Professional Documents
Culture Documents
Raport de cercetare
Protocolul SET
Iulia Gheorghe
Prof. indrumator: sl.dr.ing. Raul Malutan
Cuprins
1. Introducere
2. Sesiunea SET
3. Descriere
4. Obiective
5. Criptografie
6. Mecanism de funcionare SET
7. Implementarea SET
8. Cerine practice pentru SET
9. Concluzii
10. Bibliografie
Introducere
SET a fost dezvoltat de ctre SET Consortiul, nfiinat n anul 1996 de ctre VISA i
MasterCard, n cooperare cu GTE, IBM, Microsoft, Netscape, SAIC, Terisa Systems, RSA, i
VeriSign. Scopul acestuia a fost de a combina asemnrile dintre asociaiile de carduri, dar
care foloseau protocoale incompatibile (STT de la Visa/Microsoft i SEPP de la
Mastercard/IBM), ntr-un singur standard.
Datorit dezvoltrii Internetului din ultimii ani, este posibil achiziionarea online a
diverselor bunuri. Un impediment al dezvoltrii acestei afaceri a fost nencrederea
cumprtorilor, deoarece este necesar dezvluirea datelor personale de pe card. De
asemenea, nu este surprinztor faptul c a crescut rata fraudelor cu carduri de credit.
Muli comerciani folosesc protocolul SSL n tranzaciile de vnzare-cumprare pe care le
efectueaz cu clienii. Dup stabilirea cheii de sesiune, clientul trimite la serverul
comerciantului detaliile produselor pe care dorete s le cumpere i informaiile cardului de
credit. Comerciantul efectueaz tranzacia, apelnd pentru verificarea cardului i pentru plata
n sine la un alt site, care reprezint compania de carduri de credit. Singurul impediment n
acest scenariu este c datele cardului de credit sunt aflate de comerciant. Acest lucru este
problematic n comerul electronic datorit naturii anonime a Internetului i pentru c doar
datele cardului sunt necesare pentru a efectua tranzacii, nu i cardul n sine; aceasta permite
unui comerciant neonest s foloseasc datele respective, fr tirea proprietarului, pn cnd
problema va fi descoperit.
Pentru ncurajarea comerului electronic n Internet, s-au dezvoltat protocoale care ofer
garanii mai puternice de securitate. Unul dintre ele este SET, dezvoltat de VISA i
MaterCard. n vreme ce SSL este un protocol de securitate la nivel de sesiune, care
garanteaz comunicaia sigur pe parcursul unei sesiuni, SET este un protocol de securitate la
nivel de tranzacie, care garanteaz securitatea unei tranzacii de cumprare, inclusiv un
commit atomic.
Sesiunea SET
O scurt descriere a funcionrii acestui protocol din perspectiva clientului ar fi
urmtoarea:
clientul acceseaz site-ul web al comerciantului, vizioneaz produsele acestuia i
selecteaz produsele pe care le dorete. Probabil exist un co de cumprturi virtual,
unde i poate aduna cumprturile. La sfrit, urmeaz partea de checkout. i va
aprea un pop up screen cu detalii privind preul produselor selectate i a costurilor
adiionale (transport i alte taxe).
apoi clientul este ntrebat ce metod de plat dorete s aleag va alege plata cu
cardul utiliznd protocolul SET.
imediat este activat un software de pe PC-ul utilizatorului, denumit Digital Wallet
(portofel online); clientul trebuie s selecteze tipul cardului cu care dorete s
efectueze plata.
clientul alege un card, iar apoi are loc realizarea tranzactiei electronice utiliznd
protocolul SET; dup cteva secunde apare confirmarea realizrii tranzaciei.
Descriere
Protocolul SET este un protocol care implementeaz algoritmul RSA; RSA reprezint
unul dintre cei mai folosii algoritmi cu cheie public, att pe plan guvernamental, ct i pe
plan comercial.
Protocolul SET este extrem de complex i se bazeaz pe dou idei noi:
fiecare client are propriul su certificat i deci, o pereche de chei secret/public.
Aceste chei se folosesc pentru implementarea uneia dintre trsturile unice ale
protocolului, semntura dual (dubl), care mrete considerabil securitatea
tranzaciei. Certificatul clientului conine i o amprent (message digest) a numrului
cardului de credit mpreun cu data expirrii acestuia.
un server numit payment gateway, care opereaz n numele companiei de carduri de
credit. SET e un protocol cu 3 participani: clientul, vnztorul i serverul gateway.
