTTP, NNTP, FTP и т.д.) и транспортными протоколами
(TCP/IP) с помощью современной криптографии
в соединениях "точка-точка&qu t;. Ранее
можно было без особых технических ухищрений
просматривать данные, которыми обмениваются
между собой клиенты и серверы. Был даже
придуман специальный термин для этого
- "sniffer".
Протокол SSL предназначен
для решения традиционных задач
обеспечения защиты информационного
взаимодействия:
пользователь
и сервер должны быть взаимно уверены,
что они обмениваются информацией не с
подставными абонентами, а именно с теми,
которые нужны, не ограничиваясь паролевой
защитой;
после установления
соединения между сервером и клиентом
весь информационный поток между ними
должен быть защищен от несанкционированного
доступа;
и наконец, при
обмене информацией стороны должны быть
уверены в отсутствии случайных или умышленных
искажений при ее передаче.
Протокол SSL позволяет
серверу и клиенту перед началом
информационного взаимодействия аутентифицировать
друг друга, согласовать алгоритм шифрования
и сформировать общие криптографические
ключи. С этой целью в протоколе
используются двухключевые (ассиметричные)
криптосистемы, в частности, RSA.
Конфиденциальность
информации, передаваемой по установленному
защищенному соединению, обеспечивается
путем шифрования потока данных на
сформированном общем ключе с
использованием симметричных криптографических
алгоритмов (например, RC4_128, RC4_40, RC2_128, RC2_40,
DES40 и др.). Контроль целостности передаваемых
блоков данных производится за счет использования
так называемых кодов аутентификации
сообщений (Message Autentification Code, или MAC), вычисляемых
с помощью хэш-функций (например MD5).
Протокол SSL включает
два этапа взаимодействия сторон
защищаемого соединения:
установление
SSL-сессии;
защита потока
данных.
На этапе установления
SSL-сессии осуществляется аутентификация
сервера и (опционально) клиента, стороны
договариваются об используемых криптографических
алгоритмах и формируют общий "секрет",
на основе которого создаются общие
сеансовые ключи для последующей
защиты соединения. Этот этап называют
также "процедурой рукопожатия".
На втором этапе (защита
потока данных) информационные сообщения
прикладного уровня нарезаются на блоки,
для каждого блока вычисляется
код аутентификации сообщений, затем
данные шифруются и отправляются приемной
стороне. Приемная сторона производит
обратные действия: расшифрование, проверку
кода аутентификации сообщения, сборку
сообщений, передачу на прикладной уровень.
Наиболее распространенным
пакетом программ для поддержки
SSL является SSLeay. Он содержит исходный
код на C, который может быть встроен в
такие приложения, как Telnet и FTP.
В SSL используется криптография
с открытым (публичным) ключом, также
известная как асимметричная
криптография. Она использует два
ключа: один - для шифрования, другой
- для расшифровывания сообщения.
Два ключа математически связаны
таким образом, что данные, зашифрованные
с использованием одного ключа, могут
быть расшифрованы только с использованием
другого, парного первому. Каждый пользователь
имеет два ключа - открытый и секретный
(приватный). Пользователь делает доступным
открытый ключ любому корреспонденту
сети. Пользователь и любой корреспондент,
имеющий открытый ключ, могут быть
уверены, что данные, зашифрованные
с помощью открытого ключа, могут
быть расшифрованы только с использованием
секретного ключа.
Если два пользователя
хотят быть уверенными, что информацию,
которой они обмениваются, не получит
третий, то каждый из них, должен передать
одну компоненту ключевой пары (а именно
открытый ключ), другому и хранит
другую компоненту (секретный ключ).
Сообщения шифруются с помощью
открытого, расшифровываются только с
использованием секретного ключа. Именно
так сообщения могут быть переданы
по открытой сети без опасения, что
кто-либо сможет прочитать их.
Целостность и аутентификация
сообщения обеспечиваются использованием
электронной цифровой подписи.
Теперь встает вопрос
о том, каким образом распространять
свои публичные ключи. Для этого
(и не только) была придумана специальная
форма - сертификат. Сертификат состоит
из следующих частей:
имя человека/организации,
выпускающей сертификат;
субъект сертификата
(для кого был выпущен данный сертификат);
публичный ключ
субъекта;
некоторые временные
параметры (срок действия сертификата
и т.п.).
Сертификат "подписывается& uot;
приватным ключом человека (или организации),
который выпускает сертификаты.
Организации, которые производят подобные
операции называются Certificate authority (CA). Если
в стандартном Web-браузере, который поддерживает
SSL, зайти в раздел security, то там можно увидеть
список известных организаций, которые
"подписывают&q ot; сертификаты. Технически
создать свою собственную CA достаточно
просто, но также необходимо уладить юридическую
сторону дела, и с этим могут возникнуть
серьезные проблемы.
SSL на сегодня является
наиболее распространенным протоколом,
используемым при построении
систем электронной коммерции.
С его помощью осуществляется
99% всех транзакций. Широкое распространение
SSL объясняется в первую очередь
тем, что он является составной
частью всех браузеров и Web-серверов.
Другое достоинство SSL - простота протокола
и высокая скорость реализации транзакции.
В то же время, SSL обладает
рядом существенных недостатков:
покупатель не
аутентифицируется;
продавец аутентифицируется
только по URL;
цифровая подпись
используется только при аутентификации
в начале установления SSL-сессии. Для доказательства
проведения транзакции при возникновении
конфликтных ситуаций требуется либо
хранить весь диалог покупателя и продавца,
что дорого с точки зрения ресурсов памяти
и на практике не используется, либо хранить
бумажные копии, подтверждающие получение
товара покупателем;
не обеспечивается
конфиденциальность данных о реквизитах
карты для продавца.
Опишем
ряд атак, которые
могут быть предприняты
против протокола SSL.
Однако, SSL устойчив
к этим атакам.
Раскрытие шифров
Как известно, SSL зависит
от различных криптографических
параметров. Шифрование с открытым
ключом RSA необходимо для пересылки
ключей и аутентификации сервера/клиента.
Однако в качестве шифра используются
различные криптографические алгоритмы.
Таким образом, если осуществить
успешную атаку на эти алгоритмы,
то SSL не может уже считаться безопасным.
Атака на определенные коммуникационные
сессии производится записью сессии,
и потом, в течение долгого
времени подбирается ключ сессии
или ключ RSA. SSL же делает такую атаку
невыгодной, так как тратится большое
количество времени и денег.
Злоумышленник посередине
Также известна как
MitM (Man-in-the-Middle) атака. Предполагает участие
трех сторон: сервера, клиента и злоумышленника,
находящегося между ними. В данной ситуации
злоумышленник может перехватывать все
сообщения, которые следуют в обоих направлениях,
и подменять их. Злоумышленник представляется
сервером для клиента и клиентом для сервера.
В случае обмена ключами по алгоритму
Диффи-Хелмана данная атака является эффективной,
так как целостность принимаемой информации
и ее источник проверить невозможно. Однако
такая атака невозможна при использовании
протокола SSL, так как для проверки подлинности
источника (обычно сервера) используются
сертификаты, заверенные центром сертификации.
Атака будет успешной,
если:
Сервер не имеет
подписанного сертификата.
Клиент не проверяет
сертификат сервера.
Пользователь
игнорирует сообщение об отсутствии подписи
сертификата центром сертификации или
о несовпадении сертификата с кэшированным.
Данный вид атаки
можно встретить в крупных
организациях, использующих межсетевой
экран Forefront TMG компании Microsoft. В данном
случае "злоумышленник&q ot; находится
на границе сети организации и производит
подмену оригинального сертификата своим.
Данная атака становится возможной благодаря
возможности указать в качестве доверенного
корневого центра сертификации сам Forefront
TMG. Обычно подобная процедура внедрения
проходит прозрачно для пользователя
за счет работы корпоративных пользователей
в среде Active Directory. Данное средство может
использоваться как для контроля за передаваемой
информацией, так и в целях похищения личных
данных, передаваемых с помощью защищенного
соединения HTTPS.
