If you can't read please download the document
Upload
deon
View
36
Download
0
Embed Size (px)
DESCRIPTION
SET – Secure Electronic Transaction. Einführung zum Protokoll und dessen Verifikation. Christian Mauro. Kreditkartenzahlung - Altes Modell. Kreditkarteninfos. mit Glück SSL. Bestellinfos. Händler-Server. Karteninhaber. Gateway. Hausbank KI. Hausbank H. - PowerPoint PPT Presentation
Citation preview
SET Secure Electronic TransactionEinfhrung zum Protokoll und dessen VerifikationChristian Mauro
SET - Secure Electronic Transaction
Kreditkartenzahlung - Altes ModellKarteninhaberHndler-ServerHausbank KIHausbank Hmit Glck SSLKreditkarteninfosBestellinfosGateway
SET - Secure Electronic Transaction
Verwendete VerschlsselungstechnikenSymmetrische Verschlsselung in Form von DES (56 Bit)Asymmetrische Verschlsselung in Form von RSA (1024 Bit bzw. 2048 Bit fr Root CA)SHA-1 zur Prfsummenbildung (160 Bit)Digitale SignaturDuale SignaturZertifikate
SET - Secure Electronic Transaction
Digitale SignaturSHA-1PrivaterSignaturschlssel1:1.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000Sicherheit der Signatur
SET - Secure Electronic Transaction
Zusammenspiel von Signatur, DES und RSASHA-1PrivaterSignaturschlssel}symmetrischverschlsseltRSA verschlsselt mit demPublic Key des EmpfngersNachricht(Digital Envelope)
SET - Secure Electronic Transaction
Duale SignaturSHA-1#1#2SHA-1SHA-1PrivaterSignaturschlsselEmpfnger 1: Nachricht 1 + Checksumme 2 + Duale SignaturEmpfnger 2: Nachricht 2 + Checksumme 1 + Duale SignaturAlternativ: Weiterleitung ber Empfnger 1
SET - Secure Electronic Transaction
Zertifikat - Hierarchie
SET - Secure Electronic Transaction
Typischer SET Ablauf Cardholder Registration Merchant Registration Purchase Request Payment Authorization Payment Capture
SET - Secure Electronic Transaction
Cardholder Registration
SET - Secure Electronic Transaction
Merchant Registration
SET - Secure Electronic Transaction
Purchase Request
SET - Secure Electronic Transaction
Payment Authorization
SET - Secure Electronic Transaction
Payment Capture
SET - Secure Electronic Transaction
Verifikation der Purchase Request PhaseMehrfach verschachtelte Verschlsselungen und duplizierte Felder ergeben riesige AusdrckeStndiges Generieren von zuflligen Nummern und SchlsselnViele alternative ProtokollpfadeVerifikation schwierig:
SET - Secure Electronic Transaction
Verifikation der Purchase Request Phase
SET - Secure Electronic Transaction
Verifikation der Purchase Request Phase
SET - Secure Electronic Transaction
Verifikation Theorem 1
SET - Secure Electronic Transaction
Verifikation - ErgebnisseTheorem 1:Ein Angreifer kann die PAN nur dann erhalten, wenn ein unserises Gateway involviert war.
Theorem 2:Wenn der Hndler eine Authorization Response von einem serisen Payment Gateway erhlt, wei er, dass diese vom Gateway signiert wurde; inklusive der Transaktionsnummer und des Kaufbetrags, was der Hndler separat besttigen kann.
Theorem 3:Wenn der Hndler die duale Signatur von einem unmanipulierten Karteninhaber einsieht, kann er anhand der XID prfen, dass diese fr ihn bestimmt war und dass sie vom Karteninhaber erstellt wurde.
SET - Secure Electronic Transaction
Verifikation - ErgebnisseTheorem 4:Wenn das Payment Gateway die duale Signatur von einem unmanipulierten Karteninhaber und einem unmanipuliertem Hndler einsieht, kann er prfen, dass diese aus einer Transaktion vom gegebenen Karteninhaber und dem gegebenen Hndler entstammt. Er kann zudem prfen, dass der Hndler ihn ausgewhlt hat, die Transaktion zu bearbeiten.
Theorem 5:Wenn der Karteninhaber eine Purchase Response von einem unmanipulierten Hndler empfngt, wei er, dass auch wirklich der Hndler diese geschickt hat. Zudem wei er, dass der Hndler eine signierte Nachricht von dem Payment Gateway erhalten hat, das der Hndler zur Bearbeitung beauftragt hat.
SET - Secure Electronic Transaction
Verifikation - ErgebnisseSchwchen am Protokoll:Kein Feld, das auf Seite des Karteninhabers das Payment Gateway spezifiziertSymmetrischer Schlssel nicht Teil der PrfsummeDies fhrt zu
Theorem 6:Wenn das Gateway eine dual signierte Authorisierungsanfrage erhlt, wei es,dass Karteninhaber und Hndler eine Zahlungsanweisung (nicht unbedingtdie, die gerade vorliegt) fr ein Gateway (nicht notwendigerweise es selbst)mit einem digitalen Briefumschlag (nicht zwingend der gerade geffnete)zusammengestellt haben, in der sie in diversen Details bereingekommensind. Der berweisungsbetrag kann nur vom Karteninhaber, nicht aber vomHndler eingesehen werden.Trotzdem bilden beide Parteien eine Prfsummevon Bestellinfos und Gesamtbetrag, die das Gateway vergleichen kann.
SET - Secure Electronic Transaction
Verifikation - Ergebnisse SET praktisch sicher kleinere Schwchen, die nicht wirklich relevant sein sollten und sich zudem leicht beheben lassen Grtes Problem: Umstndliche Bedienung
SET - Secure Electronic Transaction