Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Hans-Jürgen SteffensJuni 2002 E-Commerce Prof. Dr. Hans-Jürgen Steffens Fachhochschule Kaiserslautern Standort Zweibrücken Fachbereich Informatik und Microsystemtechnik.

Ähnliche Präsentationen


Präsentation zum Thema: "Hans-Jürgen SteffensJuni 2002 E-Commerce Prof. Dr. Hans-Jürgen Steffens Fachhochschule Kaiserslautern Standort Zweibrücken Fachbereich Informatik und Microsystemtechnik."—  Präsentation transkript:

1 Hans-Jürgen SteffensJuni 2002 E-Commerce Prof. Dr. Hans-Jürgen Steffens Fachhochschule Kaiserslautern Standort Zweibrücken Fachbereich Informatik und Microsystemtechnik Fon: Fax:

2 Hans-Jürgen SteffensJuni 2002 Elektronische Bezahlverfahren im E-Commerce Wandlung des Internet von Informations- zu Transaktionsplattform Vielfältige Dienste im Internet Fragen der Sicherheit Fragen der Akzeptanz: Ergonomie, Gewöhnung, Komplexität

3 Hans-Jürgen SteffensJuni 2002 Fragen der Sicherheit Anfälligkeit des Internet keine zentrale Instanz vielfältige Anschlussmöglichkeiten unverschlüsselte Übertragung... Typische Sicherheitslücken Fälschung des Absenders Import von Viren via und Web-Seiten Lesbarkeit von Passwörten bei Remote-Zugriff Lesbarkeit von Web-Dokumenten und Verfälschungen des Inhalts Besondere Relevanz im E-Commerce bei Zahlungsvorgängen Im Folgenden: Beschränkung auf Methoden der Verschlüsselung bei Transaktionen im E-Commerce

4 Hans-Jürgen SteffensJuni 2002 Methoden der Verschlüsselung Kryptologie setzt sich zusammen aus Kryptographie: Methoden zur Entwicklung von Verschlüsselungsverfahren Kryptoanalyse: Methoden der Entschlüsselung Bei der Kryptographie generell zwei Verfahren: symmetrische Verschlüsselung (Secret-Key-Verfahren) asymmetrische Verschlüsselung (Public-Key-Verfahren) Secret-Key-Verfahren: klassisches Verfahren (jahrtausendealte Tradition) Public-Key-Verfahren: erstmalig vor 25 Jahren konzipiert worden Idee der Public-Key-Verfahren zum Verschlüsseln wird ein anderer Schlüssel benutzt als zum Entschlüsseln bekanntestes Verfahren: RSA Algorithmus

5 Hans-Jürgen SteffensJuni 2002 RSA Algorithmus - Prinzip 1. Wähle zwei große Primzahlen, die wir mit p und q bezeichnen wollen. (Diese beiden Primzahlen dürfen nicht bekannt gemacht werden. Hingegen kann das Produkt dieser beiden Zahlen bekannt gemacht werden.) 2. Bestimme zwei Zahlen öff und priv mit der Eigenschaft, dass das Produkt dieser beiden Zahlen (nämlich öff x priv) dividiert durch (p-1)(q-1) den Rest 1 ergibt. 3. Wähle das Zahlenpaar (priv, pq) als privaten Schlüssel und das Zahlenpaar (öff, pq) als öffentlichen Schlüssel. Mit anderen Worten das Zahlenpaar (priv, pq) wird geheimgehalten und das Zahlenpaar (öff, pq) wird öffentlich bekannt gemacht. Die Verschlüsselung eines Textes (etwa als ASCII-Text, der damit als Folge von Zahlenblöcken angesehen werden kann) geschieht nun einfach dadurch, dass man (im Prinzip) jeden einzelnen Zahlenblock des Textes öff mal mit sich selbst multipliziert und das Ergebnis durch pq teilt. Der bei dieser Division auftretende Rest stellt dann die verschlüsselte Nachricht dar. Die Entschlüsselung geschieht nach demselben Verfahren jetzt jedoch mittels der Zahl priv: Jeder Zahlenblock der verschlüsselten Nachricht wird (im Prinzip) priv mal mit sich selbst multipliziert und das Ergebnis wiederum durch pq geteilt. Der dabei entstehende Rest ist dann automatisch wieder der ursprüngliche Zahlenblock (etwa in Form von ASCII- Bitfolgen) der unverschlüsselten Nachricht.

