Dalla strisciata in poi… …cosa succede quando usiamo una carta di credito
Dalla strisciata in poi… Introduzione: dalla banda magnetica… La crittografia La firma elettronica I sistemi di pagamento Il protocollo LSS Aspetti legali
Dalla banda magnetica al microchip Introduzione Dalla banda magnetica al microchip
La banda magnetica Soluzione tecnica utilizzata per conservare i dati all'interno di una carta di credito. Non adeguata ai bisogni crescenti di sicurezza. I limiti principali sono: non può conservare i dati relativi al proprietario della carta in modo sicuro avendo una capacità di memoria limitata permette in genere una o due funzioni di pagamento: accesso diretto al conto (carta di debito, bancomat) e/o accesso ad una linea di credito (carte di credito).
La banda magnetica E’ composta da tantissime particelle magnetiche di resina, dove sono memorizzati dati. In particolare, la banda contiene tre tracce: Traccia 1 (zona alta) - 79 caratteri alfa-numerici Traccia 2 (zona media) - 40 caratteri numerici Traccia 3 (zona bassa) - 107 caratteri numerici La seconda traccia è solitamente l'unica ad essere letta dai terminali POS.
La banda magnetica ; Il primo carattere detto carattere sentinella Start Sentinel si trova sempre prima dell'inizo dei dati 4568089081990425 Il PAN (Primary Account Number) ovvero il numero della carta di credito = Il separatore di campo Field Separator 0608 La data di scadenza della carta in formato ANNO MESE 101 Il codice di servizio che indica il tipo di carta 101 per le carte di credito 121 per quelle di debito 4647711700000 Questo campo contiene i dati che sono risultati dall'algoritmo crittografico della banca emittente, qui è contenuto il valore offset del PIN (ovvero il PIN reale crittografato) ? End Sentinel posto sempre alla fine dei dati Codice di controllo Ecco un esempio dei dati memorizzati sulla seconda banda: ;4568089081990425=06081014647711700000?=
Le smart card maggiore capacità di memoria microprocessore interno (O carte a microprocessore) memorizzano le informazioni in modo sicuro per poi utilizzarle durante la transazione. maggiore capacità di memoria microprocessore interno sono utilizzate per accedere a più servizi (es. sulla stessa carta possono essere memorizzati dati identificativi, dati di accesso, concorsi a punti etc.) Questa caratteristica è chiamata "multi-applicazione".
…on line Un lettore permette di leggere le informazioni sulla banda magnetica o sul chip e di maneggiarle per l’uso specifico… Le informazioni finiscono on line!
…on line In questo processo due sono i punti principali: L’azienda vuole essere sicura di incassare il dovuto e che il cliente non disconosca l’ordine effettuato Il cliente vuole che i dati della propria carta di credito non vengano intercettati nel corso della trasmissione E’ possibile risolvere questi problemi mediante: Crittografia Firma elettronica
La crittografia Dal greco Kryptos: nascosto, è l’insieme delle tecniche che consentono la cifratura di un testo. Ha lo scopo di rendere segreta una corrispondenza mediante una scrittura convenzionale.
Perché la crittografia Privacy e sicurezza in rete TRASFERIMENTO DATI: bancomat, carte di credito, Mediaset Premium, ecc.
Sistemi di crittografia Messaggio in chiaro: m K: chiave segreta condivisa da mittente e destinatario Messaggio decodificato Fk-1( mc ) Algoritmo di codifica: FK ad esempio il DES Algoritmo di decodifica: Fk-1
Algoritmi: Data Encryption Standard Algoritmo sviluppato da IBM ed adottato nel 1977 dal governo USA come standard ufficiale. Ogni messggio viene convertito in codice ASCII e diviso in blocchi. I blocchi sono mischiati fra loro tramite trasposizione; ogni blocco viene diviso in due e crittato attraverso operazioni di sostituzione e trasposizione attraverso chiavi diverse, ricavate da una chiave originaria. Viene sconfitto nel 1998.
