elektronické platebnísystémy

'

$

'

$

Osnova pˇrednaˇ ´ sky ´ 2 Uvod, historie platebn´ıch system ´ u˚

Elektronicke´ platebn´ı systemy, ´ EPS

2 Poˇzadavky na EPS 2 Zakladn´ ´ ı komponenty EPS

PV 017 Bezpeˇcnost IT

2 Klasifikace EPS 2 Bezpeˇcnostn´ı poˇzadavky na EPS

Jan Staudek

2 Hlavn´ı technologie platebn´ıch nastroj ´ u˚ EPS 2 Podpurn ˚ e´ mechanismy pro tvorbu EPS 2 Platebn´ı mechanismy EPS

Æ 23 &'()*+,-./01 !"#$%

2 Pˇrı´klad protokolu pro standardizovane´ rˇ eˇsen´ı elektronickych ´ transakc´ı Visa 3-D Secure

Verze : podzim 2006 http://www.fi.muni.cz/usr/staudek/vyuka/ &

%

&

'

$

'

´ Uvod k EPS

PV017 – Elektronicke´ platebn´ı systemy ´

1

%

$

2 Historicke´ miln´ıky platebn´ıch system ´ u˚ barter → smenn ˇ e´ komodity (koˇzeˇsiny, . . . , zlato) → ´ smenky ˇ → → mince, bankovky → sˇ eky, poukazky, ´ → elektronicke´ platebn´ı systemy

2 stale ´ nejrozˇsı´rˇ enejˇ ˇ sı´ forma plateb

2 Pˇrı´klady typickych ´ soudobych ´ platebn´ıch system ´ u˚ hotovostn´ı platby, cash

2 snadna´ dosaˇzitelnost anonymity plateb

odhad 80% vˇsech transakc´ı na svet ˇ eˇ se deje ˇ hotovostn´ı platbou pˇrevaˇzuje orientace na n´ızke´ platby (prum ˚ er ˇ des´ıtky USD/EUR)

2 nepominutelne´ riziko padel ˇ an´ ´ ı penez ˇ 2 nutnost pˇrenosu penez ˇ do bank obchodn´ıky 2 podporovana´ forma sˇ irokou dostupnost´ı bankomatu˚ (ATM, Automated Teller Machines ) 2 v posledn´ı dekad ´ eˇ ex. silny´ tlak bank na zakazn´ ´ ıky

– pro velke´ platby (mezi bankami, mezi spoleˇcnostmi a bankami) specializovane´ platebn´ı systemy ´ obvykle s izolovanym ´ komunikaˇcn´ım systemem ´ napˇr. SWIFT, mezinarodn´ ´ ı poˇcı´taˇcoveˇ rˇ ı´zena´ telekomunikaˇcn´ı s´ıtˇ Jan Staudek, FI MU Brno

|

Hotovostn´ı platby

platebn´ı nastroje ´ pro bezhotovostn´ı platby – – pro male´ a stˇredn´ı platby: – sˇ eky, – zˇ iro (bezhotovostn´ı platby, platebn´ı pˇrı´kazy) – elektronicke´ bankovnictv´ı (automatizovany´ clearing), . . . – platebn´ı karty,

&

Jan Staudek, FI MU Brno

|


2

k pˇrechodu na elektronicke´ formy platebn´ıch system ´ u˚ 2 hotovostn´ımi platbami se dale ´ nezabyv ´ ame ´ %

&


|


3

%

'

$

'

$

Zakladn´ ´ ı model bezhotovostn´ıch plateb

&


|


,,Pull” model bezhotovostn´ıch plateb

4

'

%

&

$

'


|


5

%

$

,,Push” model bezhotovostn´ıch plateb

Bezhotovostn´ı platby, pˇrehled objemu˚ a vyuˇzı´van´ ´ ı (USA, Nemecko ˇ r. 2000) Platebn´ı n´ astroj

Pod´ıl na poˇctu transakc´ı

Pod´ıl na objemu transakc´ı

Pr˚ umˇerný objem transakce

sˇ eky

71%, 5%

10%

1 000 USD

platebn´ı karty

25% 4%

1%

60 USD

3%

3 000 USD

zˇ iro a elektronicke´ bankovnictv´ı 3%, 90% bankovn´ı systemy ´

&


|


6

%

&

1%, 1%

86%


4 000 000 USD

|


7

%

'

$

'

$

ˇ Ziro, bezhotovostn´ı platby, platebn´ı pˇrı´kaz, push model

Platby sˇ ekem, pull model

zˇ iro – platebn´ı pˇrı´kaz platce ´ sve´ bance k pˇrevodu penez ˇ bance pˇrı´jemce platby

&

problem ´ neuplatnitelnych ´ sˇ eku˚ – smolaˇr je vesmes ˇ Bob – nesouhlas´ı podpis Alice, nedostateˇcny´ kapital ´ Alice, . . .

