Universitatea Tehnic Cluj - Napoca

Raport de cercetare
Protocolul SET
Iulia Gheorghe
Prof. indrumator: sl.dr.ing. Raul Malutan

Cuprins
1. Introducere
2. Sesiunea SET
3. Descriere
4. Obiective
5. Criptografie
6. Mecanism de funcionare SET
7. Implementarea SET
8. Cerine practice pentru SET
9. Concluzii
10. Bibliografie

Introducere
SET a fost dezvoltat de ctre SET Consortiul, nfiinat n anul 1996 de ctre VISA i
MasterCard, n cooperare cu GTE, IBM, Microsoft, Netscape, SAIC, Terisa Systems, RSA, i
VeriSign. Scopul acestuia a fost de a combina asemnrile dintre asociaiile de carduri, dar
care foloseau protocoale incompatibile (STT de la Visa/Microsoft i SEPP de la
Mastercard/IBM), ntr-un singur standard.
Datorit dezvoltrii Internetului din ultimii ani, este posibil achiziionarea online a
diverselor bunuri. Un impediment al dezvoltrii acestei afaceri a fost nencrederea
cumprtorilor, deoarece este necesar dezvluirea datelor personale de pe card. De
asemenea, nu este surprinztor faptul c a crescut rata fraudelor cu carduri de credit.
Muli comerciani folosesc protocolul SSL n tranzaciile de vnzare-cumprare pe care le
efectueaz cu clienii. Dup stabilirea cheii de sesiune, clientul trimite la serverul
comerciantului detaliile produselor pe care dorete s le cumpere i informaiile cardului de
credit. Comerciantul efectueaz tranzacia, apelnd pentru verificarea cardului i pentru plata
n sine la un alt site, care reprezint compania de carduri de credit. Singurul impediment n
acest scenariu este c datele cardului de credit sunt aflate de comerciant. Acest lucru este
problematic n comerul electronic datorit naturii anonime a Internetului i pentru c doar
datele cardului sunt necesare pentru a efectua tranzacii, nu i cardul n sine; aceasta permite
unui comerciant neonest s foloseasc datele respective, fr tirea proprietarului, pn cnd
problema va fi descoperit.
Pentru ncurajarea comerului electronic n Internet, s-au dezvoltat protocoale care ofer
garanii mai puternice de securitate. Unul dintre ele este SET, dezvoltat de VISA i
MaterCard. n vreme ce SSL este un protocol de securitate la nivel de sesiune, care
garanteaz comunicaia sigur pe parcursul unei sesiuni, SET este un protocol de securitate la
nivel de tranzacie, care garanteaz securitatea unei tranzacii de cumprare, inclusiv un
commit atomic.

Sesiunea SET
O scurt descriere a funcionrii acestui protocol din perspectiva clientului ar fi
urmtoarea:
clientul acceseaz site-ul web al comerciantului, vizioneaz produsele acestuia i
selecteaz produsele pe care le dorete. Probabil exist un co de cumprturi virtual,
unde i poate aduna cumprturile. La sfrit, urmeaz partea de checkout. i va
aprea un pop up screen cu detalii privind preul produselor selectate i a costurilor
adiionale (transport i alte taxe).
apoi clientul este ntrebat ce metod de plat dorete s aleag va alege plata cu
cardul utiliznd protocolul SET.
imediat este activat un software de pe PC-ul utilizatorului, denumit Digital Wallet
(portofel online); clientul trebuie s selecteze tipul cardului cu care dorete s
efectueze plata.
clientul alege un card, iar apoi are loc realizarea tranzactiei electronice utiliznd
protocolul SET; dup cteva secunde apare confirmarea realizrii tranzaciei.

