1
E-BUSINESSDigitális Pénzügyek II.
• Elektronikus fizetőeszközök, elektronikus pénz, elektronikus pénztárca
(bankkártyák, chipkártyák)• Internetes vásárlás, internetes fizetési módszerek• Ügyfélazonosítási módszerek
(smartcard, biometria)
2002. november 6.
2
Kártyatörténet
1950 – első plasztikkártya (Diners Club); név, számok, kódok1970-es évek – mágnescsíkkal ellátott kártyák (210 bit/inch információ = kb. 80 alfanumerikus/7 bites karakter) A mai mágneskártyák három részre vannak felosztva:
• csak olvasható információkat tárol (megfelel az eredeti mágnescsíknak)• 40 számjegyet tárol, 75 bit/inch sűrűséggel• írható-olvasható terület, 107 számjegy tárolására
Optikai kártyák: nagyobb információ tárolási sűrűség, néhány MB adat tárolására; főleg az egészségügyben használatos (pl. röntgen felvételek tárolására is alkalmas)1979-től – chipkártyák Fajtái:
• memóriakártyák• mikroprocesszoros chipkártyák• programozható intelligens kártyák
3
A bankkártyákról 1/5
Hazai bankkártyák fajtái:
•Betéti (debit) kártyák: a bankkártya használata csak fedezet ellenében lehetséges
•Hitel (credit) kártyák: a kártya igényléséhez és használatához nem kell betétet elhelyezni; a felhasznált hitelkeret egy részét (5-10%) ált. havonta be kell fizetni.VRC = Variable Repayment Creditcard
•Terhelési (charge) kártyák: a felhasznált pénzt teljes egészében vissza kell fizetni a számlakivonat kézhezvétele után.FRC = Fixed Repayment Creditcard
4
A bankkártyákról 2/5
A bankkártyák típusa:
• Konvertibilis (nemzetközi logós): a kártya mögötti forint fedezet az egész világon hozzáférhető, ahol a kártyán szereplő logó fel van tűntetve.• Belföldi kártyák: csak belföldön használható, nem konvertibilis.
5
A bankkártyákról 3/5A bankkártyák használhatóság szerinti csoportjai:• ATM kártyák: csak bankjegykiadó automatákban használható, kizárólag készpénzfelvételre.• Online (elektronikus) kártyák: az állandó banki összeköttetéssel rendelkező pontokon a számlánkról közvetlenül fizethetünk vele és ATM-ekben is használhatók. Elfogadóhelyek típusa: online, offline Kártyaelfogadó berendezés: POS terminál• Offline (dombornyomású) kártyák: offline elfogadó- helyeken, helyi ügyfélazonosítás után, bizonyos limit- összegig használható. POS terminálokon és ATM-ekben is használhatók. Kártyaelfogadó berendezés: imprinter (lehúzógép)
6
A bankkártyákról 4/5
Nemzetközi kártyaszervezetek és bankkártyáikKártya-szervezet
ATM kártya
Elektronikus (online) kártya
Dombornyomású (offline) kártya
Europay Cirrus Cirrus Maestro Eurocard Mastercard
VISAVISA Plus
Visa Electron VISA Classic
American Express
nincs nincs American Express
Diners Club
nincs nincs Diners Club
7
A bankkártyákról 5/5
A bankkártyák jellemzői:• fajta: betéti, hitel vagy terhelési kártya• típus: nemzetközi logós, belföldi• kibocsátó bank• készpénzfelvétel díja bankfiókban ill. postán• készpénzfelvétel díja saját vagy egyéb ATM-ben• készpénzfelvétel díja külföldi ATM-ben• vásárlás (ált. ingyenes belföldön és külföldön is)• rendelkezésre álló belföldi ill. külföldi ATM-ek száma• elfogadóhelyek száma belföldön ill. külföldön• éves tagsági díj, zárási díj• készpénzfelvételi ill. vásárlási limit
8
Hazai bankkártya-történet
1988 – első hazai kibocsátású bankkártya; devizaszámlához kapcsolódott, csak külföldön lehetett használni1989 – belföldi kártyák kibocsátása; csak a kibocsátó bank hálózatán belül fogadták el1991 – nemzetközi logós belföldi használatú kártyák; kezdetben a bankok kétoldalú megállapodás alapján fogadták el1996 – bankkártyás fizetéseknél konvertibilissé vált a forint (forintszámlához kötődő nemzetközi logós kártyákat külföldön is lehet használni)1997 – első hazai kibocsátású hitelkártya (Visa Classic); Diners Club kártyák magyarországi megjelenése2001 – bankkártya internetes vásárláshoz
9
Biztonsági problémák
• a mágneses-alapú bankkártyák könnyen hamisíthatók (a mágnescsík egy megfelelő olvasóberendezés segítségével éppen olyan könnyen olvasható, mint egy floppy lemez)• PIN kód megszerzésének módszerei
