Файл: Обеспечение иб электронных платежей.docx

Ключевым вопросом для внедрения электронной коммерции является безопасность. Высокий уровень мошенничества в Интернете является сдерживающим фактором развития электронной коммерции. Покупатели, торговля и банки боятся пользоваться этой технологией из-за опасности понести финансовые потери.

Платежные системы защищают платежные операции во избежание проведения платежей злоумышленниками. Во-первых, используются зашифрованные протоколы.

Под протоколом в электронной коммерции понимается алгоритм, определяющий порядок взаимодействия участников транзакции (владельца карты, торговой точки, обслуживающего банка, банка-эмитента, центра сертификации) и форматы сообщений, которыми участники транзакции электронной коммерции обмениваются друг с другом с целью обеспечения процессов авторизации и расчетов.

Для операций с кредитными карточками используется протокол SET (Secure Electronic transactions, 1996), разработанный совместно компаниями Visa, MasterCard, Netscape и Microsoft. Целью SET является обеспечение необходимого уровня безопасности для платежного механизма, в котором участвует три или более субъектов [9]. При этом предполагается, что транзакция реализуется через Интернет.

Этот протокол рассчитан на международную ничем не ограниченную систему платежей. Многие современные WEB-браузеры поддерживают протокол SET. Это позволяет осуществлять торговлю товарами и услугами с использованием WWW-технологии.

Основное преимущество SET перед многими существующими системами обеспечения информационной безопасности заключается в использовании цифровых сертификатов (стандарт X.509, версия 3), которые ассоциируют держателя карточки, продавца и банк продавца с рядом банковских учреждений платежных систем VISA и MasterCard [10].

SET позволяет сохранить существующие отношения между банком, держателями карточек и продавцами, и интегрируется с существующими системами, опираясь на следующие качества:

