Файл: Безопасность электронных платежей в сети Интернет. Протокол защиты электронных платежей ssl(tls).pdf

1
САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ
УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ им. проф. М.А. Бонч-Бруевича
ИНСТИТУТ НЕПРЕРЫВНОГО ОБРАЗОВАНИЯ
Контрольная работа за 3 семестр
По дисциплине «Основы защиты информации в телекоммуникационных
системах»
Тема: «Безопасность электронных платежей в сети Интернет.
Протокол защиты электронных платежей SSL(TLS)».
Вариант 10
Фамилия:__Шалдин____
Имя:___Константин
Отчество: ___Сергеевич_
Курс:____2_________
Студ. билет № :____2010639___
Группа №:____АБ-03з____
Дата сдачи работы:______________
Санкт-Петербург
2021

2
Введение
С каждым днем глобальная сеть Интернет растет и развивается, предоставляя все новые и новые сервисы. Один из таких сервисов – электронные деньги. Все больше и больше пользователей Интернета выбирают для ведения своей деятельности ту или иную систему электронных платежей.
За последние три десятилетия термин «электронные деньги» получила широкое распространение, как в зарубежной, так и в отечественной экономической литературе.
Существует множество научных работ, посвященных тем или иным аспектам развития электронных денег. Вместе с тем следует признать, что в настоящее время отсутствует единое мнение относительно понятия «электронные деньги».
Цель данной работы: рассмотреть проблемы, возникающие при электронных платежах через Интернет; рассмотреть протокол SSL, его стойкость.
Системы электронных платежей
Под системами электронных платежей, как правило, понимается комплекс специализированных программных средств, обеспечивающий транзакции денежных средств от потребителя к поставщику товаров или услуг.
В настоящее время системы электронных платежей можно разделить на следующие виды:
1. Системы интернет-банкинга
2. Процессинговые центры электронных платежей (интернет-эквайринг)
3. Электронные платежные системы
По наличию программного обеспечения платежные системы можно разделить на две группы:
1. Требующие установки дополнительного программного обеспечения (например,
Webmoney, Интернет.Кошелек);
2. Платежные системы, имеющие веб-интерфейс (Яндекс.Деньги, RUpay, Paypal, E-
Gold).
Проблемы, возникающие при электронных платежах через интернет
Широкое использование Интернета и мобильных коммуникаций, а также стремительный рост электронной коммерции, наблюдаемые на протяжении последних лет, привели к появлению новых платежных механизмов, в которых используется уникальный потенциал сетевой среды для проведения быстрых, безопасных и удобных расчетов.
Для осуществления расчетов могут использоваться как традиционные методы платежа, основанные на традиционных электронных платежных системах, так и новые, основанные на новых электронных платежных системах. Новые платежные системы отличаются от традиционного состава участников, характером транзакционных взаимосвязей между потребителями, торговыми точками,

3 банковскими и небанковскими финансовыми посредниками, а также провайдерами платежных услуг.
Возрастающий интерес к новым методам платежа вызван глобализацией экономики, ростом конкуренции на денежно-кредитном рынке, увеличением объемов онлайновой торговли и др. В этой связи вопросы об экономических особенностях различных методов платежа в Интернете и направлениях их использования приобретают большое научно-практическое значение.
Отметим основные проблемы системы электронных платежей:
1. Информация обо всех платежах хранится в банке и может быть получена использована как в интересах клиента, так и в интересах других субъектов. Все платежи со счета являются связанными, при этом при персонификации одного платежа персонифицируются и другие (частично решить эту задачу способны анонимные или псевдонимные (номерные) счета).
2. При осуществлении торговли не виртуальными, а реальными товарами, часто возникают проблемы, связанные с отсутствием паспорта сделки на проданный товар, наличие которого необходимо при продаже за границу товара стоимостью выше 100$.
Данная проблема связана с тем, что для оформления паспорта сделки необходимо предъявить письменный договор купли-продажи, что невозможно сделать автоматически при торговле через интернет.
3. При продаже товара зачастую счета продавца и покупателя находятся в разных банках, при этом возникает проблема организации межбанковских расчетов, т.к.банк покупателя должен иметь прямой доступ к базе данных банка продавца, что в свою очередь негативно сказывается на безопасности соответствующих систем.
4. Нет ограничений на разовый перевод, т.е. получив доступ к счету, злоумышленник может перевести всю сумму. Наложение же ограничении на разовый перевод, сильно ограничит возможности осуществления денежных переводов для владельца счета.
В частности, необходимо обеспечить надлежащее правовое регулирование и высокий уровень безопасности, сократить риски, а также создать необходимые информационно-технологические условия.
Также можно отметить и другие недостатки, чаще всего возникающее при использовании электронных денег:

