Criptografia În Sistemele Electronice de Plăți

UNIVERSITATEA DIN CRAIOVA

FACULTATEA DE ECONOMIE I ADMINISTRAREA AFACERILOR

PROIECT

Coordonator

Lect. Univ. Dr. Adina BURICEA BLAN

Masterand

Ionu Marian BERCEA

2013

UNIVERSITATEA DIN CRAIOVA

FACULTATEA DE ECONOMIE I ADMINISTRAREA AFACERILOR

DEPARTAMENTUL STATISTIC I INFORMATIC ECONOMIC

CRIPTOGRAFIA N SISTEMELE ELECTRONICE DE PLI

Coordonator

Lect. Univ. Dr. Adina BURICEA BLAN

Masterand

Ionu Marian BERCEA

Craiova 2013

Cuprins Introducere ....................................................................................................................................................3

1. Modul de desfurare al comerului electronic .....................................................................................5

2. Securitatea comerului electronic ...........................................................................................................9

2.1 Mediul de securitate al sistemelor electronice de pli ..................................................................9

2.2 Infrastructuri de chei publice (PKI ) cheia pentru un comer electronic securizat .................. 14

2.2.1 Certificate digitale .............................................................................................................. 15

2.3 Securitatea telecomunicaiilor protocoalele SSL i TLS ......................................................... 17

2.4 Securitatea tranzaciilor de plat protocoalele 3-D Secure, SecureCode i SET ..................... 18

2.4.1 Protocolul SET ....................................................................................................................... 19

2.4.2 Protocolul 3-D Secure ............................................................................................................. 20

2.4.3 Protocolul SecureCode ........................................................................................................... 23

2.4.4 O scurt comparaie a protocoalelor 3-D Secure i SPA/UCAF ......................................... 25

3. Anatomia unei tranzacii de eComer care folosete protocolul 3-D Secure ........................................ 27

Concluzii .................................................................................................................................................... 30

Bibliografie ................................................................................................................................................. 31

Bercea Ionu Marian Introducere

Introducere

Astzi, Internetul este folosit pentru a deservi o mare varietate de servicii care cer un grad

ridicat de securitate, aplicaii cum ar fi e-Commerce, e-banking, management financiar-bancar.

Mai mult ca oricnd, companiile realizeaz pe Web operaii folositoare afacerilor cum ar fi:

folosirea resurselor n mod distribuit i concurent la distan, cooperarea cu parteneri pentru

realizarea de proiecte interactive prin reea, vnzarea produselor prin Web, etc. Dezvoltarea

reelelor necablate wireless network implic utilizatorii ntr-un mediu foarte dinamic.

Utilizatorii cer s acceseze resursele de acas n mod transparent i sigur din Internet

Cafe-uri, aeroporturi, centre comerciale i alte companii. O soluie puternic la aceste cerine,

trebuie s fie capabila s satisfac urmtoarele cerine de securitate:

1. Confidenialitatea protejeaz coninutul tranzaciilor mpotriva citirii neautorizate, de

ctre alte persoane dect receptorii specificai de emitor.

2. Autentificarea permite receptorului unui mesaj s determine n mod sigur identitatea

expeditorului.

3. Integritatea datelor n reea furnizeaz receptorului unei tranzacii sigurana c

mesajul primit este identic cu mesajul emis de expeditor.

4. Prevenirea nerecunoaterii tranzaciei de ctre expeditor (Non-Repudierea)

garanteaz integritatea i originea tranzaciilor din punctul de vedere al expeditorului

i nu a destinatarului. Se mpiedic astfel ca expeditorul unei tranzacii electronice s

nege trimiterea ei.

5. Aplicarea selectiv a unor servicii de multe ori este necesar acoperirea unor pri ale

tranzaciilor, de exemplu cele coninnd numrul crii de credit al unui client. Aceasta

nu trebuie sa fie n clar vnztorului, care poate abuza de utilizarea ei.

Comerul electronic, eComerul, aprut prin 1994, este comerul care se desfoar prin

mijloace electronice, adic prin calculatoare i sisteme de telecomunicaii. Cea mai mare parte a

acestui comer desfurat ntre cumprtori persoane i comerciani - companii se desfoar prin

reeaua public a Internetului, i de aceea a spune eComer echivaleaz cu a spune comer pe

Internet, sau comer n timp real (online), dar acest comer poate avea loc i prin reele de

telecomunicaii care nu sunt publice ci aparin unor sisteme private de plti i transfer de fonduri.

O alt definiie, mai larg, descrie eComerul ca fiind constituit din toate plile n care

datele tranzaciei (pltitor, destinatar, sum, etc) sunt transmise electronic, pltitorul i pltitul sunt

implicai direct n tranzacie, iar toate informaiile necesare autorizrii plii sunt schimbate ntre

cele dou pri, electronic . 3

Bercea Ionu Marian Introducere

Instrumentele de plat n comerul electronic sunt cardurile bancare, cecurile electronice,

scrisorile de credit electronice, ordinele de transfer electronice, i, n general, orice instrument

bancar de iniiere a unei plti care poate fi pus sub form electronic i pentru care exist un sistem

de procesare.

Pentru desfurarea n bune condiii de securitate comerul electronic trebuie s

ndeplineasc o serie de cerine: asigurarea confidenialitii i integritii datelor pe timpul pstrrii

i transmiterii lor; autentificarea tranzaciilor (individualizarea fiecrei tranzacii); asigurarea

independenei de natura punctului de acces la Internet (device independence), astfel c achiziiile

s se poat face de la un calculator personal, de la un asistent personal digital (PDA), telefon, etc;

asigurarea interoperabilitii care permite plti globale, transfrontaliere; asigurarea unei complete

evidene contabile care poate servi n caz de dispute, fraude, probleme legale, etc.

n acesta lucrare vom face o prezentare a principiilor comerului electronic, o descriere a

anatomiei unei tranzacii de eComer prin Internet n care plata este iniiat prin carduri, o

prezentare a metodelor de asigurare a securitii prin securizarea canalelor de transmisie i prin

aplicarea unor protocoale speciale pentru securizarea plilor cu cardul.

4

Bercea Ionu Marian 1.Modul de desfurare al comerului electronic

1. Modul de desfurare al comerului electronic

n acest capitol vom prezenta schema de principiu a comerului electronic desfurat pe

Internet ntre cumprtori, sau consumatori (persoane fizice), i comerciani, n care plata

cumprturilor se face prin card bancar de plat, cardul fiind naional sau internaional.

Fig.1.1- Schema de principiu a comerului electronic prin internet, cu plata prin carduri

n figura 1.1 se prezint schema general de principiu n care apar principalele elemente ale

comerului electronic un site de comerciant aflat pe un server de gzduire, cumprtorul cu

calculatorul su personal cuplat software printr-un navigator (browser) la Internet, bncile emitent

i acceptatoare a cardului cu care se face plata, i sistemul de carduri (naional sau internaional)

din care fac ambele parte. Dreptunghiul figurat punctat i cuprinznd calculatorul personal, legtura

prin Internet, i site-ul comerciantului este echivalent, din punctul de vedere al acceptatorului

comerciantului, cu un terminal de plat cu card, adic reprezint un POS virtual (VPOS, Virtual

POS; a nu se confunda cu situaia n care datele de card sunt introduse de la un calculator personal

al unui comerciant n vederea obinerii unei autorizri prin Internet, caz care poart de asemenea

numele de POS virtual). Schema este similar n cazul plii prin cec electronic, ordin de plat

electronic, etc se nlocuiete doar cardul cu cecul, i sistemul de plti prin carduri cu cel de plti

prin cecuri, etc.

O achiziie pe Internet se desfoar, n principiu, astfel. Cumprtorul acceseaz site-ul

unui comerciant prin intermediul navigatorului din calculatorul su (de exemplu MS Internet

Explorer) cruia i furnizeaz adresa comerciantului (de exemplu www.comerciant.ro). Odat ajuns

5


pe paginile magazinului virtual al comerciantului, va cerceta produsele prezentate i va selecta unul

sau mai multe produse pe care le va pune apoi n coul, sau cruciorul, virtual de cumprturi

(shopping cart).

Rolul coului este de a aduna toate produsele achiziionate i de a afia totalul de plat,

astfel nct n momentul plii s se cear o singur autorizare pe totalul de plat i nu cte una

pentru fiecare produs. Apoi programul specializat al site-ului comerciantului l va invita pe

cumprtor s-i introduc ntr-un formular (HTML form) pe care i-l afieaz, datele de identitate

nume, adres de email, adres de facturare (billing address) i adres de livrare (shipping address),

precum i datele de plat tip de card, numr de card, dat de expirare.