Acesta din urm e entitatea de ncredere n scenariu.
Obiective:
SET adreseaz 7 obiective majore:
1. Confidenialitatea platilor i informaiilor legate de comanda (criptare)
2. Integritatea tuturor datelor (semnturi digitale)
3. Autentificarea detinatorului de card si cont (certificate)
4. Autentificarea comerciantului (certificate)
5. Asigur sigurana tuturor prilor implicate
6. Nu se bazeaz pe protocoale de transport securizate (TCP / IP)
7. SET este un protocol de plat (mesajele se refer la diferite etape ntr-o tranzacie card
de credit)
Criptografie
SET utilizeaz criptografia pentru ndeplinirea obiectivelor. Criptografia este tiina care
se ocup de criptarea mesajelor, convertind mesajul n clar n mesaj cifrat utiliznd diferii
algoritmi, apoi urmnd procesul invers i anume transformarea textului criptat n text n clar
(decriptare), folosind aceiai algoritmi ca i la criptare sau algoritmi diferii. Exist dou
metode de criptare: cu chei publice (PKC) sau cu chei private.
Criptografia cu chei private (criptare simetric) a aprut n urm cu mult timp. Cea mai
cunoscut implementare este DES, care este folosit de toate instituiile financiare pentru
criptarea tranzaciilor de debit i de credit. La trimiterea datelor se folosete o cheie pe 56 de
bii (cheie simetric) pentru criptarea informaiilor, iar la decriptare se va folosi aceeai cheie.
Exist implementri hardware i software care funcioneaz la viteze mari pentru criptare i
decriptarea DES.
O tehnic de criptare mult mai sigur este criptarea folosind chei publice (Public Key
Cryptography - PKC), numit i criptare cu chei asimetrice i folosete dou chei pentru
criptare i decriptare. Una dintre chei (nu conteaz care) este folosit la criptare, iar cealalt
este folosit la decriptare. Aceast tehnic este folosit si pentru protocolul SET; criptarea i
decriptarea cu PKC este relativ nceat.
mai tie cheia privat a expeditorului) i, prin urmare, realizeaz obiectivul de autentificare a
expeditorului.
Pentru a asigura confidenialitatea, ntregul mesaj este criptat. Avnd n vedere c mesajul
ar putea fi mare, vom folosi criptarea simetric. O cheie simetric generat aleator va fi
folosit pentru a cripta mesajul. Pentru a asigura cheia simetric n sine, aceasta este criptat
folosind cheia public a receptorului.
n final, mesajul criptat simetric i cheia simetric aleator criptat folosind cheia public a
receptorului sunt trimise la receptor. Doar receptorul poate decripta cheia simetric, deoarece
numai el deine cheia privat a receptorului. Astfel am realizat autentificarea receptorului.
Receptorul folosete cheia sa privat pentru a decripta cheia simetric aleatoare. Apoi, el
folosete aceast cheie simetric aleatoare pentru a decripta mesajul principal. El localizeaz
semntura digital a expeditorului i folosind cheia public a expeditorului, el se decripteaz
i preia mesajul. El regenereaz mesajul folosind cunoscut funcia hash i l compar cu
mesajul recuperat. n cazul n care acestea se potrivesc, el este asigurat c mesajul nu a fost
modificat i are originea ntr-adevr, la expeditor.
Un ultim lucru trebuie s fie acoperit: conceptele de certificate digitale i a autoritilor de
certificare. nainte ca dou pri s inceap comunicarea, fiecare vrea s se asigure de
autenticitatea cheii publice a celeilalte pri. De exemplu, cum este receptorul sigur c, cheia
public a expeditorului este ceea ce s-a menionat n mesaj i nu altceva ? Pentru a rezolva
acest lucru, vom folosi pri tere, de incredere, numite autoriti de certificare (Certifying
Authorities - CAs). O autoritate de certificare ar putea fi o instituie financiar, un organism
guvernamental, un organism internaional sau un brand de carte (cum ar fi Visa sau
MasterCard). O autoritate de certificare ar crea un document digital care conine detalii ale
entitii i cheia public iar apoi s-l semneze digital (acest lucru presupune crearea unui
mesaj rezumat i criptarea se sub cheia privat a CA). Acest document digital este denumit
certificat digital. O analogie bun pentru acest lucru este atunci cnd ducem un certificat de
natere (cheia public) la Departamentul Consular (autoritatea de certificare) pentru a obine
o atestare (semntur digital) pentru a avea un certificat de natere atestat (certificat digital).
