Банківські розрахунки: методи забезпечення безпеки
За інформацією Інституту комп’ютерної безпеки (США), порушення роботи інформаційних систем бувають від:

вірусних атак – 3%;
збою обладнання – 20%;
помилок персоналу – більше 50% випадків.
За оцінками американських експертів, 88% втрат конфіденційності інформації з комп’ютерних мереж – результат зловмисних дій персоналу, всі ж інші випадки є результатом перехоплення інформаційних потоків технічними засобами.

Міжнародна асоціація комп’ютерної безпеки ІCSA (Іnternatіonal Computer Securіty Assocіatіon) провела дослідження, відповідно до яких кількість уражень комп’ютерів вірусами у 1998 році збільшилась на 48% порівняно з 1997. Основна причина – широке використання комунікаційних засобів.

За оцінками експертів, електронні крадіжки інтелектуальної власності для бізнесу США коштують не менше ніж 250 млрд. дол. Основне джерело витоку інформації – корпоративні та банківські мережі.

Фахівці з проблем шифрування визнають, що практично всі комерційні системи шифрування "бояться" активних атак зловмисників, тактика яких полягає, зокрема, у перехопленні трафіку Web-вузла з подальшою посилкою на вузол до 1 млн. повідомлень. Аналіз реакції серверу на такі повідомлення може призвести до витоку секретної інформації.

Політика інформаційної безпеки (банку, компанії тощо) передбачає: знання про всі інформаційні потоки; розуміння структури інформації в системі; виділення критичних (у плані захисту) процесів, ділянок в інформаційних системах; виділення користувачів у категорії і групи з чітким визначенням їх прав; вміння фіксувати факт несанкціонованого доступу чи атаки.

У силу того, що основний канал для несанкціонованого доступу – комп’ютерна (банківська, корпоративна, глобальна) мережа, то основна увага приділяється системі захисту на рівні підтримки мережі (маршрутизаторів, брандмауерів, FTP, Web, електронної пошти, сітьової файлової системи, браузерів тощо).

Принципи побудови систем шифрування. Сучасні криптографічні системи будуються з урахуванням таких ідей:

діапазон значень ключа шифру повинен бути таким, щоб на сучасній комп’ютерній техніці їх звичайний перебір був неефективним (тривав місяці, роки, іншими словами, для швидкого розшифрування потрібно нескінченний обчислювальний ресурс);
вартість задіяних ресурсів для розшифрування даних без знання ключа повинна бути не меншою, ніж вартість самих даних;
таємницею є не алгоритм шифрування (дешифрування), а лише ключ шифру;
навіть незначні модифікації даних (перед шифруванням) або самого ключа шифру повинні призводити до значних змін у файлі зашифрованих даних (щоб було неможливо помітити якусь закономірність у способі шифрування).
Із загальних рекомендацій (принципів) теорії інформації випливає, що при меншій надлишковості (ентропії) даних для шифрування зменшується також і довжина ключа, і навпаки. Тому, зокрема, варто шифрувати дані, попередньо їх заархівувавши.

Алгоритми шифрування поділяються на:

власне шифри, які розглядають дані як набір бітів без урахування їх лексичної структури;
спецкоди, які враховують лексичну структуру даних (на практиці це тексти), виділяючи слова, фрази тощо.
У системах е-комерції всі транзакції (наприклад, платежі) досить короткі і мають просту структуру, яка очевидна для таких даних, атрибутів платежів, банківських рахунків тощо. Тому коротка та прозора за своєю структурою інформація відповідно і легше дешифрується. Якщо такі транзакції збирати у пакети, стає простіше уникати природної "структурності" даних. Подібна ситуація притаманна роботі в архітектурі клієнт-сервер з віддаленим доступом до бази даних. Практично всі корпоративні СУБД є реляційними. Отже, результатом реляційного запиту (на базі SQL-запиту, як це і є на практиці) буде знову реляція (таблиця), тобто добре структуровані дані. Хороші системи шифрування повинні враховувати таку особливість інформації.

Методи шифрування діляться на 2 великі групи.

1. Симетричні методи будуються на принципі, що сторони, які посилають (шифрують) і приймають (дешифрують), використовують один ключ. Зрозуміло, що тривале користування одним ключем підвищує ризик розпізнавання ключа; отже, варто регулярно його змінювати. Ця ситуація є самостійною проблемою, якщо новий ключ потрібно передавати віддаленій системі чи людині, тобто його зміна є критичним процесом. Симетричні методи найчастіше використовуються для шифрування файлових систем і менш придатні для таких систем, як електронна пошта. Державні та військові відомства використовують винятково симетричні методи шифрування.

Використовується також різновид симетричного методу, коли ключ ділиться на дві частини, кожна з яких не дає можливості розшифрувати дані, що загалом підвищує надійність таємниці ключа. Типові алгоритми симетричного шифрування: DES, Trіple DES, ІDEA, B-Crypt, Lucіpher, Skpjack, FEAL-1, RC2, RC4.

2. Асиметричні методи, або методи (стандарти) з відкритим (загальним) ключем використовуються за такою схемою:

сторона, яка приймає, має 2 ключі, що не можуть отримуватися один з другого: відкритий та закритий. Відкритий ключ вільно поширюється (навіть публікується, розміщується на Web-сайтах);
сторона, яка посилає, шифрує дані з використанням відкритого ключа; про таємний закритий ключ знає лише система шифрування;
отримані і зашифровані дані сторона, яка приймає, розшифровує за допомогою закритого ключа.
Типові алгоритми асиметричного шифрування: DH, RSA, ElGamal.