Dup ce cumprtorul i citete datele de pe card i le introduce manual de la tastatur n

formularul afiat, va apsa un buton special al formularului (inscripionat, de exemplu, cu

Cumpr) a crui apsare echivaleaz cu generarea unei comenzi ferme de cumprare i, n

acelai timp, cu acceptarea totalului de plat, i a regulilor i condiiilor de plat i de livrare a

produselor pe care comerciantul le-a afiat pe site, iar cumprtorul este obligat s le cunoasc.

Programul specializat al site-ului va aduga automat la datele cumprtorului o alt serie de

date care descriu plata (sum, moned, numrul de identificare a tranzaciei) i identitatea

comerciantului, i va forma din toate acestea un mesaj pe care l va transmite la sistemul de

management de carduri, SMC, al acceptatorului comerciantului prin legtura de telecomunicaii

dintre serverul care gzduiete site-ul, i acceptator.

SMC-ul acceptatorului se afl acum, n principiu, n starea n care a primit un mesaj cu o

cerere de autorizare de la unul din terminalele sale de plat POS instalat la unul din comercianii

si. Mai departe autorizarea tranzaciei se desfoar ca n cazul unei tranzacii ce are loc la un POS

dintr-un magazin real, adic acceptatorul emite prin sistemul de carduri o cerere de autorizare ctre

emitentul cardului, de la care primete apoi un rspuns de autorizare. Rspunsul este trimis de

acceptator la serverul care gzduiete site-ul comerciantului su, iar programul special din site

afieaz pe ecranul cumprtorului o pagin cu un raport prin care i confirm (sau infirm) acestuia

efectuarea cumprrii, angajamentul implicit al comerciantului de a-i livra produsele i condiiile

de livrare. Raportul afiat poate fi tiprit de cumprtor i este echivalent cu o chitan de plat.

Dup un numr de zile produsele expediate de comerciant ajung la cumprtor, iar n

momentul livrrii la adresa de livrare care a fost indicat, cumprtorul va accepta livrarea mrfii

prin semnarea unui document de recepie. Acest document va ajunge napoi la comerciant i va

putea servi n eventualele rezolvri de dispute. Acceptatorul va putea credita imediat dup

autorizare contul comerciantului su, dup care introduce tranzacia n fiierul su de tranzacii pe

care l va trimite la emitent n vederea decontrii interbancare.

Din momentul n care cumprtorul a apsat pe butonul Cumpr din formularul afiat, 6


trimindu-i datele de card i ordinul de cumprare, i pn n momentul n care programul special

din site-ul comerciantului i afieaz raportul de rspuns cu confirmarea efecturii cumprturii,

timpul scurs este, de regul, de circa 5-10 secunde. Acest timp de rspuns se compune, n mare, din

partea de circa 2-4 secunde petrecut de tranzacie n sistemul de carduri i din partea de 3-5

secunde petrecut n Internet (serverul site-ului comerciantului, telecomunicaii cu protocol sigur

SSL sau TLS). n cazul utilizrii unor protocoale de autentificare a deintorului de card, cum ar fi

protocolul 3-D Secure, se mai adaug un interval de pn la 10-15 secunde necesare autentificrii

cumprtorului, cardului i comerciantului.

Tranzacia de plat descris este o tranzacie cu card de tipul cardul-nu-este-prezent, adic

nici cumprtorul i nici cardul nu se afl n faa comerciantului atunci cnd se face plata, ceea ce

conduce la un risc asumat de comerciant (i de acceptator) mai mare dect n cazul unei plti de tip

cardul-este-prezent care are loc ntr-un magazin real. Ca urmare msurile de securitate luate n

cazul eComerului prin Internet sunt mai puternice i mai cuprinztoare. Iat, pe scurt, n cele ce

urmeaz, care sunt msurile uzuale de securitate.

Legturile de telecomunicaii dintre calculatorul personal al cumprtorului i serverul care

gzduiete site-ul comerciantului, precum i acelea dintre acest server i SMC-ul acceptatorului

comerciantului, trebuie s fie legturi sigure care s asigure confidenialitatea datelor comunicate

i s garanteze autenticitatea celor dou pri de la capetele transmisiei. Aceste telecomunicaii se

implementeaz printr-un protocol special numit SSL (Secure Socket Layer protocol) sau prin

succesorul acestuia, numit TLS (Transport Layer Security protocol), ambele asigurnd criptarea

(simetric) a mesajelor i autentificarea ambelor pri. Legtura ntre serverul de gzduire i SMC-

ul acceptatorului se poate face i direct, printr-o linie nchiriat care nu e public (cum ar fi n cazul

Internetului), mai ales n cazul n care acceptatorul are mai multe site-uri de comerciant (un portal)

pe un acelai server, securitatea i viteza transmisiunilor trebuind s fie astfel mult sporit. Cardul

cu care cumprtorul face cumprturi pe Internet poate fi un card obinuit al sistemului de carduri

sau un card special destinat plii prin Internet, care asigur cumprtorului o siguran sporit.

Astfel de carduri speciale pot avea, de exemplu, o limit maxim a sumei din cont, o

perioad de expirare foarte scurt, sau pot fi carduri virtuale ce sunt folosite de regul numai pentru

o singur achiziie, dup care sunt rencrcate cu suma necesar urmtoarei achiziii.

Autentificarea prilor implicate ntr-o tranzacie de comer electronic este probabil cea mai

important msur de asigurare a securitii tranzaciilor. Prile implicate sunt deintorii de

carduri, emitenii cardurilor, comercianii i eventual porile de acces (gateway) de la Internet la

sistemul de plat cu carduri. n prezent exist trei astfel de protocoale de autentificare utilizate n

eComer: protocolul SET (Secure Electronic Transactions), protocolul 3-D Secure (Three-Domains

Secure) i protocolul SecureCode (ultimele dou fiind asemntoare i aparinnd, lui Visa i lui 7


MasterCard). Vom reveni asupra acestor protocoale.

Comerciantul va ncheia cu acceptatorul su de plti cu carduri prin Internet, un contract

special de comerciant pe Internet, cu condiii i prevederi speciale, specifice acestui tip de comer.

Comisionul pe care comerciantul l va plti acceptatorului pe fiecare tranzacie de eComer este de

regul mai mare dect n cazul comerului real, de exemplu de 3-10% din valoarea tranzaciei, fa

de circa 1-3% n cazul comerului real. Contractul cu acceptatorul va prevede de asemenea modul

de desfurare a disputelor ce pot apare ntre cumprtor i comerciant, cu indicarea clar a

responsabilitilor acceptatorului i celor ale comerciantului, n cazul fraudelor sau a altor excepii.

8

Bercea Ionu Marian 2.Securitatea comerului electronic

2. Securitatea comerului electronic Msurile speciale de securitate n cazul comerului electronic prin Internet, n care plile

se fac cu carduri, sunt concentrate, n principal, n dou direcii asigurarea securitii

telecomunicaiilor, i asigurarea securitii tranzaciilor prin procedee mai puternice de

autentificare, n principal a deintorului de card. Prima direcie ncearc s rezolve problema

riscurilor generate de caracterul public al transmisiunilor prin reeaua Internetului, iar a doua pe

aceea a riscurilor generate de o situaie n care cardul-nu-este-prezent (similar cu cazul

comenzilor date prin telefon sau pot).

Alte msuri de securitate sunt luate la nivelul legislaiei i al reglementrilor bancare i ale

sistemelor de carduri, iar altele urmresc comportamentul cumprtorilor (memornd o istorie a

tranzaciilor) i depistarea unui profil al cumprtorului, sau comerciantului, potenial fraudulos

cruia mai apoi i se vor interzice tranzaciile. Unii emiteni pot utiliza chiar reele neuronale care

pot identifica un fel anume, susceptibil de a fi fraudulos, de a face cumprturile de exemplu

efectuarea unui mare numr de cumprturi ntr-un interval scurt de timp (cteva ore) de pe multe

site-uri comerciant, caz n care cumprtorul va fi imediat contactat pentru verificare.

2.1 Mediul de securitate al sistemelor electronice de pli

Criptografia computaional ofer cele mai puternice soluii pentru problemele care privesc

securitatea informatic a acestui mediu n care ne pregtim s trim n anii urmtori i care se

cheam Cyberspace. Folosit mult vreme pentru asigurarea confidenialitii comunicaiilor n

domeniul militar i diplomatic, criptografia a cunoscut n ultimii 20 de ani progrese spectaculoase

datorate aplicaiilor sale n securitatea datelor electronice.