• vékony fóliát raknak a billentyűzetre, ami megőrzi a lenyomott billentyűk helyét• franciaországi eset: ál-automata felállítása (’90-es évek elején)
• hamis vagy lopott kártyával vásárlás (sok helyen a zsúfoltság miatt csak aláírást kérnek)• a POS-ba letöltött feketelisták nem jelentenek igazi védelmet, ugyanis ezeket csak naponta frissítik, a lopott kártyát viszont azonnal felhasználják• a vásárlásnál a teljes egyenleget fel lehet használni !!! (ATM-nél csak limitált összeget)
10
Chipkártyák 1/5
• 1970-es évek óta vannak forgalomban• olyan bankkártya, melybe mikrochipet szerelnek, amely chip tartalmazza az elkölthető pénzösszegről az összes információt• ha a chipben nyilvántartott összeg elfogyott a kártya eldobható vagy feltölthető • pótolja az ATM – bank ill. a POS – bank közötti drága online összeköttetést• a chip több biztonságot nyújt mint az online összeköttetés, ezért a legújabb generációs kártyarendszer offline• biztonságosabb mint a mágneskártya: védi a tárolt információt a sérüléstől és a lopástól
11
Chipkártyák 2/5
A chipkártya (intelligens kártya, smartcard) a legfejlettebb plasztikkártya; több ezer oldalnyi adatot tud tárolni a beépítettmikrochipben.
A chip lehet:• memóriachip• mikroprocesszor
A chipkártyák és a kártyaleolvasók közötti adatátvitel szerint:• érintkezős chipkártyák• érintkező nélküli chipkártyák• kombinált chipkártyák
A mikroprocesszoros chipkártyák multifunkciósak is lehetnek.Egyes chipkártyákon mágnescsík is van.
12
Chipkártyák - Memóriakártyák 3/5
• elsősorban információ tárolására alkalmas• memóriachip van beágyazva a memóriakártyákba• a tárolt adatok leolvashatók és megváltoztathatók• az értéket tároló kártyák kezdőösszeggel kerülnek forgalomba, ami minden használat után csökken• elektronikus pénzt tárol, ami a memóriachipben lévő számokból áll• eldobható vagy feltölthető
Optikai vagy lézerkártyáktöbb MB digitálissá alakított adat tárolására képes(szöveg, kép, hang, zene, szoftver stb.)
13
Chipkártyák – Mikroprocesszoros chipkártyák 4/5
• mikroprocesszor van beépítve a kártyába• adattárolásra és adatfeldolgozásra is képes• SPOM chip (self-programmable one-chip microcomputer)• ehhez a mikroszámítógéphez operációs rendszer is tartozik: multitasking, multithreaded, multi-user smart card operating system (SCOS) (pl. Windows for Smart Cards) Esettanulmány: SmarTACC rendszer www.alfagas.hu/smart_h_new.html
14
Chipkártyák 5/5
Érintkezős chipkártyák:csak kártyaolvasón keresztül tudnak külső készülékekkel és számítógépekkel kommunikálni
Érintkező nélküli chipkártyák:rádió adó-vevő van beágyazva, mely a kártyaolvasóvalvagy más készülékkel jeleket vált (nem kell bedugni)
Kombinált (hibrid) chipkártyák:kontakt-chippel és rádió adó-vevővel is fel van szerelve
Multifunkciós (többalkalmazású) chipkártyák:mikroprocesszoros chipkártya; többféle feladat ellátásáraalkalmas (pl. azonosítás, belépés-ellenőrzés, pénzügyi,egészségügyi stb. alkalmazások)
15
Chipkártyafelhasználás területei• pénzügyek: a forgalomban lévő plasztik kártyákat mikroprocesszoros
kártyák váltják fel; az ATM-eket és a kártyaelfogadó helyeket átalakítják, hogy chipkártya elfogadására alkalmasak legyenek; elektronikus pénztárca
• távközlés: Mobiltelefon: SIM kártya; olyan mobiltelefonokat fejlesztenek ki, melyekbe még egy chipkártya, a felhasználó
chip- alapú bankkártyája is behelyezhető online fizetéshez (pl. Motorola StarTAC);TV: műholdas és kábeltelevíziós szolgáltatásoknál előfizetők azonosítására
• egészségügy: kórtörténet, adatok, röntgen felvételek tárolására• tömegközlekedés: menetjegy vásárláshoz• törzsvásárlói programok: vásárlók azonosításához (pl. Shell)• személyazonosítás: épületekbe, parkolókba történő belépéshez• diákigazolvány: multifunkciós kártya (beléptetés, fénymásolás,
számítógépek és könyvtár használata stb.)• közigazgatás: személyi igazolvány, jogosítvány, TB kártya stb.
