Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

SET – Secure Electronic Transaction

Veröffentlicht von:Chlotichilda Leichliter Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "SET – Secure Electronic Transaction"—  Präsentation transkript:

1 SET – Secure Electronic Transaction
Einführung zum Protokoll und dessen Verifikation Christian Mauro SET - Secure Electronic Transaction

2 Kreditkartenzahlung - Altes Modell
Kreditkarteninfos mit Glück SSL Bestellinfos Karteninhaber Händler-Server Gateway Hausbank KI Hausbank H SET - Secure Electronic Transaction

3 Verwendete Verschlüsselungstechniken
Symmetrische Verschlüsselung in Form von DES (56 Bit) Asymmetrische Verschlüsselung in Form von RSA (1024 Bit bzw Bit für Root CA) SHA-1 zur Prüfsummenbildung (160 Bit) Digitale Signatur Duale Signatur Zertifikate SET - Secure Electronic Transaction

4 SET - Secure Electronic Transaction
Digitale Signatur SHA-1 Privater Signaturschlüssel Sicherheit der Signatur 1 : SET - Secure Electronic Transaction

5 Zusammenspiel von Signatur, DES und RSA
SHA-1 Privater Signaturschlüssel } Nachricht symmetrisch verschlüsselt RSA verschlüsselt mit dem Public Key des Empfängers (Digital Envelope) SET - Secure Electronic Transaction

6 SET - Secure Electronic Transaction
Duale Signatur SHA-1 #1 Privater SHA-1 Signaturschlüssel SHA-1 #2 Empfänger 1: Nachricht 1 + Checksumme 2 + Duale Signatur Empfänger 2: Nachricht 2 + Checksumme 1 + Duale Signatur Alternativ: Weiterleitung über Empfänger 1 SET - Secure Electronic Transaction

7 Zertifikat - Hierarchie
SET - Secure Electronic Transaction

8 SET - Secure Electronic Transaction
Typischer SET Ablauf Cardholder Registration Merchant Registration Purchase Request Payment Authorization Payment Capture SET - Secure Electronic Transaction

9 Cardholder Registration
SET - Secure Electronic Transaction

10 Merchant Registration
SET - Secure Electronic Transaction

11 SET - Secure Electronic Transaction
Purchase Request SET - Secure Electronic Transaction

12 Payment Authorization
SET - Secure Electronic Transaction

13 SET - Secure Electronic Transaction
Payment Capture SET - Secure Electronic Transaction

14 Verifikation der Purchase Request Phase
Verifikation schwierig: Mehrfach verschachtelte Verschlüsselungen und duplizierte Felder ergeben riesige Ausdrücke Ständiges Generieren von zufälligen Nummern und Schlüsseln Viele alternative Protokollpfade SET - Secure Electronic Transaction

15 Verifikation der Purchase Request Phase
SET - Secure Electronic Transaction

16 Verifikation der Purchase Request Phase
SET - Secure Electronic Transaction

17 Verifikation – Theorem 1
SET - Secure Electronic Transaction

18 Verifikation - Ergebnisse
Theorem 1: Ein Angreifer kann die PAN nur dann erhalten, wenn ein unseriöses Gateway involviert war. Theorem 2: Wenn der Händler eine Authorization Response von einem seriösen Payment Gateway erhält, weiß er, dass diese vom Gateway signiert wurde; inklusive der Transaktionsnummer und des Kaufbetrags, was der Händler separat bestätigen kann. Theorem 3: Wenn der Händler die duale Signatur von einem unmanipulierten Karteninhaber einsieht, kann er anhand der XID prüfen, dass diese für ihn bestimmt war und dass sie vom Karteninhaber erstellt wurde. SET - Secure Electronic Transaction

19 Verifikation - Ergebnisse
Theorem 4: Wenn das Payment Gateway die duale Signatur von einem unmanipulierten Karteninhaber und einem unmanipuliertem Händler einsieht, kann er prüfen, dass diese aus einer Transaktion vom gegebenen Karteninhaber und dem gegebenen Händler entstammt. Er kann zudem prüfen, dass der Händler ihn ausgewählt hat, die Transaktion zu bearbeiten. Theorem 5: Wenn der Karteninhaber eine Purchase Response von einem unmanipulierten Händler empfängt, weiß er, dass auch wirklich der Händler diese geschickt hat. Zudem weiß er, dass der Händler eine signierte Nachricht von dem Payment Gateway erhalten hat, das der Händler zur Bearbeitung beauftragt hat. SET - Secure Electronic Transaction

