Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
44
Лекция 10.
Защита информации в электронных платежных системах.
Современную практику банковских операций, торговых сделок
и взаимных платежей невозможно представить без расчетов с
применением пластиковых карт. Благодаря надежности, универ-
сальности и удобству пластиковые карты завоевали прочное место
среди других платежных средств и обещают занять лидирующее
положение по отношению к наличным платежам уже к 2000 г.
10.1. Принципы функционирования электронных платежных систем
Электронной платежной системой называют совокупность
методов и реализующих их субъектов, обеспечивающих в рамках
системы использование банковских пластиковых карт в качестве
платежного средства [1].
Пластиковая карта - это персонифицированный платежный
инструмент, предоставляющий пользующемуся этой картой лицу
возможность безналичной оплаты товаров и услуг, а также получе-
ния наличных средств в банковских автоматах и отделениях бан-
ков. Предприятия торговли и сервиса и отделения банков, прини-
мающие карту в качестве платежного инструмента, образуют при-
емную сеть точек обслуживания карты.
При создании платежной системы одной из основных решае-
мых задач является выработка и соблюдение общих правил об-
служивания карт, выпущенных входящими в платежную систему
эмитентами, проведения взаиморасчетов и платежей. Эти правила
охватывают как чисто технические аспекты операций с картами -
стандарты данных, процедуры авторизации, спецификации на ис-
пользуемое оборудование и другие, так и финансовые аспекты об-
служивания карт-процедуры расчетов с предприятиями торговли и
сервиса, входящими в состав приемной сети, правила взаиморас-
четов между банками и т.д.
С организационной точки зрения ядром платежной системы
является ассоциация банков, объединенная договорными обяза-
тельствами. Кроме того, в состав электронной платежной системы
входят предприятия торговли и сервиса, образующие сеть точек
обслуживания. Для успешного функционирования платежной сис-
темы необходимы и специализированные организации, осуществ-
ляющие техническую поддержку обслуживания карт: процессинго-
вые и коммуникационные центры, центры технического обслужива-
ния и т.п.
Обобщенная схема функционирования электронной платеж-
ной системы представлена на рис. 10.1. Банк, заключивший согла-
шение с платежной системой и получивший соответствующую ли-
цензию, может выступать в двух качествах-как банк-эмитент и как
банк-эквайер. Банк-эмитент выпускает пластиковые карты и га-
рантирует выполнение финансовых обязательств, связанных с ис-
пользованием этих карт как платежных средств. Банк-эквайер об-
служивает предприятия торговли и сервиса, принимающие к оплате
Рис. 10.1. Обобщенная схема функционирования электронных
платежных систем
карты как платежные средства, а также принимает эти платежные средства к обналичиванию в своих отделениях и через принадле-
жащие ему банкоматы. Основными неотъемлемыми функциями
банка-эквайера являются финансовые операции, связанные с вы-
полнением расчетов и платежей точками обслуживания. Техниче-
ские атрибуты деятельности банка-эквайера (обработка запросов
на авторизацию; перечисление на расчетные счета точек средств
за товары и услуги, предоставленные по картам; прием, сортировка
и пересылка документов, фиксирующих совершение сделок с ис-
пользованием карт и т.п.) могут быть делегированы эквайером про-
цессинговым центрам.
Неавтоматизированная процедура приема платежа с помощью
карты сравнительно проста [2]. В первую очередь кассир предпри-
ятия должен убедиться в подлинности пластиковой карты по ряду
признаков, указанных ниже. При оплате предприятие должно пе-
ренести реквизиты пластиковой карты клиента на специальный чек
с помощью копировальной машины-импринтера, занести в чек
сумму, на которую была совершена покупка или оказана услуга, и
получить подпись клиента. Оформленный подобным образом чек
называют слипом.
В целях обеспечения безопасности операций платежной сис-
темы рекомендуется не превышать нижние лимиты сумм для раз-
личных регионов и видов бизнеса, по которым можно проводить
расчеты без авторизации. При превышении лимитной суммы или в
случае возникновения сомнения в личности клиента предприятие
должно проводить процедуру авторизации. При авторизации пред-
приятие фактически получает доступ к информации о состоянии
счета клиента и может установить принадлежность карты клиенту и
его платежную способность в размере суммы сделки. Одна копия
слипа остается на предприятии, вторая передается клиенту, третья
доставляется в банк-эквайер и служит основанием для возмещения
суммы платежа предприятию со счета клиента.
В последние годы широкую популярность приобрели автома-
тизированные торговые PQS-терминалы (Point-Of-Sale - оплата
в точке продажи) и банкоматы. При использовании POS-терми-
налов нет необходимости в заполнении слипов. Реквизиты пласти-
ковой карты считываются с ее магнитной полосы на встроенном в
POS-терминал считывателе. Клиент вводит в терминал свой
PIN-код (Personal Identification Number-персональный идентифи-
кационный номер), известный только ему. Элементы PIN-кода
включаются в общий алгоритм шифрования записи на магнитной
полосе и служат электронной подписью владельца карты. На
клавиатуре POS-терминала набирается сумма сделки.
Если сделка осуществляется в отделении банка и в ее процес-
се происходит выдача клиенту наличных денег, помимо банковских
POS-терминалов может быть использован электронный кассир-
банкомат. Конструктивно он представляет автоматизированный
сейф со встроенным POS-терминалом.
Терминал через встроенный модем обращается за авториза-
цией в соответствующую платежную систему. При этом использу-
ются мощности процессингового центра, услуги которого предо-
ставляются торговцу банком-эквайером.
Процессинговый центр [3] представляет собой специализи-
рованную сервисную организацию, которая обеспечивает обработ-
ку поступающих от банков-эквайеров или непосредственно из точек
обслуживания запросов на авторизацию и протоколов транзакций -
фиксируемых данных о произведенных посредством пластиковых
карт платежах и выдачах наличными. Для этого Процессинговый
центр ведет базу данных, которая, в частности, содержит данные о
банках-членах платежной системы и держателях пластиковых карт.
Процессинговый центр хранит сведения о лимитах держателей
карт и выполняет запросы на авторизацию в том случае, если банк-
эмитент не ведет собственной базы данных (off-line банк). В про-
тивном случае (on-line банк) Процессинговый центр пересылает
полученный запрос в банк-эмитент авторизируемой карты. Очевид-
но, что Процессинговый центр обеспечивает и пересылку ответа
банку-эквайеру.
Выполнение банком-эквайером своих функций влечет за собой
расчеты с банками-эмитентами. Каждый банк-эквайер осуществля-
ет перечисление средств точкам обслуживания по платежам дер-
жателей карт банков-эмитентов, входящих в данную платежную
систему. Поэтому соответствующие средства должны быть затем
перечислены банку-эквайеру банками-эмитентами. Оперативное
проведение взаиморасчетов между эквайерами и эмитентами обес-
печивается наличием в платежной системе расчетного банка (од-
ного или нескольких), в котором банки-члены системы открывают
корреспондентские счета. На основании накопленных за операци-
онный день протоколов транзакций Процессинговый центр готовит
и рассылает итоговые данные для проведения взаиморасчетов
между банками-участниками платежной системы, а также форми-
рует и рассылает банкам-эквайерам и непосредственно в точки
обслуживания стоп-листы (перечни карточек, операции по которым
по разным причинам приостановлены).
Процессинговый центр может также обеспечивать потребно-
сти банков-эмитентов в новых картах, осуществляя их заказ на
заводах и последующую персонализацию.
Особенностью продаж и выдач наличных по пластиковым кар-
там является то, что эти операции осуществляются магазинами и
банками "в долг", т.е. товары и наличные предоставляются клиен-
там сразу, а средства на их возмещение поступают на счета об-
служивающих предприятий через некоторое время (не более не-
скольких дней). Гарантом выполнения платежных обязательств,
возникающих в процессе обслуживания пластиковых карт, являет-
ся выпустивший их банк-эмитент. Характер гарантий банка-эми-
тента зависит от платежных полномочий, предоставляемых клиен-
ту и фиксируемых видом карточки.
По виду расчетов, выполняемых с помощью пластиковых карт, различают кредитные и дебетовые карты.
Кредитные карты являются наиболее распространенным ви-
дом пластиковых карт. К ним относятся карты общенациональных
систем США Visa, MasterCard, American Express и ряда других.
Эти карты предъявляют на предприятиях торговли и сервиса для
оплаты товаров и услуг. При оплате с помощью кредитных карт
банк покупателя открывает ему кредит на сумму покупки, а затем
через некоторое время (обычно 25 дней) присылает счет по почте.
Покупатель должен вернуть оплаченный чек (счет) обратно в банк.
Естественно, подобную схему банк может предложить только наи-
более состоятельным и проверенным из своих клиентов, которые
имеют хорошую кредитную историю перед банком или солидные
вложения в банк в виде депозитов, ценностей или недвижимости.
Держатель дебетовой карты должен заранее внести на свой
счет в банке-эмитенте определенную сумму. Размер этой суммы
определяет лимит доступных средств. При осуществлении расче-
тов с использованием этой карты соответственно уменьшается и
лимит. Контроль лимита выполняется при проведении авториза-
ции, которая при использовании дебетовой карты является обяза-
тельной. Для возобновления или увеличения лимита держателю
карты необходимо вновь внести средства на свой счет. Для стра-
хования временного разрыва между моментом осуществления пла-
тежа и моментом получения банком соответствующей информации
на счете клиента должен поддерживаться неснижаемый остаток.
Как кредитная, так и дебетовая карты могут быть не только
персональными, но и корпоративными. Корпоративные карты
предоставляются компанией своим сотрудникам для оплаты ко-
мандировочных или других служебных расходов. Корпоративные
карты компании связаны с каким-либо одним ее счетом. Эти карты
могут иметь разделенный или неразделенный лимит. В первом
случае каждому из держателей корпоративных карт устанавливает-
ся индивидуальный лимит. Второй вариант больше подходит не-
большим компаниям и не предполагает разграничения лимита.
В последние годы все большее внимание привлекают к себе
электронные платежные системы с использованием микропроцес-
сорных карт. Принципиальным отличием микропроцессорных карт от всех перечисленных выше является то, что они непосредствен-
но несут информацию о состоянии счета клиента, поскольку явля-
ются в сущности транзитным счетом. Все транзакции совершаются
в режиме off-line в процессе диалога карта-терминал или карта
клиента - карта торговца.
Такая система является почти полностью безопасной благо-
даря высокой степени защищенности кристалла с микропроцессо-
ром и полной дебетовой схеме расчетов. Кроме того, хотя карта с
микропроцессором дороже обычной, платежная система оказыва-
ется дешевле в эксплуатации за счет того, что в режиме off-line нет
нагрузки на телекоммуникации.
Для обеспечения надежной работы электронная платежная
система должна быть надежно защищена.
С точки зрения информационной безопасности в системах
электронных платежей существуют следующие уязвимые места:
• пересылка платежных и других сообщений между банком и кли-
ентом и между банками;
• обработка информации внутри организаций отправителя и полу-
чателя сообщений;
• доступ клиентов к средствам, аккумулированным на счетах.
Одним из наиболее уязвимых мест в системе электронных
. платежей является пересылка платежных и других сообщений ме-
жду банками, между банком и банкоматом, между банком и клиен-
том. Пересылка платежных и других сообщений связана со сле-
дующими особенностями [4]:
• внутренние системы организаций отправителя и получателя
должны быть приспособлены для отправки и получения элек-
тронных документов и обеспечивать необходимую защиту при их
обработке внутри организации (защита оконечных систем);
• взаимодействие отправителя и получателя электронного доку-
мента осуществляется опосредовано - через канал связи.
Эти особенности порождают следующие проблемы:
• взаимное опознавание абонентов (проблема установления вза-
имной подлинности при установлении соединения);
• защита электронных документов, передаваемых по каналам свя-
зи (проблемы обеспечения конфиденциальности и целостности
документов);
• защита процесса обмена электронными документами (проблема
доказательства отправления и доставки документа);
• обеспечение исполнения документа (проблема взаимного недо-
верия между отправителем и получателем из-за их принадлежно-
сти к разным организациям и взаимной независимости).
Для обеспечения функций защиты информации на отдельных
узлах системы электронных платежей должны быть реализованы
следующие механизмы защиты:
• управление доступом на оконечных системах;
• контроль целостности сообщения;
• обеспечение конфиденциальности сообщения;
• взаимная аутентификация абонентов;
• невозможность отказа от авторства сообщения;
• гарантии доставки сообщения;
• невозможность отказа от принятия мер по сообщению;
• регистрация последовательности сообщений;
• контроль целостности последовательности сообщений.
Качество решения указанных выше проблем в значительной
мере определяется рациональным выбором криптографических
средств при реализации механизмов защиты.
10.2. Электронные пластиковые карты
Применение POS-терминалов и банкоматов возможно при ис-
пользовании некоторого носителя информации, который мог бы
идентифицировать пользователя и хранить определенные учетные
данные. В качестве такого носителя информации выступают пла-
стиковые карты.
