Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoGianbattista Pace Modificato 10 anni fa
1
Università Degli Studi Di Perugia Sicurezza Informatica A.A. 2011/2012
Il protocollo S.E.T. (Secure Electronic Transaction) Andrea Valentini Albanelli Fabrizio Cardellini
2
S.E.T. INTRODUZIONE PROTOCOLLO ATTORI DOPPIA FIRMA SET IN AZIONE
VANTAGGI E SVANTAGGI
3
PERCHÈ S.E.T.?
4
SVILUPPATORI
5
INTRODUZIONE RSA DES SHA-1 X.509
6
Strumenti utilizzati DES RSA SHA-1 X.509
7
S.E.T. INTRODUZIONE PROTOCOLLO ATTORI DOPPIA FIRMA SET IN AZIONE
VANTAGGI E SVANTAGGI
8
ATTORI COMMERCIANTE EMITTENTE CARDHOLDER ACQUIRENTE PAYMENT GATEWAY CA
9
Soggetto autorizzato ad utilizzare una carta di credito
ATTORI CARDHOLDER COMMERCIANTE EMITTENTE Persona o organizzazione che vuole vendere beni o servizi ai CARDHOLDER Soggetto autorizzato ad utilizzare una carta di credito Istituto finanziario (es. banca) che fornisce una carta di credito per il CARDHOLDER
10
ATTORI ACQUIRENTE PAYMENT GATEWAY CA Interfaccia tra acquirente e reti di pagamento con carte bancarie Entità atta a rilasciare certificati per titolari, commercianti e payment gateway Istituto finanziario che ha un rapporto con i commercianti
11
S.E.T. INTRODUZIONE PROTOCOLLO ATTORI DOPPIA FIRMA SET IN AZIONE
VANTAGGI E SVANTAGGI
12
Dual Signature PAYMENT INFORMATION ORDER INFORMATION
Collegare 2 messaggi per 2 differenti destinazioni PAYMENT INFORMATION PAYMENT GATEWAY CARDHOLDER ORDER INFORMATION COMMERCIANTE
13
Creazione della Dual Signature
DS CARDHOLDER PIMD SHA-1 PI + POMD SHA-1 OIMD SHA-1 OI
14
Verifica della Dual Signature
DS PIMD OI CLIENTE COMMERCIANTE PIMD + OIMD POMD SHA-1 SHA-1 OI
15
Verifica della Dual Signature
DS PIMD OI CLIENTE COMMERCIANTE PIMD + OIMD POMD SHA-1 = DS POMD CLIENTE
16
Verifica della Dual Signature
DS OIMD PI CLIENTE PAYMENT GATEWAY OIMD + PIMD POMD SHA-1 SHA-1 PI
17
Verifica della Dual Signature
DS OIMD PI CLIENTE PAYMENT GATEWAY OIMD + PIMD POMD SHA-1 = DS POMD CLIENTE
18
S.E.T. INTRODUZIONE PROTOCOLLO ATTORI DOPPIA FIRMA SET IN AZIONE
VANTAGGI E SVANTAGGI
19
SET IN AZIONE Le fasi previste dallo standard sono:
Registrazione del cardholder Registrazione del commerciante Sottomissione di un ordine Autorizzazione del pagamento Adempimento delle due parti
20
Registrazione del cardholder
EMITTENTE Il cardholder acquista una carta di credito dall'emittente che gliela rilascia insieme ad un certificato e ad un e-wallet
21
Registrazione del commerciante
ACQUIRENTE Il commerciante ottiene 2 certificati: Il suo e quello dell'acquirente, e un thin-wallet
22
Sottomissione di un ordine
GIVE ME YOUR CERTIFICATE AND PAYMENT GATEWAY'S CERTIFICATE! CARDHOLDER COMMERCIANTE Il cardholder, navigando nel sito web del commerciante, decide di effettuare un ordine Invia un messaggio di Initiate Request
23
Sottomissione di un ordine
Initiate Response TID CARDHOLDER COMMERCIANTE Il commerciante risponde con un messaggio di Initiate Response Fornisce i certificati richiesti ed un TID criptato con la sua chiave privata
24
Sottomissione di un ordine
+ DS + TID P.G. PI 3-DES + DS + TID CARDHOLDER OI Il cardholder prepara le informazioni di pagamento (PI), le informazioni sull'ordine (OI), il certificato e crea una doppia firma (DS)
25
Sottomissione di un ordine
Purchase Request CARDHOLDER COMMERCIANTE Il cardholder invia tutto il messaggio preparato precedentemente al commerciante. E' un messaggio di Purchase Request
26
Autorizzazione del pagamento
PI TID COMMERCIANTE PAYMENT GATEWAY Il commerciante invia le PI criptate, il suo certificato e il certificato del cardholder al payment gateway. Il payment gateway può: leggere le PI verificare l'integrità del pagamento autenticare entrambe le parti
27
Autorizzazione del pagamento
APPROVED APPROVED PAYMENT GATEWAY EMITTENTE Deve esistere un canale di comunicazione sicuro tra payment gateway ed emittente Il payment gateway comunica i PI all'emittente che, dopo averli verificati, fornisce l'autorizzazione
28
Autorizzazione del pagamento
APPROVED APPROVED PAYMENT GATEWAY EMITTENTE COMMERCIANTE
29
Autorizzazione del pagamento
Purchase Response ACK + TID CARDHOLDER COMMERCIANTE Il commerciante invia una notifica (ACK) ed il TID criptate con la sua chiave privata E' un messaggio di Purchase Response
30
Adempimento delle 2 parti
CARDHOLDER COMMERCIANTE Viene effettuato l’addebito sulla carta di credito del cardholder Il commerciante viene rimborsato dall’acquirente Il commerciante fornisce il bene o il servizio acquistato
31
S.E.T. INTRODUZIONE PROTOCOLLO ATTORI DOPPIA FIRMA SET IN AZIONE
VANTAGGI E SVANTAGGI
32
VANTAGGI INTEGRITÀ AUTENTICAZIONE PRIVACY CONFIDENZIALITA’
33
VANTAGGI IMMUNE A MOLTI ATTACHI
Uno sniffer non ricaverebbe informazioni interessanti Attacchi di replica inefficaci
34
CONFIDENZIALITA’ E PRIVACY NON
SVANTAGGI ATTACCO ALL’E-WALLET COMPLESSITA’ CONFIDENZIALITA’ E PRIVACY NON GARANTITE PER OI
35
SET HA BUONE CARATTERISTICHE COMPLESSITA’ ELIMINABILE?
CONCLUSIONE SET HA BUONE CARATTERISTICHE DI SICUREZZA COMPLESSITA’ ELIMINABILE? TORNERA’ AD ESSERE USATO?
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.