Scopul criptografiei este de a securiza informaia stocat i transmis indiferent dac

transmisia respectiv este monitorizat sau nu.

Serviciile furnizate de criptografie sunt:

Confidenialitate - meninerea caracterului privat al informaiei (secretizarea informaiei); Integritate - dovada c respectiva informaie nu a fost modificat (asigurarea mpotriva

manipulrii frauduloase a informaiei);

Autentificare - dovada identitii celui care transmite mesajul (verificarea identitii unui individ sau a unei aplicaii);

Nerepudiere - sigurana c cel ce genereaz mesajul nu poate s-l nege mai trziu (asigurarea paternitii mesajului);

Criptografia realizeaz aceste servicii prin criptare. n sistemul criptografic mesajul este criptat

9


folosind o cheie, la expeditor, i apoi este trimis prin reea. La destinatar, mesajul criptat este

decriptat tot cu o cheie, obinnd-se mesajul original. Exist dou metode primare de criptare

folosite astzi: criptografia cu cheie secret (criptografia simetric) i cea cu cheie public

(criptografia asimetric).

- Algoritmi criptografici cu cheie simetric n cazul crora cifrarea i descifrarea se fac cu

aceeai cheie au avantajul vitezei la criptarea fiierelor.

Cei mai cunoscui algoritmi criptografici cu cheie simetric sunt DES (Data Encryption

Standard), AES (Advanced Encryption Standard) i IDEA (International Data Encryption

Algorithm). n figura 2.1 sunt prezentate principiile criptrii simetrice.

Fig.2.1 Criptare folosind algoritmi criptografici cu cheie simetric

Dup cum se poate observa din figura de mai sus se folosete aceeai cheie K i aceeai

funcie de criptare F, att la emisia mesajului ct i la recepia sa.

Securitatea criptrii simetrice depinde de protecia cheii; managementul acestora fiind un factor

vital n asigurarea securitii datelor, iar procesul de distribuire sigur a cheilor este foarte dificil.

DES (Data Encryption Standard), cel mai folosit algoritm criptografic cu cheie simetric, folosete

o cheie de criptare de 56 de bii, iar IDEA (International Data Encryption Algorithm) folosete o

cheie de criptare de 128 de bii. AES (Advanced Encryption Standard), nlocuitorul lui DES,

permite utilizarea unei chei de cifrare pe 128, 192 sau 256 de bii.

- Algoritmi criptografici cu cheie public - RSA Un moment important n evoluia criptografiei moderne l-a constituit crearea, n anul 1976, de

ctre Whitfield Diffie i Martin Hellman, cercettori la Universitatea Stanford din California, a

unui principiu diferit de acela al cifrrii simetrice. Ei au pus bazele criptografiei asimetrice cu chei

Cheie Secret comun

Expeditor Destinatar

Text clar

Text cifrat Text cifrat Text clar

10


publice. n locul unei singure chei secrete, criptografia asimetric folosete dou chei diferite, una

pentru cifrare, alta pentru descifrare. Deoarece este imposibil deducerea unei chei din cealalt,

una din chei este fcut public, fiind pus la ndemna oricui dorete s transmit un mesaj cifrat.

Doar destinatarul, care deine cea de-a doua cheie, poate descifra i utiliza mesajul. Tehnica cheilor

publice poate fi folosit i pentru autentificarea mesajelor prin semntur digital, fapt care i-a

sporit popularitatea.

Pentru asigurarea confidenialitii unui mesaj, acesta este cifrat cu cheia public a

destinatarului, operaie care poate fi fcut de orice persoan care poate accesa fiierul cu chei

publice. O dat cifrat, mesajul nu va mai putea fi descifrat dect de ctre destinatar, singurul care

posed cheia secret (privat), pereche a celei publice.

n figura 2.2 sunt prezentate principiile criptrii simetrice.

Cheie public receptor

Cheie secret receptor

CRIPTARE DECRIPTARE

Fig.2.2 Criptare folosind algoritmi criptografici cu cheie public

Algoritmii criptografici cu cheie public sunt folosii n general pentru:

cifrarea i distribuia cheilor simetrice folosite n secretizarea mesajelor;

semntura digital asociat mesajelor.

Algoritmul criptografic cu cheie public, care se bucur de o foarte mare apreciere, att n

mediul guvernamental ct i n cel comercial, fiind susinut prin lucrri i studii de comunitatea

academic, este RSA (Rivest-Shamir-Adleman). Acesta este un sistem de cifrare exponenial

realizat de trei cercettori, Rivest, Shamir i Adleman, de la Massachusetts Institute of

Technology, i reprezint standardul "de facto" n domeniul confidenialitii cu chei publice i al

semnturilor digitale. Sub diferite forme de implementare, prin programe sau dispozitive hardware

speciale, RSA este astzi recunoscut ca cea mai sigur metod de cifrare i autentificare

disponibil comercial.

11


RSA este bazat pe cvasi-imposibilitatea actual de a factoriza numere (ntregi) mari, n

timp ce a gsi numere prime mari este uor; funciile de criptare/decriptare sunt exponeniale, unde

exponentul este cheia i calculele se fac n inelul claselor de resturi modulo n1.

Deoarece cifrarea i descifrarea sunt funcii mutual inverse, metoda RSA poate fi utilizat

att la secretizare, ct i la autentificare.

Cu toate acestea, exist o serie de tipuri de atacuri care au succes n cazul RSA. Acestea

nu sunt ndreptate mpotriva algoritmului n sine, ci mpotriva protocolului pe care acest algoritm

l presupune. Este important de tiut c nu este de ajuns numai faptul c se utilizeaz algoritmul

RSA, detaliile conteaz.

Criptarea mesajelor ofer confidenialitate, dar acest lucru nu este suficient. n cazul unei

transmisii sau recepii trebuie s existe certitudinea c cel care a generat mesajul este o persoan

autorizat, motiv care a dus la adugarea de noi proprieti cum ar fi integritatea i autentificarea,

acestea fiind asigurate cu ajutorul semnturii digitale.

- Semntura digital

Dezvoltarea comerului electronic este subordonat existenei unei garanii de securitate a

transmisiilor de date i a plilor electronice. Graie unui sistem de codificare, aplicat mesajului

transmis, semntura electronic constituie un rspuns la aceast problem, garantnd att

autenticitatea i integritatea datelor, ct i identificarea semnatarului.

Semnturile electronice se utilizeaz n circumstane i aplicaii foarte variate, ceea ce

determin apariia unei serii de noi de servicii i produse legate de utilizarea acestui tip de

semntur. Orice disfuncie sau inadverten n aplicarea i recunoaterea juridic a semnturii

electronice risc s devin un obstacol serios n calea utilizrii comunicaiilor electronice i a

comerului electronic.

Semntura digital, ca modalitate a semnturii electronice, garanteaz identitatea,

autenticitatea i integritatea prilor implicate n contract. Semntura digital reprezint un atribut

al unui utilizator, fiind folosit pentru recunoaterea acestuia, i se bazeaz pe sisteme criptografice

cu chei publice.

Pentru semnarea digital a datelor, acestea sunt prelucrate astfel:

1 Schneier, B. Applied Cryptography, John Wiley&Sons, 1996

12


M

HASH

CARD cu cheie secret

Rezumat S

Semntura

Dan

M

S

Document

Document semnat electronic

RSA

Dan

Fig. 2.3- Semnarea unui document electronic

- documentul M este cifrat cu cheia privat a emitorului, care astfel semneaz; n exemplu

de mai sus este vorba despre utilizatorul Dan, care furnizeaz, prin intermediul unui card,

cheia sa secret, PRIVDan i folosete un algoritm cu chei publice cunoscut, cum este RSA

(Rivest-Shamir-Adleman);

- documentul este transmis la receptor;

- receptorul verific semntura prin decriptarea documentului cu cheia public a

emitorului.

Funciile de dispersie (hash functions) joac un rol important n autentificarea coninutului

unui mesaj transmis n reelele de calculatoare. Rolul lor nu este de a asigura secretul transmisiilor,

ci de a crea o valoare h=H(M), numit i rezumat (digest), cu rol n procedura de semntur

digital, foarte greu de falsificat. Funciile hash care pot fi folosite sunt MD5 i SHA1.

Semnturile digitale au dou proprieti importante: permit identificarea emitentului unui

mesaj electronic i a oricror modificri aduse mesajului original. Aceste proprieti fac ca

semnturile digitale s aib un rol important la securizarea comerului electronic deoarece ajut la:

- demonstrarea autenticitii unei tranzacii electronice pentru a preveni falsurile;

- confirmarea identitii unei persoane;

- asigur dovada transmisiei i recepionrii tranzaciilor pentru a preveni repudierea

mesajelor.

Ca i criptarea, semntura electronic este implementat n serverele i browserele Web

prin SSL, pentru a permite utilizatorilor:

- s-i demonstreze identitatea ntr-un mod care este mult mai eficient dect mecanismul

nume utilizator/parol;

- s confirme identitatea serverului Web cu care comunic (pentru a fi siguri c nu trimit

informaie sensibil la un alt site Web). 13


n concluzie, utilizarea acestui tip de semntur este de natur s favorizeze negocierile la

distan specifice comerului electronic deoarece satisface exigene cum ar fi, valoare juridic cel

puin egal cu cea a unei semnturi manuscrise, i admisibilitate ca prob n instan n aceeai

manier ca la semntura manuscris.

Pentru a utiliza n practic semnturile digitale, trebuiesc utilizate o gam complex de

tehnologii, standarde i practici, cunoscute sub numele de infrastructuri cu chei publice (PKI).

2.2 Infrastructuri de chei publice (PKI ) cheia pentru un comer electronic securizat

PKI (Public Key Infrastructure) este standardul acceptat pentru identificarea persoanelor

prin intermediul certificatelor. El include suportul pentru tot ciclul de via al certificatelor i

cheilor de la crearea pn la distrugerea acestora. Din aceast cauz soluiile bazate pe PKI sunt

scumpe, complexe i destul de greu de administrat i utilizat, ceea ce a mpiedicat utilizarea lor pe

scar larg.

PKI este o combinaie de produse hardware i software, politici i proceduri care asigur

securitatea de baz necesar astfel nct doi utilizatori, care nu se cunosc sau se afl n puncte

diferite de pe glob, s poat comunica n siguran. La baza PKI se afl certificatele digitale, un

fel de paapoarte electronice care mapeaz semntura digital a utilizatorului la cheia public a

acestuia. Aceste obiecte informaionale sunt crmizile care stau la baza unei implementri PKI i

reprezint mijlocul de identificare digital a fiecrui subiect participant ntr-o relaie derulat prin

mijloace electronice.

Componentele PKI sunt:

Autoritatea Certificatoare (CA) - responsabil cu generarea i revocarea certificatelor;

Autoritatea Registratoare (RA) - responsabil cu verificarea construciei generate de cheile

publice i identitatea deintorilor;

Deintorii de Certificate (subiecii) - Oameni, maini sau ageni software care dein

certificate i le pot utiliza la semnarea documentelor;

Clienii - ei valideaz semntura digital i certificarea de la un CA.;

Depozitele - stocheaz i fac accesibile certificatele i Listele de Revocare a Certificatelor

(CRLs -Certificate Revocation Lists);

Politicile de securitate: definesc procesele i principiile de utilizare a criptografiei.

14


2.2.1 Certificate digitale

n funcionarea sistemelor cu chei publice este necesar un sistem de generare, circulaie i

autentificare a cheilor folosite de utilizatori.

n acest caz, problema principal care apare este aceea a ncrederii absolute n cheile

publice (cele cu care se face verificarea semnturilor digitale). Acestea trebuie s fie disponibile

n reea, astfel nct orice client s poat obine cheia public a unui emitent de document semnat.

n acest context, soluia tehnic exist: crearea unei infrastructuri internaionale, bazat pe

Autoriti de Certificare - AC (Certification Authority), care s permit obinerea cu uurin i

ntr-o manier sigur a cheilor publice ale persoanelor cu care se dorete s se comunice prin

Internet. Aceste autoriti urmeaz s distribuie, la cerere, certificate de chei autentificate.

Cel mai larg recunoscut i utilizat format pentru certificatele de chei publice este cel definit

n standardul X.509 de ctre ISO/IEC/ITU. Structura acestuia este prezentat n figura 2.4

Fig.2.4 Structura unui certificat digital conform standardului X.509

Certificatele sunt clasificate ca: certificate self-signed i certificate CA-signed. Primul este

semnat de deintorul cheii, iar al doilea de o alt persoan cu autoritate. Ele funcioneaz ca i

containere de chei publice, iar informaia tipic include:

numele deintorului,

e-mail-ul acestuia,

15


numele companiei,

telefonul,

informaii legate de certificat,

un numr serial,

un indicator de nivel de ncredere,

data generrii,

data expirrii.

Un sistem bazat pe certificate de chei publice implic existena unei Autoriti de

Certificare, care emite certificate pentru un anumit grup de deintori de perechi de chei (public

i privat). Fiecare certificat conine valoarea cheii publice i o informaie care identific n mod

unic Subiectul certificatului (care poate fi o persoan, o aplicaie, un dispozitiv sau alt entitate

care deine cheia privat corespunztoare cheii publice incluse n certificat). Certificatul reprezint

o legtur imposibil de falsificat ntre o cheie public i un anumit atribut al posesorului su.

Certificatul este semnat digital de o Autoritate de Certificare, care confirm astfel

identitatea subiectului. O dat ce setul de certificate a fost stabilit, un utilizator al respectivei

infrastructuri cu chei publice poate obine cheia public pentru orice utilizator certificat de

respectiva Autoritate de Certificare, obinnd pur i simplu certificatul pentru utilizatorul respectiv

i extrgnd din el cheia public dorit.

Sistemele de obinere a cheilor publice bazate pe certificate sunt simplu i economic de

implementat, datorit unei importante caracteristici a certificatelor digitale: certificatele pot fi

distribuite fr a necesita protecie prin serviciile de securitate obinute (autentificare, integritate

i confidenialitate). Aceasta deoarece cheia public nu trebuie pstrat secret; n consecin, nici

certificatul digital care o conine nu este secret. Nu exist cerine de autentificare sau integritate,

deoarece certificatul se auto-protejeaz (semntura digital a AC din interiorul certificatului

asigur att autentificarea, ct i integritatea acestuia).

Ca urmare, certificatele digitale pot fi distribuite i vehiculate prin legturi de comunicaie

nesigure: prin servere de fiiere nesigure, prin sisteme de directoare nesigure i/sau protocoale de

comunicaie care nu asigur securitatea. Un prim avantaj al unui sistem de certificate este acela c

orice utilizator al su poate obine cheile publice pentru un numr mare de alte entiti, cunoscnd

la nceput doar cheia public a unei Autoriti de Certificare. Certificatele permit deci scalabilitate,

adic mrirea numrului entitilor pentru care se poate obine cheia public.

O astfel de infrastructur permite:

- stabilirea de standarde astfel nct certificatele digitale s fie valide peste diferite uniti de 16


afaceri, organizaii i tari;

- crearea, stocarea i administrarea sigur a certificatelor digitale i a cheilor criptografice

asociate;

- rennoirea certificatelor expirate;

- revocarea certificatelor digitale utilizate fraudulos.

Rolul PKI, de a susine ncrederea n comerul electronic, va face din acestea o tehnologie

foarte important n viitorul apropiat. PKI este de asemenea important pentru serviciile

eGuvernare care vor deveni catalizatorul pentru alte produse i servicii comerciale. Produsele i

serviciile necesare pentru a construi sau utiliza PKI nu sunt nc suficient dezvoltate, dar sunt n

continu expansiune.

2.3 Securitatea telecomunicaiilor protocoalele SSL i TLS

n prezent securitatea telecomunicaiilor ntre calculatorul personal al cumprtorului i

serverul de gzduire al site-ului comerciantului, precum i aceea dintre acest server i procesatorul

acceptatorului se asigur prin protocolul SSL, sau prin succesorul su TLS.

Ambele protocoale asigur toate elementele fundamentale ale unei transmisiuni sigure criptarea

mesajelor care asigur confidenialitatea, verificarea integritii coninutului mesajelor, i

autentificarea entitilor de la ambele capete ale transmisiunii.

Protocolul SSL (Secure Sockets Layer), ajuns astzi la versiunea 3.0, a fost proiectat de

compania american Netscape Communications n 1995 i s-a rspndit n toat lumea fiind instalat

n toate navigatoarele web importante i n toate serverele de gzduire de site-uri, devenind un

standard de facto al securitii telecomunicaiilor pe Internet. Iat pe scurt modul su de funcionare.

n momentul n care un navigator adreseaz un server n regim de securitate (adrese ncepnd cu

https:), acesta va trimite navigatorului propriul su certificat de autenticitate, eliberat de o

Autoritate de Certificare (care respect standardul X.5092) cunoscut i acceptat (cum ar fi

VeriSign Inc.), criptat i semnat de aceasta cu cheia sa secret i coninnd identitatea serverului i

cheia public a serverului. Opional, i navigatorul poate trimite certificatul su ctre server.