Пластиковая карта представляет собой пластину стандарт-
ных размеров (85,6х53,9х0,76 мм), изготовленную из специальной,
устойчивой к механическим и термическим воздействиям пласт-
массы. Одна из основных функций пластиковой карты - обеспе-
чение идентификации использующего ее лица как субъекта пла-
тежной системы. Для этого на пластиковую карту наносят логотипы
банка-эмитента и платежной системы, обслуживающей эту карту,
имя держателя карты, номер его счета, срок действия карты и т. п.
Кроме того, на карте может присутствовать фотография держателя
и его подпись. Алфавитно-цифровые данные-имя, номер счета и
др.-могут быть эмбоссированы, т.е. нанесены рельефным шриф-
том. Это дает возможность при ручной обработке принимаемых к
оплате карт быстро перенести данные на чек с помощью специ-
ального устройства-импринтера, осуществляющего "прокатыва-
ние" карты (аналогично получению второго экземпляра при исполь-
зовании копировальной бумаги).
По принципу действия различают пассивные и активные пла-
стиковые карты. Пассивные пластиковые карты всего лишь хранят
информацию на том или ином носителе. К ним относятся пластико-
вые карты с магнитной полосой.
Карты с магнитной полосой являются на сегодняшний день
наиболее распространенными - в обращении находится свыше
двух миллиардов карт подобного типа. Магнитная полоса распола-
гается на обратной стороне карты и, в соответствии со стандартом
ISO 7811, состоит из трех дорожек. Из них первые две предназна-
чены для хранения идентификационных данных, а на третью до-
рожку можно записывать информацию (например, текущее значе-
ние лимита дебетовой карты). Однако из-за невысокой надежности
многократно повторяемого процесса записи и считывания запись
на магнитную полосу обычно не практикуется, и такие карты ис-
пользуются только в режиме считывания информации.
Карты с магнитной полосой относительно уязвимы для мо-
шенничества. Например, в США в 1992 г. общий ущерб от махина-
ций с кредитными картами с магнитной полосой (без учета потерь с
банкоматами) превысил один миллиард долларов. Тем не менее
развитая инфраструктура существующих платежных систем и, в
частности, мировых лидеров в области "карточного" бизнеса-ком-
пании Visa и MasterCard/Europay является причиной интенсивного
использования карте магнитной полосой и сегодня.
Для повышения защищенности своих карт системы Visa и
MasterCard/Europay используют дополнительные графические
средства защиты: голограммы и нестандартные шрифты для эм-
боссирования.
Платежные системы с подобными картами требуют on-line ав-
торизации в торговых точках и, как следствие, наличия разветв-
ленных, высококачественных средств коммуникации (телефонных
линий). Поэтому с технической точки зрения подобные системы
имеют серьезные ограничения по их применению в странах с плохо
развитыми системами связи.
Отличительная особенность активных пластиковых карт - на-
личие встроенной в нее электронной микросхемы. Принцип пласти-
ковой карты с электронной микросхемой запатентовал в 1974 г.
француз Ролан Морено. Стандарт ISO 7816 определяет основные
требования к картам на интегральных микросхемах или чиповым
картам. В недалеком будущем карты с микросхемой вытеснят кар-
ты с магнитной полосой. Поэтому остановимся более подробно на
основных типах карт с микросхемой.
Карты с микросхемой можно классифицировать по нескольким
признакам [2].
Первый признак - функциональные возможности карты. Здесь
можно выделить следующие основные типы карт:
• карты-счетчики;
• карты с памятью;
• карты с микропроцессором.
Второй признак - тип обмена со считывающим устройством:
• карты с контактным считыванием;
• карты с индукционным считыванием.
Карты-счетчики применяются, как правило, в тех случаях, ко-
гда та или иная платежная операция требует уменьшения остатка
на счете держателя карты на некоторую фиксированную сумму.
Подобные карты используются в специализированных приложени-
ях с предоплатой (плата за использование телефона-автомата,
оплата автостоянки и т.д.). Очевидно, что применение карт со счёт-
ликом ограничено и не имеет большой перспективы.
Карты с памятью являются переходными между картами со
счетчиком и картами с процессором. Карта с памятью - это в сущ-
ности перезаписываемая карта со счетчиком, в которой приняты
меры, повышающие ее защищенность от атак злоумышленников. У
простейших из существующих карт с памятью объем памяти может
составлять от 32 байт до 16 килобайт. Эта память может быть реа-
лизована или в виде программируемого постоянного запоминаю-
щего устройства ППЗУ (EPROM), которое допускает однократную
запись и многократное считывание, или в виде электрически сти-
раемого программируемого постоянного запоминающего устройст-
ва ЭСППЗУ (EEPROM), допускающего многократную запись и мно-
гократное считывание.
Карты с памятью можно подразделить на два типа: с незащи-
щенной (полнодоступной) и защищенной памятью.
В картах первого типа нет никаких ограничений на чтение и за-
пись данных. Их нельзя использовать в качестве платежных, так
как специалист средней квалификации может их достаточно просто
"взломать".
Карты второго типа имеют область идентификационных дан-
ных и одну или несколько прикладных областей. Идентификацион-
ная область карт допускает лишь однократную запись при персо-
нализации и в дальнейшем доступна лишь для считывания. Доступ
к прикладным областям регламентируется и осуществляется толь-
ко при выполнении определенных операций, в частности при вводе
секретного PIN-кода.
Уровень защиты карт с памятью выше, чем у магнитных карт, и
они могут быть использованы в прикладных системах, в которых
финансовые риски, связанные с мошенничеством, относительно
невелики. В качестве платежного средства карты с памятью ис-
пользуются для оплаты таксофонов общего пользования, проезда
в транспорте, в локальных платежных системах (клубные карты).
Карты с памятью применяются также в системах допуска в поме-
щения и доступа к ресурсам компьютерных сетей (идентификаци-
онные карты). Карты с памятью имеют более низкую стоимость по
сравнению с картами с микропроцессором.
Рис. 10.2. Архитектура смарт-карты
Карты с микропроцессором называют также интеллектуаль-
ными картами или смарт-картами (smart cards). Карты с микропро-
цессором представляют собой по сути микрокомпьютеры и содер-
жат все соответствующие основные аппаратные компоненты: цен-
тральный процессор (ЦП), оперативное запоминающее устройство
(ОЗУ), постоянное запоминающее устройство (ПЗУ) и электрически
стираемое программируемое ПЗУ (ЭСППЗУ) (рис. 10.2).
В настоящее время в смарт-карты устанавливают:
• микропроцессоры с текстовой частотой 5 Мгц;
• оперативное ЗУ емкостью до 256 байт;
• постоянное ЗУ емкостью до 10 Кбайт;
• энергонезависимое ЗУ емкостью до 8 Кбайт;
В ПЗУ записан специальный набор программ, называемый операционной системой карты COS (Card Operation System). Операционная система поддерживает файловую систему, базирующуюся в ЭСППЗУ (емкость которого обычно находится в диапазоне
1...8 Кбайт, но может достигать и 64 Кбайт) и обеспечивающую регламентацию доступа к данным. При этом часть данных может быть доступна только внутренним программам карточки.
Смарт-карта обеспечивает обширный набор функций:
• разграничение полномочий доступа к внутренним ресурсам (благодаря работе с защищенной файловой системой);
• шифрование данных с применением различных алгоритмов;
• формирование электронной цифровой подписи;
• ведение ключевой системы;
• выполнение всех операций взаимодействия владельца карты, банка и торговца.
Некоторые карты обеспечивают режим "самоблокировки" (не-
возможность дальнейшей работы с ней) при попытке несанкциони-
рованного доступа. Смарт-карты позволяют существенно упростить
процедуру идентификации клиента. Для проверки PIN-кода приме-
няется алгоритм, реализуемый микропроцессором на карте. Это
позволяет отказаться от работы POS-терминала и банкомата в ре-
жиме реального времени и централизованной проверки PIN. Отме-
ченные выше особенности делают смарт-карту высокозащищен-
ным платежным инструментом, который может быть использован в,
финансовых приложениях, предъявляющих повышенные требова-
ния к защите информации. Именно поэтому микропроцессорные
смарт-карты рассматриваются в настоящее время как наиболее
перспективный вид пластиковых карт.
По принципу взаимодействия со считывающим устройством
различают карты двух типов:
• карты с контактным считыванием;
• карты с бесконтактным считыванием.
Карта с контактным считыванием имеет на своей поверх-
ности 8...10 контактных пластин. Размещение контактных пластин,
их количество и назначение выводов различны у разных произво-
дителей и естественно, что считыватели для карт данного типа
различаются между собой.
В последние годы начали широко применяться карты с бес-
контактным считыванием. В них обмен данными между картой и
считывающим устройством производится индукционным способом.
Очевидно, что такие карты надежнее и долговечнее.
Персонализация и авторизация карт являются важными эта-
пами подготовки и применения пластиковых карт.
Персонализация карты осуществляется при выдаче карты кли-
енту. При этом на карту заносятся данные, позволяющие иденти-
фицировать карту и ее держателя, а также осуществить проверку
платежеспособности карты при приеме ее к оплате или выдаче на-
личных денег.
Под авторизацией понимают процесс утверждения продажи
или выдачи наличных по карте. Для проведения авторизации точка
обслуживания делает запрос платежной системе о подтверждении
полномочий предъявителя карты и его финансовых возможностей.
Технология авторизации зависит от типа карты, схемы платежной
системы и технической оснащенности точки обслуживания.
Исторически сложилось так, что первоначальным способом
персонализации карт было эмбоссирование.
Эмбоссирование - это процесс рельефного тиснения данных
на пластиковой основе карты. На картах банков-эмитентов эмбос-
сируются, как правило, следующие данные: номер карты; даты на-
чала и окончания срока ее действия; фамилия и имя владельца.
Некоторые платежные системы, например Visa, требуют тис-
нения двух специальных символов, однозначно идентифицирую-
щих принадлежность банка-эмитента к платежной системе. Эмбос-
серы (устройства для тиснения рельефа на карте) выпускает огра-
ниченный круг изготовителей. В ряде стран Запада законодательно
запрещена свободная продажа эмбоссеров. Специальные симво-
лы, подтверждающие принадлежность карты к той или иной пла-
тежной системе, поставляются владельцу эмбоссера только с раз-
решения руководящего органа платежной системы. Эмбоссирован-
ная карта может служить средством платежа при использовании
импринтера-устройства для прокатки слипа (чека), подтверждаю-
щего совершенную платежную операцию.
К персонализации карт относится также кодирование магнит-
ной полосы либо программирование микросхемы.
Кодирование магнитной полосы производится, как правило,
на том же оборудовании, что и эмбоссирование. При этом часть
информации о карте, содержащая номер карты и период ее дейст-
вия, одинаковая как на магнитной полосе, так и на рельефе. Одна-
ко бывают ситуации, когда после первичного кодирования требует-
ся дополнительно занести информацию на магнитную дорожку. В
этом случае применяются специальные устройства с функцией
"чтение-запись". Это возможно, в частности, когда PIN-код для
пользования картой не формируется специальной программой, а
может быть выбран клиентом по своему усмотрению.
Программирование микросхемы не требует особых технологи-
ческих приемов, но зато оно имеет некоторые организационные
особенности. В частности, для повышения безопасности и исклю-
чения возможных злоупотреблений операции по программирова-
нию различных областей микросхемы разнесены территориально и
разграничены по правам различных сотрудников, участвующих в
этом процессе.
Обычно эта процедура разбивается на три этапа:
• на первом рабочем месте выполняется активация карты (ввод ее
в действие);
• на втором рабочем месте выполняются операции, связанные с
обеспечением безопасности;
• на третьем рабочем месте производится собственно персонали-
зация карты.
Традиционно процесс авторизации проводится либо "вруч-
ную", когда продавец или кассир передает запрос по телефону
оператору (голосовая авторизация), либо автоматически, когда
карта помещается в POS-терминал, данные считываются с карты,
кассиром вводится сумма платежа, а владельцем карты со специ-
альной клавиатуры-секретный PIN-код. После этого терминал
осуществляет авторизацию, либо устанавливая связь с базой данных платежной системы (on-line режим), либо реализуя дополни-
тельный обмен данными с самой картой (off-line авторизация). В
случае выдачи наличных денег процесс носит аналогичный харак-
тер, с той лишь особенностью, что деньги в автоматическом режи-
ме выдаются специальным устройством-банкоматом, который и
проводит авторизацию.
Для защиты карт от подделки и последующего несанкциониро-
ванного применения используются различные методы и способы.
Например, для персонализации карт может применяться нанесе-
ние на пластиковую основу черно-белой или цветной фотографии
* владельца карты методом термопечати. На любой карте всегда
существует специальная полоска с образцом подписи владельца
карты. Для защиты карты, как таковой, различные платежные со-
общества применяют специальные объемные изображения на ли-
цевой и оборотной стороне карты (голограммы).