Descriere
Protocolul SET este un protocol care implementeaz algoritmul RSA; RSA reprezint
unul dintre cei mai folosii algoritmi cu cheie public, att pe plan guvernamental, ct i pe
plan comercial.
Protocolul SET este extrem de complex i se bazeaz pe dou idei noi:
fiecare client are propriul su certificat i deci, o pereche de chei secret/public.
Aceste chei se folosesc pentru implementarea uneia dintre trsturile unice ale
protocolului, semntura dual (dubl), care mrete considerabil securitatea
tranzaciei. Certificatul clientului conine i o amprent (message digest) a numrului
cardului de credit mpreun cu data expirrii acestuia.
un server numit payment gateway, care opereaz n numele companiei de carduri de
credit. SET e un protocol cu 3 participani: clientul, vnztorul i serverul gateway.
Acesta din urm e entitatea de ncredere n scenariu.

Figura 2. Modul de realizare a comunicrii

Ideea de baz a SET:

un client C va trimite vnztorului V un mesaj compus din dou pri:

prima parte (m1) conine suma de plat i datele cardului de credit criptate cu Kpub_G
V nu poate accesa datele cardului de credit
a doua parte (m2) conine suma de plat i detaliile comenzii, criptate cu Kpub_V.
V trimite lui G prima parte a mesajului. G o decripteaz, realizeaz plata, i comite
tranzacia

Obiective:
SET adreseaz 7 obiective majore:
1. Confidenialitatea platilor i informaiilor legate de comanda (criptare)
2. Integritatea tuturor datelor (semnturi digitale)
3. Autentificarea detinatorului de card si cont (certificate)
4. Autentificarea comerciantului (certificate)
5. Asigur sigurana tuturor prilor implicate
6. Nu se bazeaz pe protocoale de transport securizate (TCP / IP)
7. SET este un protocol de plat (mesajele se refer la diferite etape ntr-o tranzacie card
de credit)

Criptografie
SET utilizeaz criptografia pentru ndeplinirea obiectivelor. Criptografia este tiina care
se ocup de criptarea mesajelor, convertind mesajul n clar n mesaj cifrat utiliznd diferii
algoritmi, apoi urmnd procesul invers i anume transformarea textului criptat n text n clar
(decriptare), folosind aceiai algoritmi ca i la criptare sau algoritmi diferii. Exist dou
metode de criptare: cu chei publice (PKC) sau cu chei private.
Criptografia cu chei private (criptare simetric) a aprut n urm cu mult timp. Cea mai
cunoscut implementare este DES, care este folosit de toate instituiile financiare pentru
criptarea tranzaciilor de debit i de credit. La trimiterea datelor se folosete o cheie pe 56 de
bii (cheie simetric) pentru criptarea informaiilor, iar la decriptare se va folosi aceeai cheie.
Exist implementri hardware i software care funcioneaz la viteze mari pentru criptare i
decriptarea DES.
O tehnic de criptare mult mai sigur este criptarea folosind chei publice (Public Key
Cryptography - PKC), numit i criptare cu chei asimetrice i folosete dou chei pentru
criptare i decriptare. Una dintre chei (nu conteaz care) este folosit la criptare, iar cealalt
este folosit la decriptare. Aceast tehnic este folosit si pentru protocolul SET; criptarea i
decriptarea cu PKC este relativ nceat.

Mecanism de funcionare SET

Metoda a fost dezvoltat innd cont de obiectivele de baz ale SET: confidenialitate,
integritate i de autentificare att ale expeditorului i receptorului.
Pentru a asigura integritatea, vom folosi un algoritm one way hashing asupra mesajului
pentru a genera un mesaj rezumat. Acest algoritm folosete metode statistice pentru a calcula
o sum de control (sau un mesaj rezumat), de la personajele din mesaj. Dac se schimb
coninutul sau poziia chiar a unui singur caracter, mesajul rezumat nu se va potrivi. Pentru a
asigura acest mesaj de manipulare, el este criptat folosind cheia privat a expeditorului.
Forma criptat a mesajului se numete semntura digital a expeditorului. Receptorul poate
decripta mesajul folosind cheia public a expeditorului, regenereaz mesajul i l compar.
Aceasta ne asigur, de asemenea, c mesajul a venit ntr-adevr de la expeditor (nimeni nu
5