Navigatorul va decripta certificatul serverului (cu cheia public, pe care o cunoate, a

Autoritii de Certificare) i va obine cheia public a serverului, apoi va genera o cheie secret

valabil numai pentru cuplarea n curs (la fiecare legtur cu serverul se va genera o nou cheie).

2 n criptografie , X.509 este un standard ITU-T (International Telecommunication Union) pentru infrastructuri cu chei publice (PKI) i management al privilegiilor, X.509 specific printre altele formatul standard pentru certificatele cu cheie publica, listele de revocare a certificatelor, atributele certificatelor i algoritmul de validare al certificatelor.

17


Aceast cheie de criptare a mesajelor (de 40 sau 128 de bii) este la rndul ei criptat cu cheia

public a serverului, cruia i este apoi expediat. n acest fel ambele capete ale transmisiei dispun

acum de o cheie secret de criptare mesaje, cu care i cripteaz mesajele pe care ncep s i le

trimit. Aceast cheie de criptare mesaje se folosete i la aplicarea unui cod MAC (Message

Authentication Code) care permite verificarea integritii mesajelor schimbate.

Protocolul TLS (Transport Layer Security) a fost elaborat de IETF (Internet Engineering Task

Force), organizaia de standardizare a Internetului, pe baza SSL 3.0 i reprezint o mbuntire a

acestuia n mai multe privine. Este de ateptat s se substituie treptat protocolului SSL .

2.4 Securitatea tranzaciilor de plat protocoalele 3-D Secure, SecureCode i SET

O cretere substanial a securitii tranzaciilor de plat se poate obine prin folosirea unor

protocoale de autentificare al cror rol este s autentifice actorii principali ai tranzaciei ce are loc

pe Internet deintorul de card i cardul lui, comerciantul i acceptatorul lui, i poarta de acces

(gateway) din Internet ctre sistemul de plti prin carduri. Aceasta autentificare se face fie prin

certificate de autenticitate care necesit un sistem de chei publice (PKI, Public Key Infrastructure),

fie prin alte metode, mai simple. Esenial este autentificarea deintorului de card deoarece aici se

afl sursa majoritii fraudelor.

Trei astfel de protocoale sunt astzi n folosin protocolul SET proiectat n 1996 de Visa,

MasterCard, IBM i alii, protocolul 3-D Secure proiectat de Visa, i protocolul SecureCode

proiectat de MasterCard, ultimele dou n 2001. Cel care asigur securitatea maxim, ntruct

autentific pe toi actorii tranzaciei, este protocolul SET. Acesta este ns un protocol complicat,

scump i greu de implementat, motiv pentru care nu este rspndit, pare ameninat cu dispariia i

nu vom insista asupra lui. Dintre celelalte dou, care sunt mai simple i mai uor de implementat,

protocolul 3-D Secure tinde s devin un standard de facto fiind acceptat i de MasterCard i JCB.

Protocolul de autentificare 3-D Secure este prezentat de Visa sub marca Verified by Visa

(VbV), aceast marc fiind prezent pe site-urile comercianilor ai cror acceptatori au aderat la

protocol. MasterCard ofer ns sub marca proprie de SecureCode un numr de trei protocoale

de autentificare distincte, la alegere pentru acceptatori protocolul SPA/UCAF (primul care a

purtat marca), protocolul CAP derivat din primul, i implementarea proprie a protocolului 3-D

Secure. Spre deosebire de SET, protocoalele 3-D Secure i SPA/UCAF nu mai impun certificate

de autenticitate pentru toate prile, ceea ce reprezint o mare simplificare. Autentificarea

deintorului de card se face n timpul tranzaciei de ctre emitentul acestuia numai pe baza numelui

i a unui cuvnt de control (password) sau PIN (sau prin alte metode, la alegerea emitentului),

certificatul de autenticitate al cumprtorului nemaifiind strict necesar. 18


n cele ce urmeaz vom face o scurt prezentare a celor trei protocoale, punnd un accent

ceva mai mare pe 3-D Secure, dup care vom face o scurt comparaie ntre protocoalele 3-D Secure

i SecureCode (SPA/UCAF).

2.4.1 Protocolul SET

Acest protocol folosete certificate de autenticitate i genereaz diverse chei pentru

deintorul de card, pentru comerciant i pentru poarta de acces (gateway) la sistemul de plti prin

carduri. Poarta de acces se afl la nivelul acceptatorului care are legtura cu sistemul de plti prin

carduri i reprezint punctul de acces din Internet n acceptator i mai departe n sistemul de carduri.

Certificatele de autenticitate sunt generate de Autoriti de Certificare diferite, aflate ntr-o

ierarhie, la vrful creia se afl o autoritate rdcin care aparine consoriului SET, numit SETCo.

Aceast rdcin va certifica Autoritile de Certificare ale sistemelor de carduri (Visa,

MasterCard) care, la rndul lor, vor certifica emitenii i acceptatorii.

Fiecare emitent va fi apoi Autoritatea de Certificare pentru deintorii lui de carduri, i cardurile

lor, iar fiecare acceptator va fi Autoritatea de Certificare pentru comerciani i porile lor de acces

(de la serverul de gzduire la acceptator).

n prima faz a tranzaciei prile se autentific ntre ele deintorul de card cu

comerciantul (opional), deintorul de card cu poarta de acces (opional), comerciantul cu

deintorul de card (obligatoriu), i comerciantul cu poarta de acces (obligatoriu).

n a doua i ultima faz are loc autorizarea tranzaciei n care, n maniera deja descris, datele

cardului ajung la acceptator care formuleaz o cerere de autorizare ctre emitent, al crui rspuns

l trimite apoi ctre calculatorul deintorului de card trecnd prin poarta de acces i serverul de

gzduire a site-ului comerciantului.

19


Fig.2.5 Protocolul SET

n figura 2.5 se prezint schema de principiu a protocolului SET. O variant simplificat a

acestui protocol, numit 3-D SET (server based), care nu mai pstreaz certificatul cumprtorului

n calculatorul lui personal (fcnd astfel posibil cumprarea i de la alte puncte de acces la

Internet), nu s-a bucurat nici ea de succes, rmnnd n continuare complicat i scump.

2.4.2 Protocolul 3-D Secure

Ca urmare a rspndirii reduse a protocolului SET, un protocol foarte sigur dar complex i

scump, Visa introduce n 2001 propriul protocol numit 3-D Secure, mai simplu i mai uor de

implementat, bazat pe un model de sistem de securitate care cuprinde trei domenii . Scopul celor

trei domenii este acela de a defini clar responsabilitile prilor implicate n tranzacie. Cele trei

domenii sunt Domeniul Emitentului, care cuprinde deintorii de card i emitenii cardurilor lor;

Domeniul Acceptatorului, care cuprinde comercianii i acceptatorii lor; i Domeniul de

Interoperabilitate, care asigur comunicarea ntre emiteni, acceptatori i sistemul Visa. Protocolul

asigur autentificarea numrului de card, a deintorului de card, i a comerciantului, la fiecare

tranzacie.

n modelul celor trei domenii, 3-D, la tranzacia de plat autentificat particip direct

emitentul cardului i comerciantul. n momentul n care cumprtorul iniiaz plata, comerciantul

(modulul de 3-D Secure din site-ul lui) va cere mai nti autentificarea numrului cardului iar apoi

va cere emitentului s-i autentifice deintorul de card. Dup ce va primi autentificarea semnat,

va urma autorizarea normal a plii (trimite la emitent, prin sistem, o cerere de autorizare, etc).

Comerciantul va ncepe deci ntotdeauna prin a cere emitentului s-i autentifice mai nti cardul i

deintorul de card.

Deintorul de card trebuie s se nregistreze (enrollment) n sistem la emitentul su i s-i

declare cel puin un nume i o parol prin care emitentul poate s-l autentifice n momentul

tranzaciei, trimind apoi aceasta autentificare comerciantului. Protocolul las libertatea

emitentului de a alege i alte metode de autentificare a deintorului de card care s arate, n

momentul efecturii tranzaciei, c este deintorul legitim al cardului cu care se face plata.

Emitentul poate astfel cere deintorului de card s dispun de un certificat propriu de

autenticitate, s foloseasc un card inteligent (printr-un cititor cuplat la calculatorul personal) ca

depozitar sigur al identitii, sau s foloseasc metodele de autentificare din serviciile bancare

electronice (eBanking) proprii. Uzual ns deintorul de card este autentificat de emitent doar prin

nume i parol.

