1 / 35

Il protocollo S.E.T. (Secure Electronic Transaction)

Università Degli Studi Di Perugia Sicurezza Informatica A.A. 2011/2012. Il protocollo S.E.T. (Secure Electronic Transaction). Andrea Valentini Albanelli Fabrizio Cardellini. S.E.T. INTRODUZIONE. PROTOCOLLO ATTORI DOPPIA FIRMA SET IN AZIONE. VANTAGGI E SVANTAGGI. PERCHÈ S.E.T.?.

limei
Download Presentation

Il protocollo S.E.T. (Secure Electronic Transaction)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Università Degli Studi Di PerugiaSicurezza Informatica A.A. 2011/2012 Il protocollo S.E.T. (Secure Electronic Transaction) Andrea Valentini Albanelli Fabrizio Cardellini

  2. S.E.T. • INTRODUZIONE • PROTOCOLLO • ATTORI • DOPPIA FIRMA • SET IN AZIONE • VANTAGGI E SVANTAGGI

  3. PERCHÈ S.E.T.?

  4. SVILUPPATORI

  5. INTRODUZIONE RSA DES SHA-1 X.509

  6. Strumenti utilizzati • DES • RSA • SHA-1 • X.509

  7. S.E.T. • INTRODUZIONE • PROTOCOLLO • ATTORI • DOPPIA FIRMA • SET IN AZIONE • VANTAGGI E SVANTAGGI

  8. ATTORI EMITTENTE COMMERCIANTE CARDHOLDER ACQUIRENTE PAYMENT GATEWAY CA

  9. ATTORI CARDHOLDER COMMERCIANTE EMITTENTE Persona o organizzazione che vuole vendere beni o servizi ai CARDHOLDER Istituto finanziario (es. banca) che fornisce una carta di credito per il CARDHOLDER Soggetto autorizzato ad utilizzare una carta di credito

  10. ATTORI ACQUIRENTE PAYMENT GATEWAY CA Entità atta a rilasciare certificati per titolari, commercianti e payment gateway Interfaccia tra acquirente e reti di pagamento con carte bancarie Istituto finanziario che ha un rapporto con i commercianti

  11. S.E.T. • INTRODUZIONE • PROTOCOLLO • ATTORI • DOPPIA FIRMA • SET IN AZIONE • VANTAGGI E SVANTAGGI

  12. Dual Signature • Collegare 2 messaggi per 2 differenti destinazioni PAYMENT INFORMATION PAYMENT GATEWAY CARDHOLDER ORDER INFORMATION COMMERCIANTE

  13. Creazione della Dual Signature DS CARDHOLDER PIMD SHA-1 PI POMD + SHA-1 OIMD SHA-1 OI

  14. Verifica della Dual Signature DS PIMD CLIENTE OI COMMERCIANTE PIMD POMD OIMD + SHA-1 SHA-1 OI

  15. Verifica della Dual Signature DS PIMD CLIENTE OI COMMERCIANTE PIMD POMD OIMD + SHA-1 = DS POMD CLIENTE

  16. Verifica della Dual Signature DS OIMD CLIENTE PI PAYMENT GATEWAY OIMD POMD PIMD + SHA-1 SHA-1 PI

  17. Verifica della Dual Signature DS OIMD CLIENTE PI PAYMENT GATEWAY OIMD POMD PIMD + SHA-1 = DS POMD CLIENTE

  18. S.E.T. • INTRODUZIONE • PROTOCOLLO • ATTORI • DOPPIA FIRMA • SET IN AZIONE • VANTAGGI E SVANTAGGI

  19. SET IN AZIONE • Le fasi previste dallo standard sono: • Registrazione del cardholder • Registrazione del commerciante • Sottomissione di un ordine • Autorizzazione del pagamento • Adempimento delle due parti

  20. Registrazione del cardholder CARDHOLDER EMITTENTE Il cardholder acquista una carta di credito dall'emittente che gliela rilascia insieme ad un certificato e ad un e-wallet

  21. Registrazione del commerciante ACQUIRENTE COMMERCIANTE Il commerciante ottiene 2 certificati: Il suo e quello dell'acquirente, e un thin-wallet

  22. Sottomissione di un ordine GIVE ME YOUR CERTIFICATE AND PAYMENT GATEWAY'S CERTIFICATE! COMMERCIANTE CARDHOLDER • Il cardholder, navigando nel sito web del commerciante, decide di effettuare un ordine • Invia un messaggio di Initiate Request

  23. Sottomissione di un ordine Initiate Response TID COMMERCIANTE CARDHOLDER • Il commerciante risponde con un messaggio di Initiate Response • Fornisce i certificati richiesti ed un TID criptato con la sua chiave privata

  24. Sottomissione di un ordine + DS + TID P.G. PI 3-DES + DS + TID CARDHOLDER OI • Il cardholder prepara le informazioni di pagamento (PI), le informazioni sull'ordine (OI), il certificato e crea una doppia firma (DS)

  25. Sottomissione di un ordine Purchase Request COMMERCIANTE CARDHOLDER • Il cardholder invia tutto il messaggio preparato precedentemente al commerciante. • E' un messaggio di Purchase Request

  26. Autorizzazione del pagamento TID PI PAYMENT GATEWAY COMMERCIANTE • Il commerciante invia le PI criptate, il suo certificato e il certificato del cardholder al payment gateway. • Il payment gateway può: • leggere le PI • verificare l'integrità del pagamento • autenticare entrambe le parti

  27. Autorizzazione del pagamento APPROVED APPROVED PAYMENT GATEWAY EMITTENTE • Deve esistere un canale di comunicazione sicuro tra payment gateway ed emittente • Il payment gateway comunica i PI all'emittente che, dopo averli verificati, fornisce l'autorizzazione

  28. Autorizzazione del pagamento APPROVED APPROVED PAYMENT GATEWAY EMITTENTE COMMERCIANTE

  29. Autorizzazione del pagamento Purchase Response ACK + TID COMMERCIANTE CARDHOLDER • Il commerciante invia una notifica (ACK) ed il TID criptate con la sua chiave privata • E' un messaggio di Purchase Response

  30. Adempimento delle 2 parti COMMERCIANTE CARDHOLDER • Viene effettuato l’addebito sulla carta di credito del cardholder • Il commerciante viene rimborsato dall’acquirente • Il commerciante fornisce il bene o il servizio acquistato

  31. S.E.T. • INTRODUZIONE • PROTOCOLLO • ATTORI • DOPPIA FIRMA • SET IN AZIONE • VANTAGGI E SVANTAGGI

  32. VANTAGGI • INTEGRITÀ • AUTENTICAZIONE • PRIVACY • CONFIDENZIALITA’

  33. VANTAGGI • IMMUNE A MOLTI ATTACHI • Uno sniffer non ricaverebbe informazioni interessanti • Attacchi di replica inefficaci

  34. SVANTAGGI • ATTACCO ALL’E-WALLET • COMPLESSITA’ • CONFIDENZIALITA’ E PRIVACY NON • GARANTITE PER OI

  35. CONCLUSIONE • SET HA BUONE CARATTERISTICHE • DI SICUREZZA • COMPLESSITA’ ELIMINABILE? • TORNERA’ AD ESSERE USATO?

More Related