mai tie cheia privat a expeditorului) i, prin urmare, realizeaz obiectivul de autentificare a
expeditorului.
Pentru a asigura confidenialitatea, ntregul mesaj este criptat. Avnd n vedere c mesajul
ar putea fi mare, vom folosi criptarea simetric. O cheie simetric generat aleator va fi
folosit pentru a cripta mesajul. Pentru a asigura cheia simetric n sine, aceasta este criptat
folosind cheia public a receptorului.
n final, mesajul criptat simetric i cheia simetric aleator criptat folosind cheia public a
receptorului sunt trimise la receptor. Doar receptorul poate decripta cheia simetric, deoarece
numai el deine cheia privat a receptorului. Astfel am realizat autentificarea receptorului.
Receptorul folosete cheia sa privat pentru a decripta cheia simetric aleatoare. Apoi, el
folosete aceast cheie simetric aleatoare pentru a decripta mesajul principal. El localizeaz
semntura digital a expeditorului i folosind cheia public a expeditorului, el se decripteaz
i preia mesajul. El regenereaz mesajul folosind cunoscut funcia hash i l compar cu
mesajul recuperat. n cazul n care acestea se potrivesc, el este asigurat c mesajul nu a fost
modificat i are originea ntr-adevr, la expeditor.
Un ultim lucru trebuie s fie acoperit: conceptele de certificate digitale i a autoritilor de
certificare. nainte ca dou pri s inceap comunicarea, fiecare vrea s se asigure de
autenticitatea cheii publice a celeilalte pri. De exemplu, cum este receptorul sigur c, cheia
public a expeditorului este ceea ce s-a menionat n mesaj i nu altceva ? Pentru a rezolva
acest lucru, vom folosi pri tere, de incredere, numite autoriti de certificare (Certifying
Authorities - CAs). O autoritate de certificare ar putea fi o instituie financiar, un organism
guvernamental, un organism internaional sau un brand de carte (cum ar fi Visa sau
MasterCard). O autoritate de certificare ar crea un document digital care conine detalii ale
entitii i cheia public iar apoi s-l semneze digital (acest lucru presupune crearea unui
mesaj rezumat i criptarea se sub cheia privat a CA). Acest document digital este denumit
certificat digital. O analogie bun pentru acest lucru este atunci cnd ducem un certificat de
natere (cheia public) la Departamentul Consular (autoritatea de certificare) pentru a obine
o atestare (semntur digital) pentru a avea un certificat de natere atestat (certificat digital).
Din moment ce oamenii au ncredere n consulat (CA), ei vor avea ncredere n certificatul de
natere atestat (certificat digital).
Ce se ntmpl dac expeditorul sau destinatarul nu tie de existena (nu are ncredere),
autoritii de certificare n sine? Acest lucru se poate ntmpla foarte des, dac cele dou pri
sunt n ri diferite. Pentru a depi acest lucru, SET mandateaz stabilirea unei ierarhii de
ncredere. Acest lucru nseamn c insi autoritatea de certificare (CA) va avea ncredere
ntro instituie-printe CA, care, la rndul su, va avea ncredere n alt CA pn cnd se
ajunge la o CA rdcin, care este de ncredere pentru toat lumea. De exemplu, o instituie
financiar din Emiratele Arabe Unite pot fi ncredinat de ctre biroul regional al Visa sau
MasterCard, care la rndul su este ncredinat de ctre biroul internaional Visa sau
MasterCard, care, la rndul lor, pot fi ncredinate de ctre un organism al ONU. Organismul
ONU poate fi considerat CA rdcin, n care se ncrede toat lumea. Astfel, fiecare
autoritate funcioneaz pentru nivelul de mai jos, prin emiterea de certificate digitale.
Receptorul va autentifica expeditorul traversnd aceast ierarhie de ncredere pn la CA
rdcin. ntro implementare efectiv, tot acest proces ar trebui s ia doar cteva secunde,
deoarece este complet automatizat.