nedostatek kapitalu ´ na uˇ ´ ctu platce ´ zamez´ı proveden´ı transakce – eliminace problemu ´ neuplatnitelnych ´ sˇ eku˚

banky sdruˇzene´ pod jedn´ım Clearing House si vzajemn ´ eˇ uhrad´ı sdruˇzene´ pohledavky ´ ze specialn´ ´ ıho uˇ ´ ctu udrˇzovaneho ´ obvykle vhodnou centraln´ ´ ı bankou

beˇ ˇ zneˇ pap´ırova´ forma, snadna´ a rozˇsı´rˇ ena´ je elektronicka´ implementace pro male´ a stˇredn´ı platby – elektronicke´ bankovnictv´ı


|


8

'

%

&

$

'

Kartovy´ platebn´ı system, ´ genericke´ schema, ´ pull model


|


9

%

$

Poˇzadavky na EPS 2 vysoky´ stupenˇ zabezpeˇcen´ı proti kradeˇ ´ zi peneˇ ˇ zn´ıch

prostˇredku˚ a podvodum ˚ 2 n´ızka´ cena provad ´ en ˇ ych ´ operac´ı v EPS 2 nezavislost ´ na podpurn ˚ ych ´ systemech ´

(operaˇcn´ıch, komunikaˇcn´ıch apod.) 2 nezavislost ´ na poˇctu uˇzivatelu˚ 2 srozumitelnost a snadna´ pouˇzitelnost pro uˇzivatele

model urˇceny´ pro maloobchod obchodn´ık mus´ı pouˇzı´vat a zakazn´ ´ ıkum ˚ zpˇrı´stupnit kartovy´ platebn´ı system ´ podporovany´ jeho bankou &


|


10

%

&


|


11

%

'

$

'

$

Zakladn´ ´ ı komponenty EPS

Klasifikace EPS 2 EPS s elektronickymi ´ penezi ˇ ×

v nekter ˇ e´ komponenteˇ dochaz´ ´ ı ke smen ˇ eˇ elektronickych ´ a klasickych ´ penez ˇ

EPS bez elektronickych ´ penez ˇ platebn´ı nastroj ´ (magneticka´ karta, cˇ ipova´ karta, osobn´ı poˇcı´taˇc) v sobeˇ nese / nenese elektronickou hotovost

2 EPS s pˇrı´ mou komunikac´ı mezi platcem ´ a pˇrı´jemcem ×

EPS s nepˇrı´mou komunikac´ı mezi platcem ´ a pˇrı´jemcem EPS s nepˇrı´mou komunikac´ı – Platebn´ı operace je vyvolana ´ pouze jednou stranou a zahrnuje tak pouze iniciatora ´ a banku(y). Platci ´ je pouze oznamena ´ cela´ transakce jeho bankou.

2 pokraˇc.


&

|


12

'

%

&

$

'



13

%

$

Klasifikace EPS

Klasifikace EPS

Klasifikace podle vztahu mezi dobou, kdy iniciator ´ platby povaˇzuje tuto akci za ukonˇcenou a cˇ asem, kdy se pˇrevedou pen´ıze od platce: ´

Klasifikace podle identifikovatelnosti plateb: 2 Identifikovatelne´ EPS ex. moˇznost identifikovat uˇ ´ castn´ıky kaˇzde´ transakce

2 Pˇredplacene´ systemy ´ (pre-paid payment systems )

v EPS s elektronickymi ´ penezi ˇ ma´ vydavatel elektronickych ´ penez ˇ moˇznost pˇresneˇ sledovat cestu j´ım vydanych ´ elektronickych ´ penez ˇ

take´ ,,hotovostn´ı” (cash-like) model, uˇzivatele´ nemus´ı m´ıt v bance zˇrı´zeny´ uˇ ´ cet napˇr. dob´ıjec´ı kupony, ´ elektronicke´ sˇ eky, . . . zakazn´ ´ ık si nejdˇrı´ve zakoup´ı kredit a pˇri nakupu ´ se z kreditu odeˇcte hodnota nakupu ´

2 Anonymn´ı EPS Anonymita platebn´ıho systemu ´ je v posledn´ıch letech vlastnost sp´ısˇ e poˇzadovana, ´ neˇz neˇzadouc´ ´ ı

2 Aktualn ´ eˇ placene´ systemy ´ (pay-now payment systems )

obecneˇ plat´ı – jsou obt´ızˇ neji ˇ implementovatelne´ neˇz identifikovatelne´ EPS

2 Systemy, ´ kdy se platba provad´ ´ ı pozdeji ˇ (pay-later payment systems )

v EPS s elektronickymi ´ penezi ˇ se elektronicke´ pen´ıze chovaj´ı stejneˇ jako beˇ ˇ zne´ pen´ıze

uˇzivatele´ mus´ı m´ıt v bance zˇrı´zeny´ uˇ ´ cet

2 pokraˇc.

2 pokraˇc. &

|


|


14

%

&


|


15

%

'

$

'

$

Klasifikace EPS

Klasifikace EPS

Klasifikace podle toku informac´ı mezi zuˇ ´ castnen ˇ ymi ´ entitami:

Klasifikace podle realizace elektronickych ´ plateb: 2 on-line platby platby od zakazn´ ´ ıka obchodn´ık oveˇ ˇ ruje s bankou pˇred poskytnut´ım sluˇzby (pˇres autorizaˇcn´ı server na straneˇ vydavatele cˇ i nabyvatele). zahrnuj´ı v´ıce komunikace a jsou povaˇzovany ´ bezpeˇcnejˇ ˇ sı´ neˇz off-line platby

2 off-line platby nepotˇrebuj´ı kontakt se tˇret´ı stranou behem ˇ transakce nen´ı nutne´ on-line spojen´ı s bankou mus´ı byt ´ zamezeno dvoj´ımu utracen´ ´ ı nejakou ˇ jiˇz provedenou operac´ı

2 pokraˇc.


