Средства шифрования для e-commerce

Насколько в данный момент распространен стандарт 3d Secure или можно сказать что большинство интернет магазинов все еще пользуются решениями на базе SSL??

Вообще-то это не взаимозаменяемые вещи. 3-D Secure — протокол высокого уровня для авторизации транзакций (насколько могу судить). SSL — протокол низкого уровня для защиты транзакционных данных. Они решают разные задачи.

Одним из недостатков SSL по сравнению с тем же SET'ом является то, что номер карты клиента виден продавцу. Правильно ли я понимаю, что в данным момент решения на базе SSL обходят эту проблему путем переадресовывания платежа на сайт платежной системы??

Так и есть. Мало сумасшедших организаций, которым хочется реализовывать SET. Мало сумасшедших пользователей, которым хочется связываться с SET из-за необходимости предварительной регистрации. Замкнутый круг — SET никому не нужен.

Проблема онлайн-торговли — это отсутствие надёжного канала: компьютеры обычных пользователей совершенно не могут считаться надёжными оконечными устройствами, хотя именно из этого допущения построены все современные распространённые протоколы. В качестве решения можно, например, использовать маленькое криптоустройство, втыкаемое в USB, снабжённое собственным экраном, кнопками "Да/Нет" и загруженное криптоключами банка. Когда пользователь хочет совершить покупку, он подключает устройство, которое связывается с банком напрямую и выводит на своём экране информацию о транзакции, которую пользователь может принять или отклонить. Прототипы таких устройств существуют, но, увы, похоже тоже никому не нужны. Ну, или можно продолжать аутентифицировать сами транзакции, как это делают и сейчас при превышении некоторых пороговых сумм.

Если Вы опять же строите защиту, исходя из защищённости пользовательских ПК, Вас ждёт epic fail.

SET — какая-то попытка сохранить приватность покупок. 3D-secure — не могу ничего сказать, мало ли что там изобрели с целью маркетинга Visa или MasterCard. Это даже не просто не стандарт и не научная разработка, а даже не продукт OpenSource сообщества. Это протокол, изобретённый коммерсантами и для коммерсантов. Маловероятно, что вы найдёте понимание в этом вопросе здесь, хотя может кто-то знает.

Если протокол ещё и патентованный, то он мертворождённый в принципе. Если бы его разрабатывала хотя бы какая-нибудь европейская комиссия по приватности (они иногда пытаются контролировать бизнес и предлагают протоколы для него, впрочем без успеха внедрения), то можно было бы глянуть.

Вопрос скорее глупый.. Можно ли сказать что архитектура 3d Secure практически идеальна, за исключением возможно слабого места?

Скорее глупый. Вообще неясно зачем этот протокол. Только расширение поверх SSL для торговли и всё? Где работы, пруфы, проекты конкурирующих стандартов?

Говорите прямо: е-бизнес (а также е-банки, е-баксы, е-буки,...). Не надо вуалировать суть этой деятельности всякими эвфемизмами, русский язык – он не просто так!

3D-secure — не могу ничего сказать, мало ли что там изобрели с целью маркетинга Visa или MasterCard. Это даже не просто не стандарт и не научная разработка, а даже не продукт OpenSource сообщества. Это протокол, изобретённый коммерсантами и для коммерсантов. Маловероятно, что вы найдёте понимание в этом вопросе здесь, хотя может кто-то знает.

Насколько я понял, под этим мудрёным названием скрывается просто трёхсторонний протокол, при котором покупатель вводит номер карты продавцу, продавец инициирует транзакцию обычным методом, затем покупатель идёт в банк и подтверждает ее. В общем, как в пайпале.

Вообще-то это не взаимозаменяемые вещи. 3-D Secure — протокол высокого уровня для авторизации транзакций (насколько могу судить). SSL — протокол низкого уровня для защиты транзакционных данных. Они решают разные задачи.

Задам вопрос по другому. Как по вашему мнению 3d Secure тем, чего ждали от SET'a, то есть единым стандартом, который используют большинство онлайн магазинов? И если у кого нибудь данные насколько распространен 3d Secure? или многие магазины все еще используют свои решения на базе SSL, к примеру с переадресацией платежа системе Assist??