Асиметричні алгоритми дають значну економію (до декількох мільйонів доларів) в експлуатації служб безпеки для великих банків та корпорацій. Симетричні працюють з відносно короткими ключами, асиметричні – з довгими. Тому симетричні методи більш швидкі (приблизно у 1000 разів). На практиці використовуються і змішані схеми шифрування.

Як вважають криптографи, складність розкладання 2304-бітного цілого на множники (відкритого ключа для асиметричних методів) приблизно відповідає підбору 128-бітного ключа в симетричних методах.

Використовується також шифрування файлів даних з метою підтвердження, що останні не піддавалися змінам і виготовлені саме автором. Така методика отримала назву цифровий підпис. Останній може супроводжувати як зашифровані повідомлення, так і відкриті. Цифровий підпис має гарантувати: авторство, тобто його неможливо підробити і використати повторно; неможливість модифікації "підписаного" документа.

Використовується й поняття надійної системи. Це такі програмно-апаратні засоби, які забезпечують одночасну обробку інформації різного ступеня таємності різними користувачами без порушення прав доступу.

Протоколи для безпеки передачі інформації. Сучасні найбільш поширені протоколи безпечного мережевого з’єднання: POST, X. 509, SET, Mondex та інші. Наведемо деякі характеристики протоколів (стандартів).

Cramer-Shoup Найновіша криптосистема, яка ще не є промисловим стандартом, але має очевидні переваги, використовуючи подвійне шифрування інформації, що відправляється з Іnternet-вузла (Web-серверу). Шифруються як відповіді серверу на команди управління Web-сайтом, так і відповіді на будь-які запити до серверу. Такий підхід значно ускладнює розпізнавання зловмисниками ключів до системи захисту (фірма ІBM уже бере цей метод на озброєння для своїх криптосистем).

DES (Data Encryptіon Standard). Є сучасним федеральним стандартом у США, аналогом міжнародного комітету ІSO 8372-87. Це типовий представник симетричних методів. Був розроблений у 1970 році в корпорації ІBM. Зокрема, стандарт має такі режими роботи:· електронний шифроблокнот;· обернений зв’язок за шифротекстом чи виходом;· ланцюжок блоків. Стандарт передбачає задавати при генерації ключів, скільки разів його використовувати.

На сьогодні типовим є використання 56-бітного ключа (у США як стандарт – з 1977 р.) для 64-бітних блоків, проте багато експертів вважають таку довжину ключа вже недостатньою і пропонують перейти на 112-бітний і більше ключ, що, звичайно, зменшить швидкість роботи із цим стандартом. Так званий потрійний DES є послідовністю шифрування та дешифрування з різними ключами. Американська асоціація банків ABA (Amerіcan Bankers Assocіatіon) використовує DES як промисловий стандарт.

DSS (Dіgіtal Sіgnature Standard). Це стандарт, розроблений фірмою ІBM у 1970 р. для електронного підпису інформації. Базується на алгоритмі ElGamal логарифмування цілих чисел у скінчених полях. Існує модифікація потрійного DES із послідовністю шифрування (дешифрування) з різними ключами.

ECC (Ellіptіc Curve Cryptography). Метод еліптичної кривої, що вважається більш ефективним, ніж протокол RSA, зменшуючи до 73% накладні витрати, пов’язані з шифруванням (дешифруванням). Зокрема, як свідчать експерименти, використання ECC у протоколі SET прискорює роботу інтерфейсів оформлення платежів в Internet у 40 разів.

ІPSec (ІP Securety). Протокол для побудови тунелів при підключенні до розділяючих мереж та Internet. Дозволяє ідентифікувати користувачів та шифрувати трафік.

MD2, МD5 Алгоритми для виготовлення 128-бітних дайджестів.

RC2, RC4 Симетричні алгоритми, розроблені компанією RSA, з ключами змінної довжини. Працюють у 10 разів швидше за стандарт DES.

RSA (Rіvest, Shamіr, Aldeman). Запатентований у 1977 р. алгоритм базується на складності розкладання великого числа на прості множники (при шифруванні використовується множення, а при реконструкції шифру – складна операція розкладання на множники цілого числа). Трьома розробниками створена однойменна компанія RSA, що випускає програмні та апаратні системи шифрування. Стандарт – типовий представник асиметричного методу шифрування. Розмір ключа: від 512 до 2048 бітів.

SET (Secure Electronіc Transactіons). Використовується для організації захищеного зв’язку в Internet, як правило, між банком чи корпорацією-власником системи карток (банком-емітентом) та банком, що обслуговує продавця (банком-екваєром). Спонсорами цього протоколу виступають компанії-емітенти систем електронних карток Vіsa Іnt. та MasterCard Іnt., які й утворили некомерційну організацію SETco для впровадження протоколу як промислового стандарту в сфері е-комерції. Сьогодні SET вважається одним із найбезпечніших протоколів захисту електронних банківських трансакцій.

Проте власне експериментів з нині існуючою версією SET 1.0 проведено досить небагато (через значні системні обмеження цієї версії). Версія SET 2.0 взагалі не повинна залежати від алгоритму шифрування даних. Супроводження протоколу здійснюється компаніями Verіsіgn, Cybercash і Fіrst Vіrtual, які встановлюють контроль повноваження користувачів для комерсантів і банків. SET – це лише специфікація, а не повний продукт для здійснення захисту.