16
Elektronikus pénztárca I.
• az intelligens kártyák legkorábbi felhasználása• a smart kártyát készpénz befizetése ellenében, vagy folyószámlánk terhére adott összeggel feltöltik, és ezt az összeget maga a kártya tárolja• fizetéskor ez az összeg csökken a kártya memóriájában anélkül, hogy ellenőrizni kellene a hitelképességet• kis összegű fizetésekhez, gyors, offline• fizetéskor nem kell aláírás sem, tehát mindkét fél részéről minimális a kockázat• fizetéskor az elfogadóhely nem a folyószámlán végzi a tranzakciót• újratölthető
17
Elektronikus pénztárca II.A CEPS csoport (Europay International, Visa Espana/SERMEPA,Visa International és ZKA) 1998. december végén közzétette azokat a specifikációkat, amelyek segítségével a világ különböző elektronikus pénztárca programjai képesek az együttműködésre. A közös elektronikus pénztárca specifikációk (CEPS, Common Electronic Purse Specifications) létrehozása jelentős lépés a nyílt elektronikus pénztárca szabvány megteremtése felé.
A specifikáció:• megadja mik a feltételei annak, hogy egy szervezet kompatíbilis elektronikus pénztárca programot vezessen be• megköveteli az EMV szabványokkal való kompatibilitást • megfogalmazza a rendszer funkcionális követelményeit• a fokozott biztonság érdekében külön titkosítási kulcsot alkalmaz
18
EMV’96 szabvány
A pénzzel feltölthető fizetőkártyák (chipkártyák) 1996-ban kialakítottbiztonsági szabványa.
1996 végén az Europay International, a MasterCard International és a
Visa International egyezségre jutott, hogy közösen készítik el a chipkártyák integrációs szabványát EMV’96 néven. Az új szabványa biztonságos fizetési módokat támogató SET szabványcsomagonalapul.
Az EMV kialakította a pénzvilág első globális chipkártya infrastruktúráját.Segítségével lehetővé vált, hogy biztonságos körülmények közöttvásárolhassanak a kártyatulajdonosok hálózati számítógépen, PC-n vagymobiltelefonon keresztül.
19
SET (Secure Electronic Transaction) szabvány
A MasterCard és a Visa által kidolgozott SET protokollszabvány (1996. 02. 01.) a bankkártya-alapú internetes tranzakciók biztonságos lebonyolítását segíti. Az RSA titkosítási eljáráson alapul. Az alábbi biztonsági követelményeket elégíti ki:
• a rendelési és fizetési adatok bizalmas kezelése • a kártyatulajdonos mint vásárló azonosítása• a kereskedő mint eladó azonosítása• az adatok integritásának védelme elektronikus aláírások használatával • a letagadhatatlanság (non-repudiation) garantálása
A protokoll teszi lehetővé a tranzakciót lebonyolító felek részére a digitális aláírás részleteinek rögzítését. A protokoll megvalósításában valamennyi résztvevőt: a vásárlót, az eladót, a feldolgozót, az igazolószervezetet, valamint a bankokat megfelelő informatikai alkalmazások képviselik, amelyek közül a szolgáltatás igénybevevőjének elég csupán egy böngészővel rendelkeznie.