Вы правы насчет того, что это протоколы разного уровня, но ведь мне всетаки кажется что их можно сравнивать. Извините если что не так скажу в плане терминов. К примеру взять даже несколько сервисов по заказу авиабилетов. Тот же SAS у себя судя по всему(могу ошибаться) использует просто передачу номера карты по SSL, в то время как такой же сервис edreams.com использует у себя 3D Secure технологию Verified by Visa. В этом контексте при предоставлении фактически одной и той же услуги выше указанные протоколы ведь можно сравнивать. Да и создатели SET зачастую указывают в качестве одной из причин провала из протокола простоту и дешевизну SSL.

В качестве решения можно, например, использовать маленькое криптоустройство, втыкаемое в USB, снабжённое собственным экраном, кнопками "Да/Нет" и загруженное криптоключами банка. Когда пользователь хочет совершить покупку, он подключает устройство, которое связывается с банком напрямую и выводит на своём экране информацию о транзакции, которую пользователь может принять или отклонить. Прототипы таких устройств существуют, но, увы, похоже тоже никому не нужны.

Не могли бы вы написать название этих устройств, ну или скинуть какую нибудь статью про это. Буду очень благодарен.

Может кто-то еще подскажет что-нибудь по способам аутентификации клиента?

или многие магазины все еще используют свои решения на базе SSL, к примеру с переадресацией платежа системе Assist??

Уверен, что таких большинство. :) Учитывая патенты, на которые указал unknown, торговые марки и прочие нюансы интеллектуальных прав, имею серьёзные подозрения, что использование 3-D Secure (даже если он обладает какими-то фундаментальными преимуществами; сам этот вопрос оставляю за скобками) обойдётся пользователю дороже того же SSL с обслуживанием в едином процессинговом центре.

Не могли бы вы написать название этих устройств, ну или скинуть какую нибудь статью про это. Буду очень благодарен.

Из последних плодов нанотехнологий: http://www.zurich.ibm.com/ztic/

Вы правы насчет того, что это протоколы разного уровня, но ведь мне всетаки кажется что их можно сравнивать.

В данном контексте данные протоколы предназначены для отражения различных атак. Шифрование канала связи между продавцом и покупателем защищает только от утечки номера карты третьим лицам. А 3D Secure по замыслу должен защитить от потери денег путём авторизации явно пользователем каждой транзакции в том случае, если номер карты уже как-либо похищен, например, из-за утечки у продавца.

Уверен, что таких большинство. :) Учитывая патенты, на которые указал unknown, торговые марки и прочие нюансы интеллектуальных прав, имею серьёзные подозрения, что использование 3-D Secure (даже если он обладает какими-то фундаментальными преимуществами; сам этот вопрос оставляю за скобками) обойдётся пользователю дороже того же SSL с обслуживанием в едином процессинговом центре.

Честно говоря очень хотелось бы включить в свою работу небольшой сравнительный анализ 3d Secure и решений с использованием SSL и переадресацией платежей в процессинговый центр. Никак не могу в сети нарыть какой либо отчет выше указанных решениях с переадресацией? может сталкивались? подскажите?

Из последних плодов нанотехнологий:

Извините, что немного наглею, может подскажите что нибудь из этой оперы. Имею ввиду какие либо последние технологии связанные с защитой в сфере электронной коммерции.. Ресурсы, ссылки, просто советы. За все буду благодарен.. Заранее спасибо.

Насколько я понял, под этим мудрёным названием скрывается просто трёхсторонний протокол, при котором покупатель вводит номер карты продавцу, продавец инициирует транзакцию обычным методом, затем покупатель идёт в банк и подтверждает ее. В общем, как в пайпале.

Наподобие того. Только это не похоже на PayPal. Способ подтверждения выбирает банк – это может быть отдельный пароль, одноразовые пароли (скажем, высылаемые смсками), смарт-карта, звонок из банка... Это в целом неплохая идея – банк знает своего клиента, в отличие от магазина.
Очевидный недостаток – фишеры могут притворяться банком. При правильной реализации от этого можно защититься (подтверждение с помощью смс, а в смс – все детали транзакции. Либо криптографический калькулятор у пользователя, генерирующий одноразовые пароли, зависящие от деталей транзакции, как в E-num у WebMoney), да только не верится, что так будет.
3-D Secure мало распространена (по крайней мере в России), поэтому воспользоваться картой можно и без этой дополнительной проверки со стороны банка – достаточно просто выбрать магазин, не поддерживающий 3-D Secure.

2. Одним из недостатков SSL по сравнению с тем же SET'ом является то, что номер карты клиента виден продавцу. Правильно ли я понимаю, что в данным момент решения на базе SSL обходят эту проблему путем переадресовывания платежа на сайт платежной системы?? Буду очень благодарен, если кто-то посоветует материалы по поводу того как SSL используется в онлайн магазинах.