Наиболее спорным
становится вопрос информированности
пользователя о возможности перехвата
данных, т.к. в случае подмены корневого
сертификата никаких сообщений
безопасности выводиться не будет и пользователь
будет ожидать конфиденциальности передаваемых
данных. Кроме того, при использовании
Forefront TMG в качестве SSL-прокси возникает
возможность проведения второй MitM-атаки
на стороне интернета, т.к. оригинальный
сертификат не будет передан пользователю,
а Forefront TMG может быть настроен на прием
и последующую подмену самоподписанных
или отозванных сертификатов. Для защиты
от подобной атаки необходимо полностью
запретить работу с веб-серверами, чьи
сертификаты содержат какие-либо ошибки,
что безусловно приведет к невозможности
работы по протоколу HTTPS со множеством
сайтов.
Атака отклика
Злоумышленник записывает
коммуникационную сессию между сервером
и клиентом. Позднее, он пытается установить
соединение с сервером, воспроизводя
записанные сообщения клиента. Но SSL
отбивает эту атаку при помощи
особого уникального идентификатора
соединения (ИС). Конечно, теоретически
третья сторона не в силах предсказать
ИС, потому что он основан на наборе
случайных событий. Однако, злоумышленник
с большими ресурсами может записать большое
количество сессий и попытаться подобрать
«верную» сессию, основываясь на коде
nonce, который послал сервер в сообщение
Server_Hello. Но коды nonce SSL имеют, по меньшей
мере, длину 128 бит, а значит, злоумышленнику
необходимо записать 264 кодов nonce, чтобы
получить вероятность угадывания 50 %. Но
264 достаточно большое число, чтобы сделать
эти атаки бессмысленными.
Атака против протокола
рукопожатия
Злоумышленник может
попытаться повлиять на обмен рукопожатиями
для того, чтобы стороны выбрали
разные алгоритмы шифрования, а не
те, что они выбирают обычно. Из-за
того, что многие реализации поддерживают
40-битное экспортированное шифрование,
а некоторые даже 0-шифрование или
MAC-алгоритм, эти атаки представляют
большой интерес.
Для такой атаки
злоумышленнику необходимо быстро подменить
одно или более сообщений рукопожатия.
Если это происходит, то клиент и
сервер вычислят различные значения
хэшей сообщения рукопожатия. В результате
чего стороны не примут друг от друга сообщения
Finished. Без знания секрета злоумышленник
не сможет исправить сообщение Finished, поэтому
атака может быть обнаружена.
Протокол
SET
Другой протокол
безопасных транзакций в Интернете
- SET (Security Electronics Transaction). SET основан
на использовании цифровых сертификатов
по стандарту Х.509.
Протокол выполнения
защищенных транзакций SET является стандартом,
разработанным компаниями MasterCard и VISA
при значительном участии IBM, GlobeSet и других
партнеров. Он позволяет покупателям приобретать
товары через Интернет, используя самый
защищенный на настоящее время механизм
выполнения платежей. SET является открытым
стандартным многосторонним протоколом
для проведения безопасных платежей с
использованием пластиковых карточек
в Интернет. SET обеспечивает кросс-аутентификацию
счета держателя карточки, продавца и
банка продавца для проверки готовности
оплаты товара, целостность и секретность
сообщения, шифрование ценных и уязвимых
данных. Поэтому SET можно назвать стандартной
технологией или системой протоколов
выполнения безопасных платежей с использованием
пластиковых карточек через Интернет.
SET позволяет потребителям
и продавцам подтвердить подлинность
всех участников сделки, происходящей
в Интернет, с помощью криптографии,
применяя, в том числе, и цифровые
сертификаты.
Объем потенциальных
продаж в области электронной
коммерции ограничивается достижением
необходимого уровня безопасности информации,
который обеспечивают вместе покупатели,
продавцы и финансовые институты, обеспокоенные
вопросами обеспечения безопасности
платежей через Интернет. Как упоминалось
ранее, базовыми задачами защиты информации
являются обеспечение ее доступности,
конфиденциальности, целостности и
юридической значимости. SET, в отличии
от других протоколов, позволяет решать
указанные задачи защиты информации.