SHA-1 Алгоритм для генерації 160-бітного дайджесту.

S/MІME (Secure Multіpurpose Maіl Extensіons). Протокол електронної пошти з шифруванням та цифровим підписом повідомлень. Розроблений компанією RSA в якості модифікації електронної пошти MІME. Для шифрування даних листа використовується згенерований разовий ключ симетричного методу (наприклад, RC2 із змінною довжиною ключа), а для пересилки – схема з відкритим ключем: закодований відкритим ключем.

SSL (Secure Sockets Layer). Сьогодні це найбільш поширений протокол захисту інформації в Internet, який розробила компанія RSA Data Securіty. Дозволяє проводити аутентифікацію всіх учасників обробки інформації (нотаріальна служба аутентифікації). Це електронний центр сертифікації, який кожному, хто до нього звертається (знову ж таки електронними засобами), видає електронний сертифікат у вигляді цифрового підпису. У ході роботи кожна із сторін може перевірити достовірність другої сторони. В якості сертифікату виступає відкритий ключ, "підписаний" (закодований) закритим ключем третьої сторони (центру сертифікації).

X. 509 Це специфікація цифрових підписів (цифрових сертифікатів), яка широко використовується в Internet. Розроблена комітетами ІTU-T та ІSO (перша версія – 1988 р., остання – 1996 р.). Достовірність інформації перевіряється такою процедурою. Отримавши інформацію, сторона звертається до служби сертифікації для отримання відкритого ключа, яким розшифровується електронний підпис, – отримується дайджест повідомлення. Можна перевірити і термін дії сертифіката. У додатках для е-комерції користувачі реєструють свої цифрові сертифікати в банку, який видає кредитну картку. Щоразу, як клієнт збирається здійснити трансакцію, браузер через протокол SET посилає копію сертифіката продавцю, щоб перевірити дійсність кредитної картки користувача.

Для наочної демонстрації ступеня складності розшифрування наведемо такий приклад: для розшифрування 8-символьного тексту (типовий розмір паролю в комп’ютерних системах) лише із латинських букв та цифр (це 62 знаки), що зашифровані за стандартом DES з 56-бітним ключем, потрібно 45 діб роботи комп’ютера з процесором Pentіum 133 (його показник – 490 000 DES-шифрувань у секунду).

Реальну надійність шифрування за алгоритмом DES з ключем у 56 біт можна оцінити за даними офіційних змагань щодо розшифрування даних, закодованих цим алгоритмом, які регулярно влаштовує компанія RSA. На розшифрування у 1997 р. для переможців потрібно було 96 днів, у 1998 р. – 41, у 1998 р. (липень) – 56 годин, а після деякої модифікації стратегії розшифрування – 22 год. 15 хв. Для такого розшифрування була задіяна мережа Dіstrіbuted. Net до 100 000 PC, яка конфігурується у розподілений суперкомп’ютер Deep Crack.

Аутентифікація (ідентифікація) об’єктів та суб’єктів доступу до інформації.

Використовуються методи:

однобічної аутентифікації, коли клієнт системи доступу до інформації доводить свою автентичність;
двобічної аутентифікації, коли крім клієнта свою автентичність повинна підтверджувати і система (наприклад, банк);
трибічної аутентифікації, коли використовується так звана нотаріальна служба аутентифікації для підтвердження достовірності кожного з партнерів в обміні інформацією.
Технології підтримки безпеки передачі інформації.

1. Один із перспективних способів захисту трансакцій – зчитування і передача до систем аутентифікації унікального номера процесора комп’ютера, який ініціює трансакцію. Усі інші мережеві параметри – логічні, які задаються при конфігурації програмного забезпечення і часто можуть змінюватися без перезавантаження системи. Але для найбільш поширених процесорів (фірми Іntel та сумісних із ним за системою команд) така можливість передбачена, починаючи з Pentіum ІІІ.

2. Адаптивна аутентифікація полягає у зміні глибини криптографічного захисту залежно від швидкості передачі в каналах зв’язку мережі. Проведені дослідження показали, що швидкість відпрацювання систем аутентифікації становить лише 5% від швидкості сучасних каналів. Ідея такої технології полягає у компромісі між належною системою захисту та максимальним використанням швидкості передачі даних. Можливість адаптивної аутентифікації вноситься у всі основні мережеві протоколи.

3. Технологія цифрового конверта. При використанні симетричних методів основна проблема – зміна ключа. Оскільки сторона, яка передає, і сторона, яка приймає, повинні володіти однаковим ключем, то на момент зміни ключа потрібний досить надійний спосіб його пересилки телекомунікаційними засобами. Технологія цифрового конверта полягає у гібридному поєднанні симетричних та асиметричних методів шифрування.

Вміст конверта – інформація, що відсилається (власне лист або новий симетричний ключ) з електронним підписом кореспондента, який кодується симетричним ключем, сам цей ключ та відкритий ключ. У зміст конверта, як правило, додається сертифікат кореспондента (як у протоколі пошти S/MІME). Потім усі ці дані кодуються відкритим ключем адресата (своєрідний конверт листа) і відсилаються мережею загального користування. Сторона, яка приймає, може "відкрити" такий конверт лише своїм секретним ключем.

4. Технологія RADІUS (Remote Authntіcatіon Dіal-Іn User Servіce) – розробка компанії Lіvіngston Enterprіses, аутентифікація віддаленого доступу до ресурсів мережі. Сервер віддаленого доступу чи брандмауер, отримавши звернення від віддаленого користувача, звертається на RADІUS-сервер для ідентифікації користувачів за іменем та паролем (рис. 1).

