Upload
seppel-lambertus
View
106
Download
0
Embed Size (px)
Citation preview
© by S.Strudthoff 2005
SETSET
Sichere Kreditkartenzahlung im Internet
2© by S.Strudthoff 2005
GliederungGliederung
1. Historie
2. Gefahren beim Onlineeinkauf
3. Leistungen von SET
4. Das Verfahren
5. Die Zukunft
3© by S.Strudthoff 2005
1. Historie1. Historie
• Entwickelt von Visa-, Mastercard, IBM, Microsoft, Netscape u. A.
• Erschienen 1997
• Bildung der SETCo im gleichen Jahr– Zur Weiterentwicklung– Zur Abnahme von Software– Als übergeordnete Zertifizierungsstelle
• Standard aufgegeben (etwa 2002)
4© by S.Strudthoff 2005
2. Gefahren beim Onlineeinkauf2. Gefahren beim Onlineeinkauf
• Abhören von Nachrichten
• Ändern von Daten
• Vortäuschen einer anderen Person
• Daten an nicht betreffende Stellen senden
• Keine Anonymität wie bei Bargeld
5© by S.Strudthoff 2005
3. Leistungen von SET3. Leistungen von SET
• Vertraulichkeit
• Integrität
• Authentizität
• Need To Know
6© by S.Strudthoff 2005
• RSA
• DES
• SHA - 1
• Digitale Signatur
• Digitales Zertifikat
4. Das Verfahren4. Das VerfahrenAngewendete Verfahren
7© by S.Strudthoff 2005
4. Das Verfahren4. Das Verfahren
HändlerKunde
Payment Gateway
Trust Center
Bank
Kredit-Ges.
Die Beteiligten
8© by S.Strudthoff 2005
Anmeldung des Kunden:Anmeldung des Kunden:
Kunde
Kredit-gesellschaft
Bank
Trust Center
Meldet sichFür SET an
Reicht Antragweiter
Fordert Zertifikat an
Zertifikatsbrief
Zertifikatsbrief
Zertifikatsbrief& Wallet
9© by S.Strudthoff 2005
Ablauf des Verfahrens:Ablauf des Verfahrens:
• Kunde besucht ein Onlinekaufhaus
• Stellt seinen Warenkorb zusammen
• Wählt SET als Bezahlungsart aus
• SET – Wunsch wird übermittelt
• Antwort vom Händler öffnet Wallet
Symbol für SET - Händler
10© by S.Strudthoff 2005
11© by S.Strudthoff 2005
12© by S.Strudthoff 2005
Kunde meldet sich beim HändlerKunde meldet sich beim Händler
HändlerKundeKreditkartenmarke
Payment Gateway
13© by S.Strudthoff 2005
Der Händler bestätigtDer Händler bestätigt
HändlerKunde TIDZertifikat HändlerZertifikat Payment Gateway
Payment Gateway
14© by S.Strudthoff 2005
Kunde...Kunde...
... Überprüft die Informationen und
erstellt Duale Signatur
Kunde
Trust Center
15© by S.Strudthoff 2005
Die „Zutaten“ der Duale SignaturDie „Zutaten“ der Duale Signatur
Bestellinformation (BI)
Bezahlautorisierung (BA)
Secure Hash Algorithm(SHA-1)
Signatur
Kunde
16© by S.Strudthoff 2005
Der Aufbau der Duale SignaturDer Aufbau der Duale Signatur
RSA
SHA - 1
Duale SignaturDuale Signatur
SHA - 1
SHA - 1
SHA - 1
SHA - 1
SHA - 1
SHA - 1
BA
BI
SHA - 1
BA
BI
BA
BI
Kunde
17© by S.Strudthoff 2005
Kunde antwortet an Händler:Kunde antwortet an Händler:
• Duale Signatur
• BI
• Hash (BA)
• Hash (BI)
• BA verschlüsselt mit DES
• DES–Schlüssel und AccountInfo RSA verschlüsselt (mit öffentlichem Schlüssel des Payment Gateways)
Duale Signatur
BA
SHA - 1
BI
SHA - 1
BA
DES
AcInfo
KDES
RSAPG
Kunde
Händler
BI
Kunde
18© by S.Strudthoff 2005
HändlerKunde
Kunde antwortet an Händler:Kunde antwortet an Händler:
Duale SignaturBIHash (BI)Hash (BA)DES (BA)Accountinfo
Payment Gateway
19© by S.Strudthoff 2005
SHA - 1
BA
BI
SHA - 1
SHA - 1
SHA - 1
BA
BI
SHA - 1
SHA - 1
SHA - 1
BA
BI
Duale Signatur RSA – entschlüsselt:
Erstellter Vergleichswert:
GelieferterWert:
Zu testenderWert:
?