В результате того, что
многие компании занимаются разработкой
собственного программного обеспечения
для электронной коммерции, возникает
еще одна проблема. В случае использования
этого ПО все участники операции
должны иметь одни и те же приложения,
что практически неосуществимо.
Следовательно, необходим способ обеспечения
механизма взаимодействия между
приложениями различных разработчиков.
В связи с перечисленными
выше проблемами компании VISA и MasterCard
вместе с другими компаниями, занимающимися
техническими вопросами (например IBM, которая
является ключевым разработчиком в развитии
протокола SET), определили спецификацию
и набор протоколов стандарта SET. Эта открытая
спецификация очень быстро стала де-факто
стандартом для электронной коммерции.
В этой спецификации шифрование информации
обеспечивает ее конфиденциальность.
Цифровая подпись и сертификаты обеспечивают
идентификацию и аутентификацию (проверку
подлинности) участников транзакций. Цифровая
подпись также используется для обеспечения
целостности данных. Открытый набор протоколов
используется для обеспечения взаимодействия
между реализациями разных производителей.
SET обеспечивает следующие
специальные требования защиты
операций электронной коммерции:
секретность данных
оплаты и конфиденциальность информации
заказа, переданной вместе с данными об
оплате;
сохранение целостности
данных платежей; целостность обеспечивается
при помощи цифровой подписи;
специальную криптографию
с открытым ключом для проведения аутентификации;
аутентификацию
держателя по кредитной карточке, которая
обеспечивается применением цифровой
подписи и сертификатов держателя карточек;
аутентификацию
продавца и его возможности принимать
платежи по пластиковым карточкам с применением
цифровой подписи и сертификатов продавца;
подтверждение
того, что банк продавца является действующей
организацией, которая может принимать
платежи по пластиковым карточкам через
связь с процессинговой системой; это
подтверждение обеспечивается с помощью
цифровой подписи и сертификатов банка
продавца;
готовность оплаты
транзакций в результате аутентификации
сертификата с открытым ключом для всех
сторон;
безопасность
передачи данных посредством преимущественного
использования криптографии.
Основное преимущество
SET перед многими существующими
системами обеспечения информационной
безопасности заключается в использовании
цифровых сертификатов (стандарт X.509, версия
3), которые ассоциируют держателя карточки,
продавца и банк продавца с рядом банковских
учреждений платежных систем VISA и MasterCard.
SET позволяет сохранить
существующие отношения между
банком, держателями карточек и
продавцами, и интегрируется с
существующими системами, опираясь
на следующие качества:
открытый, полностью
документированный стандарт для финансовой
индустрии;
основан на международных
стандартах платежных систем;
опирается на
существующие в финансовой отрасли технологии
и правовые механизмы.
Кстати, совместный
проект, реализованный компаниями IBM,
Chase Manhattan Bank USA N.A., First Data Corporation, GlobeSet, MasterCard
и Wal-Mart позволяет владельцам карточек
Wal-Mart MasterCard, выпущенных банком Chase, приобретать
товары на сайте Wal-Mart Online, который является
одним из крупнейших узлов электронной
коммерции США.
Рассмотрим более
детально процесс взаимодействия участников
платежной операции в соответствии
со спецификацией SET, представленный на
рисунке с сайта компании IBM.
На рисунке:
Держатель
карточки - покупатель делающий заказ. Банк
покупателя - финансовая структура, которая
выпустила кредитную карточку для покупателя. Продавец -
электронный магазин, предлагающий товары
и услуги. Банк
продавца - финансовая структура, занимающаяся
обслуживанием операций продавца. Платежный
шлюз - система, контролируемая обычно
банком продавца, которая обрабатывает
запросы от продавца и взаимодействует
с банком покупателя. Сертифицирующая
организация - доверительная структура,
выдающая и проверяющая сертификаты.
Взаимоотношения участников
операции показаны на рисунке непрерывными
линиями (взаимодействия описанные
стандартом или протоколом SET) и пунктирными
линиями (некоторые возможные операции).