Да, часто информацию о карте вводят прямо на сайте шлюза. Хакер, взломавший магазин, может сделать свою страницу оплаты и собирать информацию о картах, а потом перенаправлять покупателей на шлюз.
Магазинов, хранящих полные данные о картах (включая cvc2/cvv2, что запрещено правилами Visa/MasterCard/...) почти не осталось, но и такие есть.

3. Какие существуют решения по аутентификации клиента при покупке онлайн, кроме пароля( как в 3d Secure технологиях Verufied by Visa и тд) и выдачи сертификата клиенту как в SET'е??

Как уже написал чуть выше, 3-D Secure – не обязательно пароль. Это может быть любой способ.
Про SET никогда не слышал. Что-то, связанное с выдачей каждому держателю карты X.509 сертификата. Не верю, что этим кто-то пользуется. Поискал – в Коммерсанте восемь лет назад писали, что МПС (Международные Платёжные Системы: Visa, MasterCard etc) отказываются от SET'а. Его, видимо, можно уже не упоминать.
Популярный нынче способ – отсутствие проверок (ну, кроме информации с карты) :-)
Процессинги карт могут проверять страну (для Америки – штат) выдачи карты и страну, откуда идёт соединение (по базам IP -> страна). Магазины могут звонить клиенту для подтверждения заказа (это ничего не даёт, злоумышленнику только нужно иметь возможность принять звонок, ну и на не очень ломанном английском сказать, что действительно делал покупку). Магазины могут не отправлять невиртуальные товары на адрес, отличный от Billing-адреса (адрес, сообщённый картхолдером банку для выпуска карты. Во многих зарубежных банках есть возможность менять Billing-адрес онлайн, чем мошенники и пользуются). Ну и можно просто вручную проверять заказы и не обрабатывать подозрительные (кто-то, судя по IP, находящийся в Африке, пытается заплатить картой английского банка за бриллиантовое колье с доставкой в Россию).

И если у кого нибудь данные насколько распространен 3d Secure?

Не так давно карты с поддержкой 3-D Secure выпускал в России только Сбербанк (одноразовые пароли. Можно получить смской или в банкомате Сбербанка). Теперь вот, кажется, ещё Райффайзен. И ВТБ-24, вроде, собирается начать поддерживать.

Никак не могу в сети нарыть какой либо отчет выше указанных решениях с переадресацией?

Так о чём речь? Хотите заплатить картой – выбираете на сайте магазина товары, жмёте "Платить", попадаете на сайт шлюза, вводите данные карты, попадаете обратно в магазин. При 3-D Secure, как я понимаю, после ввода информации о карте ещё нужно будет подтвердить транзакцию на сайте банка. О чём тут отчитываться-то? :-)

Извините, что немного наглею, может подскажите что нибудь из этой оперы. Имею ввиду какие либо последние технологии связанные с защитой в сфере электронной коммерции.. Ресурсы, ссылки, просто советы.

Вообще платить банковскими картами в Сети – очень небезопасно. Если Ваша магистерская работа не должна быть связана только с банковскими картами, обратите внимание на системы электронных платежей, попадаются интересные способы. Например, у WebMoney есть много разных способов работы с кошельком, в том числе и клиентские SSL-сертификаты, уже упомянутый криптографический калькулятор (реализованный как Java-программа для мобильного телефона) и прочее. Yandex.Деньги используют либо дополнительный пароль, либо карту с одноразовыми паролями, либо устройство-криптокалькулятор (не вопрос-ответ, а просто одноразовые пароли).
Ещё стоит попробовать найти что-то из "последних технологий" в сфере интернет-банкинга. Это более привлекательная цель для злоумышленников (с банковской карты нужно купить товар, а потом продать за реальные деньги или воспользоваться другой подобной схемой, а при помощи интернет-банкинга можно сразу перевести деньги на свой счёт, а оттуда снять), за ними активнее охотятся, ну и защищают их лучше. Несколько примеров. ВТБ-24 – одноразовые пароли, напечатанные на физическом носителе или проприетарная программа, формирующая платёжные поручения и "защищающая" их с помощью ЭЦП (программа работает на компьютере пользователя, ключи хранятся там же, так что ни от самой реальной угрозы – троянов – не защищает, но всё равно клиенты этого не понимают, а "ЭЦП" – это звучит солидно). Альфа-Банк – смс с информацией о транзакции и одноразовыми паролями.