Sistemi a chiave pubblica Sono sistemi crittografici a due chiavi, detti asimmetrici. Chiave privata, con cui decodificare i messaggi che gli vengono inviati utente Chiave pubblica, che altri utenti utilizzano per codificare i messaggi da inviargli Per ogni utente, le due chiavi vengono generate da un apposito algoritmo con la garanzia che la chiave privata sia la sola in grado di poter decodificare correttamente i messaggi codificati con la chiave pubblica associata.
Crittografia RSA Rivest, Shamir, Adleman nel 1978 Algoritmo a doppia chiave: una per crittare, l’altra per decrittare il messaggio L’algoritmo di crittazione che è impossibile invertire. Utilizza funzioni matematiche con numeri primi
Caratteristiche della crittografia Pur conoscendo l’algoritmo di cifratura e disponendo di diversi messaggi cifrati non deve essere possibile risalire alla chiave Pur conoscendo l’algoritmo di cifratura e disponendo di diversi messaggi cifrati e dei corrispondenti messaggi in chiaro non deve essere possibile risalire alla chiave Mittente e ricevente devono scambiarsi la chiave e custodirla usando opportune misure di sicurezza La chiave deve rimanere segreta
La firma elettronica La firma digitale, o firma elettronica qualificata, è basata sulla tecnologia della crittografia a chiavi asimmetriche Essa è un sistema di autenticazione di documenti digitali analogo alla firma autografa su carta. Il sistema per la creazione e la verifica di firme digitali sfrutta le caratteristiche dei sistemi crittografici a due chiavi
Differenze tra firma digitale e firma convenzionale
Valore giuridico della firma digitale in Italia Nell'ordinamento giuridico italiano la firma digitale a crittografia asimmetrica è riconosciuta ed equiparata a tutti gli effetti di legge alla firma autografa su carta. Essa è disciplinata da il Testo Unico sulla documentazione amministrativa.
Valore giuridico della firma digitale in Italia Il Codice distingue i concetti di "firma elettronica", "firma elettronica qualificata" e "firma digitale". a) Per "firma elettronica" la legge intende qualunque sistema di autenticazione del documento informatico. b) La "firma elettronica qualificata" è definita come la firma elettronica basata su una procedura che permetta di identificare in modo univoco il titolare la cui titolarità è certificata da un soggetto terzo. c) La "firma digitale", è considerata dalla legge come una particolare specie di "firma elettronica qualificata", basata sulla tecnologia della crittografia a chiavi asimmetriche. Nella realtà concreta, la firma digitale è l'unico tipo di firma elettronica qualificata oggi conosciuto e utilizzato, per cui i due concetti tendono a coincidere.
Sistemi di pagamento I principali metodi di pagamento on-line sono: Carta di Credito Bonifico Bancario Contrassegno PayPal Carte Prepagate
La carta di credito VANTAGGI LIMITI Facilità d’uso: basta inserire il numero e la data di scadenza della carta Commissione percentuale sul transato a carico dell’esercente Confidenza nell’utilizzo della carta di credito Sistema di pagamento diffuso
PayPal PayPal è la società del gruppo eBay che consente a chiunque possieda un indirizzo email di inviare o ricevere pagamenti online. Vantaggi: Facili. Per configurare il sito web bastano pochi minuti. Sicuri. Gli innovativi sistemi di protezione dalle frodi consentono all'esercente di svolgere la sua attività in modo sicuro. Completi. Il negoziante non ha bisogno di un conto commerciante a parte. I suoi clienti non hanno bisogno di un conto PayPal.
PayPal Inoltre, nessuna spesa di configurazione o mensile. Vengono applicate delle tariffe per le transazioni pari a 1,9% + €0,35 EUR. Le tariffe vengono applicate solo quando l'esercente accetta un pagamento. Se non riceve denaro, non dovrà pagare nulla. PayPal è conveniente per le aziende di ogni dimensione.
