© by S.Strudthoff 2005 SET Sichere Kreditkartenzahlung im Internet.

© by S.Strudthoff 2005

SETSET

Sichere Kreditkartenzahlung im Internet

2© by S.Strudthoff 2005

GliederungGliederung

1. Historie

2. Gefahren beim Onlineeinkauf

3. Leistungen von SET

4. Das Verfahren

5. Die Zukunft


1. Historie1. Historie

• Entwickelt von Visa-, Mastercard, IBM, Microsoft, Netscape u. A.

• Erschienen 1997

• Bildung der SETCo im gleichen Jahr– Zur Weiterentwicklung– Zur Abnahme von Software– Als übergeordnete Zertifizierungsstelle

• Standard aufgegeben (etwa 2002)


2. Gefahren beim Onlineeinkauf2. Gefahren beim Onlineeinkauf

• Abhören von Nachrichten

• Ändern von Daten

• Vortäuschen einer anderen Person

• Daten an nicht betreffende Stellen senden

• Keine Anonymität wie bei Bargeld


3. Leistungen von SET3. Leistungen von SET

• Vertraulichkeit

• Integrität

• Authentizität

• Need To Know


• RSA

• DES

• SHA - 1

• Digitale Signatur

• Digitales Zertifikat

4. Das Verfahren4. Das VerfahrenAngewendete Verfahren


4. Das Verfahren4. Das Verfahren

HändlerKunde

Payment Gateway

Trust Center

Bank

Kredit-Ges.

Die Beteiligten


Anmeldung des Kunden:Anmeldung des Kunden:

Kunde

Kredit-gesellschaft

Bank

Trust Center

Meldet sichFür SET an

Reicht Antragweiter

Fordert Zertifikat an

Zertifikatsbrief

Zertifikatsbrief

Zertifikatsbrief& Wallet


Ablauf des Verfahrens:Ablauf des Verfahrens:

• Kunde besucht ein Onlinekaufhaus

• Stellt seinen Warenkorb zusammen

• Wählt SET als Bezahlungsart aus

• SET – Wunsch wird übermittelt

• Antwort vom Händler öffnet Wallet

Symbol für SET - Händler


Kunde meldet sich beim HändlerKunde meldet sich beim Händler

HändlerKundeKreditkartenmarke

Payment Gateway


Der Händler bestätigtDer Händler bestätigt

HändlerKunde TIDZertifikat HändlerZertifikat Payment Gateway

Payment Gateway


Kunde...Kunde...

... Überprüft die Informationen und

erstellt Duale Signatur

Kunde

Trust Center


Die „Zutaten“ der Duale SignaturDie „Zutaten“ der Duale Signatur

Bestellinformation (BI)

Bezahlautorisierung (BA)

Secure Hash Algorithm(SHA-1)

Signatur

Kunde


Der Aufbau der Duale SignaturDer Aufbau der Duale Signatur

RSA

SHA - 1

Duale SignaturDuale Signatur

SHA - 1

SHA - 1

SHA - 1

SHA - 1

SHA - 1

SHA - 1

BA

BI

SHA - 1

BA

BI

BA

BI

Kunde


Kunde antwortet an Händler:Kunde antwortet an Händler:

• Duale Signatur

• BI

• Hash (BA)

• Hash (BI)

• BA verschlüsselt mit DES

• DES–Schlüssel und AccountInfo RSA verschlüsselt (mit öffentlichem Schlüssel des Payment Gateways)

Duale Signatur

BA

SHA - 1

BI

SHA - 1

BA

DES

AcInfo

KDES

RSAPG

Kunde

Händler

BI

Kunde


HändlerKunde

Kunde antwortet an Händler:Kunde antwortet an Händler:

Duale SignaturBIHash (BI)Hash (BA)DES (BA)Accountinfo

Payment Gateway


SHA - 1

BA

BI

SHA - 1

SHA - 1

SHA - 1

BA

BI

SHA - 1

SHA - 1

SHA - 1

BA

BI

Duale Signatur RSA – entschlüsselt:

Erstellter Vergleichswert:

GelieferterWert:

Zu testenderWert:

?