&

|


16

'

%

&

$

'

Klasifikace EPS


17

%

$

2 Duv ˚ ernost ˇ

2 mikroplatby (< $1)

neautorizovane´ osoby nemohou odposlechem komunikac´ı v s´ıti nebo vniknut´ım do zuˇ ´ castnen ˇ ych ´ poˇcı´taˇcu˚ zjistit citlive´ informace

podpora velkeho ´ poˇctu malych ´ plateb dochaz´ ´ ı k migraci k modelum ˚ zaloˇzenych ´ na kreditn´ı bazi ´ (coˇz je model se svoj´ı vlastn´ı menou, ˇ tzv. virtualn´ ´ ı kredit) nejvetˇ ˇ sı´m problemem ´ mikroplateb je cena samotnych ´ transakc´ı

v pˇrı´padeˇ neanonymn´ıch EPS nekter ˇ e´ informace o dane´ transakci (napˇr. jmeno ´ platce, ´ pˇrı´jemce, celkova´ suma, atd.) mus´ı zustat ˚ utajeny vuˇ ˚ ci tˇret´ım neautorizovanym ´ objektum ˚

2 Integrita identity

2 platby s malou hodnotou ($1 - $500) pouˇzit´ı platebn´ıch karet sˇ iroke´ uplatnen´ ˇ ı nachazej´ ´ ı zejmena ´ na Internetu

v nutnych ´ pˇrı´padech se identita zuˇ ´ castnen ˇ ych ´ stran proveˇ ˇ ruje autentizac´ı napˇr. zakazn´ ´ ık mus´ı m´ıt moˇznost identifikovat obchodn´ıka, se kterym ´ chce bezpeˇcneˇ elektronicky obchodovat a mus´ı si byt ´ jisty, ´ zˇ e tento obchodn´ık spolupracuje s finanˇcn´ı organizac´ı, ktera´ akceptuje jeho platebn´ı kartu.

2 platby s velkou hodnotou (> $500) typicky on-line systemy ´ zaloˇzene´ na asymetricke´ kryptografii vyuˇzı´vaj´ıc´ı toho, zˇ e identita platce ´ je znam ´ a´ a oveˇ ˇ rena´ internetove´ bankovn´ı systemy, ´ pˇrevody z uˇ ´ ctu na uˇ ´ cet, . . . nutnou podm´ınkou je zˇrı´zen´ı uˇ ´ ctu v bance Jan Staudek, FI MU Brno

|

Bezpeˇcnostn´ı poˇzadavky kladene´ na EPS

Klasifikace podle sumy, ktera´ je pˇrenaˇ ´ sena transakc´ı, napˇr.

&


|


2 pokraˇc. 18

%

&


|


19

%

'

$

'

Bezpeˇcnostn´ı poˇzadavky kladene´ na EPS

$

Hlavn´ı technologie platebn´ıch nastroj ´ u˚ 2 Karty, klasifikace a zakladn´ ´ ı schema ´

2 Integrita transakc´ı 2 Autorizovatelnost – u neanonymn´ıch EPS nejduleˇ ˚ zitejˇ ˇ sı´ sloˇzka autorizace tˇret´ı stranou – typicky bankou heslem digitaln´ ´ ım podpisem – vyˇzaduje pouˇzı´van´ ´ ı drahych ´ infrastruktur PKI

2 Interoperabilita je objektivneˇ nutne, ´ aby se na EPS souˇcasneˇ pod´ılely ruzn ˚ e´ hardwarove´ a softwarove´ platformy

2 Karty klasifikovane´ podle typu zuˇ ´ ctovan´ ´ ı Debetn´ı karty × kreditn´ı karty × charge karty

dosahuje se aplikac´ı standardizovaneho ´ platebn´ıho protokolu

2 Dostupnost

2 Virtualn´ ´ ı platebn´ı karty, pouze s´ıtˇ ovy´ provoz napˇr. Citibank, eBanka, GE Capital Bank, Komerˇcn´ı banka, . . . pouze 16-ti m´ıstne´ cˇ ı´slo, trojm´ıstny´ kontroln´ı kod ´ CVC (Card Verification Code ), uplatnovanan ˇ e´ v prostˇred´ı chran ´ en ˇ em ´ SSL

poˇzadavek na bezchybny´ a adekvatn ´ eˇ vykonn ´ y´ chod vˇsech komponent

2 Spolehlivost platebn´ı transakce mus´ı byt ´ atomicke´ Jan Staudek, FI MU Brno

&

|


20

'

%

&

$

'