10.3. Персональный идентификационный номер
Испытанным способом идентификации держателя банковской
карты является использование секретного персонального иденти-
фикационного номера PIN. Значение PIN должно быть известно
только держателю карты. Длина PIN должна быть достаточно
большой, чтобы вероятность угадывания злоумышленником пра-
вильного значения с помощью атаки полного перебора значений
была приемлемо малой; С другой стороны, длина PIN должна быть
достаточно короткой, чтобы дать возможность держателям карт
запомнить его значение. Рекомендуемая длина PIN составляет
4... 8 десятичных цифр, но может достигать 12.
Предположим, что PIN имеет длину четыре цифры, тогда про-
тивник. пытающийся подобрать значение PIN к банковской карте,
стоит перед проблемой выбора одной из десяти тысяч возможно-
стей. Если число попыток ввода некорректного значения PIN огра-
ничивается пятью на карту в день, этот противник имеет шансы на
успех менее чем 1:2000. Но на следующий день противник может
попытаться снова, и его шансы увеличиваются до 1:1000. Каждый
следующий день увеличивает вероятность успеха противника. По-
этому многие банки вводят абсолютный предел на число неверных
попыток ввода PIN на карту, чтобы исключить атаку такого рода.
Если установленный предел превышен, считается, что данная кар-
та неправильная, и ее отбирают.
Значение PIN однозначно связано с соответствующими атри-
бутами банковской карты, поэтому PIN можно трактовать как под-
пись держателя карточки. Чтобы инициировать транзакцию, держа-
тель карты, который использует POS-терминал, вставляет свою карту в специальную щель считывателя и вводит свой PIN, исполь-
зуя специальную клавиатуру терминала. Если введенное значение
PIN и номер счета клиента, записанный на магнитной полосе кар-
ты, согласуются между собой, тогда инициируется транзакция.
Защита персонального идентификационного номера PIN для
банковской карты является критичной для безопасности всей пла-
тежной системы. Банковские карты могут быть потеряны, украдены
или подделаны. В таких случаях единственной контрмерой против
несанкционированного доступа остается секретное значение PIN.
Вот почему открытая форма PIN должна быть известна только за-
конному владельцу карты. Она никогда не хранится и не передается
в рамках системы электронных платежей. Очевидно, значение PIN
нужно держать в секрете в течение всего срока действия карты.
Метод генерации значения PIN оказывает существенное вли-
яние на безопасность электронной платежной системы. Вообще,
персональные идентификационные номера могут формироваться
либо банком, либо держателями карт. В частности, клиент разли-
чает два типа PIN [4]:
• PIN, назначенный ему банком, выдавшим карту;
• PIN, выбираемый держателем карты самостоятельно.
Если PIN назначается банком, банк обычно использует один из
двух вариантов процедур генерации PIN.
При первом варианте PIN генерируется криптографически из
номера счета держателя карточки. Процесс генерации назначаемо-
го PIN из номера счета показан на рис. 10.3. Сначала номер счета
клиента дополняется нулями или другой константой до 16 шестна-
дцатеричных цифр (8 байт). Затем получившиеся 8 байт шифруют-
ся по алгоритму DES с использованием секретного ключа. Из полу-
ченного шифртекста длиной 8 байт поочередно выделяют 4-бито-
вые блоки, начиная с младшего байта. Если число, образуемое
этими битами, меньше 10, то полученная цифра включается в PIN,
иначе это значение не используется. Таким путем обрабатывают все
64 бита (8 байт). Если в результате обработки не удалось получить
сразу требуемое количество десятичных цифр, то обращаются к
неиспользованным 4-битовым блокам, из которых вычитают 10.
Рис. 10.3. Схема выведения PIN из номера счета клиента
Очевидное достоинство этой процедуры заключается в том,
что значение PIN не нужно хранить внутри электронной платежной
системы. Недостатком этого подхода является то, что при необхо-
димости изменения PIN требуется выбор либо нового счета клиен-
та, либо нового криптографического ключа. Банки предпочитают,
чтобы номер счета клиента оставался фиксированным. С другой
стороны, поскольку все PIN вычисляют, используя одинаковый
криптографический ключ, изменение одного PIN при сохранении
счета клиента неизбежно влечет за собой изменение всех персо-
нальных идентификационных номеров.
При втором варианте банк выбирает значение PIN случайным
образом, сохраняя значение этого PIN в виде соответствующей
криптограммы. Выбранные значения PIN банк передает держате-
лям банковских карт, пользуясь защищенным каналом.
Использование PIN, назначенного банком, неудобно для кли^
ента даже при небольшой его длине. Такой PIN трудно удержать/в
памяти, и поэтому держатель карты может записать его куда-
нибудь. Главное-это не записать PIN непосредственно на карту
или какое-нибудь другое видное место. Иначе задача злоумышлен-
ника будет сильно облегчена.
Для большего удобства клиента используют значение PIN, вы-
бираемое самим клиентом. Такой способ определения значения
PIN позволяет клиенту:
• использовать один и тот же PIN для различных целей;
• задавать PIN как совокупность букв и цифр (для удобства запо-
минания).
Когда PIN выбран клиентом, он должен быть доведен до све-
дения банка. PIN может быть передан в банк заказной почтой или
отправлен через защищенный терминал, размещенный в банков-
ском офисе, который немедленно его шифрует. Если банку необ-
ходимо использовать выбранный клиентом PIN, тогда поступают
следующим образом. Каждую цифру выбранного клиентом PIN
складывают по модулю 10 (без учета переносов) с соответствую-
щей цифрой PIN, выводимого банком из счета клиента. Получае-
мое десятичное число называется "смещением". Это смещение
запоминается на карте клиента. Поскольку выводимый PIN имеет
случайный характер, то выбранный клиентом PIN невозможно оп-
ределить по его "смещению".
Главное требование безопасности состоит в том, что значение
PIN должно запоминаться владельцем карты и никогда не должно
храниться в любой читабельной форме. Но люди несовершенны и
очень часто забывают свои значения PIN. Поэтому банки должны
заранее заготовить специальные процедуры для таких случаев.
Банк может реализовать один из следующих подходов. Первый ос-
нован на восстановлении забытого клиентом значения PIN и от-
правке его обратно владельцу карты. При втором подходе просто
генерируется новое значение PIN.
При идентификации клиента по значению PIN и предъявлен-
ной карте используются два основных способа проверки PIN: неал-
горитмический и алгоритмический [4].
Неалгоритмический способ проверки PIN не требует приме-
нения специальных алгоритмов. Проверка PIN осуществляется пу-
тем непосредственного сравнения введенного клиентом PIN со
значениями, хранимыми в базе данных. Обычно база данных со
значениями PIN клиентов шифруется методом прозрачного шиф-
рования, чтобы повысить ее защищенность, не усложняя процесса
сравнения.
Алгоритмический способ проверки PIN заключается в том, что
введенный клиентом PIN преобразуют по определенному алгорит-
му с использованием секретного ключа и затем сравнивают со зна-
чением PIN, хранящимся в определенной форме на карте. Досто-
инства этого метода проверки:
• отсутствие копии PIN на главном компьютере исключает его рас-
крытие персоналом банка;
• отсутствие передачи PIN между банкоматом или POS-терми-
налом и главным компьютером банка исключает его перехват
злоумышленником или навязывание результатов сравнения;
• упрощение работы по созданию программного обеспечения сис-
темы, так как уже нет необходимости действий в реальном мас-
штабе времени.
10.4. Обеспечение безопасности систем POS
Системы POS (Point-Of-Sale), обеспечивающие расчеты про-
давца и покупателя в точке продажи, получили широкое распро-
странение в развитых странах и, в частности, в США. Системы
POS осуществляют проверку и обслуживание дебетовых и кредит-
ных карт покупателя непосредственно в местах продажи товаров и
услуг в рамках системы электронных платежей. POS-терминалы,
входящие в эти системы, размещаются на различных предприяти-
ях торговли -в супермаркетах, на автозаправочных станциях и т. п.
POS-терминалы предназначены для обработки транзакций при
финансовых расчетах с использованием пластиковых карт с маг-
нитной полосой и смарт-карт. Использование POS-терминалов по-
зволяет автоматизировать операции по обслуживанию этих карт и
существенно уменьшить время обслуживания.
Возможности и комплектация POS-терминалов варьируются в широких пределах, однако типичный современный POS-терминал снабжен:
- устройствами считывания как с карт с магнитной полосой, так и со смарт-карт;
Обычно POS-терминал бывает также оснащен модемом с воз-
можностью автодозвона. POS-терминал обладает "интеллектуаль-
ными" возможностями-его можно программировать. В качестве
языков программирования используются язык ассемблера, а также
- диалекты языков Си и Бейсик. Все это позволяет проводить авто-
ризацию карт с магнитной полосой в режиме реального времени
(on-line) и использовать при работе со смарт-картами автономный
режим (off-line) с накоплением протоколов транзакций. Эти прото-
колы транзакций передаются в процессинговый центр во время
сеансов связи. Во время этих сеансов POS-терминал может также
принимать и запоминать информацию, передаваемую ЭВМ про-
цессингового центра. В основном это бывают стоп-листы.
Стоимость POS-терминалов в зависимости от комплектации и
возможностей может меняться от нескольких сотен до нескольких
тысяч долларов, хотя обычно не превышает полутора-двух тысяч
долларов. Размеры и вес POS-терминала сопоставимы с анало-
гичными параметрами телефонного аппарата.
Схема системы POS приведена на рис. 10.4. Покупатель для
оплаты покупки предъявляет свою дебетовую или кредитную карту
и вводит значение PIN для подтверждения личности. Продавец, в
свою очередь, вводит сумму денег, которую необходимо уплатить
Рис. 10.4. Схема функционирования системы POS
за покупку или услуги. Затем в банк-эквайер (банк продавца) на-
правляется запрос на перевод денег. Банк-эквайер переадресует
этот запрос в банк-эмитент для проверки подлинности карты,
предъявленной покупателем. Если эта карта подлинная и покупа-
тель имеет право применять ее для оплаты продуктов и услуг,
банк-эмитент переводит деньги в банк-эквайер на счет продавца.
После перевода денег на счет продавца банк-эквайер посылает на
POS-терминал извещение, в котором сообщает о завершении
транзакции. После этого продавец выдает покупателю товар и из-
вещение.
Следует обратить внимание на тот сложный путь, который
должна проделать информация о покупке, прежде чем будет осу-
ществлена транзакция. Во время прохождения этого пути возмож-
ны искажения и потеря сообщений.
Для защиты системы POS должны выполняться следующие
требования.
• Проверка PIN, введенного покупателем, должна производиться
системой банка-эмитента. При пересылке по каналам связи зна-
чение PIN должно быть зашифровано.
• Сообщения, содержащие запрос на перевод денег (или подтвер-
ждение о переводе), должны проверяться на подлинность для
защиты от замены и внесения изменений при прохождении по
линиям связи и обрабатывающим процессорам [4].
Самым уязвимым местом системы РОS являются ее POS-тер-
миналы. В отличие от банкоматов в этом случае изначально пред-
полагается, что POS-терминал не защищен от внешних воздейст-
вий. Угрозы для POS-терминала связаны с возможностью раскры-
тия секретного ключа, который находится в POS-терминале и слу-
жит для шифрования информации, передаваемой этим термина-
лом в банк-эквайер. Угроза раскрытия ключа терминала достаточно
реальна, так как эти терминалы устанавливаются в таких неохра-
няемых местах, как магазины, автозаправочные станции и пр.
Потенциальные угрозы из-за раскрытия ключа получили такие
названия.
• "Обратное трассирование". Сущность этой угрозы состоит в том, что если злоумышленник получит ключ шифрования, то он может пытаться восстановить значения PIN, использованные в предыдущих транзакциях.
• "Прямое трассирование". Сущность этой угрозы состоит в том, что если злоумышленник получит ключ шифрования, то он попытается восстановить значения PIN, которые будут использоваться в последующих транзакциях.
Для защиты от угроз обратного и прямого трассирования предложены три метода:
Рис. 10.5. Схема вывода ключа с учетом двоичного представления
номера S ключа
• метод выведенного ключа;
• метод ключа транзакции;
• метод открытых ключей [4].
Сущность первых двух методов состоит в том, что они обеспе-
чивают модификацию ключа шифрования передаваемых данных
для каждой транзакции.
Метод выведенного ключа обеспечивает смену ключа при ка-
ждой транзакции независимо от ее содержания. Для генерации
ключа шифрования используют однонаправленную функцию от те-
кущего значения ключа и некоторой случайной величины. Процесс
получения (вывода) ключа для шифрования очередной транзакции
представляет собой известное "блуждание" по дереву (рис. 10.5).
