5. Методы защиты информации в электронных платёжных системах
Самый старый и проверенный способ ведения электронной коммерции, берущий свое начало от обычной торговли
по каталогам, - оплата товаров и услуг по телефону посредством кредитной карты. В этом случае покупатель
заказывает на Web-сервере список товаров, которые он хотел бы купить, а потом по телефону сообщает
компании-продавцу номер своей кредитной карты. Затем происходят обычная авторизация карты и списание
денег со счета покупателя, но только в момент отправки товара по почте или с курьером.
Принципиально новый подход к осуществлению электронных платежей заключается в немедленной авторизации
и шифровании финансовой информации в сети Интернет с использованием протоколов SSL (Seсure Sockets Layer) и
SET (Secure Electronic Transaction). Протокол SSL предполагает шифрование информации на канальном уровне, а
протокол SET, разработанный компаниями VISA, MasterCard и др., - шифрование исключительно финансовой информации.
Поскольку сеть Интернет рассчитана на одновременную работу миллионов пользователей, то в коммерческих приложениях
"в чистом виде" невозможно использовать ни традиционные системы, основанные исключительно на "закрытых ключах"
(DES, ГОСТ 28147-89 и др.), ни методы шифрования только на "открытых ключах", в том числе и российский стандарт
электронной подписи.
Применение одних закрытых ключей невозможно в связи с тем, что раскрытие (перехват)
даже одного ключа сразу же приведет к "взлому" всей системы защиты. Поэтому при реализации
электронной коммерции в Интернет вместе с системами шифрования с помощью закрытых ключей используются
системы шифрования с помощью открытых ключей. Это связано с тем, что шифрование только открытыми ключами
требует больших затрат вычислительных ресурсов. Поэтому лучше всего шифровать информацию, передаваемую по
сетям, с помощью закрытого ключа, который генерируется динамически и передается другому пользователю зашифрованным
с помощью открытого ключа. Такая система шифрования будет работать и быстрее, и надежнее.
В приложениях, основанных на использовании алгоритма SET, покупатель, не расшифровывая платежных
реквизитов продавца, расшифровывает все данные заказа, а банк, не имея данных о структуре заказа,
имеет доступ к платежным реквизитам и продавца и покупателя. Это достигается благодаря использованию
двойной (слепой) электронной подписи, и в данной ситуации банку посылается одна часть сообщения,
а покупателю - другая. Кроме того, протокол SET описывает стандартные виды финансовых транзакций между
банками, центрами авторизации и торговыми точками.
При шифровании с использованием закрытых ключей предполагается, что и продавец и покупатель
обладают общим ключом, который они используют для шифрования/дешифрования информации.
В шифровании же с использованием открытых ключей предусмотрено, что и продавец и покупатель
имеют по два ключа: один - "открытый", который может быть известен любой третьей стороне, а
другой - "частный", всегда известный только одной стороне - его владельцу. При этом по одному
ключу невозможно восстановить другой.
Для защиты сделок в Интернет организованы специальные центры сертификации, следящие за тем,
чтобы каждый участник электронной коммерции получал уникальный электронный "сертификат", в котором
с помощью ключа центра сертификации подписан открытый ключ данного участника коммерческих сделок.
Сертификат генерируется на определенное время. Чтобы его получить, в центр сертификации необходимо
предоставить документ, удостоверяющий личность участников сделки (для юридических лиц таким документом
является свидетельство о регистрации). Каждый участник, имея "на руках" открытый ключ центра сертификации,
может с помощью сертификатов проверить подлинность открытых ключей других участников и совершать сделки