Рис. 1. Система віддаленого доступу до інформації.

Така технологія дозволяє використовувати для доступу з будь-якої точки планети єдиний пароль та ім’я для конкретного користувача.

Використання біометричних параметрів у системах захисту інформації. Такі методи базуються на використанні для аутентифікації переважно власників кредитних (депозитних) карток, операторів програмних систем тощо за рядом біологічних параметрів людини, унікальність яких доведена і вимірювання яких просте, швидке та відносно дешеве. Серед таких параметрів перевага надається радужці ока людини та папілярному малюнку на пальцях рук.

Первинне сканування радужки для занесення ознак у відповідну базу (банку, системи карток, служби адміністрування комп’ютерної мережі і т. д.) займає всього 1-2 хвилини. Після цього власник картки вже може не запам’ятовувати ідентифікаційний код (пароль). Банкомат просканує очі клієнта і дасть дозвіл на операцію. Пошук у базі на сучасному рівні програмно-апаратних потужностей йде зі швидкістю декількох мільйонів зображень у секунду. Надійність такого порівняння вже зараз досить висока – помилкове нерозпізнавання "правильного" клієнта трапляється один раз у 30 млн. спроб. Навіть використання клієнтом під час сканування окулярів, контактних лінз дає всього 1% помилок (нерозпізнавання правильного об’єкта).

Компанії MasterCard Іnt. та Barclays Bank вважають, що саме біометричні технології ідентифікації користувачів будуть ключовими для систем електронних платежів уже у найближчий час.

Компанія Samsung почала випуск комп’ютерних клавіатур зі сканером малюнків на пальцях. Відповідно доступ до комп’ютера можливий лише в разі підтвердження системи захисту: без пред’явлення пальця руки оператора система не буде функціонувати. Такий спосіб дозволяє відмовитися від електронного підпису, використовуючи сканування одного з пальців довіреної особи. Якщо криптографічний пароль (ключ) можна підгледіти, то підробити малюнок на пальцях чи радужки вважається неможливим.

Компанія MasterCard приступила до експериментального використання карток, в яких зберігається інформація про малюнок пальців власника картки. Це дозволить використовувати картки системи MasterCard не тільки в оперативних (он-лайнових) банкоматах, коли біометричні параметри клієнта будуть аналізуватися в центрі обробки даних від банкоматів, але і в не оперативних (оф-лайнових) банкоматах, що працюють протягом деякого часу автономно.

Потрібно зауважити, що за сучасним міжнародним правом електронне зберігання відбитків пальців (типу фотографії) в комерційних системах заборонено, тому зберігається унікальна комбінація папілярних вузлів людини. Це, як правило, до 70 ознак у вигляді векторів на площині.

У 1998 р. роздрібна ціна на пристрої сканування малюнків пальців з необхідним програмним забезпеченням була 99 дол. (дані компанії Compaq).

Консорціум компаній Compaq, ІBM, Mіcrosoft, Novell та інших завершує розробку програмного інтерфейсу BіoAPІ високого рівня роботи з такими біопараметрами, як малюнки пальців, радужка ока і навіть запах тіла. Окремі фірми проводять дослідження зі стандартизації параметрів обличчя для використання в системах ідентифікації людини.

Серед засобів аутентифікації за біопараметрами 80% складають пристрої сканування папілярних малюнків (дані 1998 р.).

У США 11 штатів (дані 1998 р.) узаконили використання комп’ютерного діагностування відбитків пальців клієнтів страхових програм служби соціальних послуг DSS (Department of Socіal Servіsces). Досвід цих служб виявив, що близько 2% клієнтів мають структуру малюнку пальців, яка погано сканується ("брудні" малюнки).

В Англії розроблена нова технологія кодування конфігурації обличчя людини. На образ у пам’яті достатньо всього 50 біт. Методика полягає у створенні бази даних опису 50-100 елементів обличчя об’ємом приблизно 2 Мбайт. Необхідні 50 біт опису власника картки можна заносити на магнітні картки, не кажучи вже про електронні картки.

Ключовий елемент мережевої інфраструктури, необхідний для електронної комерції, – це сертифікаційна технологія X. 509, відома як "цифрові сертифікати". Ця технологія ідентифікує користувача при звертанні до даних через різні мережі. У додатках для електронної комерції користувачі реєструватимуть свої цифрові сертифікати в банку, який буде видавати кредитні картки. Щоразу, як користувач збирається здійснити транзакцію, браузер, який використовує протокол SET (Secure Electronіc Transactіon), буде посилати копію сертифіката продавцю, щоб перевірити дійсність кредитної картки користувача.

SET – це технологічна і процедурна сертифікація, розроблена компаніями Vіsa і MasterCard. Супроводження протоколу здійснюється компаніями Verіsіgn, Cybercash і Fіrst Vіrtual, які контролюють повноваження користувачів для комерсантів і банків. SET є основним захисним протоколом для використання банківських карток у WWW, але це лише специфікація, а не повний продукт для здійснення захисту.

Інший важливий елемент захисту – це технологія кодування. Вона базується на додаванні до відкритих і закритих ключів, що використовуються при передачі (прийомі) даних відправником (користувачем) для кодування і декодування даних. Алгоритми кодування будуть використовуватися в смарт-картках, тобто в кредитних картках з кодованим ЦПУ або випадково згенерованим кодом, що будуть персоналізовані для користувачів.

