© by S.Strudthoff 2005 SET Sichere Kreditkartenzahlung im Internet

© by S.Strudthoff Gliederung 1.Historie 2.Gefahren beim Onlineeinkauf 3.Leistungen von SET 4.Das Verfahren 5.Die Zukunft

© by S.Strudthoff Historie Entwickelt von Visa-, Mastercard, IBM, Microsoft, Netscape u. A. Erschienen 1997 Bildung der SETCo im gleichen Jahr –Zur Weiterentwicklung –Zur Abnahme von Software –Als übergeordnete Zertifizierungsstelle Standard aufgegeben (etwa 2002)

© by S.Strudthoff Gefahren beim Onlineeinkauf Abhören von Nachrichten Ändern von Daten Vortäuschen einer anderen Person Daten an nicht betreffende Stellen senden Keine Anonymität wie bei Bargeld

© by S.Strudthoff Leistungen von SET Vertraulichkeit Integrität Authentizität Need To Know

© by S.Strudthoff RSA DES SHA - 1 Digitale Signatur Digitales Zertifikat 4.Das Verfahren Angewendete Verfahren

© by S.Strudthoff Das Verfahren HändlerKundePayment Gateway Trust Center BankKredit- Ges. Die Beteiligten

© by S.Strudthoff Anmeldung des Kunden: Kunde Kredit- gesellschaft Bank Trust Center Meldet sich Für SET an Reicht Antrag weiter Fordert Zertifikat an Zertifikatsbrief & Wallet

© by S.Strudthoff Ablauf des Verfahrens: Kunde besucht ein Onlinekaufhaus Stellt seinen Warenkorb zusammen Wählt SET als Bezahlungsart aus SET – Wunsch wird übermittelt Antwort vom Händler öffnet Wallet Symbol für SET - Händler

© by S.Strudthoff

© by S.Strudthoff

© by S.Strudthoff Kunde meldet sich beim Händler HändlerKunde Kreditkartenmarke Payment Gateway

© by S.Strudthoff Der Händler bestätigt HändlerKunde TID Zertifikat Händler Zertifikat Payment Gateway Payment Gateway

© by S.Strudthoff Kunde Überprüft die Informationen und erstellt Duale Signatur KundeTrust Center

© by S.Strudthoff Die Zutaten der Duale Signatur Bestellinformation(BI) Bezahlautorisierung(BA) Secure Hash Algorithm(SHA-1) Signatur Kunde

© by S.Strudthoff Der Aufbau der Duale Signatur RSA SHA - 1 Duale Signatur SHA - 1 BA BI SHA - 1 BA BI BA BI Kunde

© by S.Strudthoff Kunde antwortet an Händler: Duale Signatur BI Hash (BA) Hash (BI) BA verschlüsselt mit DES DES–Schlüssel und AccountInfo RSA verschlüsselt (mit öffentlichem Schlüssel des Payment Gateways) Duale Signatur BA SHA - 1 BI SHA - 1 BA DES AcInfo K DES RSA PG Kunde Händler BI Kunde

© by S.Strudthoff HändlerKunde Kunde antwortet an Händler: Duale Signatur BI Hash (BI) Hash (BA) DES (BA) Accountinfo Payment Gateway

© by S.Strudthoff SHA - 1 BA BI SHA - 1 BA BI SHA - 1 BA BI Duale Signatur RSA – entschlüsselt: Erstellter Vergleichswert: Gelieferter Wert: Zu testender Wert: ? SHA-1 Der Händler prüft Duale Signatur: Händler

© by S.Strudthoff Ist die Signatur korrekt: Bestätigung an Kunde: –TID –Acknowledgement (RSA-verschlüsselt) Bezahlanforderung an Payment Gateway: –Verschlüsselter Teil des Kunden –Eigener Teil Händler

© by S.Strudthoff Bezahlnachfrage: (Käuferteil) Duale Signatur des Käufers Hash (BI) DES (BA) RSA (K DES, AcInfo) Zertifikat des Kunden Duale Signatur BA SHA - 1 BI SHA - 1 BA DES AcInfo K DES RSA PG Kunde Händler AcInfo K DES RSA PG BA DES BI SHA - 1 Duale Signatur Zert K BI Händler

© by S.Strudthoff AcInfo K DES RSA PG BA DES BI SHA - 1 Duale Signatur Zert K Bezahlnachfrage: (Händlerteil) TID signiert und mit neuem DES-Schlüssel verschlüsselt DES – Schlüssel mit RSA verschlüsselt Zertifikat des Händlers TID RSA H DES H RSA PG K DES Zert H Händler

© by S.Strudthoff Bezahlanforderung an Payment Gateway HändlerPayment Gateway Kunde

© by S.Strudthoff Bezahlnachfrage beim Payment Gateway Prüfen der Zertifikate Entschlüsseln des DES-Schlüssels des Händlers Entschlüsselung der TID Prüfen der Signatur BI SHA - 1 Duale Signatur Zert K Zert H TID RSA H DES H RSA PG K DES AcInfo K DES RSA PG BA DES Payment Gateway

© by S.Strudthoff Bezahlnachfrage beim Payment Gateway AcInfo RSA PG BA DES BI SHA - 1 Duale Signatur Zert K Entschlüsseln des DES-Schlüssels des Kunden und der AcInfo Entschlüsseln der BA TID K DES Payment Gateway

© by S.Strudthoff Bezahlnachfrage beim Payment Gateway BA BI SHA - 1 Duale Signatur Zert K TID Überprüfen ob TID in BA von Kunde und TID von Händler übereinstimmen Testen der Dualen Signatur durch –Prüfen der Signatur –Hashwertprüfung mit Hash(BI) als Unbekannte Payment Gateway

© by S.Strudthoff Test der Dualen Signatur beim Payment Gateway SHA - 1 BI BA SHA - 1 Duale Signatur RSA – entschlüsselt: Erstellter Vergleichswert: Gelieferter Wert: Zu testender Wert: ? SHA-1 BA BI Payment Gateway

© by S.Strudthoff Duale Signatur ist korrekt BA ist mit der richtigen TID der Transaktion enthalten Mit AcInfo mögliche Bezahlung beim Kreditinstitut des Kunden anfragen (sichere Leitung) Kreditgesellschaft gibt Bestätigung (sichere Leitung) Gateway erstellt Autorisierungsnachricht Payment Gateway

© by S.Strudthoff Die Zukunft SET ist Vergangenheit Neuester Ansatz: EMV – Chip auf Karten SET ähnelnde Verfahren mit Bezug auf den Chip