20
A SET elődeiA nyílt hálózatokon keresztül teljesített elektronikus átutalásokbiztonsága érdekében kifejlesztett adatátviteli szabványok összefoglalóneve: SEPP (Secure Payment Protocols)
A SET szabvány a következő javaslatokat használja fel:Mastercard: IKP (Internet Keyed Protocol)• elektronikus fizetési protokoll• IBM fejlesztés• az RSA nyílt kulcsú titkosításon alapul
Visa: STT (Secure Transaction Technology)• pénzügyi tranzakciókhoz kifejlesztett biztonsági protokoll• Microsoft javasolta, de nem valósította meg• nem avatkozik bele a bank és ügyfele,vagy a kereskedő és vásárlója közti üzleti kapcsolatba• digitális aláírást használ
21
Smartcard előnyei• olcsóbb kezelőberendezés mint a mágnescsíkos kártyáknál• könnyű áttelepíthetőség, mobilitás (nincs szükség online kapcsolatra a bankkal)• széleskörű felhasználhatóság• tároló kapacitás• gyorsabb vásárlás (kis összeg esetén) (nem kell ellenőrizni a kártya fizetőképességét)• nincs tranzakciós költsége• biztonságos
• a kártya másolása nehezebb, költségesebb• a vonal nem lehallgatható, mert nincs vonali kapcsolat• információ-hozzáféréshez biztonsági szinteket rendelhetünk
Smartcard hátránya• drágább mint a mágnescsíkos kártya
22
Biztonsági rés a smart kártyákbanA feltöréshez egy vaku és egy mikroszkóp kell 2002. május 20.
Brit komputerbiztonsági kutatók azt állítják, hogy egy vaku és egy mikroszkóp segítségével titkos információkat lehet leolvasni a széleskörűen használt smart kártyákról.
23
Felépítés (ISO 7816)Felépítés (ISO 7816)
24
Az e-kereskedelmi rendszer
Az elektronikus kereskedelmi rendszer 3 fő részből áll:- Elektronikus áruház- Elektronikus bank- Elektronikus pénztárca, (hitelkártya) egyéb fizetési formák
Háttér a megfelelő árukészet és a szállításlogisztikai kapacitás.
25
Internetes vásárlás folyamata – Megrendelés, fizetés, szállítás
26
Internetes vásárlás – Fizetési lehetőségek
27
Internetes fizetési módszerek 1/3
Jelenleg nem léteznek elfogadott szabványok az Interneten történő fizetések lebonyolítására.
Az Interneten való fizetés szempontjából két szintet különböztetünk meg:• A magasabb összegű vásárlások esetén a vásárlás során a tranzakciós költségek és az időtényező legtöbbször nem okoz problémát. Ez a makrofizetési szint.• Az alacsony összegű, lehetőleg gyors vásárlások során a magas tranzakciós költség és idő ellenben már nem tenné rentábilissá a vásárlást. Ez a mikrofizetési szint.
28
Internetes fizetési módszerek 2/3
Makrofizetés
A makrofizetésre jelenleg általánosan elfogadott megoldás a hagyományos bankkártyák használata. Nyugat-Európában és Amerikában az Internetes bankkártyás fizetés tranzakciós költsége egy adott minimum díj mellett, 2-3% körül van, az ellenőrzési idő 30 másodpertől másfél percig tart. A bankkártyás fizetés legnagyobb problémája sokak szerint a felhasználók bizalmatlansága. A makrofizetés biztonsági problémájának megoldására már létezik egy kidolgozott rendszer: a SET.
29
Internetes fizetési módszerek 3/3
Mikrofizetés
A mikrofizetés a néhány dollártól, az egy cent alatti fizetések lebonyolítását jelenti. A néhány dollár körüli fizetések már nem oldhatók meg a magas tranzakciós költségek miatt bankkártyával.
Megoldás: • mikrofizetésre is alkalmas anonim elektronikus pénz• nem teljesen anonim, kifejezetten mikrofizetésre kifejlesztett elektronikus pénz
30
Elektronikus készpénz
Az ideális kibertéri fizetőeszköz az elektronikus készpénz (e-cash) monetáris értéket testesít meg, amely közvetlen, azonnali cserére alkalmas.
Elektronikus pénznek azokat a rendszereket nevezzük, amelyek az érmék és pénzjegyek jellemzőit a leginkább magukon hordozzák; tehát nem névre szólóak, értékegységekre tagolódnak, stb.