отсутствие устоявшегося правового регулирования: многие государства ещё не определились в своём однозначном отношении к электронным деньгам;

несмотря на отличную портативность, электронные деньги нуждаются в специальных инструментах хранения и обращения;

как и в случае наличных денег, при физическом уничтожении носителя электронных денег, восстановить денежную стоимость владельцу невозможно;

отсутствует узнаваемость - без специальных электронных устройств нельзя легко и быстро определить, что это за предмет, сумму и т. д.;

невозможность прямой передачи части денег от одного плательщика другому;

4

средства криптографической защиты, которыми защищаются системы электронных денег, ещё не имеют длительной истории успешной эксплуатации;

теоретически заинтересованные лица могут пытаться отслеживать персональные данные плательщиков и обращение электронных денег вне банковской системы;

безопасность (защищённость от хищения, подделки, изменения номинала и т. п.) не подтверждена широким обращением и беспроблемной историей;
Основные функции протокола SSL
SSL (англ. secure sockets layer -- уровень защищённых сокетов) -- криптографический протокол, который подразумевает более безопасную связь. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений. Протокол широко использовался для обмена мгновенными сообщениями и передачи голоса через IP в таких приложениях, как электронная почта, Интернет-факс и др.
Протокол SSL спроектирован для обеспечения конфиденциальности обмена между двумя прикладными процессами клиента и сервера
Преимуществом SSL является то, что он независим от прикладного протокола.
Протоколы приложения, такие как HTTP, FTP, TELNET и т.д. могут работать поверх протокола SSL совершенно прозрачно. Протокол SSL может согласовывать алгоритм шифрования и ключ сессии, а также аутентифицировать сервер до того, как приложение примет или передаст первый байт данных
Протокол SSL предоставляет "безопасный канал", который имеет три основные свойства:

Канал является частным. Шифрование используется для всех сообщений после простого диалога, который служит для определения секретного ключа.

Канал аутентифицирован. Серверная сторона диалога всегда аутентифицируется, в то время как клиентская - аутентифицируется опционно.

Канал надежен. Транспортировка сообщений включает в себя проверку целостности (с привлечением MAC

Протокол обеспечивает конфиденциальность обмена данными между клиентом и сервером, использующими TCP/IP, причём для шифрования используется асимметричный алгоритм с открытым ключом. При шифровании с открытым ключом используются два ключа, открытый и секретный, причем любой из них может использоваться для шифрования сообщения. Если для шифрования сообщения был использован открытый ключ, то для расшифровки должен использоваться секретный, и наоборот. В такой ситуации возможны два способа использования ключей. Во- первых, сторона, хранящая в тайне секретный ключ и опубликовавшая открытый, может принимать от противоположной стороны сообщения, зашифрованные

5 открытым ключом, которые не может прочитать никто, кроме нее (ведь для расшифровки требуется секретный ключ, известный только ей). Во-вторых, с помощью закрытого ключа сторона-обладатель закрытого ключа может создавать зашифрованные сообщения, которые может прочесть кто угодно (ведь для расшифровки нужен открытый ключ, доступный всем), но при этом прочитавший может быть уверен, что это сообщение было создано стороной-обладателем секретного ключа.
Основные цели протокола SSL
Криптографическая безопасность: SSL устанавливает безопасное соединение между двумя сторонами.
Совместимость: Программисты, независимо друг от друга могут создавать приложения, использующие SSL, которые впоследствии будут способны успешно обмениваться криптографическими параметрами без всякого знания кода чужих программ.
Расширяемость: SSL стремится обеспечить рабочее пространство, в котором новые открытые ключи и трудоемкие методы шифрования могут быть включены по мере необходимости.
Относительная эффективность: работа протокола на основе SSL требует больших скоростей от CPU, в частности для работы с открытыми ключами. По этой причине
SSL протокол был включен в необязательную сессию схемы кеширования для уменьшения числа соединений, которые необходимо устанавливать с нуля. Кроме того, большое внимание уделяется тому, чтобы уменьшить сетевую активность.
Алгоритм аутентификация и обмен ключами
SSL поддерживает 3 типа аутентификации:

Аутентификация обеих сторон (клиент -- сервер),

Аутентификация сервера с не аутентифицированным клиентом

Полная анонимность
Всякий раз, когда сервер аутентифицируется, канал безопасен против попытки перехвата данных между веб-сервером и браузером, но полностью анонимная сессия по своей сути уязвима к такой атаке. Анонимный сервер не может аутентифицировать клиента. Если сервер аутентифицирован, то его сообщение сертификации должно обеспечить верную сертификационную цепочку, ведущую к приемлемому центру сертификации. Проще говоря, аутентифицированный клиент должен предоставить допустимый сертификат серверу. Каждая сторона отвечает за проверку того, что сертификат другой стороны еще не истек и не был отменен. Главная цель процесса обмена ключами - это создание секрета клиента (pre master secret), известного только клиенту и серверу. Секрет (pre master secret) используется для создания общего секрета (master secret). Общий секрет необходим для того чтобы создать сообщение для проверки сертификата, ключей шифрования, секрета
MAC

6
(messageauthenticationcode) и сообщения «finished». При посылке верного сообщения
«finished», тем самым стороны докажут, что они знают верный секрет (pre master secret).
1. Анонимный обмен ключами
Полностью анонимная сессия может быть установлена при использовании алгоритма RSA или Диффи-Хеллмана для создания ключей обмена. В случае использования RSA клиент шифрует секрет (premastersecret) с помощью открытого ключа несертифицированного сервера. Открытый ключ клиент узнает из сообщения обмена ключами от сервера. Результат посылается в сообщении обмена ключами от клиента. Поскольку перехватчик не знает закрытого ключа сервера, то ему будет невозможно расшифровать секрет (premastersecret). При использовании алгоритма
Диффи-Хеллмана открытые параметры сервера содержатся в сообщении обмена ключами от сервера, и клиенту посылают в сообщении обмена ключами. Перехватчик, который не знает приватных значений, не сможет найти секрет (premastersecret).
2. Обмен ключами при использовании RSA и аутентификация
В этом случае обмен ключами и аутентификация сервера может быть скомбинирована. Открытый ключ также может содержаться в сертификате сервера или может быть использован временный ключ RSA, который посылается в сообщении обмена ключами от сервера. Когда используется временный ключ RSA, сообщения обмена подписываются server's RSA или сертификат DSS. Сигнатура включает текущее значение сообщения ClientHello.random, таким образом старые сигнатуры и старые временные ключи не могут повторяться. Сервер может использовать временный ключ RSA только однажды для создания сессии. После проверки сертификата сервера клиент шифрует секрет (premastersecret) при помощи открытого ключа сервера.
После успешного декодирования секрета (premastersecret) создается сообщение
«finished», тем самым сервер демонстрирует, что он знает частный ключ, соответствующий сертификату сервера.
Когда RSA используется для обмена ключами, для аутентификации клиента используется сообщение проверки сертификата клиента. Клиент подписывается значением, вычисленным из mastersecret и всех предшествующих сообщений протокола рукопожатия. Эти сообщения рукопожатия включают сертификат сервера, который ставит в соответствие сигнатуре сервера, сообщение ServerHello.random, которому ставит в соответствие сигнатуру текущему сообщению рукопожатия.
3. Обмен ключами при использовании Diffie-Hellman и аутентификация
В этом случае сервер может также поддерживать содержащий конкретные параметры алгоритм Диффи-Хеллмана или может использовать сообщения обмена ключами от сервера для посылки набора временных параметров, подписанных