SHA-1

Der Händler prüft Duale Signatur:Der Händler prüft Duale Signatur: Händler


Ist die Signatur korrekt:Ist die Signatur korrekt:

• Bestätigung an Kunde:– TID– Acknowledgement

(RSA-verschlüsselt)

• Bezahlanforderung an Payment Gateway:– Verschlüsselter Teil des Kunden– Eigener Teil

Händler


Bezahlnachfrage: (Käuferteil)Bezahlnachfrage: (Käuferteil)

• Duale Signatur des Käufers

• Hash (BI)

• DES (BA)

• RSA (KDES, AcInfo)

• Zertifikat des KundenDuale

Signatur

BA

SHA - 1

BI

SHA - 1

BA

DES

AcInfo

KDES

RSAPG

Kunde

Händler

AcInfo

KDES

RSAPG

BA

DES

BI

SHA - 1Duale

Signatur

ZertK

BI

Händler


AcInfo

KDES

RSAPG

BA

DES

BI

SHA - 1Duale

Signatur

ZertK

Bezahlnachfrage: (Händlerteil)Bezahlnachfrage: (Händlerteil)

• TID signiert und mit neuem DES-Schlüssel verschlüsselt

• DES – Schlüssel mit RSA verschlüsselt

• Zertifikat des Händlers

TID

RSAH

DESH RSAPG

KDESZertH

Händler


Bezahlanforderung an Payment GatewayBezahlanforderung an Payment Gateway

Händler

Payment Gateway

Kunde


Bezahlnachfrage beim Payment GatewayBezahlnachfrage beim Payment Gateway

• Prüfen der Zertifikate• Entschlüsseln des DES-Schlüssels des

Händlers• Entschlüsselung der TID• Prüfen der Signatur

BI

SHA - 1Duale Signatur

ZertK

ZertHTID

RSAH

DESH RSAPG

KDES

AcInfo

KDES

RSAPG

BA

DES

Payment Gateway



AcInfo

RSAPG

BA

DES

BI


ZertK

• Entschlüsseln des DES-Schlüssels des Kunden und der AcInfo

• Entschlüsseln der BA

TID

KDES

Payment Gateway



BABI


ZertK

TID

• Überprüfen ob TID in BA von Kunde und TID von Händler übereinstimmen

• Testen der Dualen Signatur durch– Prüfen der Signatur– Hashwertprüfung mit Hash(BI) als

Unbekannte

Payment Gateway


Test der Dualen Signatur beim Payment GatewayTest der Dualen Signatur beim Payment Gateway

SHA - 1

BI

BA

SHA - 1

SHA - 1

SHA - 1

SHA - 1

SHA - 1

SHA - 1

Duale Signatur RSA – entschlüsselt:

Erstellter Vergleichswert:

GelieferterWert:

Zu testenderWert:

?

SHA-1 BA BA

BI BI

Payment Gateway


Duale Signatur ist korrektDuale Signatur ist korrekt

• BA ist mit der richtigen TID der Transaktion enthalten

• Mit AcInfo mögliche Bezahlung beim Kreditinstitut des Kunden anfragen (sichere Leitung)

• Kreditgesellschaft gibt Bestätigung (sichere Leitung)

• Gateway erstellt Autorisierungsnachricht

Payment Gateway


5. Die Zukunft5. Die Zukunft

• SET ist Vergangenheit

• Neuester Ansatz: EMV – Chip auf Karten

• SET ähnelnde Verfahren mit Bezug auf den Chip

© by S.Strudthoff 2005 SET Sichere Kreditkartenzahlung im Internet.

Documents

Transcript of © by S.Strudthoff 2005 SET Sichere Kreditkartenzahlung im Internet.