Az elektronikus készpénz olyan monetáris értéket megtestesítő elektronikus formában tárolt mennyiség, melyet a benne megtestesülő érték közvetlenül cserére alkalmassá tesz és a fizetés a tranzakcióval egy időben, azonnal történik.
31
Az e-pénz tulajdonságai
• könnyen azonosítható, tartós, a hamisítás költséges és bonyolult • más elektronikus pénzformáktól megkülönböztető sajátságokkal bír• előre kifizetett értéket képvisel nem pusztán hozzáférést egy értéktárhoz (mint a bankkártyák) és ezért mindenki használhatja • banki közvetítés nélkül, egyszer költhető el, alacsony tranzakciós költség mellett • fajtái:
• érmeszerű forma: anonim zsetonalapú (token-based) elektronikus készpénz, a hagyománykövetőbb fajta • bankkártyához hasonló: értékjelölt fizetési (float-based) fajta
• biztonságos: az e-pénz elvesztése esetén egy másolat segítségével újra használhatjuk, ha ellopják a sorozatszáma alapján letilthatjuk
32
Az e-cash előnyei
• korlátlan névtelenséget biztosít a vásárló számára, nem kell más személyek előtt a vásárlónak személyazonosságát feltüntetnie• sem a bank sem a transzakcióban részt vevő más fél nem szerez tudomást az ügylet tartalmáról, illetve a kereskedő is csak az ügylet tartalmát ismeri, de a vásárló személyét nem• az eCash használata nem túl bonyolult, mind az eladó mind a vásárló elektronikus pénztárcája hasonlóan használható• a bank szempontjából ennek a pénznek az a nagy előnye, hogy a könyvelési pénz mindig a bank oldalán marad, és ezzel együtt a kamatjövedelem is, amelyet a bank az ügyfélnek jóváír• jelenleg az internetes eCash használata jogilag leginkább az utazási csekkek használatával analóg
33
Az elektronikus pénzeket a felhasználó azonosíthatóságának lehetősége és a visszaigazolás léte alapján csoportosíthatjuk.Fizetési mód:
• azonosítható, ha felhasználója és felvevője transzparens• azonosíthatatlan, ha nincs lehetőség a tranzakció követésére. Elektronikus pénz:• online pénz: a tranzakciót azonnali visszajelzés követi• offline pénz: a tranzakciót nem feltétlenül követi azonnal
visszajelzés
Az Interneten alapvetően három fizetési rendszer használható. 1. A készpénz hálózati megfelelője az elektronikus készpénz. Az értékét a tokenek képviselik. 2. A csekkek elektronikus megfelelője hitel-, illetve bankkártyák, amelyek bankszámla létezését feltételezik. 3. Biztonságos hitelkártya-bemutatási rendszerek.
Az elektronikus pénz
34
Az elektronikus pénz feldolgozásának lépései
35
Chipkártyával az Interneten I.
A világon elsőként a BarclayCard vállalt MasterCard kártyákkal az EMV-szabványon alapuló internetes fizetési tranzakciót. A művelet bármely chipkártya-leolvasóval rendelkező PC-ről elvégezhető.
Az EMV (Europay/MasterCard/Visa) szabványt a legnagyobb kártyatársaságok hozták létre azzal a céllal, hogy a bankkártyákkal végzett tranzakciókat biztonságosabbá tegyék. Az EMV kártyák a hagyományos mágnescsík helyett chipet tartalmaznak, mely egyértelműen azonosítja a kártyát és tulajdonosát, megakadályozva ezzel lopás, elvesztés és másolás okozta visszaéléseket. A kártyatársaságok 2005 január elsejétől a hagyományos mágnescsíkos bankkártyákkal kapcsolatos visszaélések által okozott kárt teljesmértékben a bankokra és a kereskedőkre hárítják.
36
Chipkártyával az Interneten II.
A világ bankjai elfogadták az EMV-szabványon alapuló chipkártyáta mágnescsíkkal ellátott bankkártya utódjaként.
Az Europay International kidolgozta a Smart Card Payment Protocol(SCPP, intelligens kártyás fizetési protokoll) technológiát, mellyelbiztonságosan és egyszerűen megoldható a vásárlás az Interneten.
Az SCPP a tranzakcióban résztvevőket azonosítja, hitelesíti és a pénzügyi adatok kezelésére a TLS (Transport Layer Security)Internet-szabványt alkalmazza, ami az SSL (Secure Socket Layer)protokoll utódja.