Все слышали про взлом (возможно взлом, пока ещё не ясно) Хронопэя – одного из мерчантов? Хотел бы, чтобы в открытый доступ выложили данные нескольких миллионов карт. Может, люди чуть меньше будут верить рекламе о том, как всё это безопасно.
Кстати говоря, украденная информация по одной банковской карте стоит около доллара. E-commerce...

Ссылка побилась :-/
Правильная ссылка "E-num у WebMoney" – http://wiki.webmoney.ru/wiki/show/Использование+E-num

В этом контексте при предоставлении фактически одной и той же услуги выше указанные протоколы ведь можно сравнивать.

Нельзя. Нет смысла сравнивать протоколы разного уровня (см., например, модель OSI). С таким же успехом вы ещё можете захотеть сравнить Ethernet и SSL :) То, что вы подразумевали — видимо, сравнение 3-D Secure с другими протоколами этого же уровня, основанными на SSL.

Да и создатели SET зачастую указывают в качестве одной из причин провала из протокола простоту и дешевизну SSL.

Дешевизна всегда является преимуществом. Простота при прочих равных — тоже, особенно в информационной безопасности. Скорее, проблема не в "простоте", а в "излишней примитивности" (недоработанности), вы хотели сказать.

хотелось бы включить в свою работу небольшой сравнительный анализ 3d Secure и решений с использованием SSL

Сдаётся мне, что работа финансируется разработчиками 3-D Secure.

Имею ввиду какие либо последние технологии связанные с защитой в сфере электронной коммерции.

Это искажённое понимание сути вещей. Защита, она либо есть, либо её нет, и нет какой-то особенной защиты, связанной исключительно с электронной коммерцией. Простейшие примеры: коллизия алфавитов в строке адреса браузера, общая уязвимость модели доверия SSL, уязвимость самих браузеров и компьютеров пользователей, безграмотность пользователей — всё это имеет отношение не только в электронной коммерации, но и к защите информации в целом: любая из описанных уязвимостей приводит к провалу в массе прикладных применений, будь то авторизация на форуме, проблема анонимности или конфиденциальности при посещении каких-то сайтов. Именно поэтому концентрация на каком-то конкретном применении IT на данном уровне — моветон или попыткат притянуть за уши какие-то термины ради рекламы и PR.

И ещё информация к размышлению: работающие на мясных заводах не едят колбасу понимающие, как работают платёжные системы и банковские карты (это не только спецы по защите, но и кардеры, фишеры и т.д.), предпочитают всегда и везде платить исключительно наличностью (новые технологии по краже денег настолько мощны, что не оставляют пользователю никаких шансов). Это не только в среднем увеличивает безопасность, но и оставляет больше свободы для приватности.

Все слышали про взлом (возможно взлом, пока ещё не ясно) Хронопэя – одного из мерчантов?

Для заинтересовавшихся, кому лень гуглить, ссылка.

Вообще к разработке по заказу Visa/Mastercard могут привлекать и известных криптографов, но протокол чаще всего принимается по факту договорённости внутри узкого круга, не особо прозрачно.

Что было формально интересно в SET, это не только то, что магазин не видит номер кредитки покупателя (это ведь надо знать только банку), но и то, что банк не видит профиль покупателя (что он купил — это надо знать только магазину). Для этого использовалась сдвоенная подпись.

Не могу сказать, нельзя ли в исключительных случаях поднять все эти параметры подписи обратно, так, чтобы всё-таки раскрыть эту информацию. Ну и в случае государственного прослушивания проще снимать данные о покупках пользователя даже не снятием криптопараметров, а выкачивая их из баз данных третьих лиц (собственно магазинов).

Все слышали про взлом (возможно взлом, пока ещё не ясно) Хронопэя

компания Chronopay отрицает факт взлома и считает выложенные данные фальшивыми

Допустим фальшивка, идём по ссылкам глянуть на файлы которые выложили взломщики:

The file has been deleted. It did not comply with our terms of service.

Файл удален. Причина: поступила жалоба от правообладателя.

Странные причины для фальшивки.
И ещё:

This journal has been suspended. Its contents are no longer publicly visible. LiveJournal cannot discuss the reasons for a journal suspension with anyone except the journal owner.

новые технологии по краже денег

Современная глобальная кредитно-финансовая система сама по себе есть грандиозная технология обогащения одних за счёт других, а компьютеризация позволяют значительно упростить и ускорить этот процесс.