6 Hans-Jürgen SteffensJuni 2002 RSA Algorithmus - Beispiel 1) Wähle p = 47 und p = 59. Damit ist pq = ) Bestimme öff = 17 und priv = 157. Damit hat 17 x 157 dividiert durch (47-1)(59-1) den Rest 1. 3) Damit ist der öffentliche Schlüssel gleich (17, 2773) und der private Schlüssel ist gleich (157, 2773). Wollte man hiermit einen Klartext verschlüsseln, etwa das Wort STALL, wobei wir die einfache Zahldarstellung Leerzeichen = 00, A = 01, B = 02, C = 03 etc. für die einzelnen Buchstaben wählen, so erhielte man zunächst den Klartext Zerlegt in die Vierer-Zahlenblöcke ergibt die Verschlüsselung nun die Zahlengruppe , denn 2109 ist Rest wenn man mal mit sich selbst multipliziert und das Ergebnis durch 2773 dividiert etc. Bei der Entschlüsselung mit Hilfe des privaten Schlüssels (157, 2773) erhält man nun aus der Zahlengruppe wieder die ursprüngliche Zahlengruppe Denn wir erhalten, wenn man mal mit sich selbst multipliziert und das Ergebnis durch 2773 dividiert, als Rest der Division den Wert 1920 etc.

7 Hans-Jürgen SteffensJuni 2002 Einsatz des RSA-Verfahrens im E-Commerce 1) Der Empfänger kann die Identität des Senders verifizieren (elektronische Unterschrift zur Authentisierung). 2) Der Sender kann die Sendung nicht abstreiten. 3) Der Empfänger kann den Inhalt nicht nachträglich manipulieren. Typisches Szenario Sowohl Empfänger als auch Sender mögen (über ein Trust-Center) einen Schlüssel erhalten haben, so dass es für den Sender den öffentlichen Schlüssel öff-Send und den privaten Schlüssel priv-Send gibt und für den Empfänger den öffentlichen Schlüssel öff-Empf und den privaten Schlüssel priv-Empf. 1)Der Sender verschlüsselt zunächst die Nachricht mit seinem privaten Schlüssel: priv-Send(NACHR). 2)Der Sender verschlüsselt die schon (mit seinem privaten Schlüssel) verschlüsselte Nachricht nochmals mit dem öffentlichen Schlüssel des Empfängers: öff-Empf(priv-Send(NACHR)). 3)Der Empfänger entschlüsselt die doppelt verschlüsselte Nachricht zunächst mit seinem privaten Schlüssel. Er erhält damit die einfach verschlüsselte Nachricht priv-Send(NACHR). 4)Der Empfänger entschlüsselt schließlich mit dem öffentlichen Schlüssel des Senders die jetzt nur noch einfach verschlüsselte Nachricht und erhält die Ausgangsnachricht NACHR.

8 Hans-Jürgen SteffensJuni 2002 Erreichung der Ziele An Hand von priv-Send(NACHR) kann der Empfänger sehen, dass die Nachricht nur von dem Sender stammen kann. Denn nur der Sender ist in der Lage mit seinem privaten Schlüssel eine sinnvolle Nachricht NACHR so zu verschlüsseln, dass sie nach dem Entschlüsseln mit dem öffentlichen Schlüssel einen Sinn ergibt. Für den Empfänger ist damit der Sender authentifiziert. Gleichzeitig ist es durch die Vorlage von priv-Send(NACHR) damit auch für den Sender nicht möglich abzustreiten, dass er der Urheber der Nachricht gewesen ist. Der Empfänger kann die Nachricht auch nicht manipulieren zu einer Nachricht NACHR-manipuliert, denn dazu müsste der Empfänger die manipulierte Nachricht in der Form priv-Send(NACHR-manipuliert) vorweisen, und dies kann er nicht, da er nicht im Besitz des privaten Schlüssels priv-Send des Senders ist.