Hlavn´ı technologie platebn´ıch nastroj ´ u˚

|


21

%

$

Hrozby karetn´ıch platebn´ıch system ´ u˚

2 ex. silna´ standardizace v oblasti karet

2 Neautorizovane´ pouˇzit´ı platne´ karty

ISO 8583, vym ´ ena ˇ informac´ı mezi vydavatelem platebn´ı karty a bankou obchodn´ıka pˇri platebn´ı transakci

ztracena´ karta, ukradena´ karta, zjiˇsten ˇ e´ bezpeˇcnostn´ı informace karty

2 pouˇzit´ı faleˇsne´ karty

ISO 7816, kontaktn´ı identifikaˇcn´ı karty s integrovanymi ´ obvody,

kopie legitimn´ı karty, plneˇ faleˇsna´ karta

CEPS (Common electronic purse specification ), poˇzadavky pro komponenty globaln´ ´ ı elektronicke´ peneˇ ˇ zenky

2 odm´ıtnut´ı transakce

ISO 10202, bezpeˇcnostn´ı architektura finanˇcn´ıch transakˇcn´ıch system ´ u˚ pouˇzı´vaj´ıc´ı karty s integrovanymi ´ obvody,

2 odposlechnut´ı transakce (ztrata ´ soukrom´ı)

...

2 zmanipulovan´ ´ ı transakce

2 pokraˇc.

&


Vznikaj´ı vaˇ ´ zne´ finanˇcn´ı sˇ kody. Za sˇ kody se odpov´ıda´ podle pravidel stanovenych ´ kartovou asociac´ı, se kterou banka klienta i banka obchodn´ıka mus´ı m´ıt uzavˇrene´ dohody. Jan Staudek, FI MU Brno

|


22

%

&


|


23

%

'

$

'

Opatˇren´ı sniˇzuj´ıc´ı rizika hrozeb karetn´ıch plat. system ´ u˚

$

Opatˇren´ı sniˇzuj´ıc´ı rizika hrozeb karetn´ıch plat. system ´ u˚

2 Ochrana pˇred neautorizovanym ´ pouˇzit´ım

2 Ochrana proti odposlechu transakc´ı

rukopisny´ podpis na karteˇ CVC, Card Verification Code, 3 cifry na zadn´ı straneˇ karty on-line autorizace (nepomuˇ ˚ ze pˇri nenahlaˇ ´ senych ´ ztrat ´ ach) ´ pouˇzit´ı PINu

sˇ ifrovan´ ´ ı toku dat mezi klientem a obchodn´ıkem a mezi bankami a asociac´ı

2 Ochrana manipulaci s transakcemi

2 Ochrana pˇred klonovan´ ´ ım

sˇ ifrovan´ ´ ı toku dat mezi klientem a obchodn´ıkem a mezi bankami a asociac´ı

hologram CVC, Card Verification Code, 3 cifry na magnetickem ´ prouˇzku on-line autorizace (v´ı-li se o klonu, jde-li o faleˇsnou kartu) kryptograficka´ autentizace pomoc´ı karty

2 Ochrana proti zam´ıtnut´ı transakc´ı pouˇzit´ı rukopisneho ´ podpisu pouˇzit´ı PIN Jan Staudek, FI MU Brno

&

|


24

'

%

&

$

'


|


25

%

$


Formy zabezpeˇcovan´ ´ ı cˇ ipovych ´ karet

2 Mobiln´ı telefony

2 Logicka´ bezpeˇcnost

iniciativy – Mobile Payment Forum, Mobile electronic Transaction (MeT), PayCircle, The Mobey Forum, Mobile Payment Services Association (Vodafone, Orange, T-Mobile, Telefonica), ´ ...

karta je navrˇzena´ tak, zˇ e zˇ adn ´ a´ funkce nebo kombinace funkc´ı nevede k odhalen´ı citlivych ´ udaj ´ u˚ zpusoby ˚ dosaˇzen´ı:

vyuˇzı´va´ se napˇr. WAP (wireless application protocol ) a pro pˇrenos dat mezi klientem a WAP branou ´ protokol WTLS (wireless transport layer protocol ) funkˇcneˇ identicky´ se SSL/TLS

– monitorovan´ ´ ı vˇsech operac´ı provad ´ en ˇ ych ´ uˇzivatelem karty – horn´ım limitem poˇctu funkc´ı, ktere´ lze provest ´ za urˇcitou dobu, . . .

2 Fyzicka´ bezpeˇcnost

detaily o identiteˇ majitele mobilu – v SIM – WTLS pouˇzı´va´ WIM (wireless identity module ), – citliva´ data (kl´ıcˇ e) jsou uloˇzena ve WIM a – vˇsechny operace s kl´ıcˇ i se provad´ ´ ı takteˇ ´ z ve WIM – WIM muˇ ˚ ze byt ´ – integrovany´ se SIM (SWIM), – tvoˇreny´ jinou samostatnou smart kartou a nebo – implementovany´ softwaroveˇ (Java)

specialn´ ´ ı chemicke´ vrstvy chran´ ´ ı cˇ ip na karteˇ proti analyze ´ obsahu jej´ı pameti ˇ napˇr. zpusoben´ ˚ ım sebedestrukce pˇri naruˇsen´ı celistvosti, ...

2 pokraˇc. &


|


26

%

&


|


27

%

'

$

'

$



Elektronicke´ pen´ıze

2 Mikroplatby, elektronicka´ peneˇ ˇ zenka ,,na drobne” ´

2 Token-based × Balance-based

pro placen´ı malych ´ cˇ astek ´ je nejvhodnejˇ ˇ sı´ platba v hotovosti (cash )

Token-based – bankou podepsane´ numericke´ hodnoty, e-mince

(elektronicke) ´ platby malych ´ cˇ astek ´ bezhotovostneˇ (pˇres banku) maj´ı neum ´ ernou ˇ reˇzii pˇredplacen´ı sluˇzby problem ´ neˇreˇsı´, omezuje klientelu

– e-mince existuj´ı v pˇredem definovanych ´ hodnotach, ´ ktere´ je pro rozmen ˇ en´ ˇ ı tˇreba poslat do vydavaj´ ´ ıc´ı banky

mnoho iniciativ napodobuj´ıc´ıch elektronicky peneˇ ˇ zenku na drobne´ e-mince existovalo ve 2. pol. 90. let

– Kaˇzde´ e-minci je pˇridelena ˇ urˇcita´ jedineˇcna´ cˇ ı´selna´ (registraˇcn´ı) hodnota, zabranuj´ ˇ ıc´ı dvoj´ımu utracen´ ´ ı. – pˇrı´klad – Ecash od firmy DigiCash

naprosta´ vetˇ ˇ sina mikroplatebn´ıch projektu˚ z let 1995 aˇz 1999 jiˇz neexistuje ˇ v Cesk e´ republice vˇsemu uˇcinil pˇrı´trˇz zakon ´ cˇ . 124/2002 Sb., ktery´ de facto 1. ledna 2003 pojem mikroplatby zruˇsil.

Balance-based – – jsou cˇ asteji ˇ pouˇzı´vane´ – maj´ı podobu pouheho ´ kladneho ´ nebo zaporn ´ eho ´ zustatku ˚ na elektronickem ´ uˇ ´ ctu. – platby se zahajuj´ı pˇrı´kazy k pˇrevodu nebo k inkasu, technologicka´ baze ´ elektronickeho ´ bankovnictv´ı

v souˇcasnosti doˇslo k migraci klasickych ´ cˇ isteˇ mikroplatebn´ıch modelu˚ k modelum ˚ zaloˇzenych ´ na kreditn´ı bazi. ´ Ty jsou ale nab´ızeny sp´ısˇ e jako doplnkov ˇ a´ sluˇzba k jinym ´ sluˇzbam ´ banky.


&

|


28

'

2 pokraˇc. %

&

$

'

|


29

%

$





2 Problem ´ zachovan´ ´ ı anonymity e-penez ˇ

2 Card-based × Software-based

mus´ı byt ´ zamezeno dvoj´ımu utracen´ ´ ı nejakou ˇ jiˇz provedenou operac´ı, e-pen´ıze jsou proto jednoznaˇcneˇ znaˇckovane´ poˇradovymi ´ cˇ ı´sly (sn)

Card-based – – cˇ ipova´ karta funguj´ıc´ı jako elektronicka´ peneˇ ˇ zenka ˇ a karta od CD – pˇredplacene´ karty MasterCard, VISA, modr´ Software-based –

klient z´ıskav ´ a´ e-pen´ıze od banky, banka je schopna´ ved ˇ et, ˇ ktere´ e-pen´ıze (zna´ sn) komu vydala a po jejich navratu ´ do banky od obchodn´ıka poznat, kdo kde e-pen´ıze utratil

– racionaln´ ´ ı podm´ınkou pouˇzitelnosti je pouˇzit´ı Internetu

zajiˇsten´ ˇ ı duv ˚ eryhodnosti ˇ e-penez ˇ RSA podpisy banky jejich sn: e-bankovka ≡ (H(sn)P Kbanka mod n)

2 Klasifikace podle povahy emitenta penez ˇ

bance nebran´ ´ ı ve sledovan´ ´ ı kde zakazn´ ´ ık jej´ı e-pen´ıze utrac´ ´ ı

bankovn´ı – vydav ´ a´ pravnick ´ a´ osoba disponuj´ıc´ı bankovn´ı licenc´ı v souladu s ustanoven´ım zakona ´ o bankach ´

– H je vhodna´ haˇsovac´ı funkce – veˇrejna´ znalost V Kbanka umoˇznuje ˇ kontrolovat pravost e-penez ˇ napˇr. vhodnou redundanc´ı v sn – redundance v sn nebo nasobnost ´ dvojic {V Kbanka, P Kbanka} umoˇznuje ˇ rozliˇsovat hodnotu e-bankovek, . . .

nebankovn´ı – emitent nen´ı banka

&



|


30

%

&


|


31

%

'

$

'

Elektronicke´ pen´ıze – slepe´ podpisy

$


anonymn´ı cˇ ı´slo e-bankovky (napˇr. stokoruny) C vol´ı klient banky – alesponˇ 100 cifer, atˇ je s velkou pravdepodobnost´ ˇ ı unikatn´ ´ ı

Elektronicke´ pen´ıze 2 e-pen´ıze stale ´ nemuˇ ˚ zeme povaˇzovat za elektronicky´

klient banku poˇzad ´ a´ o e-bankovku s veˇrejnym ´ cˇ ı´slem e-bankovky

ekvivalent fyzickych ´ penez ˇ – cash

C × r V Kbanka , kde r je nahodn ´ e´ a zna´ ho pouze klient

2 Rozd´ıl mezi elektronickymi ´ peneˇ ˇ zenkami

banka klientovi vrat´ ´ ı podepsane´ veˇrejne´ cˇ ı´slo e-bankovky

(C × r V Kbanka )P Kbanka plat´ı (C × r V Kbanka )P Kbanka = C P Kbanka × (r V Kbanka )P Kbanka z hodnoty C P Kbanka × r klient, ktery´ zna´ r snadno z´ıska´ bankou podepsane´ anonymn´ı cˇ ı´slo e-bankovky C P Kbanka ,

(napˇr. pˇredplacene´ karty) a jinymi ´ karetn´ımi platebn´ımi systemy ´ se stale ´ v´ıce zmenˇsuje 2 vˇsechny EPS smeˇ ˇ ruj´ı k tomu, aby se globalizovaly v jedno

univerzaln´ ´ ı platebn´ı medium ´

a pˇritom vlastn´ı anonymn´ı cˇ ı´slo e-bankovky banka nezna´ banka netuˇsı´, ktere´ cˇ ı´slo C e-bankovky klientovi podepsala, pouze klientovi odep´ısˇ e z jeho uˇ ´ ctu stokorunu za jej´ı vytvoˇren´ı pˇri definovane´ (povinne) ´ redundanci pˇri volbeˇ C banka snadno oveˇ ˇ rı´ pravost e-bankovky, kdyˇz j´ı klient v pˇrı´padeˇ sporu doda´ C P Kbanka &


|


32

'

%

&

$

'



|


33

%

$

Elektronicky´ sˇ ek

2 Elektronicke´ pˇrevody mezi uˇ ´ cty a elektronicke´ sˇ eky Elektronicke´ pˇrevody mezi uˇ ´ cty vyˇzaduj´ı on-line autentizaci klienta elektronicky´ sˇ ek – instrukce pro platcovu ´ banku, ktere´ rˇ ı´kaj´ı, kolik penez ˇ a na jaky´ uˇ ´ cet se maj´ı pˇrevest ´

2 Elektronicke´ (komerˇcn´ı) transakce vˇseobecne´ elektronicke´ komerˇcn´ı systemy ´ pˇresneˇ stanovene´ scen ´ aˇ ´ re techto ˇ transakc´ı, zahrnuj´ıc´ı objednavky, ´ platby a jine´ procesy spojene´ s platbami, instrukce, procedury a protokoly pro pˇrenos financ´ı mezi uˇ ´ cty definuj´ı celkovou platebn´ı architekturu z obchodn´ıho hlediska OBI (Opening Buying on the Internet ) a IOTP (Internet Open Trading Protocol )

&


|


34

%

&


|


35

%

'

$

'

Funkˇcn´ı toky elektronickeho ´ sˇ eku

$

Podpurn ˚ e´ mechanismy pro tvorbu EPS 2 Autentizace drˇzitele platebn´ı karty

Klasifikace podle FSTC (Financial Services Technology Consortium ) :

oveˇ ˇ ren´ı totoˇznosti drˇzitele platebn´ı karty behem ˇ samotneho ´ (on-line) placen´ı touto kartou systemy ´ oveˇ ˇ rovan´ ´ ı, zˇ e data o karteˇ jsou prave´ a karta platna´ pˇrı´klady system ´ u˚ s takovou autentizac´ı – SET, Visa: 3-D Secure, MasterCard: Secure Payment Application

2 Elektronicke´ bankovnictv´ı Home banking GSM banking Phone banking Internet banking

2 Elektronicka´ peneˇ ˇ zenka velmi bohata´ sˇ kala ´ konceptu, ˚ cˇ asto s zˇ ivotem jeipiˇcı´m Jan Staudek, FI MU Brno

&

|


36

'

%

&

$

'

Elektronicke´ bankovnictv´ı


|


37

%

$

Elektronicke´ bankovnictv´ı

2 Home banking

2 Phone banking

moˇznost zadavat ´ pˇrı´kazy a provad ´ et ˇ dalˇsı´ operace s uˇ ´ ctem

vola´ se na dane´ telefonn´ı cˇ ı´slo

pˇrı´stup do databaze ´ banky a k vyhledav ´ an´ ´ ı sluˇzeb, cˇ ı´seln´ıku˚ bank, kurzovn´ıch l´ıstku, ˚ urokov ´ ych ´ sazeb a podobneˇ

ˇ s automatem, veˇskera´ komunikace prob´ıha´ budto nebo s operatorem ´ cˇ i operatorkou ´

aplikaci lze propojit s vlastn´ım ekonomickym ´ systemem ´ firmy coˇz umoˇznuje ˇ automaticke´ pˇredav ´ an´ ´ ı platebn´ıch pˇrı´kazu˚ a vypis ´ u˚ z uˇ ´ ctu