Din moment ce oamenii au ncredere n consulat (CA), ei vor avea ncredere n certificatul de
natere atestat (certificat digital).
Ce se ntmpl dac expeditorul sau destinatarul nu tie de existena (nu are ncredere),
autoritii de certificare n sine? Acest lucru se poate ntmpla foarte des, dac cele dou pri
sunt n ri diferite. Pentru a depi acest lucru, SET mandateaz stabilirea unei ierarhii de
ncredere. Acest lucru nseamn c insi autoritatea de certificare (CA) va avea ncredere
ntro instituie-printe CA, care, la rndul su, va avea ncredere n alt CA pn cnd se
ajunge la o CA rdcin, care este de ncredere pentru toat lumea. De exemplu, o instituie
financiar din Emiratele Arabe Unite pot fi ncredinat de ctre biroul regional al Visa sau
MasterCard, care la rndul su este ncredinat de ctre biroul internaional Visa sau
MasterCard, care, la rndul lor, pot fi ncredinate de ctre un organism al ONU. Organismul
ONU poate fi considerat CA rdcin, n care se ncrede toat lumea. Astfel, fiecare
autoritate funcioneaz pentru nivelul de mai jos, prin emiterea de certificate digitale.
Receptorul va autentifica expeditorul traversnd aceast ierarhie de ncredere pn la CA
rdcin. ntro implementare efectiv, tot acest proces ar trebui s ia doar cteva secunde,
deoarece este complet automatizat.
Implementarea SET
nainte de a aplica acest lucru la o aplicare efectiv SET, s examinm n primul rnd
modul n care o tranzacie de card de credit este procesat n lumea fizic, non-SET.
Am descris anterior modul n care tranzacia va progresa ntr-un mediu SET. Dar, n
funcie de mecanismele SET, va fi descris acest lucru n detaliu:
Toate aceste tranzacii au loc pe Internet i sunt destul de transparente pentru posesorul
cardului.
Un sistem SET include urmtorii participani, dup cum se observ i din figura de mai
jos:
Practic, pentru a folosi SET, clientul (deintorul cardului) trebuie s obin i s instaleze
software-ul pentru SET (partea de client) i un cont pentru card de credit care s suporte SET
i pentru care s se furnizeze certificatul necesar. Vnztorul trebuie s instaleze software-ul
SET specific, partea de vnzare i s-l integreze cu sistemul su storefront. Cerinele
software-ului SET pentru vnztor sunt mai complexe, deoarece acesta va trebui s realizeze
comunicarea att cu clientul, ct i cu portalul de pli (payment gateway).
Concluzii
SET este un protocol care permite cumprturi pe Internet extrem de sigure cu ajutorul
cardurilor de credit. Acesta a fost dezvoltat de Visa i MasterCard ca rspuns la problemele
de securitate a tranzaciilor de pe Internet. Creterea exploziv a tranzaciilor pe Internet va fi
alimentat pe deplin de SET. Protocolul SET este nc n dezvoltare i este n prezent n curs
de dezvoltare pentru a acoperi tranzaciile cu carduri de debit, de asemenea.
Un avantaj al acestui protocol ar fi faptul c este o tranzacie simpl pentru cumprturi,
realizndu-se urmtoarele schimburi:
Bibliografie
Suportul de curs Tehnici de secretizare a informatiei prof.dr.ing Monica Borda
SET Secure Electronic Transaction Specification: Book 1: Business Description
Mark S. Merkow (2004). "Secure Electronic Transactions (SET)". In Hossein Bidgoli. The
Internet Encyclopedia. John Wiley & Sons. pp. 247260. ISBN 978-0-471-22203-3.
Stallings, William (Nov 1, 2000). "The SET Standard & E-Commerce". Dr. Dobbs.
SET Secure Electronic Transaction Specification (V1.0) Book 1. Mastercard and Visa. May
1997.
SET Secure Electronic Transaction Specification (V1.0) Book 2. Mastercard and Visa. May
1997.
SET Secure Electronic Transaction Specification (V1.0) Book 3. Mastercard and Visa. May
1997.
External Interface Guide to SET Secure Electronic Transaction. Mastercard and Visa.
September 1997.
SETco Main Page, SETco, archived from the original on 2002-09-28, retrieved 2013-11-07
10