Динамика взаимоотношений
и информационных потоков в соответствии
со спецификацией стандарта SET включает
следующие действия :
Участники запрашивают
и получают сертификаты от сертифицирующей
организации.
Владелец пластиковой
карточки просматривает электронный каталог,
выбирает товары и посылает заказ продавцу.
Продавец предъявляет
свой сертификат владельцу карточки в
качестве удостоверения.
Владелец карточки
предъявляет свой сертификат продавцу.
Продавец запрашивает
у платежного шлюза выполнение операции
проверки. Шлюз сверяет предоставленную
информацию с информацией банка, выпустившего
электронную карточку.
После проверки
платежный шлюз возвращает результаты
продавцу.
Некоторое время
спустя, продавец требует у платежного
шлюза выполнить одну или более финансовых
операций. Шлюз посылает запрос на перевод
определенной суммы из банка покупателя
в банк продавца.
Представленная схема
взаимодействия подкрепляется в
части информационной безопасности
спецификацией Chip Electronic Commerce, созданной
для использования смарт-карточек стандарта
EMV в Интернете (www.emvco.com). Ее разработали
Europay, MasterCard и VISA. Сочетание стандарта на
микропроцессор EMV и протокола SET дает
беспрецедентный уровень безопасности
на всех этапах транзакции.
Компания "Росбизнесконса тинг"
20 июня 2000 г. поместила на своем сайте
сообщение о том, что одна из крупнейших
мировых платежных систем VISA обнародовала
19 июня 2000 г. свои инициативы в области
безопасности электронной коммерции.
По словам представителей системы, эти
шаги призваны сделать покупки в
Интернете безопаснее для покупателей
и продавцов. VISA полагает, что внедрение
новых инициатив позволит сократить
количество споров по транзакциям в
Интернете на 50%. Инициатива состоит
из двух основных частей. Первая часть
- это Программа аутентификации платежей
(Payment Authentication Program), которая разработана
для снижения риска неавторизованного
использования счета держателя карточки
и улучшения сервиса для покупателей и
продавцов в Интернете. Вторая - это Глобальная
программа защиты данных (Global Data Security Program),
цель которой - создать стандарты безопасности
для компаний электронной коммерции по
защите данных о карточках и их держателях. Сравнительные
характеристики протоколов SSL
и SET
Платежные системы
являются наиболее критичной частью электронной
коммерции и будущее их присутствия в
сети во многом зависит от возможностей
обеспечения информационной безопасности
и других сервисных функций в Интернете.
SSL и SET - это два широко известных протокола
передачи данных, каждый из которых используется
в платежных системах Интернета. Мы попытаемся
сравнить SSL и SET и оценить их некоторые
важнейшие характеристики.
Итак, рассмотрим важнейшую
функцию аутентификации (проверки подлинности)
в виртуальном мире, где отсутствуют
привычные физические контакты. SSL обеспечивает
только двухточечное взаимодействие.
Мы помним, что, в процесс транзакции
кредитной карточки вовлечены, по крайней
мере, четыре стороны: потребитель, продавец,
банк-эмитент и банк-получатель.
SET требует аутентификации от всех участвующих
в транзакции сторон.
SET предотвращает
доступ продавца к информации
о пластиковой карточке и доступ
банка-эмитента к частной информации
заказчика, касающейся его заказов.
В SSL разрешается контролируемый
доступ к серверам, директориям,
файлам и другой информации. Оба
протокола используют современную
криптографию и системы цифровых
сертификатов, удостоверяющих цифровые
подписи взаимодействующих сторон.
SSL предназначен преимущественно для защиты
коммуникаций в Интернете. SET обеспечивает
защиту транзакций электронной коммерции
в целом, что обеспечивает юридическую
значимость защищаемой ценной информации.
При этом через SET транзакция происходит
медленней, чем в SSL, и ее стоимость намного
выше. Последняя характеристика весьма
актуальна для сегодняшнего российского
рынка, на котором пока не считают риски
и эксплуатационные расходы.
Следует добавить, что,
используя SSL, потребители подвергаются
риску раскрытия реквизитов своих
пластиковых карточек продавцу.
