SET – Secure Electronic Transaction

Slides:



Advertisements
Ähnliche Präsentationen
Inxmail GmbH Vertrieb und Pflege des Marketing Tools.
Advertisements

Mündliche Fachprüfung
Fachhochschule Südwestfalen
Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.
Hauptseminar Asymmetrische Verschlüsselung & Zertifikate
Internet-Sicherheit (2)
Asymmetrische Kryptographie
SS 2007 FG Datenbanken – Interaktive Systeme, Fachbereich 17 Praktische Informatik Prof. Dr. Lutz Wegner Elektronische Signatur Waldemar Wiegel Sommer.
Internet, Intranet und e-Commerce
WTLS Wireless Transport Layer Security
Das Bremer Electronic Government Projekt Bremen Online Services
Secure Socket Layer SSL For a secure E-Business Thomas Muskalla
Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon
E-Payment System E-Payment System Eigenschaften eines e-payment
Grundlagen der Kryptologie
Kryptographische Hash-Funktionen
Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.
Security Manager Protocol. Physical Layer Link Layer Host Controller Interface L2CAP Attribute Protocol Attribute Profile PUIDRemote ControlProximityBatteryThermostatHeart.
Hashverfahren und digitale Signaturen
© by S.Strudthoff 2005 SET Sichere Kreditkartenzahlung im Internet.
Kryptologie Entwicklung und Bewertung von Verschlüsselungsverfahren
Public-Key-Infrastruktur
Elektronische Signatur
SSL - Verfahren Secure Socket Layer.
E-Commerce Prof. Dr. Hans-Jürgen Steffens
Überblick über die Kryptographie
Einwegfunktionen mit und ohne „Falltür“
KRYPTOGRAFIE.
Asymmetrische Verfahren
Kryptographie Wie funktioniert Electronic Banking?
Wie werde ich mein Geld los?
1 Übersicht Absicherung Internet Layer Absicherung Transport Layer Absicherung Application Layer.
Sicherheit beim Internet-Banking
SecureSocketLayer „Sicherheit in Datennetzen“
E-cash:Zahlung und Sicherheit
präsentiert von Ulli, Nina& Kerstin
HBCI Homebanking Computer Interface
Kryptosysteme, Digitale Signaturen, Keymanagement
Kryptograhie Wie funktioniert Electronic Banking?
Was ist Kryptographie? Alice Bob Maloy (Spion)
Sicheres Bezahlen am POS und im Web
Symmetrische Kryptografie
Verschlüsselungsverfahren
Digitale Signatur in s Antrag, Einrichtung und Verwendung in Windows Mail (Vista, SP 1)
Public Key Infrastructure PKI Fachhochschule Trier
Verschlüsselung Von Daniel Dohr.
1 Albert-Ludwigs-Universität Freiburg Rechnernetze und Telematik Prof. Dr. Christian Schindelhauer Systeme II Christian Schindelhauer Sommersemester 2006.
Jakob Günner, Tobias Knorr
Registrar-Seminar Registrarprotokoll PGP – digitale Signaturen Nameserver EPP Mark Hofstetter Januar 2007.
GZ der Informatik / Sicherheit 1 GZ der Informatik VIII Kryptografie, Digitale Signaturen, SET Univ.-Ass. DI. Markus Seidl University of Vienna
Betreuer: Prof. Dr. P.Kneisel
VPN – Virtual Private Network
Christoph BröxkesWG Kommunikation über das Internet Verschlüsselt Kommunizieren.
Agentenbasierte Sicherung elektronischer Transaktionen
Präsentiert von Riccardo Fuda.  Klassische (symmetrische) Kryptographie  Der weg zur modernen Kryptographie  Message Authentification Codes  Asymmetrische.
06 sicherheit recht nn Professor Dr. Dieter Steinmann Fachhochschule Trier 1 Public Key Infrastructure PKI Fachhochschule Trier Vortragsreihe:
Pretty Good Privacy Public Encryption for the Masses
Elektronische Signaturen
Signed Messages - Protokoll Fehlerfreier Fall Fehlerhafte Fälle –EinzelfehlerEinzelfehler –DoppelfehlerDoppelfehler.
Asymmetrische Kryptographie
RSA ist nach seinen Erfindern Rivest, Shamir und Adleman benannt.
Folie Nr. Stand Jänner 2008 RSA ist nach seinen Erfindern Rivest, Shamir und Adleman benannt RSA ist ein asymmetrisches Kryptosystem 
E-Government technische Länder-Arbeitsgruppe 1. Treffen am
Realisierung verteilter Anwendungen: Teil 10
Vortrag auf der Uni Innsbruck 8. April 2003, © A. Majarek elektronische Signaturen und der Status Quo in Österreich.
verschlüsselung Praxisanleitung verschlüsselung mit GnuPG, Mozilla Thunderbird & Enigmail.
LugBE Linux User Group Bern PKI – Was soll das? Einleitung Symmetrisch vs. asymmetrisch Trusted Third Party Hierarchisches Modell Web of Trust Links LugBE.
Secure Hash Algorithm Cetin Cigdem,
 Präsentation transkript:

SET – Secure Electronic Transaction Einführung zum Protokoll und dessen Verifikation Christian Mauro 02.06.2004 SET - Secure Electronic Transaction

Kreditkartenzahlung - Altes Modell Kreditkarteninfos mit Glück SSL Bestellinfos Karteninhaber Händler-Server Gateway Hausbank KI Hausbank H 02.06.2004 SET - Secure Electronic Transaction

