Средства шифрования для e-commerce
Всем привет. В связи с учебой очень интересует тема защиты электронных транзакций в интернете. Пишу на эту тему магистерскую в зарубежном вузе.
Работа направлена на анализ направлений развития данного рода систем.Пока что анализирую существующие алгоритмы. Пару вопросов по ним.
1.Насколько в данный момент распространен стандарт 3d Secure или можно сказать что большинство интернет магазинов все еще пользуются решениями на базе SSL?? Я понимаю что 3d Secure тоже использует SSL.
2. Одним из недостатков SSL по сравнению с тем же SET'ом является то, что номер карты клиента виден продавцу. Правильно ли я понимаю, что в данным момент решения на базе SSL обходят эту проблему путем переадресовывания платежа на сайт платежной системы?? Буду очень благодарен, если кто-то посоветует материалы по поводу того как SSL используется в онлайн магазинах.
3. Какие существуют решения по аутентификации клиента при покупке онлайн, кроме пароля( как в 3d Secure технологиях Verufied by Visa и тд) и выдачи сертификата клиенту как в SET'е??
4. Вопрос скорее глупый.. Можно ли сказать что архитектура 3d Secure практически идеальна, за исключением возможно слабого места? при аутентификации клиента, и что возможно единственной точкой, где информация может быть похищена, – это момент передачи информации по SSL. И если да то из этого сделать вывод что развитие в дальнейшем средств шифрования для электронной коммерции лежит в плоскости развития протокола SSL или схожего с ним,а также в развитии средств аутентификации клиента?
PS. Буду благодарен за любые советы и материалы. Заранее спасибо и не судите строго.
комментариев: 11558 документов: 1036 редакций: 4118
Вообще-то это не взаимозаменяемые вещи. 3-D Secure — протокол высокого уровня для авторизации транзакций (насколько могу судить). SSL — протокол низкого уровня для защиты транзакционных данных. Они решают разные задачи.
Так и есть. Мало сумасшедших организаций, которым хочется реализовывать SET. Мало сумасшедших пользователей, которым хочется связываться с SET из-за необходимости предварительной регистрации. Замкнутый круг — SET никому не нужен.
Проблема онлайн-торговли — это отсутствие надёжного канала: компьютеры обычных пользователей совершенно не могут считаться надёжными оконечными устройствами, хотя именно из этого допущения построены все современные распространённые протоколы. В качестве решения можно, например, использовать маленькое криптоустройство, втыкаемое в USB, снабжённое собственным экраном, кнопками "Да/Нет" и загруженное криптоключами банка. Когда пользователь хочет совершить покупку, он подключает устройство, которое связывается с банком напрямую и выводит на своём экране информацию о транзакции, которую пользователь может принять или отклонить. Прототипы таких устройств существуют, но, увы, похоже тоже никому не нужны. Ну, или можно продолжать аутентифицировать сами транзакции, как это делают и сейчас при превышении некоторых пороговых сумм.
Если Вы опять же строите защиту, исходя из защищённости пользовательских ПК, Вас ждёт epic fail.
комментариев: 9796 документов: 488 редакций: 5664
SET — какая-то попытка сохранить приватность покупок. 3D-secure — не могу ничего сказать, мало ли что там изобрели с целью маркетинга Visa или MasterCard. Это даже не просто не стандарт и не научная разработка, а даже не продукт OpenSource сообщества. Это протокол, изобретённый коммерсантами и для коммерсантов. Маловероятно, что вы найдёте понимание в этом вопросе здесь, хотя может кто-то знает.
Если протокол ещё и патентованный, то он мертворождённый в принципе. Если бы его разрабатывала хотя бы какая-нибудь европейская комиссия по приватности (они иногда пытаются контролировать бизнес и предлагают протоколы для него, впрочем без успеха внедрения), то можно было бы глянуть.
Скорее глупый. Вообще неясно зачем этот протокол. Только расширение поверх SSL для торговли и всё? Где работы, пруфы, проекты конкурирующих стандартов?
комментариев: 1060 документов: 16 редакций: 32
Насколько я понял, под этим мудрёным названием скрывается просто трёхсторонний протокол, при котором покупатель вводит номер карты продавцу, продавец инициирует транзакцию обычным методом, затем покупатель идёт в банк и подтверждает ее. В общем, как в пайпале.
комментариев: 4 документов: 2 редакций: 0
Задам вопрос по другому. Как по вашему мнению 3d Secure тем, чего ждали от SET'a, то есть единым стандартом, который используют большинство онлайн магазинов? И если у кого нибудь данные насколько распространен 3d Secure? или многие магазины все еще используют свои решения на базе SSL, к примеру с переадресацией платежа системе Assist??