открытый, полностью документированный стандарт для финансовой индустрии;
основан на международных стандартах платежных систем;
опирается на существующие в финансовой отрасли технологии и правовые механизмы.
В данный момент наиболее распространенным протоколом, используемым при построении систем электронной коммерции является протокол SSL. Широкое распространение протокола SSL объясняется в первую очередь тем, что он является составной частью всех известных браузеров и Web-северов. Это, означает, что фактически любой владелец карты пользуется стандартными средствами доступа к Интернету, получает возможность провести транзакцию с использованием SSL.
Другие достоинства SSL – простота протокола для понимания всех участников транзакции и хорошие операционные показатели (скорость реализации транзакции). Последнее достоинство связанно с тем, что протокол в процессе передачи данных использует симметричные алгоритмы шифрования, которые на 2-4 порядка быстрее асимметричных при том же уровне криптостойкости.
В то же время, протокол SSL в приложении к электронной коммерции обладает рядом существенных недостатков.
Протоколы электронной коммерции, основанные на использовании SSL, не поддерживают аутентификацию клиента Интернет-магазином, поскольку сертификаты клиента в таких протоколах почти не используются. Использование «классических» сертификатов клиентами в схемах SSL является делом практически бесполезным [10]. Такой «классический» сертификат, полученный клиентом в одном из известных центров сертификации, содержит только имя клиента и, что крайне редко, его сетевой адрес. В таком виде такой сертификат мало чем полезен торговой точке для проведения транзакции, поскольку может быть без большого труда получен мошенником. Для того, чтобы сертификат клиента что-то значил для торговой точки, необходимо, чтобы он устанавливал связь между номером карты клиента и его банком-эмитентом. Причем любой Интернет-магазин, в который обращается за 1111покупкой владелец карты с сертификатом, должен иметь возможность проверить эту связь (возможно с помощью своего обслуживающего банка).
Другими словами, такой сертификат должен быть получен клиентом в своем банке-эмитенте. Отсутствие аутентификации клиента в схемах SSL является самым серьезным недостатком протокола, который позволяет мошеннику успешно провести транзакцию, зная только реквизиты карты. Тем более, протокол SSL не позволяет аутентифицировать клиента обслуживающим банком.
Справедливости ради следует заметить, что проверка сертификата сервера торговой точки производится только по URL сервера из-за того, что так устроены все известные браузеры на рабочих местах клиентов. Протокол SSL позволяет передавать приложениям, работающим через браузер, информацию, которая может анализироваться этими приложениями. На основе анализа полученных данных приложение может вмешиваться в процесс работы протокола. Чтобы такой дополнительный анализ был возможен, требуется специальное приложение, использующее функциональность браузера. Такое приложение реализуется в рамках так называемого электронного бумажника (кошелька) – специального ПО, предназначенного для реализации клиентом электронной покупки [8].
Важным критерием сравнения протоколов является вычислительная мощность (производительность) компьютеров и серверов владельца карты и шлюза обслуживающего банка (аппаратно-программного комплекса, конвертирующего сообщения электронной коммерции в стандартные сообщения платежной системы), необходимая для реализации того или иного протокола. Дело в том, что противники SET с самого начала говорили о том, что протокол в силу своей перегруженности применением криптографических алгоритмов обладает плохими операционными показателями. Это, в свою очередь, означает, что для внедрения SET требуются более «мощные» серверы и шлюз обслуживающего банка.
При использовании покупателем протокола SSL, как это следует из его описания, асимметричное шифрование используется для проверки сертификата сервера (как правило, сертификат сервера получен от одного из корневых центров сертификации), а также для шифрования данных на открытом ключе сервера. Таким образом, асимметричное шифрование на закрытом ключе на компьютере покупателя не осуществляется совсем [10]. Отсюда следует, что время, затрачиваемое компьютером покупателя на криптографические операции при использовании SSL, на порядок меньше аналогичной величины при применении протокола SET. Однако с учетом абсолютного значения этого времени практической разницы для покупателя от того, используется SET или SSL нет.
Протокол SSL обеспечивает лишь конфиденциальность данных транзакции при их передачи через сеть общего пользования, но при этом является существенно более дешевым для внедрения. В результате подавляющее число современных систем электронной коммерции используют протокол SSL.
Эксперты и разработчики протокола SET ошиблись, предсказывая быстрое и повсеместное внедрение этого стандарта. Более того, ведутся настойчивые разговоры о том, что протокол SET уже является вчерашним днем и его шансы на выживание ничтожны.

2.2.2 Использование пароля/PIN

Метод аутентификации с использованием пароля основан на информации, которая известна только пользователю, и состоящий из комбинации действите1льного и уникального идентификатора (имя пользователя) и секретной парольной фразы (пароль/PIN-код), где конечным пользователям предлагается ввести личную парольную фразу для аутентификации[9].

Система парольной аутентификации самая популярная из-за простоты ее реализации и логической ясности принципов функционирования. Она используется в большинстве информационных системах и при проведении онлайн-платежей, хотя есть много угроз данной схемы авторизации (анализ трафика, подбор пароля и т.д.). Защита от перечисленных угроз производится комплексом мер, среди которых центральное место занимает криптографическая защита.

Кроме того для обеспечения большей безопасности могут быть реализованы:

Виртуальная клавиатура – состоит из программной клавиатуры, отображаемой на экране (для предотвращения клавиатурных шпионов);
Частичный пароль – пользователю предлагается ввести только некоторые цифры или символы из PIN-кода/пароля, частичный пароль запрашивает разные позиции для каждого сеанса.

2.2.3 Биометрические методы идентификации и аутентификации

При биометрическом методе конечные пользователи проходят проверку подлинности с помощью их характеристик, таких как биометрия тела или поведенческая биометрия (распознавание отпечатка пальца, голоса, лица, геометрии руки) или поведенческая биометрия (динамика нажатия клавиш, рукописная подпись). Ниже приведены наиболее часто используемые биометрические методы.