Implementarea SET
nainte de a aplica acest lucru la o aplicare efectiv SET, s examinm n primul rnd
modul n care o tranzacie de card de credit este procesat n lumea fizic, non-SET.

Titularul cardului prezint cardul la comerciant, care, la rndul su va trece cardul

printr-un terminal POS.
Un mesaj electronic coninnd numrul de card i suma este apoi trimis la banca cu
care comerciantul este asociat.
Banca asociat, la rndul su, transmite mesajul computerului central al brandului
cardului (Visa sau MasterCard).
Acest brand va transmite mesajul ctre banca emitent, care a emis iniial cardul
titularului cardului.
Banca emitent verific limita de credit disponibil pe card i trimite napoi o
autorizaie.
Aceast autorizaie cltorete tot drumul napoi, pn cnd se ajunge la terminal POS
al comerciantului.

Am descris anterior modul n care tranzacia va progresa ntr-un mediu SET. Dar, n
funcie de mecanismele SET, va fi descris acest lucru n detaliu:

Titularul cardului merge la site-ul unui comerciant i selecteaz elementele pe care el

sau ea vrea s cumpere. Titularul cardului va face clic apoi pe butonul de verificare
virtual sau echivalentul acestuia.
Acest lucru declaneaz portofelul electronic pe PC-ul deintorului de card.
Software-ul prezint mai multe carduri de credit pe care le deine titularul cardului, iar
unul va fi ales. Acest portofel electronic primete, de asemenea, certificatele digitale a
dou entiti: comerciant i banca achizitoare (numit, de asemenea, un gateway de
plat). Aceste dou certificate sunt validate prin traversarea ierarhiei de ncredere,
prin mesaje trimise pe Internet tuturor entitilor aflate de-a lungul lanului de
ncredere.
Software-ul portofel genereaz apoi un mesaj care conine dou pri: informaiile
legate de comand i informaiile de plat. Informaiile legate de comand conin
informaii care s confirme comanda, n timp ce informaiile de plat conin numrul
cardului i suma aferent. Informaiile de plat sunt criptate folosind o cheie simetric
aleatoare, care la rndul su este criptat cu cheia public a gateway-ului de plat,
astfel nct numai gateway-ul de plat poate decripta. Cu alte cuvinte, comerciantul nu
va ti niciodat detaliile numrului de card al clientul su. Aceste date sunt trimise n
mod automat ctre site-ul comerciantului.
Calculator comerciantului va valida mai nti certificatul digital al deintorului de
card. Apoi, acesta va trimite informaiile de plat la gateway-ul de plat (care este
calculatorul bncii achizitoare) .
Gateway-ul de plat va verifica certificatele digitale att ale comerciantului ct i ale
titularul cardului i va decripta mesajul pentru a accesa numrul de card i suma.
Apoi, gateway-ul de plat va interfaa cu sistemele de la banca achizitoare pentru a
trimite tranzacia brandului cardului (Visa sau MasterCard), care apoi se trimite la
banca emitent pentru autorizare.
Acest rspuns de autorizare este apoi criptat n mod obinuit i trimis la comerciant,
care, la rndul su va valida mesajul i va stoca rspunsul. Atunci comerciantul va
face aranjamentele pentru livrarea produselor.
7

Toate aceste tranzacii au loc pe Internet i sunt destul de transparente pentru posesorul
cardului.
Un sistem SET include urmtorii participani, dup cum se observ i din figura de mai
jos:

Posesorul cardului (Cardholder)

Comerciant (Merchanrt
Banca emitent a cardului (Issuer)
Banca achizitoare (Acquirer)
Gateway de plat (Payment gateway)
Autoritate de certificare (Certification authority)

