Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

02.06.2004 SET - Secure Electronic Transaction1 SET – Secure Electronic Transaction Einführung zum Protokoll und dessen Verifikation Christian Mauro.

Ähnliche Präsentationen


Präsentation zum Thema: "02.06.2004 SET - Secure Electronic Transaction1 SET – Secure Electronic Transaction Einführung zum Protokoll und dessen Verifikation Christian Mauro."—  Präsentation transkript:

1 SET - Secure Electronic Transaction1 SET – Secure Electronic Transaction Einführung zum Protokoll und dessen Verifikation Christian Mauro

2 SET - Secure Electronic Transaction2 Kreditkartenzahlung - Altes Modell Karteninhaber Händler-Server Hausbank KIHausbank H mit Glück SSL Kreditkarteninfos Bestellinfos Gateway

3 SET - Secure Electronic Transaction3 Verwendete Verschlüsselungstechniken Symmetrische Verschlüsselung in Form von DES (56 Bit) Asymmetrische Verschlüsselung in Form von RSA (1024 Bit bzw Bit für Root CA) SHA-1 zur Prüfsummenbildung (160 Bit) Digitale Signatur Duale Signatur Zertifikate

4 SET - Secure Electronic Transaction4 Digitale Signatur SHA-1Privater Signaturschlüssel 1 : Sicherheit der Signatur

5 SET - Secure Electronic Transaction5 Zusammenspiel von Signatur, DES und RSA SHA-1Privater Signaturschlüssel } symmetrisch verschlüsselt RSA verschlüsselt mit dem Public Key des Empfängers Nachricht (Digital Envelope)

6 SET - Secure Electronic Transaction6 Duale Signatur SHA-1 #1 #2 SHA-1 Privater Signaturschlüssel Empfänger 1: Nachricht 1 + Checksumme 2 + Duale Signatur Empfänger 2: Nachricht 2 + Checksumme 1 + Duale Signatur Alternativ: Weiterleitung über Empfänger 1

7 SET - Secure Electronic Transaction7 Zertifikat - Hierarchie

8 SET - Secure Electronic Transaction8 Typischer SET Ablauf 1. Cardholder Registration 2. Merchant Registration 3. Purchase Request 4. Payment Authorization 5. Payment Capture

9 SET - Secure Electronic Transaction9 Cardholder Registration

10 SET - Secure Electronic Transaction10 Merchant Registration

11 SET - Secure Electronic Transaction11 Purchase Request

12 SET - Secure Electronic Transaction12 Payment Authorization

13 SET - Secure Electronic Transaction13 Payment Capture

14 SET - Secure Electronic Transaction14 Verifikation der Purchase Request Phase Mehrfach verschachtelte Verschlüsselungen und duplizierte Felder ergeben riesige Ausdrücke Ständiges Generieren von zufälligen Nummern und Schlüsseln Viele alternative Protokollpfade Verifikation schwierig:

15 SET - Secure Electronic Transaction15 Verifikation der Purchase Request Phase

16 SET - Secure Electronic Transaction16 Verifikation der Purchase Request Phase

17 SET - Secure Electronic Transaction17 Verifikation – Theorem 1

18 SET - Secure Electronic Transaction18 Verifikation - Ergebnisse Theorem 1: Ein Angreifer kann die PAN nur dann erhalten, wenn ein unseriöses Gateway involviert war. Theorem 2: Wenn der Händler eine Authorization Response von einem seriösen Payment Gateway erhält, weiß er, dass diese vom Gateway signiert wurde; inklusive der Transaktionsnummer und des Kaufbetrags, was der Händler separat bestätigen kann. Theorem 3: Wenn der Händler die duale Signatur von einem unmanipulierten Karteninhaber einsieht, kann er anhand der XID prüfen, dass diese für ihn bestimmt war und dass sie vom Karteninhaber erstellt wurde.

19 SET - Secure Electronic Transaction19 Verifikation - Ergebnisse Theorem 4: Wenn das Payment Gateway die duale Signatur von einem unmanipulierten Karteninhaber und einem unmanipuliertem Händler einsieht, kann er prüfen, dass diese aus einer Transaktion vom gegebenen Karteninhaber und dem gegebenen Händler entstammt. Er kann zudem prüfen, dass der Händler ihn ausgewählt hat, die Transaktion zu bearbeiten. Theorem 5: Wenn der Karteninhaber eine Purchase Response von einem unmanipulierten Händler empfängt, weiß er, dass auch wirklich der Händler diese geschickt hat. Zudem weiß er, dass der Händler eine signierte Nachricht von dem Payment Gateway erhalten hat, das der Händler zur Bearbeitung beauftragt hat.

20 SET - Secure Electronic Transaction20 Verifikation - Ergebnisse Schwächen am Protokoll: a)Kein Feld, das auf Seite des Karteninhabers das Payment Gateway spezifiziert b)Symmetrischer Schlüssel nicht Teil der Prüfsumme Dies führt zu Theorem 6: Wenn das Gateway eine dual signierte Authorisierungsanfrage erhält, weiß es, dass Karteninhaber und Händler eine Zahlungsanweisung (nicht unbedingt die, die gerade vorliegt) für ein Gateway (nicht notwendigerweise es selbst) mit einem digitalen Briefumschlag (nicht zwingend der gerade geöffnete) zusammengestellt haben, in der sie in diversen Details übereingekommen sind. Der Überweisungsbetrag kann nur vom Karteninhaber, nicht aber vom Händler eingesehen werden.Trotzdem bilden beide Parteien eine Prüfsumme von Bestellinfos und Gesamtbetrag, die das Gateway vergleichen kann.

21 SET - Secure Electronic Transaction21 Verifikation - Ergebnisse SET praktisch sicher kleinere Schwächen, die nicht wirklich relevant sein sollten und sich zudem leicht beheben lassen Größtes Problem: Umständliche Bedienung


Herunterladen ppt "02.06.2004 SET - Secure Electronic Transaction1 SET – Secure Electronic Transaction Einführung zum Protokoll und dessen Verifikation Christian Mauro."

Ähnliche Präsentationen


Google-Anzeigen