2 Internet banking klient mus´ı m´ıt pouze pˇrı´stup k Internetu a vhodny´ internetovy´ prohl´ızˇ eˇc.

vesmes ˇ nastroj ´ pro podnikan´ ´ ı

2 GSM banking

pouze se pˇrihlas´ ´ ı k webove´ strance ´ banky a muˇ ˚ ze pracovat jako u pˇrepaˇ ´ zky v bance

SIM Toolkit – aplikace je uloˇzena v SIM SMS banking – komunikace s bankou via SMS zpravy ´ WAP banking – komunikace s bankou via WAP

2 pokraˇc. &


|


38

%

&


|


39

%

'

$

'

Visa 3-D Secure, protokol elektronickych ´ transakc´ı

Visa 3-D Secure, protokol elektronickych ´ transakc´ı 2 Role vystupuj´ıc´ı v protokolu

2 propracovane´ bezpeˇcnostn´ı protokolarn´ ´ ı schema ´ pro podporu

Obchodn´ık, Merchant – ma´ ve svem ´ serveru instalovany´ MPI (Merchant Plug-in ) komunikuj´ıc´ı s adresaˇ ´ rem 3-D Secure,

plateb kartami v ramci ´ e-commerce 2 transakce pro implementaci system ´ u˚ typu on-line shop apod.

adresaˇ ´ r 3-D Secure – uloˇ ´ ziˇsteˇ vˇsech cˇ ı´sel registrovanych ´ platebn´ıch karet a k nim asociovanym ´ jejich vydavatelu˚

2 vyvoj ´ MasterCard a Visa

Banka zakazn´ ´ ıka, Issuer, – poskytuj´ıc´ı sluˇzbu Access Control Server (ACS) za uˇ ´ celem: – autentizace drˇzitelu˚ platebn´ıch karet – poskytovan´ ´ ı oveˇ ˇ ritelnych ´ dukaz ˚ u˚ autentizac´ı drˇzitelu˚ platebn´ıch karet

2 podpora autentizace drˇzitele platebn´ı karty 2 c´ılem je ochrana obchodn´ıka pˇred neuhrazen´ım zavazk ´ u˚

klientu˚

drˇzitel platebn´ı karty, Cardholder, zakazn´ ´ ık – autentizovany´ bankou zakazn´ ´ ıka

2 vybudovano ´ na vyzkouˇsenych ´ a duv ˚ eryhodn ˇ ych ´ technologi´ıch,

vˇc. SSL/TLS

Banka obchodn´ıka, Acquier – provad´ ´ ı autorizaci platby pro obchodn´ıka

2 vyuˇzı´ va´ se http technika ,,pˇresmerov ˇ av ´ an´ ´ ı” – redirection

Asociace, Brand, – provozuje on-line adresaˇ ´ rovy´ server 3-D Secure – provozuje relevantn´ı certifikaˇcn´ı autority asociace

2 navrˇzeno s c´ılem minimaln´ ´ ıch zmen ˇ v beˇ ˇ znych ´ model plateb

v e-commerce Jan Staudek, FI MU Brno

&

|


$

40

'

%

&

$

'


|


41

%

$



2 Pˇrihlaˇ ´ sen´ı v 3-D Secure

Role vystupuj´ıc´ı v protokolu

drˇzitel karty mus´ı m´ıt autentizovany´ uˇ ´ cet u sve´ banky zpusob ˚ autentizace pˇredepsany´ nen´ı (heslo, certifikat, ´ ...) autentizace drˇzitele karty u jeho banky mus´ı byt ´ bezpeˇcna´

2 Tok zprav ´ v 3-D Secure 1. Zakazn´ ´ ık, drˇzitel VISA karty, si vybere obchodn´ıka a zboˇzı´ na jeho webu a zahaj´ı proces platby zaslan´ ´ ım sveho ´ cˇ ı´sla uˇ ´ ctu obchodn´ıkovu software (na pˇrı´sluˇsny´ 3-D Secure Merchant plug-in, MPI) 2. MPI pˇreda´ cˇ ı´slo uˇ ´ ctu na centraln´ ´ ı adresaˇ ´ r a poˇzaduje – oveˇ ˇ ren´ı zˇ e zakazn´ ´ ık sm´ı pouˇzı´vat 3-D Secure a – URL sluˇzby ACS pro pˇrı´sluˇsny´ uˇ ´ cet 3. Centraln´ ´ ı adresaˇ ´ r oveˇ ˇ rı´ autorizaci obchodn´ıka a jeho banky a oveˇ ˇ rovac´ı poˇzadavek pˇreda´ na pˇrı´sluˇsny´ ACS banky zakazn´ ´ ıka

&


|


42

%

&


|


43

%

'

$

'

$



9. ACS vrat´ ´ ı autentizaˇcn´ı odpoveˇ dˇ MPI cestou uˇzivatelova prohl´ızˇ eˇce, opet ˇ pˇresmerov ˇ an´ ´ ım.

4. Dotazovany´ ACS vrat´ ´ ı (v kladnem ´ pˇrı´padeˇ oveˇ ˇ ren´ı platnosti karty), URL, na kde se rˇ eˇsı´ sluˇzba autentizace zakazn´ ´ ıka