Вы правы насчет того, что это протоколы разного уровня, но ведь мне всетаки кажется что их можно сравнивать. Извините если что не так скажу в плане терминов. К примеру взять даже несколько сервисов по заказу авиабилетов. Тот же SAS у себя судя по всему(могу ошибаться) использует просто передачу номера карты по SSL, в то время как такой же сервис edreams.com использует у себя 3D Secure технологию Verified by Visa. В этом контексте при предоставлении фактически одной и той же услуги выше указанные протоколы ведь можно сравнивать. Да и создатели SET зачастую указывают в качестве одной из причин провала из протокола простоту и дешевизну SSL.
Не могли бы вы написать название этих устройств, ну или скинуть какую нибудь статью про это. Буду очень благодарен.
Может кто-то еще подскажет что-нибудь по способам аутентификации клиента?
комментариев: 11558 документов: 1036 редакций: 4118
Уверен, что таких большинство. :) Учитывая патенты, на которые указал unknown, торговые марки и прочие нюансы интеллектуальных прав, имею серьёзные подозрения, что использование 3-D Secure (даже если он обладает какими-то фундаментальными преимуществами; сам этот вопрос оставляю за скобками) обойдётся пользователю дороже того же SSL с обслуживанием в едином процессинговом центре.
Из последних плодов нанотехнологий: http://www.zurich.ibm.com/ztic/
комментариев: 1060 документов: 16 редакций: 32
В данном контексте данные протоколы предназначены для отражения различных атак. Шифрование канала связи между продавцом и покупателем защищает только от утечки номера карты третьим лицам. А 3D Secure по замыслу должен защитить от потери денег путём авторизации явно пользователем каждой транзакции в том случае, если номер карты уже как-либо похищен, например, из-за утечки у продавца.
комментариев: 4 документов: 2 редакций: 0
Честно говоря очень хотелось бы включить в свою работу небольшой сравнительный анализ 3d Secure и решений с использованием SSL и переадресацией платежей в процессинговый центр. Никак не могу в сети нарыть какой либо отчет выше указанных решениях с переадресацией? может сталкивались? подскажите?
Извините, что немного наглею, может подскажите что нибудь из этой оперы. Имею ввиду какие либо последние технологии связанные с защитой в сфере электронной коммерции.. Ресурсы, ссылки, просто советы. За все буду благодарен.. Заранее спасибо.
Очевидный недостаток – фишеры могут притворяться банком. При правильной реализации от этого можно защититься (подтверждение с помощью смс, а в смс – все детали транзакции. Либо криптографический калькулятор у пользователя, генерирующий одноразовые пароли, зависящие от деталей транзакции, как в E-num у WebMoney), да только не верится, что так будет.
3-D Secure мало распространена (по крайней мере в России), поэтому воспользоваться картой можно и без этой дополнительной проверки со стороны банка – достаточно просто выбрать магазин, не поддерживающий 3-D Secure.
Да, часто информацию о карте вводят прямо на сайте шлюза. Хакер, взломавший магазин, может сделать свою страницу оплаты и собирать информацию о картах, а потом перенаправлять покупателей на шлюз.
Магазинов, хранящих полные данные о картах (включая cvc2/cvv2, что запрещено правилами Visa/MasterCard/...) почти не осталось, но и такие есть.
Как уже написал чуть выше, 3-D Secure – не обязательно пароль. Это может быть любой способ.
Про SET никогда не слышал. Что-то, связанное с выдачей каждому держателю карты X.509 сертификата. Не верю, что этим кто-то пользуется. Поискал – в Коммерсанте восемь лет назад писали, что МПС (Международные Платёжные Системы: Visa, MasterCard etc) отказываются от SET'а. Его, видимо, можно уже не упоминать.
Популярный нынче способ – отсутствие проверок (ну, кроме информации с карты) :-)
Процессинги карт могут проверять страну (для Америки – штат) выдачи карты и страну, откуда идёт соединение (по базам IP -> страна). Магазины могут звонить клиенту для подтверждения заказа (это ничего не даёт, злоумышленнику только нужно иметь возможность принять звонок, ну и на не очень ломанном английском сказать, что действительно делал покупку). Магазины могут не отправлять невиртуальные товары на адрес, отличный от Billing-адреса (адрес, сообщённый картхолдером банку для выпуска карты. Во многих зарубежных банках есть возможность менять Billing-адрес онлайн, чем мошенники и пользуются). Ну и можно просто вручную проверять заказы и не обрабатывать подозрительные (кто-то, судя по IP, находящийся в Африке, пытается заплатить картой английского банка за бриллиантовое колье с доставкой в Россию).