Поведенческая биометрия анализирует поведение пользователя при взаимодействии с компьютером:

динамика нажатия клавиш – также известный как набор биометрических данных, этот механизм аутентификации использует шаблоны ввода (прошедшее время между парами нажатий клавиш) для аутентификации пользователя.
цифровая рукописная подпись – собственноручная подпись человека, которая учинена с помощью соответствующих программных средств для подтверждения целостности и подлинности подписываемого документа в электронном виде.

Биометрия тела анализирует некоторые характеристики тела пользователя, которые не могут быть легко изменены:

распознавание отпечатков пальцев – отпечаток пальца пользователя сканируется для проверки подлинности;
распознавание голоса – этот механизм обрабатывает (спектральный анализ) голос пользователя для проверки личности говорящего пользователя;
распознавание лиц – биометрическая система сканирует лицо пользователя и анализирует конкретные черты лица/узор, чтобы подтвердить ее подлинность;
геометрия руки – геометрическая форма руки пользователя используется для проверки его личности[24].

По принципу работы, используемые для аутентификации сканеры, делятся на три вида:

оптические сканеры, функционирующие на технологии отражения, или по принципу просвета. Из всех видов, оптическое сканирование не способно распознать муляж, однако, благодаря своей стоимости и простоте, именно оптические сканеры наиболее популярны;
полупроводниковые сканеры — подразделяются на радиочастотные, емкостные, термочувствительные и чувствительные к давлению сканеры. Тепловые (термосканеры) и радиочастнотные сканеры лучше всех способны распознать настоящий отпечаток и не допустить аутентификацию по муляжу пальца. Полупроводниковые сканеры считаются более надежными, нежели оптические;
ультразвуковые сканеры. Данный вид устройств является самым сложным и дорогим. С помощью ультразвуковых сканеров можно совершать аутентификацию не только по отпечаткам пальцев, но и по некоторым другим биометрическим параметрам, таким как частота пульса и пр.

3. Одноразовые пароли

Данный метод заключается в создании другого и случайного пароля, известного как одноразовый пароль или OTP, который действителен только для одного сеанса или транзакции, его также называют динамической аутентификацией.

Типичная реализация OTP основана на одном из следующих алгоритмов: OTP на основе событий, OTP на основе времени или OTP «запрос-ответ». Кроме того, OTP могут доставляться несколькими способами, обеспечивая различные преимущества с точки зрения удобства использования, безопасности и стоимости. Подходы статического OTP обычно основаны на списках кодов TAN (Transaction authentication number, аутентификационный номер транзакции), в то время как подходы динамического OTP включают в себя OTP на основе SMS, аппаратный токен, программный токен и QR-коды (двумерный штрих-код быстрого отклика[16].

Следует подробнее описать методы реализации OTP:

Аутентификационный номер транзакции (TAN). У пользователя есть физический документ со списком кодов (OTP), который он должен использовать для ответа на вызов из приложения веб-банкинга. Вызовы генерируются случайным образом, поэтому соответствующий ответ выглядит также случайно;
Одноразовые пароли по SMS. В данном случае OTP отправляется пользователю посредством SMS-сообщения на зарегистрированный номер телефона пользователя, каждый раз, когда транзакция требует аутентификации;
Токен авторизации. У пользователя есть физическое электронное устройство, которое генерирует определенный пароль (OTP) каждый раз, когда пользователь запрашивает его. Существуют различные типы устройств, которые могут использоваться для этой цели:

Аппаратный токен (OTP на основе времени) – у пользователя есть специальное физическое электронное устройство, которое генерирует определенный пароль (OTP) каждый раз, когда пользователь запрашивает его. Сгенерированный OTP в этом случае является уникальным значением, например, шестизначное число, которое меняется через фиксированные интервалы (например, каждую минуту). В этом примере OTP основан только на календарном времени и личном ключе, хранящемся на устройстве;
Аппаратный токен (OTP на основе «запрос-ответ») – у пользователя есть специальное физическое электронное устройство, которое генерирует определенный пароль (OTP) каждый раз, когда пользователь запрашивает его. В этом случае используется протокол «вызов-ответ»: сначала приложение веб-банкинга генерирует вызов (например, случайное число); этот вызов должен быть напечатан в токене, чтобы получить правильный ответ; наконец, ответ отправляется обратно в приложение веб-банкинга, которое будет аутентифицировать пользователя на основе ответа;
Мобильное OTP-приложение – у пользователя на мобильном телефоне установлено приложение, которое генерирует определенный пароль каждый раз, когда пользователь запрашивает его. Пользователю может потребоваться ввести код вызова, отображаемый на компьютере веб-сайтом приложения электронного банкинга. В мобильных решениях настоятельно рекомендуется регистрация мобильного устройства, чтобы уменьшить связанные с безопасностью риски, которые присущи мобильным устройствам;
QR-коды – пользователь сканирует двумерный штрих-код запроса, который отображается на экране приложения электронного банкинга, с помощью приложения для мобильного телефона, которое генерирует определенный пароль на основе этого вызова. Это исключает необходимость повторного ввода запроса пользователем. Стоит отметить, что сила безопасности токена в значительной степени зависит от способа его реализации. В QR-кодах мобильное приложение/мобильное устройство должно быть аутентифицировано (то есть должна быть регистрация, чтобы связать его с конкретным пользователем). Это поможет избежать сканирования QR-кода из любого вредоносного мобильного приложения/устройства. Другое решение, использующее QR-код нового поколения, - технология VASCO CrontoSign. QR-код здесь представляет собой цветную криптографическую матрицу, содержащую реквизиты платежного поручения. VASCO предлагает как программное решение (мобильное приложение), так и аппаратное - DIGIPASS 760[16].

Другой вид автономных средств аутентификации – это картридеры, поддерживающие технологию EMV CAP. Они характеризуются относительно невысокой ценой (около 500 руб.) и высоким уровнем безопасности. Сам картридер неперсонализирован. По сути, генерацией кода занимается EMV-чип, встроенный в пластиковую карту клиента. Для ввода информации и вывода готового кода используется недорогой картридер. Эту технологию уже используют некоторые отечественные кредитные организации.

Коды подтверждения, формируемые по технологии EMV CAP, на стороне банка проверяются с использованием специализированного программного обеспечения. Данное ПО взаимодействует с аппаратным защищенным хранилищем (HSM), в котором хранятся секретные ключи EMV карт, используемые для симметричного вычисления одноразовых паролей и кодов подтверждения. Особенность данной технологии – защита только чипованных карт. Карты с магнитной полосой останутся беззащитными.

3.1 Использование цифрового сертификата

Аутентификация с применением цифровых сертификатов является альтернативой использованию паролей и представляется естественным решением в условиях, когда число пользователей сети (пусть и потенциальных) измеряется миллионами. В таких обстоятельствах процедура предварительной регистрации пользователей, связанная с назначением и хранением их паролей, становится крайне обременительной, опасной, а иногда и просто нереализуемой.

При использовании сертификатов сеть, которая дает пользователю доступ к своим ресурсам, не хранит никакой информации о своих пользователях — они ее предоставляют сами в своих запросах в виде сертификатов, удостоверяющих личность пользователей.

Сертификаты выдаются специальными уполномоченными организациями — центрами сертификации (Certificate Authority, СА). Поэтому задача хранения секретной информации (закрытых ключей) возлагается на самих пользователей, что делает это решение гораздо более масштабируемым, чем вариант с использованием централизованной базы паролей[5].

Сертификат представляет собой электронную форму, в которой содержится следующая информация:

открытый ключ владельца данного сертификата;
сведения о владельце сертификата, такие, например, как имя, адрес электронной почты, наименование организации, в которой он работает, и т. п.;
наименование сертифицирующей организации, выдавшей данный сертификат.