Dup ce l autentific, emitentul va genera un rspuns semnat electronic (un certificat de 20


autentificare a deintorului de card) pe care l trimite comerciantului pentru a-i confirma

autenticitatea deintorului de card, iar comerciantul va putea trece la faza de autorizare normal a

tranzaciei.

Deintorul de card este liber s-i instaleze i un portofel electronic, ePortofel (eWallet),

care va conine informaiile de identitate (nume, adres, parol, etc) i cele de card (tip card, numr

card, dat de expirare) i care i poate servi la automatizarea procesului de completare a

formularului de plat (form filling) i la pstrarea chitanelor pentru tranzaciile efectuate.

Emitentul dispune de un serviciu de nregistrare n sistemul 3-D Secure a cardurilor i

deintorilor de card (nregistrarea se poate face i prin Internet) pstrnd ntr-un server de

nregistrare (Enrollment Server) numerele de card, numele i parola deintorilor participani.

Emitentul mai dispune i de un server de control al accesului (ACS, Access Control Server) care

are rolul de a primi cererile de autentificare a cumprtorului venite de la comerciani, de a face

autentificarea acestuia verificnd numrul de card, numele i parola (sau o alt metod), i de a

trimite rspunsul semnat napoi la comerciant.

n domeniul de interoperabilitate Visa (sau MasterCard, care a aderat la sistem) dispune de

un Director (Directory Service) care este un server central pe Internet (ce dispune de un certificat

de autenticitate) n care se pstreaz numerele de card ale tuturor cardurilor nregistrate n sistemul

3-D Secure (nscrise de emiteni) precum i adresele de Internet (URL) ale serverelor de control al

accesului (ACS) ale emitenilor cardurilor nregistrate. n acest Director se pstreaz i o arhiv a

tuturor autentificrilor date de emiteni, pentru a servi rezolvrii unor eventuale dispute.

n domeniul acceptatorului, acceptatorii trebuie s dispun de o poart de acces (payment

gateway) la sistemul de plat prin carduri Visa/MasterCard, iar comercianii lor trebuie s-i

instaleze, pe lng (sau n locul, dac i preia funciile) modulul client de eComer, i un modul de

3-D Secure care poart numele standard de MPI (Merchant Plug-In module), adic modul de

comerciant 3-D Secure instalat n site. Acest modul de comerciant 3-D Secure va genera cereri de

autentificare a cardului i a cumprtorului ctre emitent, prin intermediul Directorului, iar dup

primirea rspunsului va trimite cererea de autorizare a tranzaciei ctre poarta de acces a

acceptatorului (prin intermediul modulului client de eComer) care, la rndul lui, o va trimite mai

departe n sistemul de carduri prin acceptator. n cursul acestei operaii modulul MPI al

comerciantului se va autentifica fa de Director printr-un certificat de autenticitate sau, mai simplu,

printr-un password, iar Directorul va face acelai lucru fa de comerciant. n felul acesta are loc,

la fiecare tranzacie, i o autentificare a comerciantului. Dup primirea rspunsului de autorizare,

modulul comerciantului va trimite cumprtorului o pagin cu un raport asupra efecturii

tranzaciei.

n cazul n care tranzacia este iniiat de un card care nu este nregistrat n sistemul 3-D 21


Secure, comerciantul va putea sri peste etapa de autentificare a cumprtorului i va trece direct

la autorizare, sau va respinge tranzacia, dup cum a ales acceptatorul.

Fig.2.6 Schema de principiu a domeniilor protocolului 3-D Secure

Figura 2.6 prezint schema de principiu a domeniilor protocolului 3-D Secure. Mesajele

privind autentificarea circul ntre Domeniile emitentului i acceptatorului n cadrul Domeniului

de interoperabilitate, i au loc prin Internet. Mesajele prin care se face autentificarea deintorului

de card circul ntre acesta i emitentul su, n cadrul Domeniului emitentului. Mesajele prin care

se cere autorizarea tranzaciei i se face procesarea plii circul ntre comerciant i acceptatorul

su, n cadrul Domeniului acceptatorului, iar aceleai mesaje dar care se schimb ntre acceptator

i emitent n vederea realizrii autorizrii i procesrii plii, circul n cadrul Domeniului de

interoperabilitate prin sistemul de carduri (VisaNet, BankNet). Legturile prin Internet sunt legturi

sigure, efectuate prin protocolul SSL, n care fiecare entitate server dispune de un certificat de

autenticitate iar mesajele sunt criptate. Mai jos vom prezenta anatomia unei tranzacii de eComer

care folosete protocolul 3-D Secure. Comerciantul nu are acces la datele cardului de plat, care nu

sunt stocate pe situl su, i poate vedea numai verdictul final de autentificare dat de emitent

autentificat sau neautentificat.

Protocolul 3-D Secure verific esenialmente autenticitatea cardului i a deintorului de

card i d astfel comerciantului ncrederea c va fi pltit dup ce va livra produsele comandate.

Protocolul poate fi folosit n principiu i pe alte canale de plat telefoane mobile, asisteni digitali

personali (PDA) sau televiziunea digital prin cablu.

Visa estimeaz c introducerea protocolului va diminua cu pn la 80% numrul de

tranzacii disputate. Pentru a ncuraja rspndirea protocolului n rndurile membrilor si, Visa a

stabilit, pentru regiunea CEMEA n care se afl i Romnia, termenul de aprilie 2003 ca un moment 22


dincolo de care rspunderea (pn la acea dat mprit ntre emitent i acceptator, n funcie de

circumstane) n cazul unei pierderi datorate unei fraude n comerul electronic va reveni acelei

pri care nu a implementat protocolul (liability shift). n SUA pn n 2004 protocolul a fost deja

adoptat de 80% din bnci, iar n Europa de peste 100 de bnci i peste 10.000 de comerciani.

2.4.3 Protocolul SecureCode

Sub denumirea de SecureCode, MasterCard ofer membrilor si trei protocoale de

autentificare a deintorului de card protocolul SPA/UCAF, protocolul CAP care este o variant

a primului, i protocolul 3-D Secure n versiunea MasterCard.

Asemeni lui Visa i tot n 2001, MasterCard anun protocolul SPA (Secure Payment

Application) bazat pe utilizarea unui mecanism de transport de date prin reeaua sa (BankNet),

denumit UCAF (Universal Cardholder Authentification Field) care transport un aa numit semn

de autentificare (authentication token) utilizat pentru a indica autentificarea deintorului de card

care a fcut tranzacia, motiv pentru care este numit SPA/UCAF. Protocolul CAP (Chip Card

Authentication Program) este o variant a SPA pentru plata cu carduri inteligente i presupune de

regul cuplarea la calculator a unui cititor de astfel de carduri. MasterCard adopt apoi n 2002

protocolul 3-D Secure ntr-o variant proprie i l prezint tot sub denumirea generic de

SecureCode. Acceptatorii MasterCard au libertatea de a-i alege tipul dorit de protocol.

n cele ce urmeaz vom face o scurt prezentare a protocolului SPA/UCAF. Protocolul cere

participarea direct a emitentului care autentific cumprtorul i a comerciantului care dispune de

un modul client de eComer specific SPA, i impune ca fiecare cumprtor deintor de card s-i

instaleze n calculatorul su un portofel electronic care i va servi la autentificare i la efectuarea

plii. Acest program (numit i SPA applet) are att funcia de ePortofel care deine datele de

identificare i de card de plat, ct i aceea de a interaciona cu comerciantul i cu emitentul

cardului.

Emitentul dispune de un server de ePortofel (wallet server, sau SPA server) i distribuie

cumprtorilor care se nregistreaz cte un ePortofel pe care acetia i-l instaleaz apoi n

calculatorul lor personal. n momentul nregistrrii (enrollment) cumprtorul i va defini i o

parol, sau un PIN, dup care va fi autentificat ulterior. Cnd va ncepe tranzacia, ePortofelul se

va activa i va cere deintorului de card s se autentifice printr-un formular (se cere parola) dup

care se va conecta la emitent pentru a-i trimite aceste date i a-i cere o dovad a autentificrii.

Serverul emitentului va verifica datele introduse cu cele pstrate la momentul nregistrrii n sistem

i va genera un mesaj cu un semn de autentificare (authentication token) pe care l va ntoarce

ePortofelului. Acest semn de autentificare poart numele de AAV (Accountholder Authentication 23


Value), valoarea de autentificare a deintorului de cont de card, i arat, n esen, dac parola

introdus este corect, caz n care deintorul de card este declarat autentic.