37
SSL (Secure Socket Layer) – Biztonsági Csatlakozó Réteg
•ISO/OSI szállítási rétegben, TCP/IP alkalmazási rétegben fut•hálózaton továbbított üzenetek titkosítására használható•feladata, hogy a kliens és a szerver között létrejött megállapodásalapján minden kérést, választ, adatot kódoljon és dekódoljon•protokoll réteg, amelyet egy kapcsolati protokoll és egy alkalmazási protokoll közé lehet elhelyezni a biztonság növelése érdekében•elvégzi a titkosítást, integritási védelmet és a hitelesítést:a titkosítást megbízható titkosító algoritmusok alapján (RSA, DES, stb.), az integritás védelmet MAC algoritmussal, a hitelesítést tanúsítványokkal és digitális aláírásokkal biztosítja • az adatok átvitele két különböző titkosító kulcspár alapján történik: az egyikkel a szerver felé érkező kéréseket a másikkal a szervertől kimenő adatokat titkosítja; ezek a session-kulcsok Tehát az adatok már titkosítva kerülnek le a TCP kapcsolati szintre. • mindkét oldalon 2 kulcs van, az egyiket a bejövő adatok dekódolására a másikat a kimenő adatok titkosítására használja
38
TLS (Transport Layer Security)
• SSL-en alapul• TLS szabvány, SSL a szabvány implementációja• képes a felhasználók biztonságos azonosítására és a programozók számára lehetővé teszi, hogy olyan TLS-t felhasználó kódot írhassanak, mely anélkül képes más folyamatokkal kódolt információk cseréjére, hogy a kódot létrehozó programozónak a többi program kódját ismernie kellene• olyan keretrendszert biztosít, melyet új, nyílt kulcsú és más kódoló algoritmusok is felhasználhatnak
39
WTLS – Wireless TLS
40
Internetes fizetés hazai biztonsága• bankkártyás fizetés SSL szabvánnyal: a legelterjedtebb internetes fizetési megoldás; az SSL a vásárló PC-jén futó böngésző és a távoli szerver közötti kommunikációs csatornát titkosítja; 128 bites titkosítás, a kommunikáció során mozgó bankkártya adatok mások számára nem hozzáférhetőek
• WebKÁRTYA: virtuális Eurocard/Mastercard bankkártya, OTP fejlesztette ki, az internetes tranzakciók ellenértékének kiegyenlítésére szolgál; a kártya OTP H@zibankon keresztül feltölthető
• Mobil Kártyakontroll (OTP): Interneten kártyával végzett vásárlásról az ügyfél SMS üzenetet kap
• Don’t Worry (K&H) szolgáltatás: S@FENET fejlesztette ki; Internet plasztik kártya (csak internetes tranzakciókban használható fel) kapcsolódik a szolgáltatáshoz; bankkártyás internetes vásárlásról SMS-t küld, válasz SMS-ben a tranzakció megerősítését várja
• SET alapú fizetés: legbiztonságosabb, kiválóan alkalmas B2C típusú tranzakciók lebonyolítására;
SET: adatforgalmat titkosítja, digitális aláírással azonosítja a feleket, fizetési és rendelési adatok integritását garantálja (az üzenet tartalmát ne lehessen később megváltoztatni), szelektív hozzáférést biztosít az adatokhoz
41
Néhány tanács a biztonságos vásárláshoz
• Vásároljunk high-tech és fizessünk low-tech módon. A megrendelésre felhasználhatjuk a legkorszerűbb internetes megoldásokat, de bankkártya információinkat inkább hagyományos módon (telefon, fax, levél) továbbítsuk. Vagy fizethetünk postai utánvéttel is.• E-mailben soha ne küldjük el a bankkártyánk számát!• Körültekintéssel vásároljunk.• Ne adjuk meg a bankkártyánk számát olyan kereskedőnek, aki nem ún. biztonságos szervert (secure server, https) használ.• A bankkártya számának továbbítása előtt tájékozódjunk a kereskedőről. (Better Business Bureau, Internet Fraud Watch) Internet Fraud Watch (csalásfigyelő) program: online csalások bejelentését, nyomon követését ill. megakadályozását segíti elő• Nyissunk számlát. Egyes kereskedőknél a későbbiekben a létrehozott számla terhére vásárolhatunk.