Вершиной дерева рис. 10.5 является некоторое начальное зна-
чение ключа I. Чтобы получить ключ с номером S, число S пред-
ставляют в двоичной форме. Затем при вычислении значения клю-
ча учитывается структура двоичного представления числа S, начи-
ная со старшего разряда. Если L-й двоичный разряд числа S ра-
вен 1, то к текущему значению ключа К применяется однонаправ-
ленная функция FL(K), где L- номер рассматриваемого двоичного
разряда. В противном случае переходят к рассмотрению следую-
щего разряда числа S. не применяя однонаправленной функции.
Последняя реализована на основе алгоритма DES. Для получения
достаточного быстродействия количество единиц в двоичном пред-
ставлении числа S обычно ограничивается - их должно быть не
более 10. Этот метод обеспечивает защиту только от угрозы "об-
ратного трассирования".
Метод ключа транзакции позволяет шифровать информа-
цию, передаваемую между POS-терминалами и банком-эквайером, на уникальном ключе, который может меняться от транзакции к
транзакции. Для генерации нового ключа транзакции используются
следующие составляющие:
• однонаправленная функция от значения предыдущего ключа;
• содержание транзакции;
• информация, полученная от карты.
При этом предполагается, что предыдущая транзакция завер-
шилась успешно. Метод ключа транзакции обеспечивает защиту
как от "обратного трассирования", так и от "прямого трассирова-
ния". Раскрытие одного ключа не дает возможности злоумышлен-
нику вскрыть все предыдущие и все последующие транзакции. Не-
достатком данной схемы является сложность ее реализации.
Метод открытых ключей позволяет надежно защититься от
любых видов трассирования и обеспечить надежное шифрование
передаваемой информации. В этом случае POS-терминал снабжа-
ется секретным ключом для расшифровки сообщений банка-
эквайера. Этот ключ генерируется при инициализации терминала.
После генерации секретного ключа терминал посылает связанный
с ним открытый ключ на компьютер банка-эквайера. Обмен между
участниками взаимодействия выполняется с помощью открытого
ключа каждого из них. Подтверждение подлинности участников
осуществляется специальным центром регистрации ключей с ис-
пользованием своей пары открытого и закрытого ключей. Недос-
татком этого метода является его сравнительно малое быстро-
действие.
10.5. Обеспечение безопасности банкоматов
Банкоматом называют банковский автомат для выдачи и ин-
кассирования наличных денег при операциях с пластиковыми кар-
тами. Кроме того, банкомат позволяет держателю карты получать
информацию о текущем состоянии счета (в том числе и выписку на
бумаге), а также проводить операции по перечислению средств с
одного счета на другой.
Банкомат снабжен устройством для чтения карты, а также
дисплеем и клавиатурой для интерактивного взаимодействия с
держателем карточки. Банкомат оснащен персональной ЭВМ, ко-
торая обеспечивает управление банкоматом и контроль его со-
стояния. Последнее весьма важно, поскольку банкомат является
хранилищем наличных денег. Для обеспечения коммуникационных
функций банкоматы оснащаются платами Х.25, а иногда и мо-
демами.
Денежные купюры в банкомате размещаются в кассетах, которые находятся в специальном сейфе. Число кассет определяет количество номиналов купюр, выдаваемых банкоматом. Размеры кассет регулируются, что позволяет заряжать банкомат практически любыми купюрами.
Банкоматы-это стационарные устройства больших габарит-
ных размеров и веса. Примерные размеры: высота -1,5...1,8 м,
ширина и глубина - около 1м, вес - около тонны. Более того, с це-
лью пресечения возможных хищений их монтируют капитально.
Банкоматы размещают как в охраняемых помещениях, так и непо-
средственно на улице.
На сегодняшний день большинство моделей банкоматов рас-
считано на работу в режиме реального времени (on-line) с картами
с магнитной полосой, однако появились банкоматы, способные ра-
ботать со смарт-картами в автономном режиме (off-line).
Автономный режим (off-line) работы банкомата характерен
тем, что банкомат функционирует независимо от компьютеров бан-
ка. Запись информации о транзакции производится на внутренний
магнитный диск и выводится на встроенный принтер. Достоинства-
ми автономного режима банкомата являются его относительная
дешевизна и независимость от качества линий связи. Это весьма
важно для стран с плохой телефонной связью. В то же время низ-
кая стоимость установки напрямую обусловливает высокую стои-
мость эксплуатации таких банкоматов [1,4]. Чтобы обновлять
"черные списки" (стоп-списки) утраченных карточек, необходимо
хотя бы раз в день специально выделенному человеку обходить и
обслуживать такие банкоматы. При большом числе таких устройств
подобное обслуживание затруднительно. Отказ же от ежедневного
обновления списков может привести к значительным потерям для
банка в случае подделки карты или при пользовании краденой
картой.
Сложности возникают также при идентификации (аутентифи-
кации) клиента. Для защиты информации, хранящейся на карте с
магнитной полосой, применяется ее шифрование. Для того чтобы
банкоматы одного и того же банка воспринимали пластиковые кар-
ты с магнитной полосой, в них должен быть использован один ключ
для шифрования (расшифрования). Компрометация его хотя бы на
одном из банкоматов приведет к нарушению защиты на всех бан-
коматах.
Режим реального времени (on-line) характерен тем, что бан-
комат должен быть подсоединен непосредственно или через теле-
фонную сеть к главному компьютеру банка. В этом случае регист-
рация транзакций осуществляется непосредственно на главном
компьютере банка, хотя подтверждение о транзакции выдается на
принтер банкомата. При реализации транзакции банкомат обмени-
вается с главным компьютером банка тремя сообщениями (рис. 10.6):
1) запрос банкомата;
2) ответное сообщение банка;
3) сообщение банкомата о платеже.
Запрос банкомата включает следующие данные:
• идентификатор банкомата;
• номер счета и другая учетная информация клиента;
Рис. 10.6. Схема обмена сообщениями между банкоматом и главной
ЭВМ банка при идентификации и платеже
• серийный номер карты;
• защитный символ;
• зашифрованный PIN клиента;
• количество требуемых денег;
• номер транзакции;
• проверочный код для всех данных сообщения.
Ответное сообщение банка включает следующие данные:
• идентификатор банкомата;
• код операции, разрешающий (запрещающий) платеж;
• номер транзакции;
• проверочный код для всех данных сообщения.
В этом обмене сообщениями для проверки целостности дан-
ных используется код аутентификации сообщения MAC (Message
Authentication Code).
Режим реального времени имеет ряд преимуществ по сравне-
нию с автономным режимом. Он дает возможность клиенту не
только получить наличные деньги, но и осуществлять манипуляции
со своим счетом. Централизованная идентификация/аутентифика-
ция позволяет существенно повысить устойчивость системы к ком-
прометации ключей шифрования. Централизованная проверка
идентификатора пользователя делает возможным оперативное обновление списков запрещенных к использованию карт, а также
введение ограничений на количество наличных денег, которые мо-
жет получить клиент в течение одного дня (для защиты от исполь-
зования украденных карт).
Однако этот режим возможен лишь при наличии надежных ка-
налов связи между банкоматами и банком, что делает его довольно
дорогим. Кроме того, наличие канала связи порождает и другие уг-
розы безопасности по сравнению с автономным режимом работы.
Это-анализ трафика между банкоматом и главным компьютером и
имитация работы главного компьютера компьютером злоумышлен-
ника. При анализе трафика можно получить информацию о счетах,
суммах, условиях платежей и т.п. При имитации работы главного
компьютера банка компьютер злоумышленника может выдавать
положительный ответ на запрос банкомата о результатах иденти-
фикации/аутентификации.
Сети банкоматов являются в настоящее время распростра-
ненной формой эксплуатации банкоматов, в которой участвуют не-
сколько банков [1,5]. Банки-участники такой сети преследуют
следующие цели:
• уменьшение стоимости операций для участников;
• разделение затрат и риска при внедрении новых видов услуг ме-
жду участниками;
• преодоление географических ограничений и соответственно по-
вышение субъективной ценности услуг для потребителей.
При совместном использовании несколькими банками сети
банкоматов возникает серьезная проблема-защита конфиденци-
альной информации банков друг от друга (ключи шифрования и
т.п.). Для разрешения этой проблемы предложена схема централи-
зованной проверки PIN каждым банком в своем центре связи с бан-
коматами. Усложняется также система распределения ключей ме-
жду всеми участниками сети.
Рассмотрим схему прохождения информации о PIN клиента
между банкоматом, банком-эквайером (которому принадлежит бан-
комат) и банком-эмитентом (который выпустил карту клиента)
(рис. 10.7).
Пусть клиент Банка 2 (Эмитента) обратился к банкомату Бан-
ка 1 (Эквайера). При этом в сети банкоматов происходят следую-
щие действия.
1. Считывающее устройство банкомата считывает информа-
цию, записанную на банковской карте, предъявленной клиентом, и
затем банкомат определяет, имеет ли этот клиент счет в Банке 1-
Эквайере.
Рис. 10.7. Схема прохождения информации о PIN клиента между банкоматом,
банком-эквайером и банком-эмитентом
2. Если клиент не имеет счета в Банке 1, транзакция направля-
ется в сетевой маршрутизатор, который, используя идентификаци-
онный номер Банка 2-Эмитента BIN (Bank Identification Number), направляет эту транзакцию на главный компьютер Банка 2 или про-
изводит проверку PIN для Банка 2.
3. Если проверка PIN производится на главном компьютере
Банка 2, то этот компьютер получает полную информацию о тран-
закции и проверяет достоверность PIN.
4. Независимо от результата проверки компьютер Банка 2 пе-
ресылает сообщение с этим результатом через сетевой маршру-
тизатор компьютеру Банка 1.
Как следует из примера, к банку-эмитенту предъявляются сле-
дующие требования:
• выпускаемые им карты должны восприниматься всеми банкома-
тами сети;
• банк-эмитент должен обладать технологией проверки PIN собст-
венных клиентов.
К банку-эквайеру предъявляются другие требования:
• в банкомате или главном компьютере банка должна быть реа-
лизована проверка принадлежности транзакции;
• если нет возможности проверить правильность чужого PIN, банк-
эквайер должен передать данные о транзакции на сетевой мар-
шрутизатор.
Для защиты взаимодействия компьютеров банков друг с дру-
гом и с банкоматами должно применяться оконечное (абонентское)
шифрование информации, передаваемой по линиям связи. Обычно
используется следующий подход: вся сеть банкоматов разбивается
на зоны, и в каждой из них используется свой главный зональный
управляющий ключ ZCMK (Zone Control Master Key). Ключ ZCMK
предназначен для шифрования ключей при обмене между сетевым
маршрутизатором и главным компьютером банка. Ключ ZCMK ин-
дивидуален для всех участников сети. Обычно он генерируется
случайным образом маршрутизатором и передается неэлектрон-
ным способом в банк. Раскрытие ключа ZCMK приведет к раскры-
тию всех PIN, которые передаются между маршрутизатором и
главным компьютером банка.
Для шифрования информации, поступающей от главного ком-
пьютера банка-эмитента на маршрутизатор используется рабочий
ключ эмитента IWK (Issuer Working Key). Его сообщает главному
компьютеру банка-эмитента маршрутизатор в зашифрованном на
уникальном ZCMK виде. Ключ IWK может меняться по запросу
пользователя в процессе работы.
Аналогичный по назначению ключ для обмена между банком-
эквайером и маршрутизатором называется рабочим ключом эквай-
ера AWK (Acquirer Working Key). Для шифрования информации при
передаче от банкомата к главному компьютеру банка-эквайера ис-
пользуется связной ключ эквайера АСК (Acquirer Communication
Key).
При рассмотрении функционирования системы защиты введе-
ны следующие обозначения:
Еу(Х) - шифрование сообщения Х по алгоритму DES с исполь-
зованием ключа Y;
Dy(X) - расшифрование сообщения Х по алгоритму DES с ис-
пользованием ключа Y;
PBL(PIN Block Local) - локальный блок PIN, полученный из
введенного клиентом PIN, дополненного до восьми символов, и
представленный во внутреннем формате банкомата;
PBN(PIN Block Network) - сетевой блок PIN, полученный из
введенного клиентом PIN, дополненного до восьми символов, и
представленный в виде, готовом для передачи в сети.
Вернемся к рассмотрению схемы на рис. 10.7.
1. Клиент предъявил банкомату Банка 1 банковскую карту и
ввел с клавиатуры свой PIN. Банкомат формирует PBL, шифрует
его с использованием АСК, т.е. вычисляет криптограмму Едск(РВ1),
и отправляет ее на главный компьютер Банка 1.
2. На главном компьютере Банка 1 блок PBL расшифровыва-
ется и преобразуется в блок PBN, затем блок PBN шифруется с
использованием AWK и отсылается в Сетевой маршрутизатор.
Процесс преобразования
e ACK(pbl) e AWK(pbn)
называют трансляцией блока PIN с ключа АСК на ключ AWK. Основное назначение этого процесса - смена ключа шифрования.
3. Если PIN проверяется на Сетевом маршрутизаторе, после получения криптограммы eawk(pbn) производится ее расшифрование, а затем выделение PIN с помощью преобразований
d AWK(e AWK(pbn)) = pbn pin.
Если PIN проверяется Банком 2, принятая криптограмма транс-
лируется с ключа AWK на ключ IWK (оба ключа хранятся на Сете-
вом маршрутизаторе):
e AWK(pbn) E IWK(pbn).
Затем криптограмма e IWK(pbn) отправляется в Банк 2.
4. Поступившая в Банк 2 криптограмма e IWK(pbn) преобразуется в зависимости от используемого способа проверки либо в открытый PIN:
d IWK(e IWK(pbn)) = pbn pin,
либо в PIN в форме блока PBL, зашифрованного на ключе базы данных DBK:
e IWK(pbn) e DWK(pbl).
5. После любого из этих преобразований осуществляется по-
иск принятого PIN в базе данных существующих PIN.
6. В результате выполненной проверки введенный клиентом
PIN либо принимается, либо отвергается. Вне зависимости от ре-
зультата проверки главный компьютер Банка 2 пересылает сооб-
щение с результатом через Сетевой маршрутизатор на компьютер
Банка 1, а тот оповещает банкомат о результатах решения.
Рассмотренная схема обеспечения безопасности взаимодей-
ствия компьютеров в сети базируется на симметричном алгоритме
шифрования DES. Поэтому на распространение ключа ZCMK нала-
гаются жесткие ограничения. Применение асимметричной системы
шифрования с открытым ключом позволяет несколько упростить
ключевую систему и соответственно взаимодействие между бан-
коматами и главными компьютерами банков.
В неразделяемой сети банкоматов достаточно использовать
на всех банкоматах одинаковый открытый ключ, а на главном ком-
пьютере банка-закрытый ключ. Это позволяет шифровать запрос
и подтверждающее сообщение из банка, так как обеспечение кон-
фиденциальности ответного сообщения необязательно.
Проблема защиты запроса от активных атак (изменения или
введения ложного запроса) может быть решена в случае неразде-
ляемой сети -использованием пароля для идентификации банко-
матов.
10.6. Универсальная электронная платежная система UEPS.
Ряд социальных и экономических проблем, присущих России
после распада СССР: наличие в стране высококвалифицирован-
ных специалистов, низкий уровень оплаты труда технической интеллигенции, высокий уровень криминальности в стране - дают ос-
нование предположить, что проблемы мошенничества в электрон-
ных системах безналичных расчетов с использованием пластико-
вых карт могут стоять в России более остро по сравнению с Запа-
дом, где. ежегодные потери составляют миллиарды долларов.
Поэтому вопрос обеспечения безопасности функционирования
электронной платежной системы и контроля доступа к финансовой
информации приобретает особое значение. Ввиду недостаточного
развития линий связи в России наиболее перспективны платежные
системы, основанные на автономном принципе (off-line) обслужи-
вания владельцев карточек в торговой точке или банкомате. Уни-
версальная электронная платежная система UEPS (Universal Elect-
ronic Payment System) отвечает указанным требованиям и отлича-
ется высоким уровнем защищенности, что подтверждено результа-
тами авторитетных международных экспертиз. Именно поэтому
построение электронной платежной системы "Сберкарт" с исполь-
зованием микропроцессорных карт в Сбербанке Российской Феде-
рации базируется на технологии UEPS. Концепция и технология
платежной системы UEPS разработана французской компанией
NET1 International [6].
Основным технологическим принципом UEPS является осуще-
ствление всех финансовых транзакций в режиме off-line при непо-
средственном взаимодействии двух интеллектуальных пластико-
вых карт. Базовым алгоритмом шифрования информации служит
алгоритм DES. Высокая криптостойкость обеспечивается исполь-
зованием двойного шифрования на ключах длиной 8 байт.
В платежных системах, работающих в режиме off-line, боль-
шая часть функций по обеспечению контроля действий, по защите
от мошенничества ложится на микропроцессорную карту-базовый
элемент UEPS. В UEPS используются три основных типа микро-
процессорных карт:
• служебные карты персонала банка;
• торговые карты;
• карты клиента.
Все карты содержат 8-битовый микропроцессор.
Приведем технические характеристики карты клиента системы UEPS.
• Процессор: SGS-Thompson, 8 бит, система команд Motorola 6805.
• Операционная система: Многозадачная операционная система чипа MCOS (Multitasking Chip Operation System).
• ОЗУ: 160 байт.
• ПЗУ: 6 Кбайт.
• ЭСППЗУ: 2 Кбайт (16 Кбит).
Конструкция и архитектура микропроцессора не позволяют
осуществить механическое считывание информации путем спили-
вания кристалла по слоям, сканирования электронным микроско-
пом, воздействия ультрафиолетом и т.д. При попытках совершить
подобные операции микропроцессор полностью выходит из строя.
Архитектура самой микропроцессорной карты такова, что процес-
сор контролирует доступ к защищенным областям памяти, переда-
вая управление специальной прикладной программе UEPS. Вся
информация поступает извне на карту в зашифрованном виде и
расшифровывается прикладной программой внутри самой карты с
использованием ключей, хранящихся в защищенных областях па-
мяти. Аналогичным образом шифруется информация, покидающая
карту.
Банковские ключи никогда не покидают карту в открытом виде.
Состав и архитектура платежной системы.
Системообразующим уровнем единой платежной системы является центр эмиссии (рис. 10.8), который выполняет следующие функции:
• генерацию генерального (системообразующего) ключа платежной
системы;
• первичную эмиссию микропроцессорных карт - присвоение кар-
там уникальных серийных номеров USN, занесение на карты об-
щесистемной идентифицирующей и контрольной информации,
занесение на карты генерального ключа системы;
• ведение справочников участников расчетов, регистрацию новых
участников (банков-эмитентов и эквайеров) в системе;
• ведение справочников типов карт и кодов валют, используемых в
системе;
• ведение единой базы данных по заводским номерам и usn-ho-
мерам карт, имеющих хождение в системе.
Вторым уровнем платежной системы являются банки-участ-
ники. Банк-участник платежной системы - финансовый институт,
участвующий в расчетах по микропроцессорным картам и несущий
Рис. 10.8. Архитектура платежной системы
полную финансовую ответственность по транзакциям, совершен-
ным эмитированными им картами. Каждый из банков-участников
перед началом выпуска своих карт (клиентских и торговых) создает
собственный набор ключей эмитента или эквайера, которые зано-
сятся на карты в процессе эмиссии и используются при формиро-
вании и обработке финансовых транзакций. В составе технических
средств банка-участника действует ряд автоматизированных рабо-
чих мест (АРМ) исполнителей: администратора, безопасности, бух-
галтера.
Третьим уровнем иерархии в платежной системе являются операционные пункты. Операционными пунктами называют структурные подразделения банка-участника, в которых производится обслуживание клиентов банка-открытие/закрытие карточных счетов, выдача карточек, выполнение приходных и расходных операций. Карточная система банка-участника должна включать как минимум один операционный пункт.
Распределение ключей и паролей.
В основе безопасности платежной системы UEPS лежит тщательно проработанная схема распределения и использования ключей и индивидуальных паролей субъектов системы UEPS. Распределение ключей и паролей по
картам банка, торговца и клиента приведено в табл. 10.1.
Таблица 10.1
Распределение ключей и паролей по картам банка, торговца и клиента
|
Карта банка |
Карта торговца |
Карта клиента |
Наименование |
|
Ро |
Ро |
Ро |
Мастер-ключ |
|
P1-PIN В |
P1-PINM |
P1-PIN 1 |
Пароли Р1 |
|
P2-RFU |
P2-RFU |
P2-PIN 2 |
Пароли Р2 |
|
РЗ |
РЗ |
РЗ |
Пароль РЗ |
|
Р4 |
Р4 |
Р4 |
Пароль Р4 |
|
Р5 |
Р5 |
Р5 |
Пароль Р5 |
|
Р6 |
Р6 |
Р6 |
Пароль Р6 |
|
Р7 |
Р7 |
Р7 |
Системообразующий ключ Р7 |
|
К11.К12 |
- |
К11.К12 |
Ключи клиентских карточек |
|
- |
КА1.КА2 |
- |
Ключи торговых карточек |
|
SK |
SK |
SK |
Сессионный (сеансовый) ключ обмена |
Дадим пояснения к табл. 10.1.
Мастер-ключ Ро обеспечивает генеральный доступ к карте. На-
значается и известен только центру эмиссии.
Группа паролей Р1:
PIN В-пароль операциониста банка.
PIN М-пароль кассира магазина.
PIN 1-пароль на зачисление средств на карту. Назначается и
известен только владельцу карты. Изменяется владельцем в off-
line терминале.
Группа паролей Р2:
RFU - резервный пароль.
PIN 2-пароль на списание средств с карты. Назначается и известен только владельцу карты. Изменяется владельцем в off-line терминале. (Пароли PIN 1 и PIN 2 могут быть одинаковыми по желанию владельца карты.)
Группы паролей РЗ и Р4 являются резервными.
Пароль Р5 участвует совместно с Р7 в образовании сессионных (сеансовых) ключей. Общий для всех банков-участников единой расчетной системы. Назначается центром эмиссии.
Пароль Р6 предоставляет доступ на запись ключей Klx, КАх. Назначается банком-участником.
P6-RFU - резервный пароль.
Системообразующий ключ Р7 участвует в образовании сессионных ключей. Является общим для всех банков-участников единой платежной системы. Назначается центром эмиссии.
Ключи клиентских карточек K11, KI2 предъявляются при зачислении средств на карту. Участвуют в шифровании записи о транзакции. Назначаются банком-участником.
Ключи торговых карточек КА1, КА2 предъявляются при инкассации карты торговца. Участвуют в шифровании записи о транзакции. Назначаются банком-эмитентом.
Сессионный (сеансовый) ключ обмена SK формируется в памяти карт в результате диалога карты с картой и служит для шифрования всех информационных потоков между картами на протяжении сеанса связи. Уникален для каждого сеанса связи карта-карта.
Цикл платежной транзакции.
В цикле платежной транзакции участвуют три стороны:
• финансовый институт (банк-участник);
• владелец карты;
• предприятие торговли или сферы услуг, банкомат.
Жизненный цикл платежной транзакции можно разбить на три этапа.
На первом этапе владелец карты имеет возможность получить
по своей карте электронную наличность в размере, не превышаю-
щем остаток на его лицевом счете (или банк может кредитовать
клиента). Эта операция может выполняться как оператором банка,
так и в режиме самообслуживания. Она производится на банков-
ском терминале самообслуживания или на рабочем месте опера-
тора банка в режиме on-line с автоматизированной системой банка,
так как нужен доступ к информации о состоянии карт-счета клиен-
та, на основании которой и осуществляется финансовая операция.
Поэтому подобные операции могут совершаться в любом месте,
где есть on-line связь с базой данных карточных счетов клиентов
банка.
Для выполнения этой операции клиент обязан предъявить па-
роль PIN 1 на пополнение средств карты со своего счета в банке.
Далее клиент может совершать платежные операции на сум-
мы, не превышающие остатка электронных средств на его карте, в
любом месте, где установлено оборудование по обслуживанию ми-
кропроцессорных карт стандарта UEPS: off-line торговый терминал,
банкомат и т.д. Следует заметить, что реальные деньги, получен-
ные клиентом на карту, находятся на протяжении всего цикла пла-
тежной транзакции в банке на отдельном счете.
На втором этапе клиент осуществляет платежную операцию в
торговой точке. Эта операция проходит в режиме off-line без запро-
са на авторизацию владельца карты, так как вся необходимая ин-
формация, включая и секретную часть, находится на карте клиен-
та, а карта представляет собой электронный кошелек.
Технически эта операция выполняется следующим образом. В
торговом терминале установлена микропроцессорная карта тор-
говца, и клиент, вставив свою карту в считывающее устройство
торгового терминала, производит списание суммы покупки со своей
карты на карту торговца, при этом баланс карты клиента уменьша-
ется на сумму транзакции, а баланс карты торговца возрастает на
аналогичную сумму. Кроме того, на карту торговца и на карту поку-
пателя заносится полная информация о совершенной транзакции:
дата/время, сумма транзакции, идентификатор покупателя и мага-
зина с информацией о банке и номере счета владельца.
Для совершения транзакции покупатель должен ввести свой пароль PIN 2 на
расходование средств со своей карты. Клиент и
торговец получают дополнительно твердые копии информации о
совершенной транзакции (чек покупателя и журнальная лента ма-
газина). Все транзакции также дублируются в памяти торгового
терминала в зашифрованном виде. На бумажном чеке отображает-
ся название магазина, дата/время совершения операции, номер
карты клиента, сумма операции, а также кодированная строка с
информацией о совершенной транзакции (для обеспечения воз-
можности восстановления информации о совершенной тран-
закции).
На третьем этапе торговец, собрав в течение дня на карту тор-
говца список всех проведенных за торговую сессию транзакций с
подробным описанием каждой, передает (инкассирует) данную ин-
формацию с карты торговца в систему расчетов банка. Эта опера-
ция может осуществляться автоматически, по модемной телефон-
ной связи, или физически, по предъявлении карты торговца в лю-
бом ближайшем отделении банка или пункте инкассации, но в
любом случае зашифрованный список транзакций передается
именно с карты торговца, а не из памяти торгового терминала. По-
сле завершения сеанса "инкассации" карта торговца очищается для работы в следующем сеансе, и на нее переносятся изменения
списка "горячих карт" (hot-list), который карта торговца сообщает
торговому терминалу в начале следующего рабочего дня (новой
торговой сессии).
На следующем этапе банк, получив информацию о произве-
денных транзакциях, перечисляет сумму по всем совершенным
транзакциям данного магазина на счет торговой организации.
Торговые терминалы.
Торговые учреждения и банковские пункты выдачи наличности оснащаются терминалами типа EFT-10 с программным обеспечением UEPS. Терминал имеет два считывателя для микропроцессорных карт. В один считыватель в начале
рабочего дня устанавливается карта торговца, в другой - карта покупателя при оплате покупки. В базовой поставке терминал EFT-10 имеет также считыватель для карт с магнитной полосой и встроенный модем, что позволяет организовать на одном устройстве обслуживание и пластиковых карт с магнитной полосой [7].
Торговый терминал, постоянно находящийся вне банковского
контроля, является с точки зрения безопасности одним из самых
уязвимых элементов платежной системы. Он может подвергаться
попыткам взлома (несанкционированного доступа) со стороны кри-
минальных структур. Поэтому недопустимо доверять торговому
терминалу секретную, критичную с точки зрения функционирования
платежной системы информацию, т.е. банковские ключи и пароли,
алгоритмы шифрования, списки финансовых транзакций и т.д.
В платежной системе UEPS торговый терминал не хранит ни-
какой секретной информации, а играет только роль элемента,
обеспечивающего интерфейсное взаимодействие двух защищен-
ных интеллектуальных устройств: карточки клиента и карточки тор-
говца. Все платежные операции совершаются только в диалоге
двух карт. При этом вне карт вся информация всегда зашифрована
на базе сессионных ключей.
Формирование сессионных ключей.
Диалог между картами клиента и торговца в торговом терминале осуществляется на базе сессионных ключей.
Карта клиента, используя внутренний датчик случайных чисел,
вырабатывает случайное число в начале каждого нового сеанса
взаимодействия с картой торговца, шифрует это число на систем-
ных ключах Р7, Р5 и сообщает карте торговца.
Карта торговца, располагая теми же самыми системными клю-
чами Р7, Р5, расшифровывает принятую информацию и получает
то же самое число в расшифрованном виде. Используя данное
число в комбинации с другими ключами и общими для обеих карт
данными, карты клиента и торговца одновременно вырабатывают
сессионный ключ, который идентичен для обеих карт и уникален
для каждого сеанса связи карточек клиента и торговца.
Сессионный ключ находится только в памяти обеих карт и ни-
когда их не покидает. На базе этого сессионного ключа зашифро-
вываются все информационные потоки между картами, что делает
бесполезными попытки перехвата сообщений в торговом тер-
минале.
Эмиссия карточек.
Все банки-участники единой платежной системы по картам стандарта UEPS получают карты, оснащенные индивидуальным логотипом заказчика (банка-эмитента) и стандартизованным программным обеспечением.
Процедура эмиссии карт состоит их трех этапов:
• назначение центром эмиссии системных ключей;
• назначение банком-участником банковских ключей и паролей;
• персонализация карты клиента банком-участником.
Из них первые два этапа являются секретными и выполняются
с соблюдением соответствующих мер безопасности в специально
оборудованных помещениях. Третий этап, связанный с непосред-
ственной персонализацией карты, является несекретным и выпол-
няется рядовым оператором банка в операционном зале в присут-
ствии клиента.
Система эмиссии карт, распределения и назначения ключей
организована таким образом, чтобы сохранить за каждым банком
уникальные права и ответственность за владение секретной ин-
формацией о своих банковских финансовых ключах.
Процесс эмиссии карт реализуется следующим образом.
Центр эмиссии получает тираж карточек трех видов - банковские,
торговые и клиентские. Все карточки изначально отформатированы
и загружены соответствующим программным обеспечением UEPS.
Доступ ко всем картам закрыт транспортным ключом РО-транс-
портный (уникальный для каждого тиража), который сообщается
поставщиком уполномоченному сотруднику банка.
Первый этап эмиссии (секретная фаза) выполняется в центре
эмиссии при получении каждого нового тиража карточек с обеспе-
чением специальных мер безопасности администратором системы
безопасности. Предъявляя карточкам РО-транспортный центр
эмиссии записывает на все карточки свой секретный мастер-ключ
РО, системные ключи Р7, Р5 и устанавливает для каждой карты уни-
кальный порядковый номер USN в системе банка.
Второй этап эмиссии (секретная фаза) выполняется в банке-
участнике при получении каждого нового тиража карточек с обес-
печением специальных мер безопасности администратором систе-
мы безопасности. Для банковской и торговой карт устанавливаются
соответствующие значения паролей Р1 и Р6. Презентуя пароли Р6
на карты банка и торговца, устанавливаются пароли К11 и KI2 для
банковских карт и КА1 и КА2-для торговых. Банк заносит на карты
также дополнительную информацию (коды валют, информация о
магазине и т.д.).
Третий этап эмиссии-персонализация карты является не-
секретной операцией, выполняемой в присутствии клиента опера-
тором банка, и не требует дополнительных мер безопасности.
Процесс персонализации карты клиента возможен только в
диалоге с картой оператора банка. Оператор, презентуя банков-
ской карте свой пароль PIN В, заносит на карту клиента информа-
цию о владельце (Ф.И.О., банковские реквизиты, срок действия
карты и др.). Банковская карта переносит в зашифрованном виде
на карту клиента банковские ключи К11 и KI2 и записывает на карту
клиента номер карты оператора, которая участвовала в персонали-
зации. Банковские ключи К11 и KI2, переносимые на карту клиента с
банковской карты, зашифрованы на базе сессионных ключей.
Клиент заносит на карту пароли PIN1 и PIN 2 со своей отдель-
ной клавиатуры.
Карта оператора банка контролирует доступ оператора в сис-
тему, проверяя его личный пароль PIN В. Кроме того, независимо
от желания оператора при каждой процедуре персонализации но-
вой карты в память микропроцессора этой карты всегда заносится
номер банковской карты оператора, выдавшего карту клиенту. По-
этому всегда можно установить, какой оператор и когда выдавал
эту карту.
Следует отметить, что оператор банка не получает информа-
цию о клиентских паролях PIN1 и PIN 2 на зачисление и списание.
Эти клиентские пароли не хранятся в системе, они назначаются
клиентом, известны только карте и ее владельцу и могут быть из-
менены клиентом самостоятельно в любой торговой точке в режи-
ме off-line.
Таким образом, без санкции владельца карты, выраженной в
сообщении этой карте правильного пароля, никто другой, в том
числе и оператор банка, не может провести финансовые операции
с картой клиента.
Разграничение ответственности между банками-участниками общей платежной системы.
В системе UEPS только банк-участник имеет право и техническую возможность доступа к информации на эмитируемых банком картах. Даже производители и поставщики, обладая всеми техническими средствами, знаниями
форматов данных и сообщений в системе, исходных текстов программ, местонахождения и назначения всех ключей и паролей, не в состоянии получить доступ к секретной финансовой информации на карточках без знания банковских ключей и паролей [8].
В системе UEPS предусмотрено четкое разделение ключей и
разграничение ответственности между банками-участниками еди-
ной платежной системы. Каждый банк-участник платежной системы
имеет собственные банковские ключи и пароли, участвующие з
шифровании финансовой информации и известные только ему.
Эти ключи и пароли уникальны для каждого банка. Таким образом,
обеспечение мер безопасности сводится к обеспечению надежного
хранения ключей каждым банком-участником системы.
Утрата ключей каким-либо банком-участником может привести
к возможности несанкционированного доступа только к финансовой
информации, касающейся этого банка, и не создаст угрозы финан-
совых потерь для остальных банков-эмитентов, участников единой
платежной системы.
Только одна пара ключей является общей для всех банков-
участников единой платежной системы - это системные ключи Р7,
- Р5, которые определяют принадлежность конкретной карты к дан-
ной платежной системе. Эти системные ключи участвуют лишь в
выработке сессионного ключа в картах при операциях в торговой
точке и не отвечают за шифрование какой-либо другой информа-
ции на карточках клиента или торговца.
Двойное шифрование записи о транзакции на ключах банка-эквайера и банка-эмитента.
Запись о каждой платежной транзакции заносится на карту торговца и имеет сложную структуру. Часть информации остается незашифрованной (дата транзакции, банковские реквизиты покупателя), часть информации шифруется
на ключах банка-эквайера КА1 и КА2 (сумма, номер USN карты покупателя, номер транзакции на карте торговца и др.), а часть информации - на ключах банка-эмитента К11 и KI2 (сумма, USN, PAN, номер транзакции в списке на карте клиента и др.).
Торговец в конце торговой сессии инкассирует список платеж-
ных транзакций в свой банк-эквайер. Этот банк-эквайер, предъяв-
ляя свои ключи КА1 и КА2, расшифровывает свою часть платеж-
ной транзакции и определяет, клиент какого банка, когда и на какую
сумму совершил покупку в его магазине. Получив из записи о тран-
закции информацию о банковских реквизитах покупателя, банк-
эквайер формирует электронное платежное уведомление для бан-
ка-эмитента, частью которого является зашифрованный сертифи-
кат банка-эмитента.
Банк-эмитент, получив платежное уведомление, расшифровы-
вает вторую часть транзакции, предъявляя свои банковские ключи
К11 и KI2. Если расшифрованная информация полностью соответ-
ствует содержащейся в платежном уведомлении (в первую очередь
сумма транзакции и реквизиты владельца карточки, совершившего
покупку), то это платежное уведомление признается подлинным и
оплачивается, в противном случае оно отвергается. Таким образом
исключается возможность фальсификации платежных уведомле-
ний в межбанковских расчетах.
При учреждении банками общего процессингового центра банки могут сохранить право контроля над межбанковскими взаиморасчетными операциями. При этом каждый банк оставляет за собой исключительное право владения, назначения и ротации банковских ключей К11, KI2, КА1, КА2.
Контроль прохождения транзакций в платежной системе.
Для обеспечения контроля безопасности и решения спорных си-
туаций в платежной системе необходима эффективная схема орга-
низации сквозной уникальной нумерации и учета платежных тран-
закций. В системе каждая платежная транзакция идентифицирует-
ся композицией следующих элементов:
• уникальный серийный номер карты клиента в системе;
• порядковый номер транзакции по списку транзакций на карте клиента;
• уникальный серийный номер карты магазина в системе;
• порядковый номер транзакции по списку транзакций на карте магазина;
• порядковый номер инкассации карты магазина.
Реализованная схема позволяет однозначно проследить про-
хождение транзакции по всем элементам системы: Банк-Клиент-Магазин-Банк.
10.7. Обеспечение безопасности электронных платежей через сеть Internet
Еще несколько лет назад сеть Internet использовалась в ос-
новном только для обмена почтовыми сообщениями и пересылки
файлов. Однако в последние годы современные информационные
технологии превратили Internet в развитую инфраструктуру, кото-
рая охватывает все основные информационные центры, мировые
библиотеки, базы данных научной и правовой информации, многие
государственные и коммерческие организации, биржи и банки. Лю-
бая организация может распространять информацию по всему ми-
ру, создав информационный абонентский пункт в WWW Internet.
Все большее значение приобретает электронная торговля.
Число покупок по банковским картам будет расти по мере создания
систем заказов в оперативном режиме Internet. Сегодня Internet
может рассматриваться как огромный рынок, способный охватить
практически все население планеты Земля. Пользование открытой
компьютерной сетью Internet меняет способ доступа к информации
о приобретении, предложении и оплате услуг, покупке товаров и
расчетах. Места совершения сделок постепенно перемещаются от
традиционных рынков к более комфортным для потребителя - в
дом или офис. Именно поэтому производители программных и ап-
паратных средств, торговые и финансовые организации активно
развивают различные виды и методы ведения коммерческой дея-
тельности в Internet-электронной торговли, проявляя надлежащую
заботу об обеспечении ее безопасности [1, 10].
Основные виды электронной торговли
Под термином "электронная торговля" понимают предоставле-
ние товаров и платных услуг через глобальные информационные сети. Рассмотрим наиболее распространенные на сегодня виды электронной коммерции [11].
• Традиционной услугой в области электронной торговли является
продажа информации, например подписка на базы данных, функ-
ционирующие в режиме on-line. Этот вид услуг уже получил
распространение в России (базы данных "Россия-он-Лайн", "Га-
рант-Парк" и др.).
• За рубежом в последнее время становится все более популярной
концепция "электронных магазинов". Обычно электронный мага-
зин представляет собой Web-site, в котором имеется оператив-
ный каталог товаров, виртуальная "тележка" покупателя, на кото-
рую "собираются" товары, а также средства оплаты - по предос-
тавлению номера кредитной карточки по сети Internet или по
телефону. Оперативные каталоги товаров могут обновляться по
мере изменения предложений продукции либо для отражения се-
зонных мер стимулирования спроса. Отправка товаров покупате-
лям осуществляется по почте или, в случае покупки электронных
товаров (например, программного обеспечения), по каналам
электронной почты, или непосредственно через Web-site по сети
Internet.
Начинает развиваться новый вид электронной коммерции-
электронные банки. Среди основных достоинств электронных
банков можно выделить относительно низкую себестоимость ор-
ганизации такого банка (не нужно арендовать престижные зда-
ния, не нужны хранилища ценностей и т.д.) и широкий охват кли-
ентов (потенциальным клиентом электронного банка может стать
практически любой пользователь Internet). Поэтому электронный
банк может предоставлять клиентам более выгодные, чем у
обычного банка, проценты, а также больший спектр банковских
услуг за более низкую плату. Естественно, что электронный банк
имеет собственные системы безопасности и защиты электронной
информации, например специальные карты-генераторы случай-
ных паролей, синхронизируемых с паролем на банковском серве-
ре (это позволяет создавать уникальный пароль при каждом об-
ращении клиента к банковскому серверу). Другой, менее дорого-
стоящий подход связан с использованием персональных смарт-
карт. также позволяющих генерировать сессионные (сеансовые)
ключи.
Некоторая задержка в развитии электронной торговли была
обусловлена отсутствием надежной системы защиты. Пока пла-
тежная информация передается по открытым сетям с минималь-
ными предосторожностями или вовсе без них.
Это является благоприятной почвой для автоматизированного мошенничества (например, использование фильтров для всех сообщений, проходя-
щих через какую-либо сеть, с целью извлечения номеров счетов
кредитных карточек из потока данных), а также мошенничества
"ради озорства", характерного для некоторых хакеров.
Основные методы защиты информации
Традиционный и проверенный способ электронной торговли,
который ведет свое начало от обычной торговли по каталогам,
представляет собой оплату товаров и услуг кредитной карточкой по
телефону. В этом случае покупатель заказывает на Web-сервере
список товаров, которые он хотел бы купить, и потом сообщает по
телефону номер своей кредитной карточки продавцу коммерческой
фирмы. Затем происходит обычная авторизация карты, а списание
денег со счета покупателя производится лишь в момент отправки
товара по почте или с курьером.
Для того чтобы покупатель - владелец кредитной карточки мог
без опасений расплатиться за покупку через сеть, необходимо
иметь более надежный, отработанный механизм защиты передачи
электронных платежей. Такой принципиально новый подход заклю-
чается в немедленной авторизации и шифровании финансовой
информации в сети Internet с использованием схем SSL и SET.
Протокол SSL (Secure Socket Layer) предполагает шифрова-
ние информации на канальном уровне (см. лекция 9, раздел 9.4).
Протокол "Безопасные электронные транзакции" SET (Secure
Electronic Transactions), разработанный компаниями Visa и Master
Card, предполагает шифрование исключительно финансовой ин-
формации. В течение полугода протокол SET обсуждался учеными
всего мира. Главное требование, которое к нему предъявлялось, -
обеспечить полную безопасность и конфиденциальность соверше-
ния сделок. На сегодняшний день технические условия протокола,
обеспечивающие безопасность, признаны оптимальными. Ввод
этого протокола в действие даст владельцам пластиковых карт
возможность использовать компьютерные сети при проведении
финансовых операций, не опасаясь за дальнейшую судьбу своих
платежных средств.
Стандарт SET обещает существенно увеличить объем продаж
по кредитным карточкам через Internet. Совокупное количество по-
тенциальных покупателей-держателей карточек Visa и MasterCard
по всему миру-превышает 700 миллионов человек. Обеспечение
безопасности электронных транзакций для такого пула покупателей
может привести к заметным изменениям, выражающимся в умень-
шении себестоимости транзакции для банков и процессинговых
компаний.
Особенности функционирования протокола SET
Для того чтобы обеспечить полную безопасность и конфи-
денциальность совершения сделок, протокол SET должен гаранти-
ровать непременное соблюдение следующих условий [12].
1. Абсолютная конфиденциальность информации. Владельцы
карточек должны быть уверены в том, что их платежная информа-
ция надежно защищена и доступна только указанному адресату.
Это является непременным условием развития электронной тор-
говли.
2. Полная сохранность данных. Участники электронной тор-
говли должны быть уверены в том, что при передаче от отправите-
ля к адресату содержание сообщения останется неизменным. Со-
общения, отправляемые владельцами карточек коммерсантам, со-
держат информацию о заказах, персональные данные и платежные
инструкции. Если в процессе передачи изменится хотя бы один из
компонентов, то данная транзакция не будет обработана надле-
жащим образом. Поэтому во избежание ошибок протокол SET дол-
жен обеспечить средства, гарантирующие сохранность и неизмен-
ность отправляемых сообщений. Одним из таких средств является
использование цифровых подписей.
3. Аутентификация (установление подлинности) счета вла-
дельца карточки. Использование цифровых подписей и сертифика-
тов владельца карточки гарантирует аутентификацию счета вла-
дельца карточки и подтверждение того, что владелец карточки яв-
ляется законным пользователем данного номера счета.
4. Владелец карточки должен быть уверен, что коммерсант
действительно имеет право проводить финансовые операции с
финансовым учреждением. Использование цифровых подписей и
сертификатов коммерсанта гарантирует владельцу карточки, что
можно безопасно вести электронную торговлю.
Участники системы расчетов и криптографические средства защиты транзакций.
Протокол SET изменяет способ взаимодействия участников системы расчетов. В данном случае электронная транзакция начинается с владельца карточки, а не с ком-
мерсанта или эквайера.
Коммерсант предлагает товар для продажи или предоставляет
услуги за плату. Протокол SET позволяет коммерсанту предлагать
электронные взаимодействия, которые могут безопасно использо-
вать владельцы карточек.
Эквайером (получателем) является финансовое учреждение,
которое открывает счет коммерсанту и обрабатывает авторизации
и платежи по кредитным карточкам. Эквайер обрабатывает сооб-
щения о платежах, переведенных коммерсанту посредством пла-
тежного межсетевого интерфейса. При этом протокол SET гаран-
тирует, что при взаимодействиях, которые осуществляет владелец карточки с коммерсантом, информация о счете кредитной карточки
будет оставаться конфиденциальной.
Финансовые учреждения создают ассоциации банковских кре-
дитных карточек, которые защищают и рекламируют данный тип
карточки, создают и вводят в действие правила использования
кредитных карточек, а также организуют сети для связи финансо-
вых учреждений друг с другом.
Системы кредитных карт утвердились в значительной степени
в качестве платежного средства для приобретения товаров непо-
средственно у продавца. Основное отличие использования кредит-
ных карт в сети Internet заключается в том, что в соответствии со
стандартом SET для защиты транзакций электронной торговли ис-
пользуются процедуры шифрования и цифровой подписи.
Сеть Internet рассчитана на одновременную работу миллионов
пользователей, поэтому в коммерческих Internet-приложениях не-
возможно использовать только симметричные криптосистемы с
секретными ключами (DES, ГОСТ28147-89). В связи с этим приме-
няются также асимметричные криптосистемы с открытыми ключа-
ми. Шифрование с использованием открытых ключей предполага-
ет, что у коммерсанта и покупателя имеются по два ключа-один
открытый, который может быть известен третьим лицам, а другой -
частный (секретный), известный только получателю информации.
Правила SET предусматривают первоначальное шифрование
сообщения с использованием случайным образом сгенерированно-
го симметричного ключа, который, в свою очередь, шифруется от-
крытым ключом получателя сообщения. В результате образуется
так называемый электронный конверт. Получатель сообщения
расшифровывает электронный конверт с помощью своего частного
(секретного) ключа, чтобы получить симметричный ключ отправи-
теля. Далее симметричный ключ отправителя используется для
расшифрования присланного сообщения.
Целостность информации и аутентификации участников тран-
закции гарантируется использованием электронной цифровой под-
писи.
Для защиты сделок от мошенничества и злоупотреблений ор-
ганизованы специальные центры (агентства) сертификации в
Internet, которые следят за тем, чтобы каждый участник электрон-
ной коммерции получал бы уникальный электронный сертификат. В
этом сертификате с помощью секретного ключа сертификации за-
шифрован открытый ключ данного участника коммерческой сделки.
Сертификат генерируется на определенное время, и для его полу-
чения необходимо представить в центр сертификации документ,
подтверждающий личность участника (для юридических лиц - их
легальную регистрацию), и затем, имея "на руках" открытый ключ
центра сертификации, участвовать в сделках.
Рассмотрим пример шифрования. Коммерсант Х хочет
направить зашифрованное сообщение о товаре покупателю У в
ответ на его запрос. Х пропускает описание товара через од-
нонаправленный алгоритм, чтобы получить уникальное значение,
известное как дайджест сообщения. Это своего рода цифровой
слепок с описания товара, который впоследствии будет использо-
ван для проверки целостности сообщения. Затем Алиса шифрует
этот дайджест сообщения личным (секретным) ключом для подпи-
си, чтобы создать цифровую подпись.
После этого Х создает произвольный симметричный ключ
- и использует его для шифрования описания товара, своей подписи
и копии своего сертификата, который содержит ее открытый ключ
для подписи. Для того чтобы расшифровать описание товара, Бобу
потребуется защищенная копия этого произвольного симметрично-
го ключа.
Сертификат У, который Х должен был получить до
инициации безопасной связи с ним, содержит копию его открытого
ключа для обмена ключами. Чтобы обеспечить безопасную пере-
дачу симметричного ключа, Х шифрует его, пользуясь откры-
тым ключом У для обмена ключами. Зашифрованный ключ, ко-
торый называется цифровым конвертом, направляется У вме-
сте с зашифрованным сообщением.
Наконец, она отправляет сообщение У, состоящее из сле-
дующих компонентов:
• симметрично зашифрованного описания товара, подписи и сво-
его сертификата;
• асимметрично зашифрованного симметричного ключа (цифровой
конверт).
Продолжим предыдущий пример и рассмотрим процедуру
расшифрования.
У получает зашифрованное сообщение от Х и прежде
всего расшифровывает цифровой конверт личным (секретным)
ключом для обмена ключами с целью извлечения симметричного
ключа. Затем У использует этот симметричный ключ для рас-
шифрования описания товара, подписи Х и его сертификата.
Далее У расшифровывает цифровую подпись Х с помощью
ее открытого ключа для подписи, который получает из ее сертифи-
ката. Тем самым он восстанавливает оригинальный дайджест со-
общения с описанием товара. Затем У пропускает описание то-
вара через тот же однонаправленный алгоритм, который использо-
вался Х, и получает новый дайджест сообщения с рас-
шифрованным описанием товара.
Потом У сравнивает свой дайджест сообщения с тем дай-
джестом, который получен из цифровой подписи Х. Если они в
точности совпадают, У получает подтверждение, что содержание сообщения не изменилось во время передачи и что оно подписано
с использованием личного (секретного) ключа для подписи Х.
Если же дайджесты не совпадают, это означает, что сообщение
либо было отправлено из другого места, либо 'было изменено по-
сле того, как было подписано. В этом случае У предпринимает
определенные действия, например уведомляет Х или отверга-
ет полученное сообщение.
Протокол SET вводит новое применение цифровых подписей,
а именно использование двойных цифровых подписей. В рамках
протокола SET двойные цифровые подписи используются для свя-
зи заказа, отправленного коммерсанту, с платежными инструкция-
ми, содержащими информацию о счете и отправленными банку [12].
Например, покупатель У хочет направить коммерсанту Х предложение купить единицу товара и авторизацию своему бан-
ку на перечисление денег, если Х примет его предложение. В
то же время У не хочет, чтобы в банке прочитали условия его
предложения, равно как и не хочет, чтобы Х прочитал его информацию о счете.
Кроме того, У хочет связать свое предло-
жение с перечислением так, чтобы деньги были перечислены толь-
ко в том случае, если Х примет его предложение.
Все вышесказанное У может выполнить посредством циф-
ровой подписи под обоими сообщениями с помощью одной опера-
ции подписывания, которая создает двойную цифровую подпись.
Двойная цифровая подпись создается путем формирования дай-
джеста обоих сообщений, связывания двух сообщений вместе, вы-
числения дайджеста итога предыдущих операций и шифрования
этого дайджеста личным ключом для подписи автора. Автор обязан
включить также дайджест другого сообщения, с тем чтобы получа-
тель проверил двойную подпись.