Comercianii au un modul client de eComer, specific protocolului, care le este furnizat de

acceptatorul participant la sistem. Acest modul interacioneaz cu cumprtorii i cu ePortofelele

lor, precum i cu poarta de acces (unde este modulul server de eComer) al acceptatorului. Cnd

cumprtorul va declana achiziia, comerciantul va adaug la datele tranzaciei i semnul de

autentificare (ce se va pstra n cmpul UCAF din structura mesajelor care circul prin reeaua

BankNet a MasterCard), i va trimite totul ctre acceptator. Acesta va trimite mai departe cererea

de autorizare a tranzaciei i semnul de autentificare, prin reea la emitent. Emitentul va compara

semnul de autentificare primit cu cel pe care l-a generat anterior n momentul autentificrii

cumprtorului i dac acestea coincid, trece la procedura de autorizare, ca urmare a creia

napoiaz acceptatorului un rspuns la cererea de autorizare.

Fig.2.7 Schema de principiu a unei tranzacii MasterCard SecureCode, cu protocolul

SPA/UCAF

n figura 2.7 se prezint simplificat modul de desfurare a unei tranzacii de eComer

realizate prin tehnologia MasterCard SecureCode, cu protocolul SPA/UCAF. Tranzacia se

desfoar, n mare, n felul urmtor.

ePortofelul cumprtorului detecteaz automat (pas 1) un site de comerciant membru al

sistemului, citete datele (pas 2) referitoare la formularul de comand i identitatea comerciantului

de pe situl acestuia, i n momentul iniierii achiziiei, realizeaz o procedur de cerere de date de

autentificare (pas 3) de la cumprtor, dup care trimite (pas 4) datele asupra tranzaciei i cele de

autentificare furnizate de cumprtor, ctre serverul de ePortofele al emitentului. Emitentul

autentific cumprtorul i genereaz (pas 5) semnul de autentificare (valoarea AAV) pe care l

trimite (ca pe un certificat de autenticitate) ePortofelului. ePortofelul va transmite acest semn ctre

comerciant i va completa automat toate datele din formularul de comand al comerciantului (pas

24


6). Comerciantul va trimite (pas 7) o cerere de autorizare a tranzaciei, mpreun cu semnul de

autentificare (memorat n mesajele ce conin cmpul UCAF, ale sistemului), ctre acceptator, care

o va expedia (pas 8) mai departe prin reeaua BankNet a MasterCard ctre emitent, pe calea de

autorizare. Emitentul va compara semnul de autentificare primit acum cu cel generat n pasul 5 i

dac acestea coincid va executa procedura de autorizare i va expedia (pas 9) rspunsul de

autorizare ctre acceptator, de unde va ajunge (pas 10) la comerciant. Comerciantul va memora

rspunsul i tranzacia, i va afia (pas 11) prin navigatorul cumprtorului, un raport cu rezultatul

tranzaciei, care se va memora i n ePortofel.

2.4.4 O scurt comparaie a protocoalelor 3-D Secure i SPA/UCAF

Ambele protocoale sunt mai simple i mai ieftin de implementat dect protocolul SET, ns

acesta din urm asigur maxima securitate. Ambele protocoale fac autentificarea cumprtorului

deintor de card de regul prin parol (singurul secret ce dovedete autenticitatea), care e verificat

de emitentul cardului, dar emitenii sunt liberi s-i aleag i alte metode de autentificare ntruct

ei genereaz decizia final prin care cumprtorul este declarat autentic i legal deintor al

cardului. n ambele protocoale emitenii trebuie s dispun de programe specializate specifice

protocolului (server de acces i eventual, de nregistrare, la 3-D Secure, i server de ePortofele la

SPA/UCAF), iar comercianii trebuie s-i instaleze un modul client de asemeni specific

protocolului. Ambele protocoale asigur un eComer global, internaional, prin faptul c se bazeaz

pe sistemele de carduri Visa i MasterCard care realizeaz plti transfrontaliere.

Protocolul SPA/UCAF este mai simplu i mai rapid dect 3-D Secure, pentru c n acesta

din urm autentificarea se desfoar n mai multi pai i sunt schimbate mai multe mesaje, toate

prin Internet. De asemeni n 3-D Secure autentificarea se face la fiecare tranzacie, n vreme ce la

SPA/UCAF autentificarea se obine o singur dat ntr-o sesiune de cumprturi, la nceputul ei,

iar rezultatul este pstrat n ePortofel ceea ce permite efectuarea unei serii ntregi de cumprturi

la mai multe situri de comerciani, fr ca autentificarea s se mai fac pentru fiecare tranzacie.

n 3-D Secure comerciantul se autentific explicit fa de Directorul sistemului n vreme ce la

SPA/UCAF comerciantul se autentific implicit, doar prin faptul c are un modul client specific

care e recunoscut de ePortofel.

Sistemul 3-D Secure este un sistem centralizat, n care toate cererile de autentificare ale

tuturor comercianilor trec printr-un Director central, aflat n legtur cu toi emitenii i toi

acceptatorii participani la sistem, n vreme ce sistemul SPA/UCAF este descentralizat, iar o

autentificare implic numai comunicarea direct ntre cumprtor i emitentul su, neexistnd

conceptul de Director. 25


n sistemul SPA/UCAF verdictul de autenticitate, pstrat n semnul de autentificare

(authentication token), este ataat explicit fiecrei tranzacii, cltorete cu aceasta i este pstrat

mpreun cu ea, ceea ce reprezint un lucru util n rezolvarea eventualelor dispute, n vreme ce n

3-D Secure acest lucru nu se ntmpl.

Deosebirea esenial ntre cele dou protocoale const n faptul c, n cazul lui 3-D Secure,

cumprtorul nu trebuie s fac nici o modificare n calculatorul su personal, n vreme ce n cazul

lui SPA/UCAF acesta trebuie s cear de la emitentul lui un program (ePortofel sau SPA applet)

pe care trebuie s i-l instaleze singur.

Concluzia final pn n acest moment este aceea c avantajul oferit de 3-D Secure prin faptul

c deintorul de card nu trebuie s aduc nici o modificare n calculatorul su personal, depete

dezavantajele pe care le poate avea fa de SPA/UCAF, iar acest lucru l face s tind s devin un

standard de facto al autentificrii n eComerul prin Internet. Faptul c MasterCard a adoptat 3-D

Secure i-l prezint sub marca proprie este o dovad n acest sens.

26

Bercea Ionu Marian 3.Anatomia unei tranzacii de eComer care folosete protocolul 3-D Secure

3. Anatomia unei tranzacii de eComer care folosete protocolul 3-D Secure

Pe baza figurii 2.6 care descrie domeniile protocolului 3-D Secure, n figura 3.1 se prezint

anatomia unei tranzacii de eComer care folosete acest protocol. Schema din figura 3.1 este aceiai

i pentru Visa i pentru MasterCard, Directorul din sistem, i sistemul de carduri, putnd aparine

lui Visa sau lui MasterCard ( i altor sisteme ce ader la acest protocol, cum e cazul sistemului de

carduri JCB). n prezent exist n paralel un Director Visa i un Director MasterCard.

Fig.3.1- Anatomia unei tranzacii de eComert in cere se folosete protocolul 3-D Secure

Tranzacia din figura 3.1 este iniiat de un card prin intermediul unui calculator personal

cuplat la Internet care dispune de un navigator web. Legturile prin Internet folosesc protocoale

SSL sau TLS i sunt legturi sigure, adic confidenialitatea transmisiunii, integritatea mesajelor i

autentificarea serverului sunt toate asigurate. Comerciantul se poate autentifica fa de Director

printr-un certificat, sau printr-un identificator de comerciant (merchant ID) i o parol (password)

ce i-au fost alocate de acceptator, dup ce a fost verificat i acceptat de acesta prin contractul de

comerciant pe Internet, iar acceptatorul i-a instalat pe site un modul de comerciant 3-D Secure

(MPI), alturi de (sau integrat cu) modulul client de eComer.