20 Verifikation - Ergebnisse
Schwächen am Protokoll: Kein Feld, das auf Seite des Karteninhabers das Payment Gateway spezifiziert Symmetrischer Schlüssel nicht Teil der Prüfsumme Dies führt zu Theorem 6: Wenn das Gateway eine dual signierte Authorisierungsanfrage erhält, weiß es, dass Karteninhaber und Händler eine Zahlungsanweisung (nicht unbedingt die, die gerade vorliegt) für ein Gateway (nicht notwendigerweise es selbst) mit einem digitalen Briefumschlag (nicht zwingend der gerade geöffnete) zusammengestellt haben, in der sie in diversen Details übereingekommen sind. Der Überweisungsbetrag kann nur vom Karteninhaber, nicht aber vom Händler eingesehen werden.Trotzdem bilden beide Parteien eine Prüfsumme von Bestellinfos und Gesamtbetrag, die das Gateway vergleichen kann. SET - Secure Electronic Transaction

21 Verifikation - Ergebnisse
SET praktisch sicher kleinere Schwächen, die nicht wirklich relevant sein sollten und sich zudem leicht beheben lassen Größtes Problem: Umständliche Bedienung SET - Secure Electronic Transaction

Herunterladen ppt "SET – Secure Electronic Transaction"

Ähnliche Präsentationen

Inxmail GmbH Vertrieb und Pflege des Marketing Tools.

Inxmail GmbH Vertrieb und Pflege des Marketing Tools.
Mündliche Fachprüfung

Mündliche Fachprüfung
Fachhochschule Südwestfalen

Fachhochschule Südwestfalen
Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.

Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.
Hauptseminar Asymmetrische Verschlüsselung & Zertifikate

Hauptseminar Asymmetrische Verschlüsselung & Zertifikate
Internet-Sicherheit (2)

Internet-Sicherheit (2)
Asymmetrische Kryptographie

Asymmetrische Kryptographie
SS 2007 FG Datenbanken – Interaktive Systeme, Fachbereich 17 Praktische Informatik Prof. Dr. Lutz Wegner Elektronische Signatur Waldemar Wiegel Sommer.

SS 2007 FG Datenbanken – Interaktive Systeme, Fachbereich 17 Praktische Informatik Prof. Dr. Lutz Wegner Elektronische Signatur Waldemar Wiegel Sommer.
Internet, Intranet und e-Commerce

Internet, Intranet und e-Commerce
WTLS Wireless Transport Layer Security

WTLS Wireless Transport Layer Security
Das Bremer Electronic Government Projekt Bremen Online Services

Das Bremer Electronic Government Projekt Bremen Online Services
Secure Socket Layer SSL For a secure E-Business Thomas Muskalla

Secure Socket Layer SSL For a secure E-Business Thomas Muskalla
Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon

Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon
E-Payment System E-Payment System Eigenschaften eines e-payment

E-Payment System E-Payment System Eigenschaften eines e-payment
Grundlagen der Kryptologie

Grundlagen der Kryptologie
Kryptographische Hash-Funktionen

Kryptographische Hash-Funktionen
Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.

Z1 Backbone of Trust Server- und XML-basierte Lösung zentrales Zertifikatsmangement der Königsweg zur anwenderfreundlichen eBusiness-Infrastruktur.
Security Manager Protocol. Physical Layer Link Layer Host Controller Interface L2CAP Attribute Protocol Attribute Profile PUIDRemote ControlProximityBatteryThermostatHeart.

Security Manager Protocol. Physical Layer Link Layer Host Controller Interface L2CAP Attribute Protocol Attribute Profile PUIDRemote ControlProximityBatteryThermostatHeart.
Hashverfahren und digitale Signaturen

Hashverfahren und digitale Signaturen
© by S.Strudthoff 2005 SET Sichere Kreditkartenzahlung im Internet.

© by S.Strudthoff 2005 SET Sichere Kreditkartenzahlung im Internet.

Ähnliche Präsentationen

Google-Anzeigen