Figura 1. Participani la plata realizat utiliznd protocolul SET

Practic, pentru a folosi SET, clientul (deintorul cardului) trebuie s obin i s instaleze
software-ul pentru SET (partea de client) i un cont pentru card de credit care s suporte SET
i pentru care s se furnizeze certificatul necesar. Vnztorul trebuie s instaleze software-ul
SET specific, partea de vnzare i s-l integreze cu sistemul su storefront. Cerinele
software-ului SET pentru vnztor sunt mai complexe, deoarece acesta va trebui s realizeze
comunicarea att cu clientul, ct i cu portalul de pli (payment gateway).

Cerine practice pentru SET

SET a fost introdus i funcioneaz cu succes n mai multe ri europene. Premisele
pentru SET sunt:

Banca emitent va trebui s solicite ca posesorii si de carduri s achiziioneze

certificate digitale. De obicei, aceasta va furniza un portofel electronic, care va stabili
un certificat digital pentru titularul cardului automat.
Trebuie s fie un numr rezonabil de site-uri web comerciante care susin SET. Pentru
ca acest lucru s se ntmple, bncile achizitoare comercianilor trebuie s pun n
aplicare gateway-uri de plat. Software-ul gateway de plat este acum disponibil de la
8

mai muli furnizori de software de certificai. n prezent, numrul de site-uri web

activate pentru SET este mic; cu toate acestea, numrul lor este de ateptat s creasc
substanial n viitorul apropiat. O list de site-uri care utilizeaz SET este disponibil
pe site-urile web ale MasterCard (www.mastercard.com) i Visa (www.visa.com).

Concluzii
SET este un protocol care permite cumprturi pe Internet extrem de sigure cu ajutorul
cardurilor de credit. Acesta a fost dezvoltat de Visa i MasterCard ca rspuns la problemele
de securitate a tranzaciilor de pe Internet. Creterea exploziv a tranzaciilor pe Internet va fi
alimentat pe deplin de SET. Protocolul SET este nc n dezvoltare i este n prezent n curs
de dezvoltare pentru a acoperi tranzaciile cu carduri de debit, de asemenea.
Un avantaj al acestui protocol ar fi faptul c este o tranzacie simpl pentru cumprturi,
realizndu-se urmtoarele schimburi:

4 schimburi de mesaje ntre vnztor i consumator

2 schimburi de mesaje ntre vnztor i payment gateway
6 semnturi digitale
9 cicluri de criptare/decriptare RSA
4 cicluri de criptare/decriptare DES
4 verificri de certificate

La fel ca orice alt protocol, SET prezint i cteva dezavantaje:

Existena unor servere care trebuie s pstreze copii ale certificatelor

Consumatorii i vnztorii trebuie s instaleze aplicaii soft care permit procesarea
tranzaciilor SET
Vnztorii trebuie s aib un cont cu o banca achizitor sau un POS care s accepte
tranzacii SET

Bibliografie
Suportul de curs Tehnici de secretizare a informatiei prof.dr.ing Monica Borda
SET Secure Electronic Transaction Specification: Book 1: Business Description
Mark S. Merkow (2004). "Secure Electronic Transactions (SET)". In Hossein Bidgoli. The
Internet Encyclopedia. John Wiley & Sons. pp. 247260. ISBN 978-0-471-22203-3.
Stallings, William (Nov 1, 2000). "The SET Standard & E-Commerce". Dr. Dobbs.
SET Secure Electronic Transaction Specification (V1.0) Book 1. Mastercard and Visa. May
1997.
SET Secure Electronic Transaction Specification (V1.0) Book 2. Mastercard and Visa. May
1997.
SET Secure Electronic Transaction Specification (V1.0) Book 3. Mastercard and Visa. May
1997.
External Interface Guide to SET Secure Electronic Transaction. Mastercard and Visa.
September 1997.
SETco Main Page, SETco, archived from the original on 2002-09-28, retrieved 2013-11-07

10