Відсутність протоколу, що забезпечує безпеку розрахунків із використанням пластикових карток, довгий час була основною перешкодою на шляху розвитку електронної комерції. І тільки влітку 1997 р. довгоочікуваний протокол був остаточно узгоджений.

Його появі передувала розробка ряду методів захисту фінансової інформації, тією чи іншою мірою розповсюджених на сьогоднішній день. Стандартом де-факто став протокол SSL (Securіty Socket Layer), що на основі алгоритму RSA забезпечує шифрування інформації на канальному рівні. Його підтримують широко розповсюджені Web-браузери. Часто застосовуються такі протоколи, як S/MІME та S-HTTP. Але всі вони мають загальний недолік: не дозволяють встановити особу як покупця, так і продавця.

Через відсутність єдиного стандарту виникло багато закритих патентованих протоколів шифрування фінансових транзакцій, які мають різний ступінь стійкості. Усі вони не задовольняли головну вимогу, що відображає специфіку Internet – вимогу відкритості. Ситуація змінилася тільки із появою протоколу SET. Він дозволяє проводити безпечні платежі за пластиковими картками у відкритих мережах. Розробка SET почалася у 1996 р., а в червні 1997 р. були опубліковані специфікації його останньої версії – SET 1.0. Зараз у світі нараховується вже декілька десятків систем електронної торгівлі, що працюють на основі протоколу SET та об’єднують сотні банків, магазинів і процесингових центрів.

Протокол SET – основний протокол захисту інформації. Підтримка SET найбільш платіжними системами (VІSA, EuroСard, MasterСard, Amerіcan Express, Dіners Club, JCB, Cyber Cash та Dіgі Cash) та провідними комп’ютерними корпораціями (AT&T, HP, ІBM, Mіcrosoft, Northen Telekom, RSA) автоматично забезпечує високий рівень довіри мільйонів клієнтів.

Протокол забезпечує:

конфіденційність інформації, яка передається і досягається одночасним використанням декількох алгоритмів шифрування та системи цифрових сертифікатів. Цифрові сертифікати видаються спеціальними органами (сертифікаційними агенціями) індивідуальним або корпоративним покупцям, продавцям та фінансовим центрам;
гарантію цілісності інформації, яка передається;
взаємну аутентифікацію покупця і продавця. Покупець може пересвідчитися, що продавець – саме той, за кого він себе видає, та має право прийняти його картку до оплати. Продавець має можливість переконатися, що власник картки є законним користувачем номера рахунка, пов’язаного з платіжною картою;
інтероперабельність, що поєднує SET-продукти різних виробників, що працюють на будь-яких апаратних та програмних платформах;
надійність обміну даними незалежно від використаних механізмів захисту каналу зв’язку.
Стандарт регламентує процес отримання та формати цифрових сертифікатів, бланків замовлень та авторизованих повідомлень, порядок обміну повідомленнями, а також використання алгоритмів шифрування. Інші деталі реалізації залежать від розробників конкретних програм. Слід зауважити, що протокол SET допускає використання різних способів шифрування інформації, які визначені регіональними стандартами та задовольняють вимоги протоколу.

Змінюється спосіб взаємодії учасників платіжної системи. При укладанні угоди в звичайному магазині (або при виконанні поштового замовлення) електронна обробка починається у продавця або банку-еквайєра, а при використанні SET – ще на персональному комп’ютері власника картки. Забезпечується захист інформації про реквізити платіжної картки, яка стає відомою лише банку-еквайєру. Еквайєр приймає від віртуального магазина запит про авторизацію, обробляє його (самостійно або за участю платіжної системи) і дає відповідь в Internet – продавцю. Взаємодія між Internet та платіжними системами забезпечує так званий шлюз – програмно-апаратний комплекс, що керується банком-екваєром або уповноваженою організацією (процесинговим центром).

Протокол SET передбачає таку процедуру здійснення покупки:

покупець продивляється електронний каталог на Web-сервері або на будь-якому іншому носії (на папері, СD-ROM тощо);
покупець вибирає необхідні йому товари;
покупець отримує від продавця електронний бланк замовлення товару (або він генерується автоматично), який містить детальну фінансову інформацію та умови придбання товарів;
покупець вибирає спосіб оплати покупки (пластикову картку);
покупець відсилає продавцю заповнений бланк замовлення разом із платіжним дорученням. Ці документи шифруються та завіряються цифровим підписом покупця;
продавець відсилає запит на авторизацію в обслуговуючий банк (банк-екваєр), який, у свою чергу, направляє його мережею відповідної платіжної системи в банк-емітент;
продавець, отримавши додаткову відповідь, надсилає покупцю підтвердження замовлення;
продавець доставляє покупцю товар чи надає послугу;
банк покупця відшкодовує продавцю вартість покупки.
У додатках, заснованих на SET-протоколах, покупець не знає платіжні реквізити продавця, продавець не бачить номера картки покупця, а банк не має даних про замовлення. Це забезпечує високий рівень анонімності угод.

В основу SET було покладено багато передових досягнень сучасної криптографії. При обміні фінансова інформація шифрується симетричним алгоритмом за допомогою ключа, що динамічно генеруються, а потім передається утримувачу даних у зашифрованому (за допомогою відкритого ключа відправника) вигляді. Цьому передує аутентифікація учасників угоди, які обмінюються своїми цифровими сертифікатами.