Deintorul de card care dorete s fac tranzacii sigure de eComer folosind protocolul 3-

D Secure, se adreseaz n acest scop emitentului su. Emitentul, care alege metoda de autentificare

pe care o va aplica la momentul tranzaciei deintorului de card, stabilete mpreun cu acesta

datele de autentificare, de exemplu numele nscris pe card i o parol. Emitentul ar fi putut cere

deintorului de card s-i cumpere un certificat de autenticitate i s-l instaleze n calculator, sau

s foloseasc un card inteligent (de exemplu Visa VSDC) prin intermediul unui cititor de carduri

inteligente cuplat la calculatorul su personal. Apoi emitentul, dup verificarea datelor

27


deintorului, va nscrie numrul de card n Directorul sistemului 3-D Secure indicnd i identitatea

sa de emitent i adresa de Internet (URL) a serverului su de control de acces, ACS. Din acest

moment deintorul de card i cardul su sunt verificai i nregistrai (enrolled) n sistemul 3-D

Secure. n descrierea care urmeaz vom presupune c deintorul de card nregistrat se autentific

fa de emitent prin nume i parol.

Din clipa n care cumprtorul, dup ce a ajuns pe site-ul comerciantului, a ales produsele

i le-a pus n coul de cumprturi, apas pe butonul care declaneaz achiziia, mesajele circul

ntre prile implicate dup cum urmeaz:

- Pas 1. Datele privind tranzacia de plat (de identitate deintor, i de card, suma, etc) sunt

n posesia comerciantului, care le nregistreaz (dar nu le poate accesa).

- Pas 2. Modulul de comerciant 3-D Secure, MPI (Merchant Plug-In), din site-ul

comerciantului stabilete o legtur SSL/TLS cu Directorul sistemului i i trimite acestuia

numrul de card (PAN-ul - Primary account number) n vederea declanrii autentificrii

cardului i a deintorului de card. Modulul MPI se va autentifica fa de Director.

- Pas 3. Directorul va cerceta n evidena proprie dac numrul de card implicat n plat este

nregistrat, i dac este, determin emitentul i adresa de Internet (URL) a serverului de

control de acces (ACS) al emitentului. Dac cardul deintorului nu este nregistrat n

sistemul 3-D Secure, Directorul va trimite un mesaj corespunztor ctre modulul MPI al

comerciantului, iar acesta va sri peste autentificare i va trece la autorizarea tranzaciei

(pasul 5), realiznd o tranzacie de eComer fr autentificarea deintorului de card. Dac

cardul este nregistrat, Directorul va verifica cu serverul de control acces al emitentului dac

exist o metod de autentificare pentru card.

- Pas 4. Serverul de control acces al emitentului verific dac numrul de card este ntr-

adevr cel generat de emitent i dac exist metod de autentificare pentru acel numr de

card, dup care trimite rspunsul napoi la Director.

- Pas 5. Directorul trimite mai departe rspunsul primit ctre modulul de comerciant, MPI.

Dac modulul constat din rspuns c metoda de autentificare nu este disponibil pentru

acel numr de card (din variate motive), va trece imediat la autorizarea tranzaciei, srind

din nou peste autentificare.

- Pas 6. Dac autentificarea se face, modulul MPI va expedia acum o cerere de autentificare

a deintorului de card ctre serverul de control acces ACS al emitentului cardului. Aceasta

se face pasnd adresa de Internet a serverului ACS ctre navigatorul din calculatorul

deintorului de card i redirecionndu-l (legtur SSL/TLS) ctre serverul ACS al

emitentului.

- Pas 7. Serverul ACS recepioneaz cererea de autentificare i ncepe procedura de 28


autentificare.

- Pas 8. Serverul ACS ncepe un dialog cu deintorul de card (prin afiarea unui formular

marcat ca aparinnd emitentului) prin care i cere acestuia numele i parola. Dup

autentificare serverul ACS va forma un mesaj de rspuns de autentificare, pe care l

semneaz cu semntura sa electronic pentru a garanta integritatea i autenticitatea

mesajului.

- Pas 9. Serverul ACS va trimite acest mesaj ctre navigatorul calculatorului deintorului de

card pe care l va direciona napoi ctre modulul MPI al comerciantului. n acelai timp va

trimite datele de autentificare i ctre Directorul sistemului pentru a fi pstrate n arhiva de

autentificri a acestuia. Aceast arhiv a Directorului este disponibil (accesul se face dup

o autentificare) emitenilor i acceptatorilor n cazul n care ntre acetia se declaneaz o

disput privind vreo iregularitate n desfurarea tranzaciei.

- Pas 10. Modulul MPI din site-ul comerciantului recepioneaz mesajul de rspuns la

cererea de autentificare.

- Pas 11. Modulul MPI valideaz semntura electronic a serverului ACS al emitentului i

verific integritatea mesajului.

- Pas 12. Dac autentificarea deintorului de card a fost pozitiv, modulul MPI va trece

controlul ctre etapa de autorizare a tranzaciei, n care se genereaz o cerere obinuit de

autorizare care se trimite (legtura SSL/TLS) porii de acces a acceptatorului. Acceptatorul

va obine prin sistemul de carduri un rspuns de autorizare de la emitentul cardului, pe care

l va trimite apoi modulului client de eComer din site-ul comerciantului, iar acesta la rndul

su va afia, prin navigatorul calculatorului cumprtorului, o pagin cu raportul privind

desfurarea tranzaciei, acest raport fiind echivalent unei chitane.

29

Bercea Ionu Marian Concluzii

Concluzii

Comerul electronic, ca tip de comer nou, a stimulat direct cererea pentru noi sisteme i modaliti

adecvate de plat. n acest context, dezvoltarea unor activiti comerciale ntre participani situai

la mari distane geografice unii de alii nu poate fi conceput fr folosirea unor sisteme electronice

de plti. Aceste noi mijloace de plat permit transferarea comod, sigur i foarte rapid a banilor

ntre partenerii de afaceri. De asemenea, nlocuirea monedelor i bancnotelor (actualele forme

tradiionale de numerar) prin ceea ce denumim bani electronici conduce, pe lng reducerea

costurilor de emitere i meninere n circulaie a numerarului, i la o sporire a flexibilitii i

securitii sistemelor de plti.

n domeniul sistemelor i modalitilor electronice de plat, cercetrile sunt n plin proces

de desfurare . Exist numeroase sisteme n curs de experimentare, altele abia au fost cercetate i

supuse analizei. Este normal ca prudena i securitatea s fie cuvintele cheie ale acestor demersuri

spre dezvoltarea unor sisteme electronice de plai total integrate i sigure.

30

Bibliografie

1. Electronic Commerce and Development Report 2001, UNCTAD, United Nations,

UNCTAD/SDTE/ECB/1, www.unctad.org/ecommerce.

2. Ministerul Comunicaiilor i Tehnologiei Informaiilor, Statistici, www.mcti.ro.

3. MasterCard e-B2B Solutions, The Choice Strategy for Seizing a $30 Trillion Opportunity,

www.mastercardbusiness.com.

4. VeriSign Inc., www.verisign.com/products/

5. Electronification of Payments in Europe, European Central Bank (ECB)

6. The SSL 3.0 Protocol, Freier A. Karlton P., Kocher P., Internet-Draft, Nov. 1996.

7. The TLS Protocol - Version 1.0, Dierks T., Allen C., Internet-Draft, Nov. 1997

8. Set Secure Electronic Tranzactions, LLC, www.setco.org

9. Visa 3-D Secure System Overview,

http://international.visa.com/fb/paytech/secure/pdfs/3DS_70015_01_System_

Overview_external_v1.0.2_May_2003.pdf.

10. www.mastercardmerchant.com/securecode/getstarted.html;

11. www.mastercardintl.com/docs/ecaf_sell_sheet_final.pdf;

12. www.mastercardintl.com/docs/secure_code_user_brochure.pdf;

13. www.mastercardintl.com/docs/secure_merchant_brochure.pdf;

14. www.mastercardintl.com/docs/final_ucaf_smart_card_trifold.pdf.

15. www.paypal.com

16. www.paydirect.com

17. www.verisign.com

18. www.bibit.com

31

Introducere1. Modul de desfurare al comerului electronic2. Securitatea comerului electronic2.1 Mediul de securitate al sistemelor electronice de pli2.2 Infrastructuri de chei publice (PKI ) cheia pentru un comer electronic securizat2.2.1 Certificate digitale

2.3 Securitatea telecomunicaiilor protocoalele SSL i TLS2.4 Securitatea tranzaciilor de plat protocoalele 3-D Secure, SecureCode i SET2.4.1 Protocolul SET2.4.2 Protocolul 3-D Secure2.4.3 Protocolul SecureCode2.4.4 O scurt comparaie a protocoalelor 3-D Secure i SPA/UCAF

3. Anatomia unei tranzacii de eComer care folosete protocolul 3-D SecureConcluziiBibliografie

Criptografia În Sistemele Electronice de Plăți

Documents

Transcript of Criptografia În Sistemele Electronice de Plăți