SHA-1
Der Händler prüft Duale Signatur:Der Händler prüft Duale Signatur: Händler
20© by S.Strudthoff 2005
Ist die Signatur korrekt:Ist die Signatur korrekt:
• Bestätigung an Kunde:– TID– Acknowledgement
(RSA-verschlüsselt)
• Bezahlanforderung an Payment Gateway:– Verschlüsselter Teil des Kunden– Eigener Teil
Händler
21© by S.Strudthoff 2005
Bezahlnachfrage: (Käuferteil)Bezahlnachfrage: (Käuferteil)
• Duale Signatur des Käufers
• Hash (BI)
• DES (BA)
• RSA (KDES, AcInfo)
• Zertifikat des KundenDuale
Signatur
BA
SHA - 1
BI
SHA - 1
BA
DES
AcInfo
KDES
RSAPG
Kunde
Händler
AcInfo
KDES
RSAPG
BA
DES
BI
SHA - 1Duale
Signatur
ZertK
BI
Händler
22© by S.Strudthoff 2005
AcInfo
KDES
RSAPG
BA
DES
BI
SHA - 1Duale
Signatur
ZertK
Bezahlnachfrage: (Händlerteil)Bezahlnachfrage: (Händlerteil)
• TID signiert und mit neuem DES-Schlüssel verschlüsselt
• DES – Schlüssel mit RSA verschlüsselt
• Zertifikat des Händlers
TID
RSAH
DESH RSAPG
KDESZertH
Händler
23© by S.Strudthoff 2005
Bezahlanforderung an Payment GatewayBezahlanforderung an Payment Gateway
Händler
Payment Gateway
Kunde
24© by S.Strudthoff 2005
Bezahlnachfrage beim Payment GatewayBezahlnachfrage beim Payment Gateway
• Prüfen der Zertifikate• Entschlüsseln des DES-Schlüssels des
Händlers• Entschlüsselung der TID• Prüfen der Signatur
BI
SHA - 1Duale Signatur
ZertK
ZertHTID
RSAH
DESH RSAPG
KDES
AcInfo
KDES
RSAPG
BA
DES
Payment Gateway
25© by S.Strudthoff 2005
Bezahlnachfrage beim Payment GatewayBezahlnachfrage beim Payment Gateway
AcInfo
RSAPG
BA
DES
BI
SHA - 1Duale Signatur
ZertK
• Entschlüsseln des DES-Schlüssels des Kunden und der AcInfo
• Entschlüsseln der BA
TID
KDES
Payment Gateway
26© by S.Strudthoff 2005
Bezahlnachfrage beim Payment GatewayBezahlnachfrage beim Payment Gateway
BABI
SHA - 1Duale Signatur
ZertK
TID
• Überprüfen ob TID in BA von Kunde und TID von Händler übereinstimmen
• Testen der Dualen Signatur durch– Prüfen der Signatur– Hashwertprüfung mit Hash(BI) als
Unbekannte
Payment Gateway
27© by S.Strudthoff 2005
Test der Dualen Signatur beim Payment GatewayTest der Dualen Signatur beim Payment Gateway
SHA - 1
BI
BA
SHA - 1
SHA - 1
SHA - 1
SHA - 1
SHA - 1
SHA - 1
Duale Signatur RSA – entschlüsselt:
Erstellter Vergleichswert:
GelieferterWert:
Zu testenderWert:
?
SHA-1 BA BA
BI BI
Payment Gateway
28© by S.Strudthoff 2005
Duale Signatur ist korrektDuale Signatur ist korrekt
• BA ist mit der richtigen TID der Transaktion enthalten
• Mit AcInfo mögliche Bezahlung beim Kreditinstitut des Kunden anfragen (sichere Leitung)
• Kreditgesellschaft gibt Bestätigung (sichere Leitung)
• Gateway erstellt Autorisierungsnachricht
Payment Gateway
29© by S.Strudthoff 2005
5. Die Zukunft5. Die Zukunft
• SET ist Vergangenheit
• Neuester Ansatz: EMV – Chip auf Karten
• SET ähnelnde Verfahren mit Bezug auf den Chip