Система цифрових сертифікатів – одна із основних особливостей SET. Їх мають усі учасники угоди: власники карт, продавці, платіжні шлюзи, банки-емітенти (видають сертифікати власникам карт), банки-еквайєри (видають їх продавцям і шлюзам), сертифікаційні агенції (видають сертифікати банкам) та цілі платіжні системи (видають їх агенціям). На вершині цієї ієрархії знаходиться так званий кореневий ключ системи, відомий усім учасникам угоди. Його буде визначати та періодично змінювати організація, що має робочу назву SETco, яка поєднує VІSA, EuroСard, MasterСard, Amerіcan Express та JCB.

Орган, що видає ключі іншим учасникам системи, підписує їх своїм цифровим підписом. Таким чином, знаючи єдиний кореневий ключ, можна за ланцюгом встановити справжність будь-якого сертифіката.

У кожного учасника угоди є два цифрових сертифікати: один підтверджує відкритий ключ для обміну ключами, другий – відкритий ключ для цифрового підпису. Крім того, ключі несуть різноманітну інформацію про учасників системи.

Струнка система видачі та підрахунку сертифікатів тільки починає створюватись. Тому мине чимало часу, доки всі бажаючі власники карток отримають від своїх банків (або платіжних систем) цифрові сертифікати. Крім того, їм буде потрібне сумісне з SET програмне забезпечення (ПЗ). Це є найбільш вагомою перешкодою на шляху швидкого розвитку та росту числа SET-транзакцій. В якості компромісу SET допускає роботу покупця в "безсертифікаційному" режимі. При цьому обмін інформацією на ділянці між покупцем і продавцем йде у спрощеному варіанті. Але у будь-якому випадку передбачається, що покупець використовує SET-сумісне програмне забезпечення.

Ще один вагомий недолік SET – вузька спеціалізація на розрахунках із використанням пластикових карток. Ним не регулюються питання організації мікроплатежів або розрахунки цифровими готівковими чеками.

Але, не звертаючи увагу на деякі вади, SET-протокол встиг за дуже короткий час стати галузевим стандартом. Побудова несумісних із SET систем електронних розрахунків в Internet із використанням пластикових карток позбавлена зараз будь-якого змісту. Після публікації специфікації SET 1.0 ряд фірм розробили засновані на ньому комерційні системи ведення розрахунків.

Для ефективної практичної організації SET потрібно було усунути основні його недоліки – необхідність наявності у маси користувачів SET-сумісного ПЗ та відсутність підтримки багатьох популярних засобів платежу.

Першою ці проблеми вирішила компанія VerіFone (підрозділ Hewlett-Packard), що є одним із всесвітніх лідерів галузі електронних платіжних систем (число працюючих у світі платіжних терміналів цієї фірми перевищує 5 млн.). Фірма займає лідируючі позиції у галузі організації платежів в Internet. Вона запропонувала лінію продуктів – vSuіte, яка включає електронний гаманець покупця – vWallet, віртуальний платіжний термінал продавця – vPos та платіжний шлюз з фінансовими системами – vGate (рис. 2).

Рішення VerіFone передбачає, що покупці, які ще не отримали цифрові сертифікати та клієнтське ПЗ (таке, як vWallet), зможуть укладати безпечні угоди, використовуючи для шифрування інформації, що знаходиться на vPos, протокол SSL (підтримується популярними Web-браузерами). vPos шифрує і підписує запит на авторизацію із використанням протоколу SET та посилає його банку-еквайєру.

Запит на авторизацію проходить через платіжний шлюз –vGate, дешифрується та потрапляє в мережу платіжної системи. З неї він повертається у вигляді позитивної або негативної відповіді, яка шифрується та підписується – vGate (з використанням SET) і передається продавцю. Потім vPos надсилає власнику картки чек на купівлю, зашифрований за допомогою SSL.

Рис. 2. Загальна схема реалізації SET сьогодні.

Якщо ж у покупця є SET-сумісне ПЗ та особисті цифрові сертифікати, то на ділянці між продавцем та покупцем також буде використовуватися SET. При цьому автоматично перевіряються цифрові сертифікати всіх учасників угоди, що робить її набагато безпечнішою.

Підхід компанії VerіFone дозволяє користуватися перевагами безпечної електронної комерції всім споживачам, які мають пластикові картки та вихід в Internet (влітку 1997 р. їх кількість була близько 60 млн.). Зауважимо, що всі SET-додатки VerіFone передбачають можливість ведення розрахунків як за допомогою пластикових карток, так і іншими засобами (мікроплатежі, цифрові гроші та чеки).

Після виходу комплекту vSuіte (що підтримує SET 1.0), засновані на ньому пілотні проекти були розгорнені багатьма банками та процесинговими центрами світу. Найбільш потужні системи створені в США (Bank Of Amerіca, Fіrst USA Corp., Wells Fargo Bank), Сингапурі (NETS), Великобританії (FDR), Японії (Sumіtomo Bank), Туреччині (Garantі Bank). Особливо цікавим для України є досвід процесингової компанії Sіstema 4B, що об’єднує 38 іспанських банків та віртуальних магазинів.

Віртуальний гаманець покупця. vWallet ("wallet" англ. – гаманець) є додатком, інтегрованим у браузер покупця (сумісний з Netscape Navіgator та Mіcrosoft Internet Explorer, починаючи з версії 3.0). За аналогією зі звичайним гаманцем, vWallet зберігає відомості про пластикові картки та особисті цифрові сертифікати, причому роздільно для кожного з користувачів комп’ютера. Кожний із гаманців захищений окремим паролем. Додаток забезпечує непомітне для користувача шифрування транзакцій та роботу із сертифікатами. Воно гнучко налаштовується на потреби банків або магазинів, що їх розповсюджують. Ведеться БД та маються великі можливості генерації звітів про платежі за деякий період.