42
Elektronikus/internetes fizetési rendszerek és kapcsolatuk az intelligens kártyák világával 1/5
Jövő: • PTD (Personal Trusted Device): kijelzővel és billentyűzettel rendelkező smartcard eszköz• internetes vásárláshoz, mobiltelefonra
Chipkártya az internetes vásárlásban:• biztonsági műveletek végrehajtására képes• probléma: nem kontrollálható
PTD: Tamper* Resistant Sim + Tamper ProofTRS = WIM (WAP Identity Module; azonosításra és aláírásra képessmartcard; két különböző titkos, nyilvános kulcs kell hozzá) + TP = ME (Mobile Equipment, mobiltelefon)
*tamper: hamisít
43
Elektronikus/internetes fizetési rendszerek és kapcsolatuk az intelligens kártyák világával 2/5
• internetes vásárlás mobiltelefonnal (mobiltelefon és Internet- hozzáféréssel rendelkező PC csatlakoztatása): olcsó, nem kell GSM hívás az internetes áruház eléréséhez; a vásárlás PC-s, a fizetés mobil környezetben történik; fizetés = a számla digitális aláírása• WAP-on keresztüli vásárlás: vásárlás PC-s környezetben, fizetés mobiltelefonnal GSM hálón keresztül• bolti vásárlás mobiltelefonnal
44
WAP architektúra
45
Elektronikus/internetes fizetési rendszerek és kapcsolatuk az intelligens kártyák világával 3/5
Internet Fizetési Protokollok:pont-pont közötti rejtjelezés + digitális aláírásanonimitás, információ elrejtés biztosítása
Fajtái:1. Tranzakció alapú: egyik bankszámláról a másikra történő
átutalásIKP (Internet Keyed Payment) protokoll → SET (Secure Electronic
Transaction) szabványcsomag (OI, PI, hash értékek mozognak) Probléma: banki tranzakció kell hozzá (költséges), online kapcsolat kell a bank és a kereskedő között2. Elektronikus pénz: olyan hamisítatlan bitsorozat, ami csak egy példányban létezik (vak aláíráschip rejtjelezéstechnikai megoldás)3. Mikrofizetés
46
Elektronikus/internetes fizetési rendszerek és kapcsolatuk az intelligens kártyák világával 4/5
Az elektronikus pénz működése:
• a vevő előállít egy véletlen számot, ebből a véletlen számból csinál egy „veretlen pénzérmét” (ami megadott értékkel bír)• a véletlenszerűen generált számot 2x egymás után leírja• ezt a pénzt a vevő („lezárt borítékban”) elküldi a banknak, aki vakon aláírja, majd visszaküldi a vevőnek (ez az aláírás nyomot hagy a veretlen pénzérmén, vagyis az sorszámmal lesz ellátva)• a pénz beváltásakor a bank akkor fizet, ha az adott sorszámot más még nem mutatta be (többször elköltött pénz problémája)• teljes anonimitást biztosít• banki felügyeleti kontroll hiánya jellemzi• gyakorlatban nem alkalmazzák (a technikai megoldás adott)
47
Elektronikus/internetes fizetési rendszerek és kapcsolatuk az intelligens kártyák világával 5/5
A mikrofizetés rendszere:
• kisösszegű fizetések esetén magas a tranzakciós költség• megoldás: offline korlátos, kockázatvállaláson alapul• szereplők: vevő, kereskedő, bróker, (bank)• a vevő a brókertől vásárol (sorszámozott) tokeneket• a vevő az így beváltott tokeneket költi el a kereskedőnél• a kereskedő beváltja a tokenjeit pénzre a brókernél• minden szereplő visszaélése felderíthető• felhasználók bizalma hiányában ezt a technikát nem alkalmazzák
48
Személyazonosítási módszerek 1/4
Az egyértelmű azonosításhoz a következő, személyenként eltérő,egyedi élettani vagy viselkedési jellemzőket használják:• aláírás• arckép• ujjlenyomat• talplenyomat• hangtónus• DNS genotípus• fehérvérsejt antigén• kézgeometria• az arc vagy a csukló ereinek hálózata• a szem retinájának vagy íriszének mintázata stb.
Ezeket a jellemzőket bonyolult műszerek és különféle érzékelőksegítségével lemérik, majd digitálissá alakítják és számítógépesadatbázisokban tárolják későbbi összehasonlítás céljából.
49
Ezt a technikát biometriának nevezik.
