Agentenbasierte Sicherung elektronischer Transaktionen

Gliederung des Vortrages: 1. Einführung 2. SET-Protokoll 3. SET/A-Protokoll 4. Grundlagen 5. Erweiterung zum Agentenvermitteltes SET-Protokoll 6. Schlußfolgerungen und Aussichten

1. Einführung - elektronischer Handel im Internet ist ein immer wichtiger werdender Faktor - Zurückhaltung bei Kreditkartenzahlungen - Verunsicherung durch Offenlegung von Sicherheitslücken - führte zur Entwicklung des SET-Protokolls unter Mitarbeit führender Kreditkarteninstitutionen, Softwareentwicklern und Kryptographen (Mai 1997)

2. SET-Protokoll (Secure Electronic Transaction) - Ziel: Händler und andere Außenstehende sollen bei der eigentlichen Zahlung ausgeschlossen bleiben - beinhaltet verschiedene Arten von Transaktionen und deren Abwicklung („Was?“) - nimmt Rollenverteilung der teilnehmenden Personen und Einrichtungen vor(„Wer?“) - legt einzuhaltende Sicherheitsmaßnahmen fest(„Wie“) Problem: Es wurde leider sehr komplex und war nicht für den Einsatz von Agenten konzipiert.

stellt Zahlungsprotal Kunde Kreditkartennutzer Händler Leistungsanbieter Zahlungs- portal wickelt Zahlung ab Kreditinstitut garantiert Zahlung und gibt Kreditkarte heraus Vermittler stellt Zahlungsprotal bereit Abb.1: Beziehungen bei Kreditkartennutzung

3. SET/A-Protokoll - wurde von 1998 von A. Romao und Mira da Silva vorgestellt - Erweiterung des SET-Protokolls um Paradigmas der Softwareagenten - unzureichend da Agenten nicht sicher sind, können > abgehört > verändert > zerstört werden - hoher Aufwand seitens der Onlinehändler - Gewährleistung der benötigten Sicherheit schwierig

4. Grundlagen - Kryptographische Verfahren mit paarweisen, asymmetrischen Schlüsseln (public & private) --> RSA - Hashverfahren zur Erstellung gleichlanger Signaturen dadurch: - eindeutige Authentisierungsmöglichkeit durch digitale Signaturen und Zertifikate - sichere Übertragungsmöglichkeiten in offenen Netzen (PGP, SSL, ...) - Schutz der Karteninformationen

5. Erweiterung zum Agentenvermitteltes SET-Protokoll - Einführung einer neuen Instanz, dem ASC (Agent Service Center) - Bereitstellung einer Agentenumgebung seitens des Händlers (jetzt Online-Händler genannt) - Anforderungsprofil für den Agenten - teilweise veränderte Aufgaben- und Leistungsprofile der einzelnen Teilnehmer

5.1. Neue Aufgaben- und Leistungsprofile Kunde: - generiert und startet den Agenten - legt dabei die Rahmenbedingungen fest > zu erwerbende Waren und Dienstleistungen > Zahlungsbedingungen und Preise (maximal) ASC (Agent Service Center): - muß vertrauenswürdig für Kunde und Händler sein (ähnlich einer Bank) - besitzt verschlüsselte Zahlungsinformationen des Kunden - stellt Nachweisdienstleistungen für den Agenten - liefert unverschlüsselte Zahlungsinformationen auf Anfrage des Agenten - gibt seinen öffentlichen Schlüssel an Kunden und Händler

AMP (Agent Meeting Place): Online-Händler: - stellt AMP (Agent Meeting Place) auf seinem Server zur Verfügung - akzeptiert !Bestellung! und Zahlung gemäß SET-Protokoll vom Besitzer des Agenten (Kunde) - liefert Ware bzw. Dienstleistung AMP (Agent Meeting Place): - besitzt einen Empfangsbereich - authentisiert den Agenten Agent (auch Secure Payment Agent genannt): - setzt sich zusammen aus: > Agent Passport > Table of Contents (TOC) > Code and Data Component (CDC) > Purchase Response Component (PRC) > Non-Repudiation Component (NRC)

5.2. Agentenwanderung im Internet Händler 1 Agent Zahlungs- portal von H 2 Händler 2 Kunde Verifikation ASC Generierung des Agenten Verifikation Zahlungs- portal von H n-1 Händler n-1 Händler n 1. Runde (Suche bestes Angebot) 2. Runde (Buche bestes Angebot)

6. Schlußfolgerungen und Aussichten - SET-Protokoll ist weitgehend akzeptiert - SET/A stellt zwar sichere SET-Leistungen kann aber keine sicheren Agenten bieten - vorgestelltes Agentenvermitteltes SET-Protokoll räumt die bisherigen Probleme aus dem Weg - bisher keine praktische Umsetzung