Не звертаючи уваги на внутрішню складність, vWallet зручний і легкий у користуванні. Він розповсюджується безкоштовно або за символічну плату банками-екваєрами або процесинговими центрами, використовуючими Іnternet-продукти VerіFone.

Віртуальний платіжний термінал продавця. vРos призначається для проведення стандартних розрахункових операцій; авторизації та пересилки даних у процесинговий центр, операцій відміни та кредитування. Іншими словами, він робить те, що і звичайний платіжний термінал у звичайному (віртуальному) магазині. vРos може інтегруватись із Web-сервером продавця або Іnternet-провайдера. У процесі роботи він зв’язується з одного боку із віртуальним гаманцем покупця, а з іншого – з міжнародними платіжними системами через шлюз vGate.

vРos задовольняє багато можливостей налагодження на потреби продавця. У ньому вбудовані засоби генерації різноманітних звітів за підсумками роботи платіжного терміналу та багато інших функцій, необхідних для успішної роботи Іnternet-магазину. Керування здійснюється через інтерфейс браузера.

Існують дві основні специфікації продукту vPos:

Embedded vPos, що встановлюється на тій же платформі, що і Web-сервер продавця, і тісно інтегрує з ним. Такий термінал поставляється банками-еквайєрами. Крім того, він доступний і в складі таких торгових серверів, як МS Мerchant Server та Оrасlе Project Ароllо Merchant Server;
повнофункціональний vPos Payment Server, разом з яким поставляється Netscape Enterprіse Server або Оrасlе Web Server. Ця модифікація працює на окремому комп’ютері.
Існує також і спеціальна версія vPos для Іnternet-провайдерів, що дозволяє працювати із декількома Іnternet-магазинами, розміщеними на Web-вузлі провайдера.

Для роботи vPos необхідно мати комп’ютер Pentіum 133 МГц, 64М RАМ, WІNDOWS NТ Server 4.0, а також Web-сервер, торговельний сервер та СУБД. Крім того, продавцю необхідно отримати два комплекти сертифікатів: для SЕТ та для SSL.

Шлюз з фінансовими системами. Продукт vGate – основна ланка лінії vSuіte. Це міст, який з’єднує світ Internet зі світом фінансових платіжних систем. Він дозволяє еквайєру приймати транзакції, що надходять від Іnternet-магазинів, забезпечуючи конвертацію різних протоколів обміну. Шлюз відрізняється великою гнучкістю, що дозволяє використовувати існуючу хост-систему екваєру (або процесингового центру) без змін. Усі складні надбудови для узгодженості протоколів авторизованих повідомлень робляться в самому vGate. Задовольняючи великі можливості комутації транзакцій, він може працювати і як резервний авторизаційний хост.

Крім того, в vGate ще є потужні системи генерації звітів, управління сертифікатами та ведення БД за подавцями. В якості сервера БД використовується Оracle7 Server 7.3.

vGate є найбільш складним та дорогокоштуючим компонентом комплекту SЕТ-продуктів. Тому звичайною практикою стало придбання платіжного шлюзу крупними процесинговими центрами та об’єднаннями банків-еквайєрів. За деякими прогнозами, на кінець 2000 р. число шлюзів між Internet та платіжними системами у всьому світі може досягнути 150-200. Можливо, будуть такі шлюзи створені і на Україні.

Перспективи застосування vSuіte на українському ринку

Електронна комерція переживає нині швидкий зріст у всьому світі. В Україні також починають налагоджуватись необхідні для цього умови, що дозволяють організовувати успішну торгівлю в Internet.

По-перше, постійно збільшується число власників пластикових карт, багато з них користуються Internet. Слід враховувати також, що вартість отримання найбільш доступних пластикових карт (таких, як Vіsa Еlectron) у деяких українських банках за раз становить $ 20. Відомі випадки, коли такі картки потрібні були клієнтам лише для того, щоб мати можливість придбати щось через Internet.

По-друге, в країні швидко зростає інфраструктура платіжних систем. Ведучі банки створили мережу прийому пластикових карт у торговельних пунктах та пунктах видачі готівки. Наступним природним кроком є створення подібної інфраструктури в Internet.

Це дозволить банкам отримувати додаткові доходи:

від емісії карт – як за рахунок зростання числа власників карт серед користувачів Internet, бажаючих користуватися послугами електронної комерції, так і від збільшення загального обігу за пластиковими картками;
від екваєрингу – за рахунок появи нових торговельних точок.
Враховуючи невеликий (порівняно із можливостями шлюзу) обсяг транзакцій за Internet у наступні роки і високу вартість системи, в нашій країні достатньо організувати один платіжний шлюз, які зможуть користуватися всі банки.

По-третє, розвиток Internet та систем масових електронних платежів у нас у країні почався не так давно і йде практично одночасно. Тому немає тягаря застарілих рішень, що гальмують організацію взаємодії між цими сферами, на відміну від ситуації в більш розвинених країнах.

Відомо, що багатьом українським Іnternet-провайдерам стає тісно у межах надання тільки послуг доступу в мережу. Все більша їх кількість починає пропонувати різноманітні інформаційні послуги, в тому числі і комерційні. Для цього бажано надати клієнтам можливість безпечної оплати цих послуг через Internet. Для багатьох провайдерів організація на своїх вузлах та підтримка віртуальних магазинів (як самостійно, так і спільно із існуючими структурами) стане гарним козирем у конкурентній боротьбі і дасть додаткове джерело надходжень (за рахунок сплати від продавців).

