К.т.н., доцент Ільєнко
А.В., Тригуб Д.А.
Національний авіаційний університет(НАУ),Україна
МЕХАНІЗМИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ
СИСТЕМ ЕЛЕКТРОННИХ ПЛАТЕЖІВ
Вступ. Останнім часом у всьому світі розвиток платіжних систем
характеризується поступовим звуженням сфери використання готівки та паперових
платіжних документів, переходом до нових платіжних інструментів і сучасних
технологій платежів. Електронні гроші широко залучаються до обігу і стають
важливим інструментом фінансової інфраструктури економічно розвинутих країн.
Усі цивілізовані країни намагаються максимально зменшити
кількість готівкових операцій і готівкової маси в обігу. Для цього центральні
банки та уряди застосовують цілий ряд заходів, одним з яких є розрахунки за
допомогою платіжних систем з пластиковими картками (насамперед
внутрішньодержавних, а також міжнародних).
Аналогічні процеси відбуваються й у банківській сфері України. Особливо
важливу роль тут відіграє Національний
банк України (НБУ). На нього покладено обов'язок
забезпечити надійне та ефективне функціонування загальнонаціональної платіжної
системи. НБУ бере безпосередню участь у розробці нових платіжних засобів та
організації електронного грошового обігу на території України. Проте, як і
кожна інформаційна система, дана система електронних платежів (СЕП) потребує
захисту.
До найбільш поширених механізмів, які можуть ефективно забезпечити безпеку
проведення електронних платежів через Інтернет відносяться: протокол SSL (Secure Socket Layer), який забезпечує шифрування
переданих через Інтернет даних; стандарт SET (Secure Electronic Transactions), розроблений компаніями Visa i MasterCard і забезпечуючи безпеку і
конфіденційність здійснення угод за допомогою пластикових карт[1].
Постановка задачі. Задачею даної роботи є аналіз механізмів забезпечення
безпеки проведення електронних платежів,
а саме протоколів інформаційного обміну.
Критерії порівняння мережних
протоколів SET
та SSL. У даний момент найбільш поширеним
протоколом, який використовується при побудові систем електронної комерції є
протокол SSL. Даний протокол являється складовою частиною усіх відомих браузерів і Web – серверів. Це означає, що будь-який власник карти,
який користується стандартними засобами доступу до Інтернету, отримує
можливість провести безпечну транзакцію із використанням SSL.Інші переваги SSL – простота протоколу для
розуміння усіх учасників транзакцій и хороші операційні показники завдяки
використанню симетричних алгоритмів шифрування, які на 2-4 порядки більш
швидкі, ніж асиметричні при тому ж рівні криптостійкості.
Проте, протокол SSL володіє і своїми недоліками. Один із них –
відсутність аутентифікації клієнта, що дозволяє
зловмиснику успішно провести транзакцію, знаючи тільки реквізити карти. Також
протокол SSL не підтримує цифровий підпис, що
ускладнює процес вирішення конфліктних ситуацій, які виникають під час роботи
платіжної системи. І у результаті для доказу проведення транзакцій потрібно або
зберігати в електронному вигляді весь діалог клієнта та торгової точки, що є
дорого з точки зору витрат ресурсів пам’яті і на практиці не використовується,
або зберігати паперові копії, які підтверджують отримання клієнтом товару. Ще
одним недоліком даного протоколу є відсутність забезпечення конфіденційності
даних про реквізити карти для торгової точки[1].
Для операцій з кредитними картами
використовується протокол SET. Його ціль – забезпечення необхідного рівня безпеки
для платіжного механізму, в якому беруть участь троє або більше суб’єктів (наприклад, Покупець, Продавець
і Банк). Транзакція реалізується через Інтернет.
Переваги протоколу SET: протокол SET є стійким протоколом
(зловмиснику потрібно знати не тільки реквізити платіжної карти, а й закритий
ключ власника карти і сертифікат відповідного йому відкритого ключа для
успішного виконання SET – транзакції); забезпечення конфіденційності, цілісності і аутентифікаціі; протокол SET запобігає перегляду операцій
оплати покупця продавцем, оскільки інформація шифрується[2].
Серед недоліків протоколу SET є: впровадження SET є більш дорогим, ніж
використання SSL; потрібно встановити додаткове програмне забезпечення, яке може
обробляти SET – транзакції (PHP- або CGI-скрипт, або JAVA-аплет);
клієнт повинен мати дійсний цифровий сертифікат; швидкість виконання транзакцій
є нижчою, ніж у протоколу SSL[2].
Висновок. На основі проведеного
аналізу і порівняння можна стверджувати, що обидва мережних протоколи являються
ефективними засобами захисту СЕП. Проте протокол SSL дозволяє вирішити лише частину проблем безпеки. Його
роль загалом обмежується забезпеченням шифрування переданих даних. Тому для
комплексного вирішення проблем краще підходить стандарт SET.
Модель СЕП, яка захищається одним із даних
протоколів відповідає наступними вимогами щодо захисту операцій електронної
комерції:
- секретність даних оплати і
конфіденційність інформації замовлення, переданої разом з даними про оплату;
- зберігання цілісності даних
платежів, яка забезпечується за допомогою цифрового підпису;
- безпека передачі даних за
допомогою використання криптографії.
Література
1.
Семенов Ю.А. Протокол SSL. Безопасный уровень
соединителей. — 2000. — № 1.
2.
The Internet Encyclopedia. John Wiley & Sons.
pp. 247–260.