Внедрение и эксплуатация
SET осуществляется много лет в
нескольких десятках проектов во всем
мире. Например, первая транзакция SET была
проведена 30-го декабря 1996 в PBS (Датский
банк) в совместном проекте IBM и MasterCard.
Аналогичная работа проведена в 1997 г. в
крупнейшем японском банке Fuji Bank, где пришлось
адаптировать протокол к специфическому
японскому законодательству. За прошедшее
время подобные внедренческие проекты
позволили отработать функции протокола
и соответствующую документацию.
Кстати, IBM имеет полный
набор продуктов, который охватывает
все ключевые аспекты комплексного
использования SET в целом и обеспечивает
развитую инфраструктуру:
IBM Net.commerce Suite для
продавцов, организующих интернет-магазины;
IBM Consumer Wallet для
держателей карточек;
IBM Payment Gateway - шлюз
платежей для банков;
IBM Net. Payment Registry
- продукт для аутентификации и сертификации.
SET функционирует
на разных вычислительных платформах
таких компаний, как IBM, Hewlett Packard,
Sun Microsystems и Microsoft.
В свою очередь SSL используется
в основном в Web-приложениях и для
защиты коммуникаций в Интернете. Существует
также свободно распространяемая версия
SSL, называемая SSLeay. Она содержит исходный
код на C, который может быть встроен в
такие приложения, как Telnet и FTP. Благодаря
этим качествам SSL получил широкое распространение
в корпоративных интранет-сетях и в системах
с небольшим количеством пользователей.
Несмотря на технологическое
совершенство протокола SET, его использование
в мире весьма ограничено. Тому имеется
множество причин, решающей среди
которых является высокая стоимость
внедрения системы электронной
коммерции на базе протокола SET (стоимость
SET-решения колеблется от $600 до 1500 тыс.).
Протокол SSL обеспечивает
лишь конфинденциальность данных транзакции
при их передачи через сеть общего пользования,
но при этом является существенно более
дешевым для внедрения. В результате подавляющее
число современных систем электронной
коммерции используют протокол SSL.
Эксперты и разработчики
протокола SET ошиблись, предсказывая быстрое
и повсеместное внедрение этого
стандарта. Более того, ведутся настойчивые
разговоры о том, что протокол
SET уже является вчерашним днем и
его шансы на выживание ничтожны.
Такие разговоры
начались еще летом 2000г., когда VISA International
сделала заявление, в соответствии с которым
протокол 3D SET (разновидность SET) становится
стандартом для стран Евросоюза, Латинской
Америки и некоторых других европейских
стран, включая Россию. В то же время на
самом крупном американском рынке в качестве
стандарта был провозглашен протокол
3D SSL (другое название протокола - 3D Payer).
Глава российского
представительства Visa Int. Л. Наумовский
согласен с тем, что SET не нашел спроса:
"Это очень хорошая
технология. Но, судя по реакции
банков, не только российских, но
и зарубежных, - она дороговата. Банку-эмитенту,
использующему протокол SET для отслеживания
операций по картам, приходится
самому держать базу данных
банков-эквайреров и торговых точек. Мы
пытались найти более дешевую альтернативу
этому протоколу".
В мае 2001 г. были опубликованы
спецификации на стандарт 3D Secure, претендующий
на роль глобального стандарта аутентификации
в платежной системе Visa. По решению Европейского
союза в июле 2002 г. все интернет-магазины
получили идентификацию на уровне этого
протокола. Следовательно, банк-эквайрер
таких интернет-магазинов должен иметь
возможность предоставить им этот протокол.
В случае отсутствия 3D Secure всю ответственность
при спорных трансакциях несет он сам.
Если он использует 3D Secure, а банк-эмитент
нет, то ответственность берет на себя
последний.
Принцип работы 3D Secure
в том, что есть три различных домена -
банка-эмитента, интернет-магазина и Visa,
через домен которой идет сообщение между
покупателем, продавцом и банками. Очень
важно, что все сообщения идут через интернет.
При этом Visa обеспечивает конфиденциальность
информации. После того как покупатель
нажимает на инт и т.д.................