Протокол SET

В настоящее время базовым стандартом, принятым основными международными платежными системами, является SET (Secure Electronic

¹ RSA — алгоритм, основанный на сложности разложения большого числа на простые множители. Преложен Р. Райвестом (R. L. Rivest), А. Шамиром (A. Shamir) и Л. Адлеманом (L. Adleman).

Transactions — безопасные электронные транзакции). Существует масса книг, где описываются механизмы работы и структура этого стандарта.

Официальная дата рождения SET — 1 февраля 1996 года. В этот день Visa International, MasterCard International и ряд технологических компаний объявили о совместной разработке единого открытого стандарта защищенных Internet-расчетов с использованием пластиковых карт. В декабре 1997 года была создана некоммерческая организация SETCo LLC, призванная координировать работы по развитию стандарта, а также осуществлять тестирование и сертификацию предлагаемого на рынке программного обеспечения на соответствие спецификациям SET.

Спецификации SET в первую очередь ориентированы на обеспечение крупных сделок. При осуществлении сделки покупатель должен быть уверен, что продавец не исчезнет с его деньгами, а продавец хочет иметь определенные гарантии того, что покупатель не потребует возврата денег. Именно эти проблемы и решает протокол SET

Для организации массовых продаж через Internet относительно дешевых товаров, таких как диски CD-ROM, подборки новостей или книги, естественно использовать простой и широко распространенный протокол SSL. При этом следует непременно учитывать косвенные расходы, в частности процент прибыли со сделок, который отчисляется банку, и потери, связанные с мошенничеством.

Для организации единичных сделок на достаточно крупные суммы лучше применять SET, так как с помощью этого протокола можно юридически значимо доказать факт сделки. Итак, хотя разработчики создавали SET как средство массовых платежей, в результате получился механизм, больше подходящий для сделок типа «бизнес—бизнес».

Протокол SET, в отличие от протокола SSL, обеспечивает более высокий уровень защиты информации и является пока единственным решением, сочетающим надежное шифрование с использованием средств аутентификации всех торговых партнеров.

Спецификацию и набор протоколов, известные как стандарт SET, совместно подготовили компании GTE, IBM, Microsoft, Netscape, RSA, SAIC, Terisa и VeriSign. Благодаря цифровым сертификатам и современным криптографическим технологиям, позволяющим как продавцу, так и покупателю производить идентификацию всех участников сделки, SET опережает другие технологии обеспечения безопасных платежей в Internet. Кроме того, SET обеспечивает надежную защиту номеров кредитных карт и другой конфиденциальной информации, посылаемой через Internet.

Не вдаваясь в технические детали, ограничимся перечислением компонентов SET и элементов сетевой инфраструктуры, необходимых для обеспечения работоспособности этого протокола.

SET — это стандарт, предназначенный прежде всего для выполнения защищенных транзакций с использованием дебетовых, кредитных и смарт-карт в Internet. Например, цифровой сертификат связывает владельца карты и продавца с определенным финансовым институтом и системами Visa или MasterCard.

Компоненты SET:

О Wallet — электронный бумажник Владельца карты. Вспомогательное приложение браузера, которое поддерживает протокол SET и предоставляет средства клиентского управления платежными карточками и сертификатами;,

О Merchant Server (платежный сервер Продавца) - серверное приложение, которое принимает заказы покупателей через Internet и направляет данные о кредитной карте и подпись в финансовые учреждения для обработки платежа;

О Payment Gateway (платежный шлюз) — маршрутизатор транзакций для связи Internet-компаний, обрабатывающих операции с платежными картами, и финансовых сетей;

О Certificate Authority (источник сертификатов) — серверное программное обеспечение, которое создает и распределяет сертификаты SET, используемые при осуществлении платежных транзакций с картами через Internet, а также управляет этими сертификатами.

Участники операции по спецификации SET:

О Cardholder (Владелец карты) — Покупатель, делающий заказ;

О Issuer (банк Покупателя) — финансовая структура, которая выпустила кредитную карту для Покупателя;

О Merchant (Продавец) - электронный магазин, предлагающий товары и услуги;

О Acquirer (банк Продавца) — финансовая структура, занимающаяся обслуживанием операций Продавца;

О Payment Gateway (платежный шлюз) — система, контролируемая обычно банком продавца или сертифицирующей организацией. Обрабатывает запросы от Продавца и взаимодействует с банком Покупателя;

О Certificate Authority (сертифицирующая организация) — уполномоченная компания, выдающая и проверяющая сертификаты;

О Brand — финансовые институты, основавшие карточный «брэнд» (торговую марку) и обеспечивающие его функционирование.