Biometria:A biometriai rendszerek egy élő személy azonosságát ujjlenyomata, íriszének mintázata és más élettani jellemzők, vagy bizonyos viselkedési sajátosságok, mint például a kézírás vagy gépelési módszer alapján ellenőrzik le vagy ismerik fel automatikusan.
A biometriai azonosítást már az egész világon alkalmazzák bankokban, pénzkiadó automatáknál, repülőtereken, hatóságoknál.
Személyazonosítási módszerek 2/4
50
Személyazonosítási módszerek 3/4
Módszer Egyediség Változatlanság Hamisíthatóság,
másolhatóság Megtévesztés Kényszerítés Ikrek Megvalósítás
DNS TÖKÉLETES OK akár egy hajszál-
ból MÁSOLÁS kivédhetetlen [?] bonyolult, drága
ujjlenyomat szinte tökéletes (műtét, baleset) OK Mission
Impossible másik ujj 92% működik
tenyér OK (műtét, baleset) OK OK észrevehetetlen [?] működik
írisz TÖKÉLETES OK OK OK csak a szemet látom [?] működik
retina TÖKÉLETES OK OK OK csak a szemet látom [?] veszélyes
kézírás OK egy idő után a dinamikát lehe-
tetlen kizárt talán[?]
megkülönböz-tethető
alakul
hang OK elég egy nátha OK magnó csak fülelek hallható a kü-
lönbség működik, bonyo-
lult
vizuális OK OK OK OK látható, hányan van-
nak elég hasonló túl komplex
„szag” [?] gyorsan valtozik [?] ruhalopás [?] [?] [?]
51
Személyazonosítási módszerek 4/4
Ujjle-nyomat azonosí-tás
Jól bevált technológia, elfogadható áron és jól integrálható a meglévő rendszerekbe
Minden kliens önálló eszközt igényel
Könnyű használhatóság, nagyon könnyű, nagyon gyors
Irisz, retina és arc felism.
Nagy biztonságot igénylő helyekre is alkalmas - akár önállóan is.
Lényegesen drágább, mint pl. az ujjlenyomat felismerés.
Általában könnyű, és gyors, de szükség lehet a szemüveg, kontaktlencse kivételére.
Hang-felisme-rés
Legolcsóbb technológia, általában külön eszközt nem, vagy csak egy kiegészítő mikrofont igényel - egy átlagos multimédia PC
PC Háttérzaj zavaró lehet, és még egy kicsit szokatlan, ha valaki a számítógépéhez beszél.
Nagyon könnyű, de a pontosság miatt hosszabb betanítást igényelhet
Kézírás felisme-rés
Alkalmas lehet bejelentkezésre, és dokumentumok digitális aláírására is.
Digitalizáló táblát, kliens oldali, és háttér szoftvert igényel - kis cégeknek drága lehet.
Könnyű, de a pontosság miatt hosszabb betanítást igényelhet.
HasználhatóságHátrányokElőnyök
52
Linkek I.:
Intelligencia az intelligens kártyábanwww.renyi.hu/~csirmaz/csirmaz4.ppt
Smartcard alapú adattárolás és azonosításwww.elte.hu/~kincses/konf/nwsh97.html Smartcard és informatikai biztonság előadássorozatwww.inf.elte.hu/speci/
Smartcard alapú azonosításwww.elte.hu/~kincses/konf/hsdoc.htm
53
Linkek II.:
Elektronikus pénzügyi rendszerekwww.cegnet.hu/cv/9804/cv146_152.htm
E-commerce és online fizetési piac Magyarországonwww.bankkartya.hu/faliujsag.shtml
Kártyaszokások: első a készpénzfelvételwww.cegnet.hu/gazdert/2001/36/m01363.htm
54
Egyéni feladat témák:
• Választott smartcard operációs rendszer (SCOS) bemutatása (pl. Windows for Smart Cards, SmarTACC)• Két-chipkártyás mobiltelefon felépítésének és működésének ismertetése (pl. Motorola StarTEC)• Közös elektronikus pénztárca specifikációk (CEPS)• EMV szabvány• Az e-cash fajtái és megvalósításuk• Mobiltelefonnal kapcsolatos szabványok• Biztonsági kérdések (A banki világ biztonsága, Internet biztonság, Mobil biztonság)• Biztonsági szabványok, direktívák, protokollok, architektúrák