Carte Prepagate vantaggi limiti Importo disponibile prefissato, simili alle carte telefoniche. Codice PIN ed Password. L’importo viene detratto dalla carta. Vantaggio: in caso di abusi, il danno subito non potrà superare il valore della carta prestabilito. Particolarmente adatte a transazioni on line di importo medio-basso. vantaggi limiti Sono facili da usare e veloci da ottenere Scarsa diffusione Più adatte alle microtransazioni Costi elevati
Il protocollo SSL: Secure Socket Layer E’ un protocollo che garantisce la privacy delle comunicazioni su Internet; esso permette infatti alle applicazioni client/server di comunicare in modo da prevenire le intrusioni, le manomissioni e le falsificazioni dei messaggi.
Il protocollo SSL: Secure Socket Layer Il protocollo SSL opera in due fasi: SSL handshake: in questa fase avviene lo scambio di informazioni tra cliente e server per realizzare, sfruttando la crittografia a doppia chiave pubblica-privata, la costruzione di un canale sicuro per le comunicazioni Avvio delle comunicazioni sicure con un sistema di crittografia simmetrico sfruttando una chiave di sessione generata nella fase precedente
Il protocollo SSL: Secure Socket Layer Come funziona tale protocollo? Un utente accede ad un sito sicuro (https) Il browser dell’utente invia al server una richiesta di connessione con: cipher setting, dati generati casualmente, e altre informazioni necessarie per stabilire la connessione. Il server risponde inviando al browser dell’utente il proprio cipher setting, il certificato digitale e, in alcuni casi, una richiesta di certificato del cliente. Il cliente verifica il certificato del server e, se l’autenticazione fallisce, la procedura viene interrotta e l’utente viene informato che non è possibile stabilire una connessione verificata. Il browser dell’utente genera una chiave di sessione da utilizzare per trasmettere informazioni criptate con un sistema di crittografia simmetrica.
Aspetti legali Per Commercio Elettronico si intende l'utilizzo di sistemi telematici per mezzo di computer, per concludere transazioni commerciali direttamente a casa del consumatore (commercio on line). Gli aspetti tecnico-legali riguardano la riservatezza, il riconoscimento legale della firma digitale e il processo di compravendita. Si applicano le norme sui contratti previste dal Codice Civile. Infatti una compravendita resta tale anche se conclusa tramite Internet. La vendita avviene mediante una rappresentazione virtuale del suo oggetto ed il consumatore ha l'opportunità di esaminare realmente i beni acquistati solo al momento della loro consegna.
Aspetti legali La compravendita, in particolare, è un istituto che per essere perfetto richiede che alcuni punti siano verificati: la buona volontà delle parti a perfezionare il negozio (consenso delle parti) e la cura nel verificare la corrispondenza tra dichiarazione ed attese, per cui sulla base delle aspettative ognuna delle parti ottiene benefici dallo scambio di beni;
Aspetti legali la garanzia per evizione e per vizi dei beni scambiati: il venditore virtuale ha l'obbligo di far acquistare al compratore la proprietà della cosa senza che nessun altro possa pretendere di esserne proprietario ed anche garantire che l'oggetto sia immune da difetti che lo rendano inidoneo all'uso e ne diminuiscano in modo apprezzabile il valore. la possibilità di essere integrati in caso di difetti o frode con il diritto per il compratore di ritirarsi dall'acquisto entro sette giorni dalla firma del contratto o dal ricevimento della merce.
Aspetti legali Fattori determinanti per la diffusione del Commercio Elettronico sono: la fiducia nel sistema da parte degli operatori (banche, commercianti, acquirenti) del sistema beni-moneta virtuale; la sicurezza del sistema, ovvero la capacità di evitare truffe o di identificarle e neutralizzarle, evitando conseguenze negative per gli operatori; la resistenza al cambiamento, fatto ben noto di costume e di comportamento.
Per approfondire… Metodi di lettura delle bande magnetiche Apetti giuridici e legali del commercio on line Aspetti storici del commercio on line Aspetti culturali della diffusione del commercio on line La crittografia La firma digitale …
Fine Grazie per l’attenzione Prof.ssa Marialetizia Pedrinazzi Prof.ssa Daniela Strangis Istituto ”C.Pesenti”- Bergamo