По сравнению с SSL и иными вышеупомянутыми протоколами, обеспечивающими проведение безопасных карточных платежей в Internet, протокол SET имеет следующие важные преимущества:

О безопасность и конфиденциальность. Используемые алгоритмы шифрования (DES, RSA) обеспечивают высокий уровень защиты информации. Данные о покупателе передаются в зашифрованном виде непосредственно в организацию, обслуживающую кредитные карты, и недоступны продавцу;

О идентификация участников осуществляется с помощью цифровой подписи и системы управления сертификатами. Сертификат SET соответствует спецификации X.509v3. Во главе иерархической структуры сертифицирующих организаций стоит владелец корневого сертификата SET;

О целостность информации применяется для предотвращения модификации данных третьей стороной (работает механизм цифровой подписи);

О обеспечивается взаимодействие разных реализаций на основе открытого набора протоколов.

Безусловно, SET — наиболее совершенный протокол для защиты карточных платежей, предлагаемый западными компаниями. Принципиален тот факт, что SET защищает всех субъектов сделки (например, обеспечивая определенную степень защиты покупателя от псевдомагазина). Этот протокол в полной мере использует механизм цифровых подписей, постепенно приобретающий центральную роль в процессе защиты электронного документа и идентификации его автора.

Перечисление участников транзакции показывает, что использование SET требует создания специализированной сетевой инфраструктуры и разработки достаточно отлаженного механизма взаимодействия ее субъектов. Реально такая инфраструктура в значимом экономическом масштабе не создана до сих пор, а сам протокол очень редко встречается при передаче финансовой информации в Internet.

Анализ сравнительной эффективности SET и решений на основе протокола SSL был проведен Gartner Consulting (подразделение Gartner Group) в ноябре 1998 года. Полный отчет о результатах исследований опубликован на сайте SETCo LLC (www.setco.org). Главный вывод состоит в следующем: криптографические процессы требуют значительных вычислительных ресурсов в обеих схемах.

Достаточно ясно, что криптография не является узким местом SET. Со стороны сервера проблему решает использование аппаратных криптографических ускорителей, которые увеличивают стоимость стандартного серверного оборудования не более чем на 5% (аппаратная реализация криптографических функций — безусловное требование для прохождения SET-сертификации в международных платежных системах). Со стороны клиента современные персональные компьютеры и их портативные варианты легко справляются с дополнительными вычислениями. Предназначенные для этого специальные программы — электронные бумажники (SET e-wallets), автоматически отправляющие на сервер предварительно подготовленные параметры пластиковой карты, адрес доставки и другую клиентскую информацию, — позволяют обеспечить дополнительную безопасность и корректность данных по сравнению с заполнением экранных форм вручную.

Ни одна схема организации электронного бизнеса не может гарантировать абсолютную безопасность. Мошенничество существует и в традиционном мире: банкноты могут быть подделаны, чеки фальсифицированы, номера кредитных карт украдены. Но при этом традиционные платежи успешно практикуются по сей день, поскольку итоговая польза и удобство значительно превышают ущерб от возможных потерь.

В основе системы безопасности, используемой SET, лежат стандартные криптографические алгоритмы. Инфраструктура SET построена в соответствии с инфраструктурой открытых ключей (Public Key Infrastructure, PKI) на базе сертификатов, соответствующих стандарту Х.509.

Технологически SET не сильно отличается от других схем электронных расчетов. Главная особенность и преимущество SET состоит в том, что использование системы безопасности регламентируется международными платежными системами. Требования Visa и Europay к процессин-говому центру на основе SET включают, во-первых, традиционные требования к процессингу пластиковых карт (защита помещений, контроль над доступом, резервное энергоснабжение, аппаратная криптография и т.п.) и, во-вторых, специфические дополнения — межсетевые экраны (firewalls) для защиты информационных серверов от враждебных воздействий через инфраструктуру Internet.

Предусмотрено применение согласованных единых методик оценки рисков при проведении электронных платежей вне зависимости от средства аутентификации клиента (традиционная карта с магнитной полосой, смарт-карта или цифровой сертификат). Это позволяет участникам платежной системы использовать отработанные механизмы разрешения спорных ситуаций и сконцентрироваться на развитии своего электронного бизнеса, а не на перманентном тестировании новейших технологических решений.

Нельзя недооценивать количество информационных, финансовых и человеческих ресурсов, которые конкуренты или структуры организованной преступности готовы потратить на дискредитацию и даже разрушение используемой вами платежной системы. Всегда разумнее предполагать: противник серьезнее, чем он есть на самом деле, а наука и технологии уже завтра позволят сделать то, что кажется невозможным сегодня.

В России протокол SET на сегодняшний день не получил заметного распространения. Протокол реализован Транскредитбанком, обслуживающим МПС, и Альфа-банком, который предоставляет сертификаты SET владельцам электронных торговых площадок и держателям карт. Также сертификаты SET предоставляются клиентам банка «Олимпийский», но для обработки сертификатов используется европейский про-цессинговый центр.