Verwendete Verschlüsselungstechniken Symmetrische Verschlüsselung in Form von DES (56 Bit) Asymmetrische Verschlüsselung in Form von RSA (1024 Bit bzw. 2048 Bit für Root CA) SHA-1 zur Prüfsummenbildung (160 Bit) Digitale Signatur Duale Signatur Zertifikate 02.06.2004 SET - Secure Electronic Transaction

SET - Secure Electronic Transaction Digitale Signatur SHA-1 Privater Signaturschlüssel Sicherheit der Signatur 1 : 1.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000 02.06.2004 SET - Secure Electronic Transaction

Zusammenspiel von Signatur, DES und RSA SHA-1 Privater Signaturschlüssel } Nachricht symmetrisch verschlüsselt RSA verschlüsselt mit dem Public Key des Empfängers (Digital Envelope) 02.06.2004 SET - Secure Electronic Transaction

SET - Secure Electronic Transaction Duale Signatur SHA-1 #1 Privater SHA-1 Signaturschlüssel SHA-1 #2 Empfänger 1: Nachricht 1 + Checksumme 2 + Duale Signatur Empfänger 2: Nachricht 2 + Checksumme 1 + Duale Signatur Alternativ: Weiterleitung über Empfänger 1 02.06.2004 SET - Secure Electronic Transaction

Zertifikat - Hierarchie 02.06.2004 SET - Secure Electronic Transaction

SET - Secure Electronic Transaction Typischer SET Ablauf Cardholder Registration Merchant Registration Purchase Request Payment Authorization Payment Capture 02.06.2004 SET - Secure Electronic Transaction

Cardholder Registration 02.06.2004 SET - Secure Electronic Transaction

Merchant Registration 02.06.2004 SET - Secure Electronic Transaction

SET - Secure Electronic Transaction Purchase Request 02.06.2004 SET - Secure Electronic Transaction

Payment Authorization 02.06.2004 SET - Secure Electronic Transaction

SET - Secure Electronic Transaction Payment Capture 02.06.2004 SET - Secure Electronic Transaction

Verifikation der Purchase Request Phase Verifikation schwierig: Mehrfach verschachtelte Verschlüsselungen und duplizierte Felder ergeben riesige Ausdrücke Ständiges Generieren von zufälligen Nummern und Schlüsseln Viele alternative Protokollpfade 02.06.2004 SET - Secure Electronic Transaction

Verifikation der Purchase Request Phase 02.06.2004 SET - Secure Electronic Transaction

Verifikation der Purchase Request Phase 02.06.2004 SET - Secure Electronic Transaction

Verifikation – Theorem 1 02.06.2004 SET - Secure Electronic Transaction

Verifikation - Ergebnisse Theorem 1: Ein Angreifer kann die PAN nur dann erhalten, wenn ein unseriöses Gateway involviert war. Theorem 2: Wenn der Händler eine Authorization Response von einem seriösen Payment Gateway erhält, weiß er, dass diese vom Gateway signiert wurde; inklusive der Transaktionsnummer und des Kaufbetrags, was der Händler separat bestätigen kann. Theorem 3: Wenn der Händler die duale Signatur von einem unmanipulierten Karteninhaber einsieht, kann er anhand der XID prüfen, dass diese für ihn bestimmt war und dass sie vom Karteninhaber erstellt wurde. 02.06.2004 SET - Secure Electronic Transaction

Verifikation - Ergebnisse Theorem 4: Wenn das Payment Gateway die duale Signatur von einem unmanipulierten Karteninhaber und einem unmanipuliertem Händler einsieht, kann er prüfen, dass diese aus einer Transaktion vom gegebenen Karteninhaber und dem gegebenen Händler entstammt. Er kann zudem prüfen, dass der Händler ihn ausgewählt hat, die Transaktion zu bearbeiten. Theorem 5: Wenn der Karteninhaber eine Purchase Response von einem unmanipulierten Händler empfängt, weiß er, dass auch wirklich der Händler diese geschickt hat. Zudem weiß er, dass der Händler eine signierte Nachricht von dem Payment Gateway erhalten hat, das der Händler zur Bearbeitung beauftragt hat. 02.06.2004 SET - Secure Electronic Transaction

Verifikation - Ergebnisse Schwächen am Protokoll: Kein Feld, das auf Seite des Karteninhabers das Payment Gateway spezifiziert Symmetrischer Schlüssel nicht Teil der Prüfsumme Dies führt zu Theorem 6: Wenn das Gateway eine dual signierte Authorisierungsanfrage erhält, weiß es, dass Karteninhaber und Händler eine Zahlungsanweisung (nicht unbedingt die, die gerade vorliegt) für ein Gateway (nicht notwendigerweise es selbst) mit einem digitalen Briefumschlag (nicht zwingend der gerade geöffnete) zusammengestellt haben, in der sie in diversen Details übereingekommen sind. Der Überweisungsbetrag kann nur vom Karteninhaber, nicht aber vom Händler eingesehen werden.Trotzdem bilden beide Parteien eine Prüfsumme von Bestellinfos und Gesamtbetrag, die das Gateway vergleichen kann. 02.06.2004 SET - Secure Electronic Transaction

Verifikation - Ergebnisse SET praktisch sicher kleinere Schwächen, die nicht wirklich relevant sein sollten und sich zudem leicht beheben lassen Größtes Problem: Umständliche Bedienung 02.06.2004 SET - Secure Electronic Transaction

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.