9 Hans-Jürgen SteffensJuni 2002 Symmetrische Verschlüsselung im Internet: SSL 1) Wähle zwei große Primzahlen (mit speziellen Eigenschaften) n und g, die nicht geheim sein müssen. 2) Jeder der Transaktionspartner wählt jeweils (unabhängig voneinander) eine geheim zu haltende Zahl x bzw. y. 3) Der erste Partner sendet den Rest, den er erhält, wenn er g hoch x durch n teilt. 4) Der zweite Partner sendet den Rest, den er erhält, wenn er g hoch y durch n teilt. 5) Beide Partner (aber auch nur (!) sie) können nun g hoch (xy) als gemeinsamen geheimen Schlüssel berechnen und benutzen. Innovatives Verfahren zum synchronen Erzeugen eines gemeinsamen Secret-Keys (ohne Notwendigkeit einer expliziten Schlüsselübergabe) Diffie-Hellmann Schlüssel-Austausch-Algorithmus:

10 Hans-Jürgen SteffensJuni 2002 Bezahlverfahren im Internet: Überblick Einsatz von Kreditkarten SET Firstgate Virtuelles Geld eCash Geldkarte Prepaid-Karte Bezahlverfahren via Telefon Net900 Paybox

11 Hans-Jürgen SteffensJuni 2002 Einsatz von Kreditkarten (1/2) SET (Secure Electronic Transaction) Prinzip Sichere Kreditkartenzahlung durch Zertifizierung und Verschlüsselung (RSA) Einsatz von Trust-Centern (Certificate Authorities) Zertifizierung von Kunde, Händler, Akzeptanzstelle (Händlerbank) Spezielle Aspekte Händler sieht keine Kreditkartennummer im Klartext Bank erhält keine Einsicht in Inhalt der Bestellung Initialaufwand notwendig für Anmeldung, Zertifizierung und Einsatz spezieller Software Bemerkung nicht geeignet für Kleinbeträge

12 Hans-Jürgen SteffensJuni 2002 Einsatz von Kreditkarten (2/2) Firstgate Prinzip Kreditkartenzahlung durch Verschlüsselung und Sammelinkasso Bemerkung auch geeignet für Kleinbeträge

13 Hans-Jürgen SteffensJuni 2002 Virtuelles Geld (1/2) eCash Prinzip Zertifizierung (anonymer) elektronischer Münzen (RSA) Bemerkung sehr innovatives Verfahren, hat sich am Markt aber nicht durchgesetzt. Geldkarte Prinzip aufladbare Prepaid-Karte Merkmale Authentisierung durch Chip auf der Karte Verschlüsselung der Transaktion durch SSL Für Bezahlung im Internet Klasse3-Kartenleser erforderlich Bemerkung geeignet für Kleinbeträge

14 Hans-Jürgen SteffensJuni 2002 Virtuelles Geld (2/2) Paysafecard (Prepaid-Karte) Prinzip Benutzung eines schon beim mobilen Telefonieren erprobten Systems Merkmale Der Käufer rubbelt hier eine 16-stellige PIN frei und kombiniert diese beim Einkauf mit einem Passwort. Bemerkung Die Karte ermöglicht anonymes Einkaufen.

15 Hans-Jürgen SteffensJuni 2002 Bezahlverfahren via Telefon (1/2) Net900 Prinzip Einsatz von Mehrwertnummern (0190er Nummern) Merkmale Bei Bedarf Trennung der Telefonverbindung zum eigenen Provider und Herstellung einer Point-to-Poiunt-Verbindung über eine Mehrwertnummer. geeignet insbesondere für elektronische Güter: Nutzung Webgestützter Datenbanken Archivauskünfte Testberichte MP3-Files Erotikangebote etc. Bemerkung nicht einsetzbar bei ADSL.-Verbindung oder Standleitungen

16 Hans-Jürgen SteffensJuni 2002 Bezahlverfahren via Telefon (2/2) Paybox Prinzip Einbeziehung der Mobiltelephonie Merkmale Ausgabe einer Paybox-PIN. Online Shop erhält eigene Mobilnummer (oder Alias) und schickt diese sowie Bestelldaten des Kunden verschlüsselt an Paybox. Kunde wird von Paybox angerufen und bestätigt mit Hilfe der PIN. Zahlungsabwicklung mittels Einzugsermächtigung. Bemerkung es fallen für den Kunden laufende Gebühren an (5 pro Jahr)


Herunterladen ppt "Hans-Jürgen SteffensJuni 2002 E-Commerce Prof. Dr. Hans-Jürgen Steffens Fachhochschule Kaiserslautern Standort Zweibrücken Fachbereich Informatik und Microsystemtechnik."

Ähnliche Präsentationen


Google-Anzeigen