ACS poˇsle vybrana´ data rovneˇ ˇ z na server autentizaˇcn´ı historie ´ cely protokolovan´ ´ ı (Authentication History Server ) pro uˇ 10. MPI obchodn´ıka z´ıska´ autentizaˇcn´ı odpoveˇ dˇ

5. Centraln´ ´ ı adresaˇ ´ r vrat´ ´ ı toto URL na MPI obchodn´ıka 6. Obchodn´ıkuv ˚ MPI poˇsle poˇzadavek na autentizaci platce ´ a platby u vydavatele pˇrı´sluˇsne´ karty pˇresmerov ˇ an´ ´ ım prohl´ızˇ eˇce zakazn´ ´ ıka (identitn´ı autentizaˇcn´ı tajemstv´ı – heslo – zna´ pouze zakazn´ ´ ık a vydavatel jeho karty)

11. MPI oveˇ ˇ rı´ podpis ACS 12. MPI obchodn´ıka poskytne data pro dalˇsı´ bankovn´ı zpracovan´ ´ ı sve´ bance 13. probehne ˇ bankovn´ı zpracovan´ ´ ı pˇrevodu penez. ˇ

7. Prohl´ızˇ eˇc zakazn´ ´ ıka poˇsle poˇzadavek na autentizaci platby ACS vydavatele karty, ten si oveˇ ˇ rı´, zˇ e jeho puvod ˚ je u obchodn´ıka 8. ACS autentizuje zakazn´ ´ ıka pomoc´ı znalosti zakazn´ ´ ıkova hesla, potom sestav´ı j´ım (ACS) podepsanou autentizaˇcn´ı odpoveˇ dˇ s pˇrı´sluˇsnymi ´ hodnotami (vyˇ ´ se platby, cˇ ı´slo uˇ ´ ctu, kontroln´ı cˇ ı´slo z karty CAVV (Cardholder Authentication Verification Value ), ID obchodn´ıka, . . .

&

%

&

'

$

'



|


45


|


45

%

$

Visa 3-D Secure, protokol elektronickych ´ transakc´ı 2 Kryptograficke´ ochrany vˇsechny spoje mezi rolemi jsou rˇ ı´zeny SSL/TLS protokoly aˇz na spoj vedouc´ı mezi obchodn´ıkem a zakazn´ ´ ıkem jsou vˇsechny spoje vzajemn ´ eˇ autentizovane´ zprava ´ z ACS je podepsana´ ACS banky zakazn´ ´ ıka

&


|


46

%

&


|


47

%

'

$

'



2 Rekapitulace vlastnost´ı 3-D Secure

2 dalˇsı´ charakteristicke´ vlastnosti 3-D Secure

duv ˚ ernost ˇ a integritu zajiˇstˇ uje bezpeˇcnost SSL

Jedinym ´ poˇzadavkem na zakazn´ ´ ıka je nutnost byt ´ pˇripojen na internet a m´ıt k dispozici nejak ˇ y´ prohl´ızˇ eˇc webovych ´ stranek ´

metodu autentizace zakazn´ ´ ıka urˇcuje a autentizaci provad´ ´ ı banka zakazn´ ´ ıka

Obchodn´ıci si mus´ı nainstalovat Merchant plug-in (MPI) jako komponentu do svych ´ internetovych ´ obchodu˚

dukaz ˚ autentizace je poskytnut´ı podpisem ACS a udan´ ´ ım CAVV

Vydavatele´ mus´ı m´ıt k dispozici Access control server (ACS), ktery´ je pouˇzit k autentizaci identity drˇzitele karty behem ˇ transakce. Jeho dalˇsı´ funkc´ı je sprava ´ vˇsech plateb.

zakazn´ ´ ıkovi staˇcı´ pouˇzı´vat beˇ ˇ zny´ prohl´ızˇ eˇc poˇcet vymeˇ novan ˇ ych ´ zprav ´ je znaˇcny´

redirection pˇredstavuje riziko utoku ´ man-in-the-midle

Zakazn´ ´ ıci se mus´ı pouze registrovat u sveho ´ vydavatele platebn´ı karty a zvolit si sve´ heslo nebo jiny´ kvalitnejˇ ˇ sı´ autentizaˇcn´ı nastroj ´

a tud´ızˇ hrozbu ztraty ´ duv ˚ ernosti ˇ autentizaˇcn´ıch informac´ı (autentizace by nemela ˇ byt ´ ,,staticka”, ´ ale dynamicka´ pomoc´ı nejak ˇ e´ autentizaˇcn´ı kalkulaˇcky

VISA provozuje centraln´ ´ ı Directory Server (VDS), ktery´ slouˇzı´ jako uloˇ ´ ziˇsteˇ vˇsech cˇ ı´sel platebn´ıch karet, ktere´ jsou registrovane´ a jejich asociovanych ´ ACS webovych ´ adres pro kaˇzdeho ´ vydavatele.

3-D Secure nechran´ ´ ı informace o karteˇ z´ıskane´ do obchodn´ıkova serveru

&


$

|


48

%

&


|


49

%

elektronické platebnísystémy

Recommend Documents