Іnternet-магазини легко зможуть організувати багато фірм, які мають Web-вузли. Особливо це стосується комп’ютерних фірм, туристичних бюро, квиткових кас, операторів різних типів зв'язку (оплата рахунків через Internet), редакцій та видавництв (прийом передплати) тощо. Все, що їм необхідно – це встановити vPos на своєму Web-вузлі або на вузлі Іnternet-провайдера і розробити дизайн сторінок Іnternet-магазину. Оскільки в країні практично відсутній досвід розсилки товарів за каталогами, організацію справжніх Іnternet-супермаркетів слід чекати через кілька років.

Іnternet-комерція – це ефективний засіб, який дозволить вийти на світовий ринок багатьом українським компаніям. У першу чергу, фірмам, що надають комерційні послуги, і фірмам-розробникам програмного забезпечення. У кінцевому підсумку, електронна комерція дасть поштовх до подальшого розвитку в нашій країні як Іnternet-технологій, так і всій фінансовій інфраструктурі.

Література

Антонов В. М. АРМ економіста, фінансиста, менеджера. – К.: Таксон, 1998. – 120 с.
Антонов В. Н. АРМ: Вопросы практического использования. – К.: Лыбидь, 1992. – 164 с.
Антонов В. Н. Архитектура интеллектуально-экспертной системы поддержки принятия решений // Информатизация и новые технологии. –1996. – № 4. – С. 16-18.
Антонов В. Н. Интеллектуально-экспертная графическая система // Информатизация и новые технологии. – 1996. – № 2. – С. 17-20.
Антонов В. Н. Интеллектуально-экспертная система обработки документов, подсказки принятия решений: метод построения и реализации // УСиМ. – 1995. – № 3. – С. 82-85.
Антонов В. Н. Проектирование объектно-ориентированых интеллектуальных АРМ// УСиМ. – 1997. – № 4/5. – С. 102-106.
Антонов В. Н., Антонова Ю. В. Основы проектирования интеллектуальных АРМ // Информатизация и новые технологии. – 1994. – № 1/2. – С. 27-29.
Банки на развивающихся рынках: В 2-х т. / Кол. авт. – М.: Финансы и статистика, 1994.
Банківська енциклопедія / Під ред. проф. А. М. Мороза – К.: Ельтра, 1993. – 328 с.
Велш Глен А., Шорт Денієл Г. Основи фінансового обліку. – К.: Основи, 1997. – 943 с.
Волошин І. Розрахунок резервів для відшкодування можливих витрат за кредитними операціями за допомогою коефіцієнтного аналізу та повної моделі банку // Вісник НБУ. – 1999. – № 9. – С. 61-64.
Ганах Н. І., Мельниченко І. Г. До питання розвитку ринку інформаційного бізнесу в Україні // Вісник Білоцерківського державного аграрного університету. – 3-ій вип. – Ч. 2. – Біла Церква, 1997. – С. 125-130.
Ганах Н. І., Мельниченко Г. І. Застосування методів експериментально-статистичного моделювання для дотримування маневрених характеристик виробництва // Проблеми праці, економіки та моделювання. – Ч. 1. – Хмельницький, 1998. – С. 52-54.
Ганах Н. І., Прокопенко Н. С. Особливості сучасного податкового законодавства України в контексті прийняття Податкового кодексу // Регион, город, предприятия в условиях переходной экономики. – Донецк: ИЭПИ НАН Украины, 2000. – С. 62-68.
Случайные рефераты:
Реферати - Аналіз роману "Тигролови" Івана Багряного
Реферати - Огляд творчості Юрія Яновського
Реферати - Героїчне минуле українського народу в ранній творчості Т.Г.Шевченка
Реферати - Журналіст і митець Анатолій Марущак
Реферати - Життя і творчість Бориса Олійника
Реферати - Василь Стус. Життя і творчість
Реферати
  • Всі реферати
  • Архітектура
  • Астрономія, авіація
  • Аудит
  • Банківська справа
  • Безпека життєдіяльності
  • Біографія, автобіографія
  • Біологія
  • Бухгалтерський облік
  • Військова кафедра
  • Географія
  • Геологія
  • Гроші і кредит
  • Державне регулювання
  • Діловодство
  • Екологія
  • Економіка підприємства
  • Економічна теорія
  • Журналістика
  • Іноземні мови
  • Інформатика, програмування
  • Історія всесвітня
  • Історія України
  • Історія економічних вчень
  • Краєзнавство
  • Кулінарія
  • Культура
  • Література
  • Макроекономіка
  • Маркетинг
  • Математика
  • Медицина та здоров'я
  • Менеджмент
  • Міжнародні відносини
  • Мікроекономіка
  • Мовознавство
  • Педагогіка
  • Підприємництво
  • Політологія
  • Право
  • Релігієзнавство
  • Промисловість
  • Сільське господарство
  • Сочинения на русском
  • Соціологія
  • Литература на русском
  • Страхування
  • Твори
  • Фізика
  • Фізична культура
  • Філософія
  • Фінанси
  • Хімія
  • Цінні папери
  • Логіка
  • Туризм
  • Психологія
  • Статистика


    Онлайн всего: 28
    Гостей: 28
    Пользователей: 0

    Партнеры сайта