Получатель любого из этих сообщений может проверить его
подлинность, генерируя дайджест из своей копии сообщения, свя-
зывая его с дайджестом другого сообщения (в порядке, предусмот-
ренном отправителем) и вычисляя дайджест для полученного ито-
га. Если вновь образованный дайджест соответствует расшифро-
ванной двойной подписи, то получатель может доверять подлин-
ности сообщения.
Если Х принимает предложение У, он может отпра-
вить сообщение банку, указав на свое согласие и включив дай-
джест сообщения с предложением У. Банк может проверить
подлинность авторизации У на перечисление и дайджеста со-
общения с предложением У, предоставленного Х, чтобы
подтвердить двойную подпись. Таким образом, банк может прове-
рить подлинность предложения на основании двойной подписи, но
банк не сможет прочитать условия предложения.
Использование сертификатов.
Альтернативой безопасной передаче ключа служит использование доверенной третьей стороны - центра сертификации (агентства по сертификатам)-для под-
тверждения того, что открытый ключ принадлежит именно владельцу карточки[12].
Центр сертификации создает сообщение, содержащее имя
владельца карточки и его открытый ключ, после предъявления
владельцем карточки доказательств идентификации личности (во-
дительские права или паспорт). Такое сообщение называется сер-
тификатом. Сертификат снабжается подписью центра сертифи-
кации и содержит информацию об идентификации владельца, а
также копию одного из открытых ключей владельца.
Участники протокола SET имеют две пары ключей и распола-
гают двумя сертификатами. Оба сертификата создаются и подпи-
сываются одновременно центром сертификации.
Сертификаты владельцев карточек функционируют как эле-
ктронный эквивалент кредитных карточек. Они снабжаются цифро-
вой подписью финансового учреждения и поэтому не могут быть
изменены третьей стороной. Эти сертификаты содержат номер
счета и срок действия, которые шифруются с использованием од-
нонаправленного алгоритма хэширования. Если номер счета и да-
та окончания действия известны, то связь с сертификатом можно
подтвердить, однако эту информацию невозможно получить путем
изучения данного сертификата. В рамках протокола SET владелец
карточки представляет информацию о счете в тот платежный меж-
сетевой интерфейс, где проводится данная связь.
Сертификат выдается владельцу карточки только с разреше-
ния финансового учреждения-эмитента карточки. Запрашивая
сертификат, владелец карточки указывает свое намерение исполь-
зовать торговлю электронными средствами. Эти сертификаты пе-
редаются коммерсантам вместе с запросами о покупке и зашифро-
ванными платежными инструкциями. Когда коммерсант получает
сертификат владельца карточки, он может не сомневаться в том,
что номер счета подтвержден финансовым учреждением.
Сертификаты коммерсантов являются электронным анало-
гом фирменной картинки, которая выставляется в витрине элек-
тронного магазина. Эти сертификаты снабжены цифровой подпи-
сью финансового учреждения коммерсанта и, следовательно, не
могут быть изменены третьей стороной. Сертификаты служат га-
рантией того, что коммерсант имеет действующее соглашение с
эквайером.
Коммерсант должен иметь по меньшей мере одну пару серти-
фикатов для того, чтобы участвовать в операционной среде SET,
но у одного коммерсанта может быть множество пар сертифика-
тов-для каждого типа кредитных карточек, которые он принимает к
оплате.
Сертификаты платежных межсетевых интерфейсов выда-
ется эквайерам или их обработчикам для систем, которые обраба-
тывают авторизации и получают сообщения. Ключ шифрования
конкретного интерфейса, который владелец карточки получает из
этого сертификата, используется для защиты информации о счете
владельца карточки. Сертификаты платежного интерфейса выда-
ются эквайеру оператором карточек определенного типа.
Сертификаты эквайеров выдаются эквайерам для того, что-
бы они могли принимать и обрабатывать запросы о сертификатах,
инициированных коммерсантами. Эквайеры получают сертификаты
от каждой ассоциации кредитных карточек.
Сертификаты эмитентов нужны эмитентам для того, чтобы
пользоваться услугами центра сертификации, который может при-
нимать и обрабатывать запросы о сертификатах непосредственно
от владельцев карточек по открытым и частным сетям. Эмитенты
получают сертификаты от ассоциации кредитных карточек.
Сертификаты SET проверяются в иерархии доверия (рис. 10.9).
Каждый сертификат связан с сертификатом подписи того объекта,
который снабдил его цифровой подписью. Следуя по "дереву дове-
рия" до известной доверенной стороны, можно быть уверенным в
том, что сертификат является действительным. Например, серти-
фикат владельца карточки связан с сертификатом эмитента (или
ассоциации по поручению эмитента), который, в свою очередь,
связан с корневым ключом через сертификат ассоциации.
Рис. 10.9. Иерархическое дерево доверия
Открытый ключ для корневой подписи известен всем про-
граммным средствам SET и может быть использован для проверки
каждого из сертификатов. Корневой ключ будет распространяться в
сертификате с автоподписью. Этот сертификат корневого ключа
будет доступен поставщикам программного обеспечения для вклю-
чения в их программные средства.
Протокол SET определяет множество протоколов транзакций,
которые используют криптографические средства для безопасного
ведения электронной коммерции. Среди этих протоколов транзак-
ций - регистрация владельца карточки, регистрация коммерсанта,
запрос о покупке, авторизация платежа, получение платежа. В [12]
подробно рассмотрены две транзакции - регистрация владельца
карточки и авторизация платежа.
Новые достижения в области безопасности использования
кредитных карточек, реализованные в стандарте SET, способны
удовлетворить самых недоверчивых клиентов электронных пла-
тежных систем, поскольку устраняются все их опасения путем вне-
дрения средств шифрования для скремблирования кредитной кар-
точки в таком порядке, чтобы ее могли читать только продавец и
покупатель.
Системы такого типа имеют ряд преимуществ.
• Деньги клиента находятся под надежным присмотром банка. Ес-
ли клиент потеряет карточку, то его счет все равно связан с его
именем. В отличие от систем с использованием наличности у
банка есть возможность проверить остаток на счете клиента, по-
этому деньги клиента не теряются.
• Отпадает необходимость в открытии нового счета. В банке для
обработки транзакций данного типа клиент может продолжать
пользоваться действующим счетом и кредитной карточкой. Этот
фактор имеет большое значение на начальных стадиях элек-
тронной торговли в WWW сети Internet.
Однако имеется и недостаток, причем существенный - отсут-
ствие конфиденциальности. В отличие от транзакций с электрон-
ной наличностью, которые являются анонимными, в транзакциях с
кредитными картами имя клиента жестко связано со счетом.
Технологические решения для электронной торговли
В настоящее время наибольшее распространение получили
два программно-аппаратных решения, предложенные компаниями
Microsoft, VeriFone и Netscape.
Оба этих решения предполагают использование следующего
набора компонентов [11]:
• клиентский компьютер, имеющий доступ к Internet и Web-brouser;
• сервер электронной торговли, на котором ведется каталог това-
ров и принимаются зашифрованные запросы клиентов на покупку
тех или иных товаров;
• средство для обеспечения взаимной конвертации протоколов
Internet и стандартных протоколов авторизации (ISO 8583 и др.).
Рассмотрим реализацию данной схемы на примере продуктов
Microsoft (Merchant Server) и VeriFone (vPOS и vGate). Программное
обеспечение vPOS устанавливается на рабочей станции клиента и
осуществляет поддержку протокола SET, шифрование и аутенти-
фикацию информации, получение необходимых сертификатов и др.
Microsoft Merchant Server помимо указанных выше функций ве-
дения каталога и приема запросов клиентов осуществляет связь с
другим продуктом VeriFone-vGate, Программное обеспечение
vGate, получая запросы в формате SET, расшифровывает их и
конвертирует в формат ISO 8583. Таким образом, становится воз-
можным осуществлять платежи в сети Internet с использованием
обычных кредитных карт.
Следует отметить, что описанные выше решения являются по существу адаптацией
технологий кредитных карт, существующих еще с 60-х годов, к современным электронным технологиям.
Альтернативный путь-внедрение концепции "чисто" электрон-
ных денег, концепции DigiCash и CyberCash. Электронные деньги представляют собой специальную последовательность электрон-
ных деноминации и электронных подписей, подготовленных банка-
ми. Системы, подобные DigiCash, CyberCash и NetCash, позволяют
клиентам вносить реальные деньги на банковский счет, после чего
использовать эту наличность в электронной форме для приобрете-
ния различных товаров через Internet. Клиент банка заводит вирту-
альный электронный "кошелек", поместив в него определенную
сумму денег. Клиенты системы DigiCash в качестве эквивалента
любой мелкой монеты получают 64-битовый номер, который затем
переводится на жесткий диск конкретного пользователя. Дальней-
шая оплата товаров и услуг осуществляется перечислением соот-
ветствующей битовой информации. Клиент может перечислять эту
электронную наличность продавцам в Internet (если данный прода-
вец согласен с такой формой оплаты). Затем продавец возвращает
электронную наличность банку в обмен на настоящие деньги
[14,15].
К достоинствам систем такого типа относятся:
• конфиденциальность (движение электронной наличности нельзя проследить; банк не связывает номера с каким-либо конкретным лицом, поэтому не может раскрыть инкогнито плательщика);
• гарантированная безопасность для банков (любой покупатель может потратить только ту сумму, которую он имеет на счете).
Недостатком транзакций описанного типа является то, что
электронные деньги ничем не гарантированы. Например, если же-
сткий диск компьютера выходит из строя, или разоряется элек-
тронный банк, или хакеры расшифровывают номера электронной
наличности, во всех этих случаях нет никакого способа вернуть ут-
раченную клиентом наличность. Поскольку банк не связывает день-
ги с именем клиента, он не может компенсировать потери клиента.
Другим технологическим решением является система плате-
жей с использованием смарт-карт Mondex, которую недавно приоб-
рела компания MasterCard. В отличие от традиционных платежных
систем система на основе смарт-карт Mondex предполагает эмис-
сию электронных денег, которые помещаются на смарт-карту и мо-
гут переписываться на другие смарт-карты, сниматься с карты в
пунктах продажи и т.д. Еще одним отличием системы Mondex от
других платежных систем типа "электронный кошелек" является
анонимность платежей. Однако следует иметь в виду, что во мно-
гих странах законодательно запрещены анонимные платежи на
крупные суммы.
В системе Mondex решены и проблемы конвертации валюты. В
каждой из стран, присоединившихся к этому проекту, планируется
организовать специальный банк, который будет эмитировать элек-
тронную наличность. При переводе средств из одной валюты в дру-
гую в системе организуется специальная транзакция между элек-
тронными банками двух стран. Перерасчет осуществляется по
официальному курсу, а затем на карту клиента помещается дейст-
вующая сумма в другой валюте.
Упражнение к лекции 10
Литература
1.Логинов А.А.,,Елхимов Н.С. Общие принципы функционирования электронных платежных систем и осуществление мер безопасности при защите от злоупотребления и мошенничества // Конфидент.-1995.-№4.-С.48-54.
2. Михайлов А.Г. Новые банковские технологии – пластиковые карты //Защита информации. -1995.-№3.-С. 62-68.
3. Завалеев В. Пластиковая карточка как платежный инструмент. Центр Информационных Технологий.
Документ http://www.citforum.ru/marketing/articles/art8.shtml.
4. Гайкович В., Першин А. Безопасность электронных банковских систем.-М.: Единая Европа, 1994.-363 с.
5. SeberryJ., PieprzykJ. Cryptography. An Introduction to Computer Security. Advances in Computer Science Series.-Prentice Hall of Australia Pty Ltd., 1989.-375 p.
6. Соколов Ю.В. Безопасность в платежной системе на основе карточек АС "Сберкарт" // Конфидент.-1997- №1.-С.46-47.
7. Диффи У., Хеллман М.Э. Защищенность и имитостойкость: Введение в криптографию//ТИИЭР.-1979.-Т. 67. №3.-С.71-109.
8. Андерсон Р. U EPS-электронный бумажник второго поколения // Конфидент. -1997.-№1.-С. 49-53.
9. Аксен Б.А. Электронные системы расчетов в Internet: от реальной витрины к виртуальной // Конфидент.-1996.-№6.- С. 43-48.
10. Хэйт Т. Размышления об электронных платежах // Сети и системы связи.-1996.-№4.-С.118-121.
11. Вайнштейн В. Ведение личных финансов, покупки и управление банковским счетом через Internet. CIT Forum, 1997.
12. Балакирский В.Б. Безопасность электронных платежей // Конфидент.-1996.-№5.-С. 47-53.
13. Ипполитова К.В. SET как двигатель электронной торговли // Конфидент.-1996.-№6.-С. 66-69. •
14. Лебедев А. Платежные карточки. Новые возможности, проблемы и тенденции // Банки и технологии.-1997.-№6.-С. 36-41.
15. Отставнов М.Е. Электронная наличность в сетях Internet // Банковские технологии. -1996. -Февраль-март.-С. 46-50.