Не так давно карты с поддержкой 3-D Secure выпускал в России только Сбербанк (одноразовые пароли. Можно получить смской или в банкомате Сбербанка). Теперь вот, кажется, ещё Райффайзен. И ВТБ-24, вроде, собирается начать поддерживать.
Так о чём речь? Хотите заплатить картой – выбираете на сайте магазина товары, жмёте "Платить", попадаете на сайт шлюза, вводите данные карты, попадаете обратно в магазин. При 3-D Secure, как я понимаю, после ввода информации о карте ещё нужно будет подтвердить транзакцию на сайте банка. О чём тут отчитываться-то? :-)
Вообще платить банковскими картами в Сети – очень небезопасно. Если Ваша магистерская работа не должна быть связана только с банковскими картами, обратите внимание на системы электронных платежей, попадаются интересные способы. Например, у WebMoney есть много разных способов работы с кошельком, в том числе и клиентские SSL-сертификаты, уже упомянутый криптографический калькулятор (реализованный как Java-программа для мобильного телефона) и прочее. Yandex.Деньги используют либо дополнительный пароль, либо карту с одноразовыми паролями, либо устройство-криптокалькулятор (не вопрос-ответ, а просто одноразовые пароли).
Ещё стоит попробовать найти что-то из "последних технологий" в сфере интернет-банкинга. Это более привлекательная цель для злоумышленников (с банковской карты нужно купить товар, а потом продать за реальные деньги или воспользоваться другой подобной схемой, а при помощи интернет-банкинга можно сразу перевести деньги на свой счёт, а оттуда снять), за ними активнее охотятся, ну и защищают их лучше. Несколько примеров. ВТБ-24 – одноразовые пароли, напечатанные на физическом носителе или проприетарная программа, формирующая платёжные поручения и "защищающая" их с помощью ЭЦП (программа работает на компьютере пользователя, ключи хранятся там же, так что ни от самой реальной угрозы – троянов – не защищает, но всё равно клиенты этого не понимают, а "ЭЦП" – это звучит солидно). Альфа-Банк – смс с информацией о транзакции и одноразовыми паролями.
Все слышали про взлом (возможно взлом, пока ещё не ясно) Хронопэя – одного из мерчантов? Хотел бы, чтобы в открытый доступ выложили данные нескольких миллионов карт. Может, люди чуть меньше будут верить рекламе о том, как всё это безопасно.
Кстати говоря, украденная информация по одной банковской карте стоит около доллара. E-commerce...
Правильная ссылка "E-num у WebMoney" – http://wiki.webmoney.ru/wiki/show/Использование+E-num
Дешевизна всегда является преимуществом. Простота при прочих равных — тоже, особенно в информационной безопасности. Скорее, проблема не в "простоте", а в "излишней примитивности" (недоработанности), вы хотели сказать.
Сдаётся мне, что работа финансируется разработчиками 3-D Secure.
Это искажённое понимание сути вещей. Защита, она либо есть, либо её нет, и нет какой-то особенной защиты, связанной исключительно с электронной коммерцией. Простейшие примеры: коллизия алфавитов в строке адреса браузера, общая уязвимость модели доверия SSL, уязвимость самих браузеров и компьютеров пользователей, безграмотность пользователей — всё это имеет отношение не только в электронной коммерации, но и к защите информации в целом: любая из описанных уязвимостей приводит к провалу в массе прикладных применений, будь то авторизация на форуме, проблема анонимности или конфиденциальности при посещении каких-то сайтов. Именно поэтому концентрация на каком-то конкретном применении IT на данном уровне — моветон или попыткат притянуть за уши какие-то термины ради рекламы и PR.
И ещё информация к размышлению:
работающие на мясных заводах не едят колбасупонимающие, как работают платёжные системы и банковские карты (это не только спецы по защите, но и кардеры, фишеры и т.д.), предпочитают всегда и везде платить исключительно наличностью (новые технологии по краже денег настолько мощны, что не оставляют пользователю никаких шансов). Это не только в среднем увеличивает безопасность, но и оставляет больше свободы для приватности.комментариев: 9796 документов: 488 редакций: 5664
Что было формально интересно в SET, это не только то, что магазин не видит номер кредитки покупателя (это ведь надо знать только банку), но и то, что банк не видит профиль покупателя (что он купил — это надо знать только магазину). Для этого использовалась сдвоенная подпись.
Не могу сказать, нельзя ли в исключительных случаях поднять все эти параметры подписи обратно, так, чтобы всё-таки раскрыть эту информацию. Ну и в случае государственного прослушивания проще снимать данные о покупках пользователя даже не снятием криптопараметров, а выкачивая их из баз данных третьих лиц (собственно магазинов).
Допустим фальшивка, идём по ссылкам глянуть на файлы которые выложили взломщики:
Странные причины для фальшивки.
И ещё: