Criptografia În Sistemele Electronice de Plăți

UNIVERSITATEA DIN CRAIOVA
FACULTATEA DE ECONOMIE I ADMINISTRAREA AFACERILOR

PROIECT

Coordonator
Lect. Univ. Dr. Adina BURICEA BLAN

Masterand
Ionu Marian BERCEA
2013

UNIVERSITATEA DIN CRAIOVA
FACULTATEA DE ECONOMIE I ADMINISTRAREA AFACERILOR
DEPARTAMENTUL STATISTIC I INFORMATIC ECONOMIC

CRIPTOGRAFIA N SISTEMELE ELECTRONICE DE PLI

Coordonator
Lect. Univ. Dr. Adina BURICEA BLAN

Masterand
Ionu Marian BERCEA
Craiova
2013

Cuprins
Introducere....................................................................................................................................................3
1. Modul de desfurare al comerului electronic .....................................................................................5
2. Securitatea comerului electronic ...........................................................................................................9
2.1 Mediul de securitate al sistemelor electronice de pli ..................................................................9
2.2 Infrastructuri de chei publice (PKI ) cheia pentru un comer electronic securizat .................. 14
2.2.1 Certificate digitale.............................................................................................................. 15
2.3 Securitatea telecomunicaiilor protocoalele SSL i TLS ......................................................... 17
2.4 Securitatea tranzaciilor de plat protocoalele 3-D Secure, SecureCode i SET ..................... 18
2.4.1 Protocolul SET ....................................................................................................................... 19
2.4.2 Protocolul 3-D Secure............................................................................................................. 20
2.4.3 Protocolul SecureCode........................................................................................................... 23
2.4.4 O scurt comparaie a protocoalelor 3-D Secure i SPA/UCAF ......................................... 25
3. Anatomia unei tranzacii de eComer care folosete protocolul 3-D Secure........................................ 27
Concluzii .................................................................................................................................................... 30
Bibliografie................................................................................................................................................. 31

Bercea Ionu Marian Introducere
Introducere

Astzi, Internetul este folosit pentru a deservi o mare varietate de servicii care cer un grad
ridicat de securitate, aplicaii cum ar fi e-Commerce, e-banking, management financiar-bancar.
Mai mult ca oricnd, companiile realizeaz pe Web operaii folositoare afacerilor cum ar fi:
folosirea resurselor n mod distribuit i concurent la distan, cooperarea cu parteneri pentru
realizarea de proiecte interactive prin reea, vnzarea produselor prin Web, etc. Dezvoltarea
reelelor necablate wireless network implic utilizatorii ntr-un mediu foarte dinamic.
Utilizatorii cer s acceseze resursele de acas n mod transparent i sigur din Internet
Cafe-uri, aeroporturi, centre comerciale i alte companii. O soluie puternic la aceste cerine,
trebuie s fie capabila s satisfac urmtoarele cerine de securitate:
1. Confidenialitatea protejeaz coninutul tranzaciilor mpotriva citirii neautorizate, de
ctre alte persoane dect receptorii specificai de emitor.
2. Autentificarea permite receptorului unui mesaj s determine n mod sigur identitatea
expeditorului.
3. Integritatea datelor n reea furnizeaz receptorului unei tranzacii sigurana c
mesajul primit este identic cu mesajul emis de expeditor.
4. Prevenirea nerecunoaterii tranzaciei de ctre expeditor (Non-Repudierea)
garanteaz integritatea i originea tranzaciilor din punctul de vedere al expeditorului
i nu a destinatarului. Se mpiedic astfel ca expeditorul unei tranzacii electronice s
nege trimiterea ei.
5. Aplicarea selectiv a unor servicii de multe ori este necesar acoperirea unor pri ale
tranzaciilor, de exemplu cele coninnd numrul crii de credit al unui client. Aceasta
nu trebuie sa fie n clar vnztorului, care poate abuza de utilizarea ei.
Comerul electronic, eComerul, aprut prin 1994, este comerul care se desfoar prin
mijloace electronice, adic prin calculatoare i sisteme de telecomunicaii. Cea mai mare parte a
acestui comer desfurat ntre cumprtori persoane i comerciani - companii se desfoar prin
reeaua public a Internetului, i de aceea a spune eComer echivaleaz cu a spune comer pe
Internet, sau comer n timp real (online), dar acest comer poate avea loc i prin reele de
telecomunicaii care nu sunt publice ci aparin unor sisteme private de plti i transfer de fonduri.
O alt definiie, mai larg, descrie eComerul ca fiind constituit din toate plile n care
datele tranzaciei (pltitor, destinatar, sum, etc) sunt transmise electronic, pltitorul i pltitul sunt
implicai direct n tranzacie, iar toate informaiile necesare autorizrii plii sunt schimbate ntre
cele dou pri, electronic .
3

Bercea Ionu Marian Introducere
Instrumentele de plat n comerul electronic sunt cardurile bancare, cecurile electronice,
scrisorile de credit electronice, ordinele de transfer electronice, i, n general, orice instrument
bancar de iniiere a unei plti care poate fi pus sub form electronic i pentru care exist un sistem
de procesare.
Pentru desfurarea n bune condiii de securitate comerul electronic trebuie s
ndeplineasc o serie de cerine: asigurarea confidenialitii i integritii datelor pe timpul pstrrii
i transmiterii lor; autentificarea tranzaciilor (individualizarea fiecrei tranzacii); asigurarea
independenei de natura punctului de acces la Internet (device independence), astfel c achiziiile
s se poat face de la un calculator personal, de la un asistent personal digital (PDA), telefon, etc;
asigurarea interoperabilitii care permite plti globale, transfrontaliere; asigurarea unei complete
evidene contabile care poate servi n caz de dispute, fraude, probleme legale, etc.
n acesta lucrare vom face o prezentare a principiilor comerului electronic, o descriere a
anatomiei unei tranzacii de eComer prin Internet n care plata este iniiat prin carduri, o
prezentare a metodelor de asigurare a securitii prin securizarea canalelor de transmisie i prin
aplicarea unor protocoale speciale pentru securizarea plilor cu cardul.
4

Bercea Ionu Marian 1.Modul de desfurare al comerului electronic

1. Modul de desfurare al comerului electronic

n acest capitol vom prezenta schema de principiu a comerului electronic desfurat pe
Internet ntre cumprtori, sau consumatori (persoane fizice), i comerciani, n care plata
cumprturilor se face prin card bancar de plat, cardul fiind naional sau internaional.

Fig.1.1- Schema de principiu a comerului electronic prin internet, cu plata prin carduri

n figura 1.1 se prezint schema general de principiu n care apar principalele elemente ale
comerului electronic un site de comerciant aflat pe un server de gzduire, cumprtorul cu
calculatorul su personal cuplat software printr-un navigator (browser) la Internet, bncile emitent
i acceptatoare a cardului cu care se face plata, i sistemul de carduri (naional sau internaional)
din care fac ambele parte. Dreptunghiul figurat punctat i cuprinznd calculatorul personal, legtura
prin Internet, i site-ul comerciantului este echivalent, din punctul de vedere al acceptatorului
comerciantului, cu un terminal de plat cu card, adic reprezint un POS virtual (VPOS, Virtual
POS; a nu se confunda cu situaia n care datele de card sunt introduse de la un calculator personal
al unui comerciant n vederea obinerii unei autorizri prin Internet, caz care poart de asemenea
numele de POS virtual). Schema este similar n cazul plii prin cec electronic, ordin de plat
electronic, etc se nlocuiete doar cardul cu cecul, i sistemul de plti prin carduri cu cel de plti
prin cecuri, etc.
O achiziie pe Internet se desfoar, n principiu, astfel. Cumprtorul acceseaz site-ul
unui comerciant prin intermediul navigatorului din calculatorul su (de exemplu MS Internet
Explorer) cruia i furnizeaz adresa comerciantului (de exemplu www.comerciant.ro). Odat ajuns
5

pe paginile magazinului virtual al comerciantului, va cerceta produsele prezentate i va selecta unul
sau mai multe produse pe care le va pune apoi n coul, sau cruciorul, virtual de cumprturi
(shopping cart).
Rolul coului este de a aduna toate produsele achiziionate i de a afia totalul de plat,
astfel nct n momentul plii s se cear o singur autorizare pe totalul de plat i nu cte una
pentru fiecare produs. Apoi programul specializat al site-ului comerciantului l va invita pe
cumprtor s-i introduc ntr-un formular (HTML form) pe care i-l afieaz, datele de identitate
nume, adres de email, adres de facturare (billing address) i adres de livrare (shipping address),
precum i datele de plat tip de card, numr de card, dat de expirare.
Dup ce cumprtorul i citete datele de pe card i le introduce manual de la tastatur n
formularul afiat, va apsa un buton special al formularului (inscripionat, de exemplu, cu
Cumpr) a crui apsare echivaleaz cu generarea unei comenzi ferme de cumprare i, n
acelai timp, cu acceptarea totalului de plat, i a regulilor i condiiilor de plat i de livrare a
produselor pe care comerciantul le-a afiat pe site, iar cumprtorul este obligat s le cunoasc.
Programul specializat al site-ului va aduga automat la datele cumprtorului o alt serie de
date care descriu plata (sum, moned, numrul de identificare a tranzaciei) i identitatea
comerciantului, i va forma din toate acestea un mesaj pe care l va transmite la sistemul de
management de carduri, SMC, al acceptatorului comerciantului prin legtura de telecomunicaii
dintre serverul care gzduiete site-ul, i acceptator.
SMC-ul acceptatorului se afl acum, n principiu, n starea n care a primit un mesaj cu o
cerere de autorizare de la unul din terminalele sale de plat POS instalat la unul din comercianii
si. Mai departe autorizarea tranzaciei se desfoar ca n cazul unei tranzacii ce are loc la un POS
dintr-un magazin real, adic acceptatorul emite prin sistemul de carduri o cerere de autorizare ctre
emitentul cardului, de la care primete apoi un rspuns de autorizare. Rspunsul este trimis de
acceptator la serverul care gzduiete site-ul comerciantului su, iar programul special din site
afieaz pe ecranul cumprtorului o pagin cu un raport prin care i confirm (sau infirm) acestuia
efectuarea cumprrii, angajamentul implicit al comerciantului de a-i livra produsele i condiiile
de livrare. Raportul afiat poate fi tiprit de cumprtor i este echivalent cu o chitan de plat.
Dup un numr de zile produsele expediate de comerciant ajung la cumprtor, iar n
momentul livrrii la adresa de livrare care a fost indicat, cumprtorul va accepta livrarea mrfii
prin semnarea unui document de recepie. Acest document va ajunge napoi la comerciant i va
putea servi n eventualele rezolvri de dispute. Acceptatorul va putea credita imediat dup
autorizare contul comerciantului su, dup care introduce tranzacia n fiierul su de tranzacii pe
care l va trimite la emitent n vederea decontrii interbancare.
Din momentul n care cumprtorul a apsat pe butonul Cumpr din formularul afiat,
6

trimindu-i datele de card i ordinul de cumprare, i pn n momentul n care programul special
din site-ul comerciantului i afieaz raportul de rspuns cu confirmarea efecturii cumprturii,
timpul scurs este, de regul, de circa 5-10 secunde. Acest timp de rspuns se compune, n mare, din
partea de circa 2-4 secunde petrecut de tranzacie n sistemul de carduri i din partea de 3-5
secunde petrecut n Internet (serverul site-ului comerciantului, telecomunicaii cu protocol sigur
SSL sau TLS). n cazul utilizrii unor protocoale de autentificare a deintorului de card, cum ar fi
protocolul 3-D Secure, se mai adaug un interval de pn la 10-15 secunde necesare autentificrii
cumprtorului, cardului i comerciantului.
Tranzacia de plat descris este o tranzacie cu card de tipul cardul-nu-este-prezent, adic
nici cumprtorul i nici cardul nu se afl n faa comerciantului atunci cnd se face plata, ceea ce
conduce la un risc asumat de comerciant (i de acceptator) mai mare dect n cazul unei plti de tip
cardul-este-prezent care are loc ntr-un magazin real. Ca urmare msurile de securitate luate n
cazul eComerului prin Internet sunt mai puternice i mai cuprinztoare. Iat, pe scurt, n cele ce
urmeaz, care sunt msurile uzuale de securitate.
Legturile de telecomunicaii dintre calculatorul personal al cumprtorului i serverul care
gzduiete site-ul comerciantului, precum i acelea dintre acest server i SMC-ul acceptatorului
comerciantului, trebuie s fie legturi sigure care s asigure confidenialitatea datelor comunicate
i s garanteze autenticitatea celor dou pri de la capetele transmisiei. Aceste telecomunicaii se
implementeaz printr-un protocol special numit SSL (Secure Socket Layer protocol) sau prin
succesorul acestuia, numit TLS (Transport Layer Security protocol), ambele asigurnd criptarea
(simetric) a mesajelor i autentificarea ambelor pri. Legtura ntre serverul de gzduire i SMC-
ul acceptatorului se poate face i direct, printr-o linie nchiriat care nu e public (cum ar fi n cazul
Internetului), mai ales n cazul n care acceptatorul are mai multe site-uri de comerciant (un portal)
pe un acelai server, securitatea i viteza transmisiunilor trebuind s fie astfel mult sporit. Cardul
cu care cumprtorul face cumprturi pe Internet poate fi un card obinuit al sistemului de carduri
sau un card special destinat plii prin Internet, care asigur cumprtorului o siguran sporit.
Astfel de carduri speciale pot avea, de exemplu, o limit maxim a sumei din cont, o
perioad de expirare foarte scurt, sau pot fi carduri virtuale ce sunt folosite de regul numai pentru
o singur achiziie, dup care sunt rencrcate cu suma necesar urmtoarei achiziii.
Autentificarea prilor implicate ntr-o tranzacie de comer electronic este probabil cea mai
important msur de asigurare a securitii tranzaciilor. Prile implicate sunt deintorii de
carduri, emitenii cardurilor, comercianii i eventual porile de acces (gateway) de la Internet la
sistemul de plat cu carduri. n prezent exist trei astfel de protocoale de autentificare utilizate n
eComer: protocolul SET (Secure Electronic Transactions), protocolul 3-D Secure (Three-Domains
Secure) i protocolul SecureCode (ultimele dou fiind asemntoare i aparinnd, lui Visa i lui
7

MasterCard). Vom reveni asupra acestor protocoale.
Comerciantul va ncheia cu acceptatorul su de plti cu carduri prin Internet, un contract
special de comerciant pe Internet, cu condiii i prevederi speciale, specifice acestui tip de comer.
Comisionul pe care comerciantul l va plti acceptatorului pe fiecare tranzacie de eComer este de
regul mai mare dect n cazul comerului real, de exemplu de 3-10% din valoarea tranzaciei, fa
de circa 1-3% n cazul comerului real. Contractul cu acceptatorul va prevede de asemenea modul
de desfurare a disputelor ce pot apare ntre cumprtor i comerciant, cu indicarea clar a
responsabilitilor acceptatorului i celor ale comerciantului, n cazul fraudelor sau a altor excepii.
8

Bercea Ionu Marian 2.Securitatea comerului electronic

2. Securitatea comerului electronic
Msurile speciale de securitate n cazul comerului electronic prin Internet, n care plile
se fac cu carduri, sunt concentrate, n principal, n dou direcii asigurarea securitii
telecomunicaiilor, i asigurarea securitii tranzaciilor prin procedee mai puternice de
autentificare, n principal a deintorului de card. Prima direcie ncearc s rezolve problema
riscurilor generate de caracterul public al transmisiunilor prin reeaua Internetului, iar a doua pe
aceea a riscurilor generate de o situaie n care cardul-nu-este-prezent (similar cu cazul
comenzilor date prin telefon sau pot).
Alte msuri de securitate sunt luate la nivelul legislaiei i al reglementrilor bancare i ale
sistemelor de carduri, iar altele urmresc comportamentul cumprtorilor (memornd o istorie a
tranzaciilor) i depistarea unui profil al cumprtorului, sau comerciantului, potenial fraudulos
cruia mai apoi i se vor interzice tranzaciile. Unii emiteni pot utiliza chiar reele neuronale care
pot identifica un fel anume, susceptibil de a fi fraudulos, de a face cumprturile de exemplu
efectuarea unui mare numr de cumprturi ntr-un interval scurt de timp (cteva ore) de pe multe
site-uri comerciant, caz n care cumprtorul va fi imediat contactat pentru verificare.

2.1 Mediul de securitate al sistemelor electronice de pli

Criptografia computaional ofer cele mai puternice soluii pentru problemele care privesc
securitatea informatic a acestui mediu n care ne pregtim s trim n anii urmtori i care se
cheam Cyberspace. Folosit mult vreme pentru asigurarea confidenialitii comunicaiilor n
domeniul militar i diplomatic, criptografia a cunoscut n ultimii 20 de ani progrese spectaculoase
datorate aplicaiilor sale n securitatea datelor electronice.
Scopul criptografiei este de a securiza informaia stocat i transmis indiferent dac
transmisia respectiv este monitorizat sau nu.
Serviciile furnizate de criptografie sunt:
Confidenialitate - meninerea caracterului privat al informaiei (secretizarea informaiei);
Integritate - dovada c respectiva informaie nu a fost modificat (asigurarea mpotriva
manipulrii frauduloase a informaiei);
Autentificare - dovada identitii celui care transmite mesajul (verificarea identitii unui
individ sau a unei aplicaii);
Nerepudiere - sigurana c cel ce genereaz mesajul nu poate s-l nege mai trziu
(asigurarea paternitii mesajului);
Criptografia realizeaz aceste servicii prin criptare. n sistemul criptografic mesajul este criptat
9

folosind o cheie, la expeditor, i apoi este trimis prin reea. La destinatar, mesajul criptat este
decriptat tot cu o cheie, obinnd-se mesajul original. Exist dou metode primare de criptare
folosite astzi: criptografia cu cheie secret (criptografia simetric) i cea cu cheie public
(criptografia asimetric).
- Algoritmi criptografici cu cheie simetric n cazul crora cifrarea i descifrarea se fac cu
aceeai cheie au avantajul vitezei la criptarea fiierelor.
Cei mai cunoscui algoritmi criptografici cu cheie simetric sunt DES (Data Encryption
Standard), AES (Advanced Encryption Standard) i IDEA (International Data Encryption
Algorithm). n figura 2.1 sunt prezentate principiile criptrii simetrice.

Fig.2.1 Criptare folosind algoritmi criptografici cu cheie simetric

Dup cum se poate observa din figura de mai sus se folosete aceeai cheie K i aceeai
funcie de criptare F, att la emisia mesajului ct i la recepia sa.
Securitatea criptrii simetrice depinde de protecia cheii; managementul acestora fiind un factor
vital n asigurarea securitii datelor, iar procesul de distribuire sigur a cheilor este foarte dificil.
DES (Data Encryption Standard), cel mai folosit algoritm criptografic cu cheie simetric, folosete
o cheie de criptare de 56 de bii, iar IDEA (International Data Encryption Algorithm) folosete o
cheie de criptare de 128 de bii. AES (Advanced Encryption Standard), nlocuitorul lui DES,
permite utilizarea unei chei de cifrare pe 128, 192 sau 256 de bii.
- Algoritmi criptografici cu cheie public - RSA
Un moment important n evoluia criptografiei moderne l-a constituit crearea, n anul 1976, de
ctre Whitfield Diffie i Martin Hellman, cercettori la Universitatea Stanford din California, a
unui principiu diferit de acela al cifrrii simetrice. Ei au pus bazele criptografiei asimetrice cu chei
Cheie Secret comun
Expeditor
Destinatar
Text clar

Text cifrat Text cifrat Text clar

10

publice. n locul unei singure chei secrete, criptografia asimetric folosete dou chei diferite, una
pentru cifrare, alta pentru descifrare. Deoarece este imposibil deducerea unei chei din cealalt,
una din chei este fcut public, fiind pus la ndemna oricui dorete s transmit un mesaj cifrat.
Doar destinatarul, care deine cea de-a doua cheie, poate descifra i utiliza mesajul. Tehnica cheilor
publice poate fi folosit i pentru autentificarea mesajelor prin semntur digital, fapt care i-a
sporit popularitatea.
Pentru asigurarea confidenialitii unui mesaj, acesta este cifrat cu cheia public a
destinatarului, operaie care poate fi fcut de orice persoan care poate accesa fiierul cu chei
publice. O dat cifrat, mesajul nu va mai putea fi descifrat dect de ctre destinatar, singurul care
posed cheia secret (privat), pereche a celei publice.
n figura 2.2 sunt prezentate principiile criptrii simetrice.
Cheie public
receptor
Cheie secret
receptor
CRIPTARE DECRIPTARE

Fig.2.2 Criptare folosind algoritmi criptografici cu cheie public

Algoritmii criptografici cu cheie public sunt folosii n general pentru:
cifrarea i distribuia cheilor simetrice folosite n secretizarea mesajelor;
semntura digital asociat mesajelor.
Algoritmul criptografic cu cheie public, care se bucur de o foarte mare apreciere, att n
mediul guvernamental ct i n cel comercial, fiind susinut prin lucrri i studii de comunitatea
academic, este RSA (Rivest-Shamir-Adleman). Acesta este un sistem de cifrare exponenial
realizat de trei cercettori, Rivest, Shamir i Adleman, de la Massachusetts Institute of
Technology, i reprezint standardul "de facto" n domeniul confidenialitii cu chei publice i al
semnturilor digitale. Sub diferite forme de implementare, prin programe sau dispozitive hardware
speciale, RSA este astzi recunoscut ca cea mai sigur metod de cifrare i autentificare
disponibil comercial.
11

RSA este bazat pe cvasi-imposibilitatea actual de a factoriza numere (ntregi) mari, n
timp ce a gsi numere prime mari este uor; funciile de criptare/decriptare sunt exponeniale, unde
exponentul este cheia i calculele se fac n inelul claselor de resturi modulo n
1
.
Deoarece cifrarea i descifrarea sunt funcii mutual inverse, metoda RSA poate fi utilizat
att la secretizare, ct i la autentificare.
Cu toate acestea, exist o serie de tipuri de atacuri care au succes n cazul RSA. Acestea
nu sunt ndreptate mpotriva algoritmului n sine, ci mpotriva protocolului pe care acest algoritm
l presupune. Este important de tiut c nu este de ajuns numai faptul c se utilizeaz algoritmul
RSA, detaliile conteaz.
Criptarea mesajelor ofer confidenialitate, dar acest lucru nu este suficient. n cazul unei
transmisii sau recepii trebuie s existe certitudinea c cel care a generat mesajul este o persoan
autorizat, motiv care a dus la adugarea de noi proprieti cum ar fi integritatea i autentificarea,
acestea fiind asigurate cu ajutorul semnturii digitale.
- Semntura digital
Dezvoltarea comerului electronic este subordonat existenei unei garanii de securitate a
transmisiilor de date i a plilor electronice. Graie unui sistem de codificare, aplicat mesajului
transmis, semntura electronic constituie un rspuns la aceast problem, garantnd att
autenticitatea i integritatea datelor, ct i identificarea semnatarului.
Semnturile electronice se utilizeaz n circumstane i aplicaii foarte variate, ceea ce
determin apariia unei serii de noi de servicii i produse legate de utilizarea acestui tip de
semntur. Orice disfuncie sau inadverten n aplicarea i recunoaterea juridic a semnturii
electronice risc s devin un obstacol serios n calea utilizrii comunicaiilor electronice i a
comerului electronic.
Semntura digital, ca modalitate a semnturii electronice, garanteaz identitatea,
autenticitatea i integritatea prilor implicate n contract. Semntura digital reprezint un atribut
al unui utilizator, fiind folosit pentru recunoaterea acestuia, i se bazeaz pe sisteme criptografice
cu chei publice.
Pentru semnarea digital a datelor, acestea sunt prelucrate astfel:
1
Schneier, B. Applied Cryptography, J ohn Wiley&Sons, 1996

12

M
HASH
CARD
cu cheie
secret
Rezumat S
Semntura
Dan
M
S
Document
Document semnat
electronic
RSA
Dan

Fig. 2.3- Semnarea unui document electronic
- documentul M este cifrat cu cheia privat a emitorului, care astfel semneaz; n exemplu
de mai sus este vorba despre utilizatorul Dan, care furnizeaz, prin intermediul unui card,
cheia sa secret, PRIVDan i folosete un algoritm cu chei publice cunoscut, cum este RSA
(Rivest-Shamir-Adleman);
- documentul este transmis la receptor;
- receptorul verific semntura prin decriptarea documentului cu cheia public a
emitorului.
Funciile de dispersie (hash functions) joac un rol important n autentificarea coninutului
unui mesaj transmis n reelele de calculatoare. Rolul lor nu este de a asigura secretul transmisiilor,
ci de a crea o valoare h=H(M), numit i rezumat (digest), cu rol n procedura de semntur
digital, foarte greu de falsificat. Funciile hash care pot fi folosite sunt MD5 i SHA1.
Semnturile digitale au dou proprieti importante: permit identificarea emitentului unui
mesaj electronic i a oricror modificri aduse mesajului original. Aceste proprieti fac ca
semnturile digitale s aib un rol important la securizarea comerului electronic deoarece ajut la:
- demonstrarea autenticitii unei tranzacii electronice pentru a preveni falsurile;
- confirmarea identitii unei persoane;
- asigur dovada transmisiei i recepionrii tranzaciilor pentru a preveni repudierea
mesajelor.
Ca i criptarea, semntura electronic este implementat n serverele i browserele Web
prin SSL, pentru a permite utilizatorilor:
- s-i demonstreze identitatea ntr-un mod care este mult mai eficient dect mecanismul
nume utilizator/parol;
- s confirme identitatea serverului Web cu care comunic (pentru a fi siguri c nu trimit
informaie sensibil la un alt site Web).
13


n concluzie, utilizarea acestui tip de semntur este de natur s favorizeze negocierile la
distan specifice comerului electronic deoarece satisface exigene cum ar fi, valoare juridic cel
puin egal cu cea a unei semnturi manuscrise, i admisibilitate ca prob n instan n aceeai
manier ca la semntura manuscris.
Pentru a utiliza n practic semnturile digitale, trebuiesc utilizate o gam complex de
tehnologii, standarde i practici, cunoscute sub numele de infrastructuri cu chei publice (PKI).

2.2 Infrastructuri de chei publice (PKI ) cheia pentru un comer electronic securizat

PKI (Public Key Infrastructure) este standardul acceptat pentru identificarea persoanelor
prin intermediul certificatelor. El include suportul pentru tot ciclul de via al certificatelor i
cheilor de la crearea pn la distrugerea acestora. Din aceast cauz soluiile bazate pe PKI sunt
scumpe, complexe i destul de greu de administrat i utilizat, ceea ce a mpiedicat utilizarea lor pe
scar larg.
PKI este o combinaie de produse hardware i software, politici i proceduri care asigur
securitatea de baz necesar astfel nct doi utilizatori, care nu se cunosc sau se afl n puncte
diferite de pe glob, s poat comunica n siguran. La baza PKI se afl certificatele digitale, un
fel de paapoarte electronice care mapeaz semntura digital a utilizatorului la cheia public a
acestuia. Aceste obiecte informaionale sunt crmizile care stau la baza unei implementri PKI i
reprezint mijlocul de identificare digital a fiecrui subiect participant ntr-o relaie derulat prin
mijloace electronice.
Componentele PKI sunt:
Autoritatea Certificatoare (CA) - responsabil cu generarea i revocarea certificatelor;
Autoritatea Registratoare (RA) - responsabil cu verificarea construciei generate de cheile
publice i identitatea deintorilor;
Deintorii de Certificate (subiecii) - Oameni, maini sau ageni software care dein
certificate i le pot utiliza la semnarea documentelor;
Clienii - ei valideaz semntura digital i certificarea de la un CA.;
Depozitele - stocheaz i fac accesibile certificatele i Listele de Revocare a Certificatelor
(CRLs -Certificate Revocation Lists);
Politicile de securitate: definesc procesele i principiile de utilizare a criptografiei.

14

2.2.1 Certificate digitale

n funcionarea sistemelor cu chei publice este necesar un sistem de generare, circulaie i
autentificare a cheilor folosite de utilizatori.
n acest caz, problema principal care apare este aceea a ncrederii absolute n cheile
publice (cele cu care se face verificarea semnturilor digitale). Acestea trebuie s fie disponibile
n reea, astfel nct orice client s poat obine cheia public a unui emitent de document semnat.
n acest context, soluia tehnic exist: crearea unei infrastructuri internaionale, bazat pe
Autoriti de Certificare - AC (Certification Authority), care s permit obinerea cu uurin i
ntr-o manier sigur a cheilor publice ale persoanelor cu care se dorete s se comunice prin
Internet. Aceste autoriti urmeaz s distribuie, la cerere, certificate de chei autentificate.
Cel mai larg recunoscut i utilizat format pentru certificatele de chei publice este cel definit
n standardul X.509 de ctre ISO/IEC/ITU. Structura acestuia este prezentat n figura 2.4

Fig.2.4 Structura unui certificat digital conform standardului X.509

Certificatele sunt clasificate ca: certificate self-signed i certificate CA-signed. Primul este
semnat de deintorul cheii, iar al doilea de o alt persoan cu autoritate. Ele funcioneaz ca i
containere de chei publice, iar informaia tipic include:
numele deintorului,
e-mail-ul acestuia,
15

numele companiei,
telefonul,
informaii legate de certificat,
un numr serial,
un indicator de nivel de ncredere,
data generrii,
data expirrii.
Un sistem bazat pe certificate de chei publice implic existena unei Autoriti de
Certificare, care emite certificate pentru un anumit grup de deintori de perechi de chei (public
i privat). Fiecare certificat conine valoarea cheii publice i o informaie care identific n mod
unic Subiectul certificatului (care poate fi o persoan, o aplicaie, un dispozitiv sau alt entitate
care deine cheia privat corespunztoare cheii publice incluse n certificat). Certificatul reprezint
o legtur imposibil de falsificat ntre o cheie public i un anumit atribut al posesorului su.
Certificatul este semnat digital de o Autoritate de Certificare, care confirm astfel
identitatea subiectului. O dat ce setul de certificate a fost stabilit, un utilizator al respectivei
infrastructuri cu chei publice poate obine cheia public pentru orice utilizator certificat de
respectiva Autoritate de Certificare, obinnd pur i simplu certificatul pentru utilizatorul respectiv
i extrgnd din el cheia public dorit.
Sistemele de obinere a cheilor publice bazate pe certificate sunt simplu i economic de
implementat, datorit unei importante caracteristici a certificatelor digitale: certificatele pot fi
distribuite fr a necesita protecie prin serviciile de securitate obinute (autentificare, integritate
i confidenialitate). Aceasta deoarece cheia public nu trebuie pstrat secret; n consecin, nici
certificatul digital care o conine nu este secret. Nu exist cerine de autentificare sau integritate,
deoarece certificatul se auto-protejeaz (semntura digital a AC din interiorul certificatului
asigur att autentificarea, ct i integritatea acestuia).
Ca urmare, certificatele digitale pot fi distribuite i vehiculate prin legturi de comunicaie
nesigure: prin servere de fiiere nesigure, prin sisteme de directoare nesigure i/sau protocoale de
comunicaie care nu asigur securitatea. Un prim avantaj al unui sistem de certificate este acela c
orice utilizator al su poate obine cheile publice pentru un numr mare de alte entiti, cunoscnd
la nceput doar cheia public a unei Autoriti de Certificare. Certificatele permit deci scalabilitate,
adic mrirea numrului entitilor pentru care se poate obine cheia public.
O astfel de infrastructur permite:
- stabilirea de standarde astfel nct certificatele digitale s fie valide peste diferite uniti de
16

afaceri, organizaii i tari;
- crearea, stocarea i administrarea sigur a certificatelor digitale i a cheilor criptografice
asociate;
- rennoirea certificatelor expirate;
- revocarea certificatelor digitale utilizate fraudulos.
Rolul PKI, de a susine ncrederea n comerul electronic, va face din acestea o tehnologie
foarte important n viitorul apropiat. PKI este de asemenea important pentru serviciile
eGuvernare care vor deveni catalizatorul pentru alte produse i servicii comerciale. Produsele i
serviciile necesare pentru a construi sau utiliza PKI nu sunt nc suficient dezvoltate, dar sunt n
continu expansiune.

2.3 Securitatea telecomunicaiilor protocoalele SSL i TLS

n prezent securitatea telecomunicaiilor ntre calculatorul personal al cumprtorului i
serverul de gzduire al site-ului comerciantului, precum i aceea dintre acest server i procesatorul
acceptatorului se asigur prin protocolul SSL, sau prin succesorul su TLS.
Ambele protocoale asigur toate elementele fundamentale ale unei transmisiuni sigure criptarea
mesajelor care asigur confidenialitatea, verificarea integritii coninutului mesajelor, i
autentificarea entitilor de la ambele capete ale transmisiunii.
Protocolul SSL (Secure Sockets Layer), ajuns astzi la versiunea 3.0, a fost proiectat de
compania american Netscape Communications n 1995 i s-a rspndit n toat lumea fiind instalat
n toate navigatoarele web importante i n toate serverele de gzduire de site-uri, devenind un
standard de facto al securitii telecomunicaiilor pe Internet. Iat pe scurt modul su de funcionare.
n momentul n care un navigator adreseaz un server n regim de securitate (adrese ncepnd cu
https:), acesta va trimite navigatorului propriul su certificat de autenticitate, eliberat de o
Autoritate de Certificare (care respect standardul X.509
2
) cunoscut i acceptat (cum ar fi
VeriSign Inc.), criptat i semnat de aceasta cu cheia sa secret i coninnd identitatea serverului i
cheia public a serverului. Opional, i navigatorul poate trimite certificatul su ctre server.
Navigatorul va decripta certificatul serverului (cu cheia public, pe care o cunoate, a
Autoritii de Certificare) i va obine cheia public a serverului, apoi va genera o cheie secret
valabil numai pentru cuplarea n curs (la fiecare legtur cu serverul se va genera o nou cheie).
2
n criptografie , X.509 este un standard ITU-T (International Telecommunication Union) pentru infrastructuri cu
chei publice (PKI) i management al privilegiilor, X.509 specific printre altele formatul standard pentru
certificatele cu cheie publica, listele de revocare a certificatelor, atributele certificatelor i algoritmul de validare al
certificatelor.
17

Aceast cheie de criptare a mesajelor (de 40 sau 128 de bii) este la rndul ei criptat cu cheia
public a serverului, cruia i este apoi expediat. n acest fel ambele capete ale transmisiei dispun
acum de o cheie secret de criptare mesaje, cu care i cripteaz mesajele pe care ncep s i le
trimit. Aceast cheie de criptare mesaje se folosete i la aplicarea unui cod MAC (Message
Authentication Code) care permite verificarea integritii mesajelor schimbate.
Protocolul TLS (Transport Layer Security) a fost elaborat de IETF (Internet Engineering Task
Force), organizaia de standardizare a Internetului, pe baza SSL 3.0 i reprezint o mbuntire a
acestuia n mai multe privine. Este de ateptat s se substituie treptat protocolului SSL .

2.4 Securitatea tranzaciilor de plat protocoalele 3-D Secure, SecureCode i SET

O cretere substanial a securitii tranzaciilor de plat se poate obine prin folosirea unor
protocoale de autentificare al cror rol este s autentifice actorii principali ai tranzaciei ce are loc
pe Internet deintorul de card i cardul lui, comerciantul i acceptatorul lui, i poarta de acces
(gateway) din Internet ctre sistemul de plti prin carduri. Aceasta autentificare se face fie prin
certificate de autenticitate care necesit un sistem de chei publice (PKI, Public Key Infrastructure),
fie prin alte metode, mai simple. Esenial este autentificarea deintorului de card deoarece aici se
afl sursa majoritii fraudelor.
Trei astfel de protocoale sunt astzi n folosin protocolul SET proiectat n 1996 de Visa,
MasterCard, IBM i alii, protocolul 3-D Secure proiectat de Visa, i protocolul SecureCode
proiectat de MasterCard, ultimele dou n 2001. Cel care asigur securitatea maxim, ntruct
autentific pe toi actorii tranzaciei, este protocolul SET. Acesta este ns un protocol complicat,
scump i greu de implementat, motiv pentru care nu este rspndit, pare ameninat cu dispariia i
nu vom insista asupra lui. Dintre celelalte dou, care sunt mai simple i mai uor de implementat,
protocolul 3-D Secure tinde s devin un standard de facto fiind acceptat i de MasterCard i J CB.
Protocolul de autentificare 3-D Secure este prezentat de Visa sub marca Verified by Visa
(VbV), aceast marc fiind prezent pe site-urile comercianilor ai cror acceptatori au aderat la
protocol. MasterCard ofer ns sub marca proprie de SecureCode un numr de trei protocoale
de autentificare distincte, la alegere pentru acceptatori protocolul SPA/UCAF (primul care a
purtat marca), protocolul CAP derivat din primul, i implementarea proprie a protocolului 3-D
Secure. Spre deosebire de SET, protocoalele 3-D Secure i SPA/UCAF nu mai impun certificate
de autenticitate pentru toate prile, ceea ce reprezint o mare simplificare. Autentificarea
deintorului de card se face n timpul tranzaciei de ctre emitentul acestuia numai pe baza numelui
i a unui cuvnt de control (password) sau PIN (sau prin alte metode, la alegerea emitentului),
certificatul de autenticitate al cumprtorului nemaifiind strict necesar.
18

n cele ce urmeaz vom face o scurt prezentare a celor trei protocoale, punnd un accent
ceva mai mare pe 3-D Secure, dup care vom face o scurt comparaie ntre protocoalele 3-D Secure
i SecureCode (SPA/UCAF).

2.4.1 Protocolul SET

Acest protocol folosete certificate de autenticitate i genereaz diverse chei pentru
deintorul de card, pentru comerciant i pentru poarta de acces (gateway) la sistemul de plti prin
carduri. Poarta de acces se afl la nivelul acceptatorului care are legtura cu sistemul de plti prin
carduri i reprezint punctul de acces din Internet n acceptator i mai departe n sistemul de carduri.
Certificatele de autenticitate sunt generate de Autoriti de Certificare diferite, aflate ntr-o
ierarhie, la vrful creia se afl o autoritate rdcin care aparine consoriului SET, numit SETCo.
Aceast rdcin va certifica Autoritile de Certificare ale sistemelor de carduri (Visa,
MasterCard) care, la rndul lor, vor certifica emitenii i acceptatorii.
Fiecare emitent va fi apoi Autoritatea de Certificare pentru deintorii lui de carduri, i cardurile
lor, iar fiecare acceptator va fi Autoritatea de Certificare pentru comerciani i porile lor de acces
(de la serverul de gzduire la acceptator).
n prima faz a tranzaciei prile se autentific ntre ele deintorul de card cu
comerciantul (opional), deintorul de card cu poarta de acces (opional), comerciantul cu
deintorul de card (obligatoriu), i comerciantul cu poarta de acces (obligatoriu).
n a doua i ultima faz are loc autorizarea tranzaciei n care, n maniera deja descris, datele
cardului ajung la acceptator care formuleaz o cerere de autorizare ctre emitent, al crui rspuns
l trimite apoi ctre calculatorul deintorului de card trecnd prin poarta de acces i serverul de
gzduire a site-ului comerciantului.

19

Fig.2.5 Protocolul SET
n figura 2.5 se prezint schema de principiu a protocolului SET. O variant simplificat a
acestui protocol, numit 3-D SET (server based), care nu mai pstreaz certificatul cumprtorului
n calculatorul lui personal (fcnd astfel posibil cumprarea i de la alte puncte de acces la
Internet), nu s-a bucurat nici ea de succes, rmnnd n continuare complicat i scump.

2.4.2 Protocolul 3-D Secure

Ca urmare a rspndirii reduse a protocolului SET, un protocol foarte sigur dar complex i
scump, Visa introduce n 2001 propriul protocol numit 3-D Secure, mai simplu i mai uor de
implementat, bazat pe un model de sistem de securitate care cuprinde trei domenii . Scopul celor
trei domenii este acela de a defini clar responsabilitile prilor implicate n tranzacie. Cele trei
domenii sunt Domeniul Emitentului, care cuprinde deintorii de card i emitenii cardurilor lor;
Domeniul Acceptatorului, care cuprinde comercianii i acceptatorii lor; i Domeniul de
Interoperabilitate, care asigur comunicarea ntre emiteni, acceptatori i sistemul Visa. Protocolul
asigur autentificarea numrului de card, a deintorului de card, i a comerciantului, la fiecare
tranzacie.
n modelul celor trei domenii, 3-D, la tranzacia de plat autentificat particip direct
emitentul cardului i comerciantul. n momentul n care cumprtorul iniiaz plata, comerciantul
(modulul de 3-D Secure din site-ul lui) va cere mai nti autentificarea numrului cardului iar apoi
va cere emitentului s-i autentifice deintorul de card. Dup ce va primi autentificarea semnat,
va urma autorizarea normal a plii (trimite la emitent, prin sistem, o cerere de autorizare, etc).
Comerciantul va ncepe deci ntotdeauna prin a cere emitentului s-i autentifice mai nti cardul i
deintorul de card.
Deintorul de card trebuie s se nregistreze (enrollment) n sistem la emitentul su i s-i
declare cel puin un nume i o parol prin care emitentul poate s-l autentifice n momentul
tranzaciei, trimind apoi aceasta autentificare comerciantului. Protocolul las libertatea
emitentului de a alege i alte metode de autentificare a deintorului de card care s arate, n
momentul efecturii tranzaciei, c este deintorul legitim al cardului cu care se face plata.
Emitentul poate astfel cere deintorului de card s dispun de un certificat propriu de
autenticitate, s foloseasc un card inteligent (printr-un cititor cuplat la calculatorul personal) ca
depozitar sigur al identitii, sau s foloseasc metodele de autentificare din serviciile bancare
electronice (eBanking) proprii. Uzual ns deintorul de card este autentificat de emitent doar prin
nume i parol.
Dup ce l autentific, emitentul va genera un rspuns semnat electronic (un certificat de
20

autentificare a deintorului de card) pe care l trimite comerciantului pentru a-i confirma
autenticitatea deintorului de card, iar comerciantul va putea trece la faza de autorizare normal a
tranzaciei.
Deintorul de card este liber s-i instaleze i un portofel electronic, ePortofel (eWallet),
care va conine informaiile de identitate (nume, adres, parol, etc) i cele de card (tip card, numr
card, dat de expirare) i care i poate servi la automatizarea procesului de completare a
formularului de plat (form filling) i la pstrarea chitanelor pentru tranzaciile efectuate.
Emitentul dispune de un serviciu de nregistrare n sistemul 3-D Secure a cardurilor i
deintorilor de card (nregistrarea se poate face i prin Internet) pstrnd ntr-un server de
nregistrare (Enrollment Server) numerele de card, numele i parola deintorilor participani.
Emitentul mai dispune i de un server de control al accesului (ACS, Access Control Server) care
are rolul de a primi cererile de autentificare a cumprtorului venite de la comerciani, de a face
autentificarea acestuia verificnd numrul de card, numele i parola (sau o alt metod), i de a
trimite rspunsul semnat napoi la comerciant.
n domeniul de interoperabilitate Visa (sau MasterCard, care a aderat la sistem) dispune de
un Director (Directory Service) care este un server central pe Internet (ce dispune de un certificat
de autenticitate) n care se pstreaz numerele de card ale tuturor cardurilor nregistrate n sistemul
3-D Secure (nscrise de emiteni) precum i adresele de Internet (URL) ale serverelor de control al
accesului (ACS) ale emitenilor cardurilor nregistrate. n acest Director se pstreaz i o arhiv a
tuturor autentificrilor date de emiteni, pentru a servi rezolvrii unor eventuale dispute.
n domeniul acceptatorului, acceptatorii trebuie s dispun de o poart de acces (payment
gateway) la sistemul de plat prin carduri Visa/MasterCard, iar comercianii lor trebuie s-i
instaleze, pe lng (sau n locul, dac i preia funciile) modulul client de eComer, i un modul de
3-D Secure care poart numele standard de MPI (Merchant Plug-In module), adic modul de
comerciant 3-D Secure instalat n site. Acest modul de comerciant 3-D Secure va genera cereri de
autentificare a cardului i a cumprtorului ctre emitent, prin intermediul Directorului, iar dup
primirea rspunsului va trimite cererea de autorizare a tranzaciei ctre poarta de acces a
acceptatorului (prin intermediul modulului client de eComer) care, la rndul lui, o va trimite mai
departe n sistemul de carduri prin acceptator. n cursul acestei operaii modulul MPI al
comerciantului se va autentifica fa de Director printr-un certificat de autenticitate sau, mai simplu,
printr-un password, iar Directorul va face acelai lucru fa de comerciant. n felul acesta are loc,
la fiecare tranzacie, i o autentificare a comerciantului. Dup primirea rspunsului de autorizare,
modulul comerciantului va trimite cumprtorului o pagin cu un raport asupra efecturii
tranzaciei.
n cazul n care tranzacia este iniiat de un card care nu este nregistrat n sistemul 3-D
21

Secure, comerciantul va putea sri peste etapa de autentificare a cumprtorului i va trece direct
la autorizare, sau va respinge tranzacia, dup cum a ales acceptatorul.

Fig.2.6 Schema de principiu a domeniilor protocolului 3-D Secure
Figura 2.6 prezint schema de principiu a domeniilor protocolului 3-D Secure. Mesajele
privind autentificarea circul ntre Domeniile emitentului i acceptatorului n cadrul Domeniului
de interoperabilitate, i au loc prin Internet. Mesajele prin care se face autentificarea deintorului
de card circul ntre acesta i emitentul su, n cadrul Domeniului emitentului. Mesajele prin care
se cere autorizarea tranzaciei i se face procesarea plii circul ntre comerciant i acceptatorul
su, n cadrul Domeniului acceptatorului, iar aceleai mesaje dar care se schimb ntre acceptator
i emitent n vederea realizrii autorizrii i procesrii plii, circul n cadrul Domeniului de
interoperabilitate prin sistemul de carduri (VisaNet, BankNet). Legturile prin Internet sunt legturi
sigure, efectuate prin protocolul SSL, n care fiecare entitate server dispune de un certificat de
autenticitate iar mesajele sunt criptate. Mai jos vom prezenta anatomia unei tranzacii de eComer
care folosete protocolul 3-D Secure. Comerciantul nu are acces la datele cardului de plat, care nu
sunt stocate pe situl su, i poate vedea numai verdictul final de autentificare dat de emitent
autentificat sau neautentificat.
Protocolul 3-D Secure verific esenialmente autenticitatea cardului i a deintorului de
card i d astfel comerciantului ncrederea c va fi pltit dup ce va livra produsele comandate.
Protocolul poate fi folosit n principiu i pe alte canale de plat telefoane mobile, asisteni digitali
personali (PDA) sau televiziunea digital prin cablu.
Visa estimeaz c introducerea protocolului va diminua cu pn la 80% numrul de
tranzacii disputate. Pentru a ncuraja rspndirea protocolului n rndurile membrilor si, Visa a
stabilit, pentru regiunea CEMEA n care se afl i Romnia, termenul de aprilie 2003 ca un moment
22

dincolo de care rspunderea (pn la acea dat mprit ntre emitent i acceptator, n funcie de
circumstane) n cazul unei pierderi datorate unei fraude n comerul electronic va reveni acelei
pri care nu a implementat protocolul (liability shift). n SUA pn n 2004 protocolul a fost deja
adoptat de 80% din bnci, iar n Europa de peste 100 de bnci i peste 10.000 de comerciani.

2.4.3 Protocolul SecureCode

Sub denumirea de SecureCode, MasterCard ofer membrilor si trei protocoale de
autentificare a deintorului de card protocolul SPA/UCAF, protocolul CAP care este o variant
a primului, i protocolul 3-D Secure n versiunea MasterCard.
Asemeni lui Visa i tot n 2001, MasterCard anun protocolul SPA (Secure Payment
Application) bazat pe utilizarea unui mecanism de transport de date prin reeaua sa (BankNet),
denumit UCAF (Universal Cardholder Authentification Field) care transport un aa numit semn
de autentificare (authentication token) utilizat pentru a indica autentificarea deintorului de card
care a fcut tranzacia, motiv pentru care este numit SPA/UCAF. Protocolul CAP (Chip Card
Authentication Program) este o variant a SPA pentru plata cu carduri inteligente i presupune de
regul cuplarea la calculator a unui cititor de astfel de carduri. MasterCard adopt apoi n 2002
protocolul 3-D Secure ntr-o variant proprie i l prezint tot sub denumirea generic de
SecureCode. Acceptatorii MasterCard au libertatea de a-i alege tipul dorit de protocol.
n cele ce urmeaz vom face o scurt prezentare a protocolului SPA/UCAF. Protocolul cere
participarea direct a emitentului care autentific cumprtorul i a comerciantului care dispune de
un modul client de eComer specific SPA, i impune ca fiecare cumprtor deintor de card s-i
instaleze n calculatorul su un portofel electronic care i va servi la autentificare i la efectuarea
plii. Acest program (numit i SPA applet) are att funcia de ePortofel care deine datele de
identificare i de card de plat, ct i aceea de a interaciona cu comerciantul i cu emitentul
cardului.
Emitentul dispune de un server de ePortofel (wallet server, sau SPA server) i distribuie
cumprtorilor care se nregistreaz cte un ePortofel pe care acetia i-l instaleaz apoi n
calculatorul lor personal. n momentul nregistrrii (enrollment) cumprtorul i va defini i o
parol, sau un PIN, dup care va fi autentificat ulterior. Cnd va ncepe tranzacia, ePortofelul se
va activa i va cere deintorului de card s se autentifice printr-un formular (se cere parola) dup
care se va conecta la emitent pentru a-i trimite aceste date i a-i cere o dovad a autentificrii.
Serverul emitentului va verifica datele introduse cu cele pstrate la momentul nregistrrii n sistem
i va genera un mesaj cu un semn de autentificare (authentication token) pe care l va ntoarce
ePortofelului. Acest semn de autentificare poart numele de AAV (Accountholder Authentication
23

Value), valoarea de autentificare a deintorului de cont de card, i arat, n esen, dac parola
introdus este corect, caz n care deintorul de card este declarat autentic.
Comercianii au un modul client de eComer, specific protocolului, care le este furnizat de
acceptatorul participant la sistem. Acest modul interacioneaz cu cumprtorii i cu ePortofelele
lor, precum i cu poarta de acces (unde este modulul server de eComer) al acceptatorului. Cnd
cumprtorul va declana achiziia, comerciantul va adaug la datele tranzaciei i semnul de
autentificare (ce se va pstra n cmpul UCAF din structura mesajelor care circul prin reeaua
BankNet a MasterCard), i va trimite totul ctre acceptator. Acesta va trimite mai departe cererea
de autorizare a tranzaciei i semnul de autentificare, prin reea la emitent. Emitentul va compara
semnul de autentificare primit cu cel pe care l-a generat anterior n momentul autentificrii
cumprtorului i dac acestea coincid, trece la procedura de autorizare, ca urmare a creia
napoiaz acceptatorului un rspuns la cererea de autorizare.

Fig.2.7 Schema de principiu a unei tranzacii MasterCard SecureCode, cu protocolul
SPA/UCAF
n figura 2.7 se prezint simplificat modul de desfurare a unei tranzacii de eComer
realizate prin tehnologia MasterCard SecureCode, cu protocolul SPA/UCAF. Tranzacia se
desfoar, n mare, n felul urmtor.
ePortofelul cumprtorului detecteaz automat (pas 1) un site de comerciant membru al
sistemului, citete datele (pas 2) referitoare la formularul de comand i identitatea comerciantului
de pe situl acestuia, i n momentul iniierii achiziiei, realizeaz o procedur de cerere de date de
autentificare (pas 3) de la cumprtor, dup care trimite (pas 4) datele asupra tranzaciei i cele de
autentificare furnizate de cumprtor, ctre serverul de ePortofele al emitentului. Emitentul
autentific cumprtorul i genereaz (pas 5) semnul de autentificare (valoarea AAV) pe care l
trimite (ca pe un certificat de autenticitate) ePortofelului. ePortofelul va transmite acest semn ctre
comerciant i va completa automat toate datele din formularul de comand al comerciantului (pas
24

6). Comerciantul va trimite (pas 7) o cerere de autorizare a tranzaciei, mpreun cu semnul de
autentificare (memorat n mesajele ce conin cmpul UCAF, ale sistemului), ctre acceptator, care
o va expedia (pas 8) mai departe prin reeaua BankNet a MasterCard ctre emitent, pe calea de
autorizare. Emitentul va compara semnul de autentificare primit acum cu cel generat n pasul 5 i
dac acestea coincid va executa procedura de autorizare i va expedia (pas 9) rspunsul de
autorizare ctre acceptator, de unde va ajunge (pas 10) la comerciant. Comerciantul va memora
rspunsul i tranzacia, i va afia (pas 11) prin navigatorul cumprtorului, un raport cu rezultatul
tranzaciei, care se va memora i n ePortofel.

2.4.4 O scurt comparaie a protocoalelor 3-D Secure i SPA/UCAF

Ambele protocoale sunt mai simple i mai ieftin de implementat dect protocolul SET, ns
acesta din urm asigur maxima securitate. Ambele protocoale fac autentificarea cumprtorului
deintor de card de regul prin parol (singurul secret ce dovedete autenticitatea), care e verificat
de emitentul cardului, dar emitenii sunt liberi s-i aleag i alte metode de autentificare ntruct
ei genereaz decizia final prin care cumprtorul este declarat autentic i legal deintor al
cardului. n ambele protocoale emitenii trebuie s dispun de programe specializate specifice
protocolului (server de acces i eventual, de nregistrare, la 3-D Secure, i server de ePortofele la
SPA/UCAF), iar comercianii trebuie s-i instaleze un modul client de asemeni specific
protocolului. Ambele protocoale asigur un eComer global, internaional, prin faptul c se bazeaz
pe sistemele de carduri Visa i MasterCard care realizeaz plti transfrontaliere.
Protocolul SPA/UCAF este mai simplu i mai rapid dect 3-D Secure, pentru c n acesta
din urm autentificarea se desfoar n mai multi pai i sunt schimbate mai multe mesaje, toate
prin Internet. De asemeni n 3-D Secure autentificarea se face la fiecare tranzacie, n vreme ce la
SPA/UCAF autentificarea se obine o singur dat ntr-o sesiune de cumprturi, la nceputul ei,
iar rezultatul este pstrat n ePortofel ceea ce permite efectuarea unei serii ntregi de cumprturi
la mai multe situri de comerciani, fr ca autentificarea s se mai fac pentru fiecare tranzacie.
n 3-D Secure comerciantul se autentific explicit fa de Directorul sistemului n vreme ce la
SPA/UCAF comerciantul se autentific implicit, doar prin faptul c are un modul client specific
care e recunoscut de ePortofel.
Sistemul 3-D Secure este un sistem centralizat, n care toate cererile de autentificare ale
tuturor comercianilor trec printr-un Director central, aflat n legtur cu toi emitenii i toi
acceptatorii participani la sistem, n vreme ce sistemul SPA/UCAF este descentralizat, iar o
autentificare implic numai comunicarea direct ntre cumprtor i emitentul su, neexistnd
conceptul de Director.
25

n sistemul SPA/UCAF verdictul de autenticitate, pstrat n semnul de autentificare
(authentication token), este ataat explicit fiecrei tranzacii, cltorete cu aceasta i este pstrat
mpreun cu ea, ceea ce reprezint un lucru util n rezolvarea eventualelor dispute, n vreme ce n
3-D Secure acest lucru nu se ntmpl.
Deosebirea esenial ntre cele dou protocoale const n faptul c, n cazul lui 3-D Secure,
cumprtorul nu trebuie s fac nici o modificare n calculatorul su personal, n vreme ce n cazul
lui SPA/UCAF acesta trebuie s cear de la emitentul lui un program (ePortofel sau SPA applet)
pe care trebuie s i-l instaleze singur.
Concluzia final pn n acest moment este aceea c avantajul oferit de 3-D Secure prin faptul
c deintorul de card nu trebuie s aduc nici o modificare n calculatorul su personal, depete
dezavantajele pe care le poate avea fa de SPA/UCAF, iar acest lucru l face s tind s devin un
standard de facto al autentificrii n eComerul prin Internet. Faptul c MasterCard a adoptat 3-D
Secure i-l prezint sub marca proprie este o dovad n acest sens.
26

Bercea Ionu Marian 3.Anatomia unei tranzacii de eComer care folosete protocolul 3-D Secure

3. Anatomia unei tranzacii de eComer care folosete protocolul 3-D Secure

Pe baza figurii 2.6 care descrie domeniile protocolului 3-D Secure, n figura 3.1 se prezint
anatomia unei tranzacii de eComer care folosete acest protocol. Schema din figura 3.1 este aceiai
i pentru Visa i pentru MasterCard, Directorul din sistem, i sistemul de carduri, putnd aparine
lui Visa sau lui MasterCard ( i altor sisteme ce ader la acest protocol, cum e cazul sistemului de
carduri J CB). n prezent exist n paralel un Director Visa i un Director MasterCard.

Fig.3.1- Anatomia unei tranzacii de eComert in cere se folosete protocolul 3-D Secure
Tranzacia din figura 3.1 este iniiat de un card prin intermediul unui calculator personal
cuplat la Internet care dispune de un navigator web. Legturile prin Internet folosesc protocoale
SSL sau TLS i sunt legturi sigure, adic confidenialitatea transmisiunii, integritatea mesajelor i
autentificarea serverului sunt toate asigurate. Comerciantul se poate autentifica fa de Director
printr-un certificat, sau printr-un identificator de comerciant (merchant ID) i o parol (password)
ce i-au fost alocate de acceptator, dup ce a fost verificat i acceptat de acesta prin contractul de
comerciant pe Internet, iar acceptatorul i-a instalat pe site un modul de comerciant 3-D Secure
(MPI), alturi de (sau integrat cu) modulul client de eComer.
Deintorul de card care dorete s fac tranzacii sigure de eComer folosind protocolul 3-
D Secure, se adreseaz n acest scop emitentului su. Emitentul, care alege metoda de autentificare
pe care o va aplica la momentul tranzaciei deintorului de card, stabilete mpreun cu acesta
datele de autentificare, de exemplu numele nscris pe card i o parol. Emitentul ar fi putut cere
deintorului de card s-i cumpere un certificat de autenticitate i s-l instaleze n calculator, sau
s foloseasc un card inteligent (de exemplu Visa VSDC) prin intermediul unui cititor de carduri
inteligente cuplat la calculatorul su personal. Apoi emitentul, dup verificarea datelor
27

deintorului, va nscrie numrul de card n Directorul sistemului 3-D Secure indicnd i identitatea
sa de emitent i adresa de Internet (URL) a serverului su de control de acces, ACS. Din acest
moment deintorul de card i cardul su sunt verificai i nregistrai (enrolled) n sistemul 3-D
Secure. n descrierea care urmeaz vom presupune c deintorul de card nregistrat se autentific
fa de emitent prin nume i parol.
Din clipa n care cumprtorul, dup ce a ajuns pe site-ul comerciantului, a ales produsele
i le-a pus n coul de cumprturi, apas pe butonul care declaneaz achiziia, mesajele circul
ntre prile implicate dup cum urmeaz:
- Pas 1. Datele privind tranzacia de plat (de identitate deintor, i de card, suma, etc) sunt
n posesia comerciantului, care le nregistreaz (dar nu le poate accesa).
- Pas 2. Modulul de comerciant 3-D Secure, MPI (Merchant Plug-In), din site-ul
comerciantului stabilete o legtur SSL/TLS cu Directorul sistemului i i trimite acestuia
numrul de card (PAN-ul - Primary account number) n vederea declanrii autentificrii
cardului i a deintorului de card. Modulul MPI se va autentifica fa de Director.
- Pas 3. Directorul va cerceta n evidena proprie dac numrul de card implicat n plat este
nregistrat, i dac este, determin emitentul i adresa de Internet (URL) a serverului de
control de acces (ACS) al emitentului. Dac cardul deintorului nu este nregistrat n
sistemul 3-D Secure, Directorul va trimite un mesaj corespunztor ctre modulul MPI al
comerciantului, iar acesta va sri peste autentificare i va trece la autorizarea tranzaciei
(pasul 5), realiznd o tranzacie de eComer fr autentificarea deintorului de card. Dac
cardul este nregistrat, Directorul va verifica cu serverul de control acces al emitentului dac
exist o metod de autentificare pentru card.
- Pas 4. Serverul de control acces al emitentului verific dac numrul de card este ntr-
adevr cel generat de emitent i dac exist metod de autentificare pentru acel numr de
card, dup care trimite rspunsul napoi la Director.
- Pas 5. Directorul trimite mai departe rspunsul primit ctre modulul de comerciant, MPI.
Dac modulul constat din rspuns c metoda de autentificare nu este disponibil pentru
acel numr de card (din variate motive), va trece imediat la autorizarea tranzaciei, srind
din nou peste autentificare.
- Pas 6. Dac autentificarea se face, modulul MPI va expedia acum o cerere de autentificare
a deintorului de card ctre serverul de control acces ACS al emitentului cardului. Aceasta
se face pasnd adresa de Internet a serverului ACS ctre navigatorul din calculatorul
deintorului de card i redirecionndu-l (legtur SSL/TLS) ctre serverul ACS al
emitentului.
- Pas 7. Serverul ACS recepioneaz cererea de autentificare i ncepe procedura de
28

autentificare.
- Pas 8. Serverul ACS ncepe un dialog cu deintorul de card (prin afiarea unui formular
marcat ca aparinnd emitentului) prin care i cere acestuia numele i parola. Dup
autentificare serverul ACS va forma un mesaj de rspuns de autentificare, pe care l
semneaz cu semntura sa electronic pentru a garanta integritatea i autenticitatea
mesajului.
- Pas 9. Serverul ACS va trimite acest mesaj ctre navigatorul calculatorului deintorului de
card pe care l va direciona napoi ctre modulul MPI al comerciantului. n acelai timp va
trimite datele de autentificare i ctre Directorul sistemului pentru a fi pstrate n arhiva de
autentificri a acestuia. Aceast arhiv a Directorului este disponibil (accesul se face dup
o autentificare) emitenilor i acceptatorilor n cazul n care ntre acetia se declaneaz o
disput privind vreo iregularitate n desfurarea tranzaciei.
- Pas 10. Modulul MPI din site-ul comerciantului recepioneaz mesajul de rspuns la
cererea de autentificare.
- Pas 11. Modulul MPI valideaz semntura electronic a serverului ACS al emitentului i
verific integritatea mesajului.
- Pas 12. Dac autentificarea deintorului de card a fost pozitiv, modulul MPI va trece
controlul ctre etapa de autorizare a tranzaciei, n care se genereaz o cerere obinuit de
autorizare care se trimite (legtura SSL/TLS) porii de acces a acceptatorului. Acceptatorul
va obine prin sistemul de carduri un rspuns de autorizare de la emitentul cardului, pe care
l va trimite apoi modulului client de eComer din site-ul comerciantului, iar acesta la rndul
su va afia, prin navigatorul calculatorului cumprtorului, o pagin cu raportul privind
desfurarea tranzaciei, acest raport fiind echivalent unei chitane.
29

Bercea Ionu Marian Concluzii

Concluzii

Comerul electronic, ca tip de comer nou, a stimulat direct cererea pentru noi sisteme i modaliti
adecvate de plat. n acest context, dezvoltarea unor activiti comerciale ntre participani situai
la mari distane geografice unii de alii nu poate fi conceput fr folosirea unor sisteme electronice
de plti. Aceste noi mijloace de plat permit transferarea comod, sigur i foarte rapid a banilor
ntre partenerii de afaceri. De asemenea, nlocuirea monedelor i bancnotelor (actualele forme
tradiionale de numerar) prin ceea ce denumim bani electronici conduce, pe lng reducerea
costurilor de emitere i meninere n circulaie a numerarului, i la o sporire a flexibilitii i
securitii sistemelor de plti.
n domeniul sistemelor i modalitilor electronice de plat, cercetrile sunt n plin proces
de desfurare . Exist numeroase sisteme n curs de experimentare, altele abia au fost cercetate i
supuse analizei. Este normal ca prudena i securitatea s fie cuvintele cheie ale acestor demersuri
spre dezvoltarea unor sisteme electronice de plai total integrate i sigure.
30

Bibliografie

1. Electronic Commerce and Development Report 2001, UNCTAD, United Nations,
UNCTAD/SDTE/ECB/1, www.unctad.org/ecommerce.
2. Ministerul Comunicaiilor i Tehnologiei Informaiilor, Statistici, www.mcti.ro.
3. MasterCard e-B2B Solutions, The Choice Strategy for Seizing a $30 Trillion Opportunity,
www.mastercardbusiness.com.
4. VeriSign Inc., www.verisign.com/products/
5. Electronification of Payments in Europe, European Central Bank (ECB)
6. The SSL 3.0 Protocol, Freier A. Karlton P., Kocher P., Internet-Draft, Nov. 1996.
7. The TLS Protocol - Version 1.0, Dierks T., Allen C., Internet-Draft, Nov. 1997
8. Set Secure Electronic Tranzactions, LLC, www.setco.org
9. Visa 3-D Secure System Overview,
http://international.visa.com/fb/paytech/secure/pdfs/3DS_70015_01_System_
Overview_external_v1.0.2_May_2003.pdf.
10. www.mastercardmerchant.com/securecode/getstarted.html;
11. www.mastercardintl.com/docs/ecaf_sell_sheet_final.pdf;
12. www.mastercardintl.com/docs/secure_code_user_brochure.pdf;
13. www.mastercardintl.com/docs/secure_merchant_brochure.pdf;
14. www.mastercardintl.com/docs/final_ucaf_smart_card_trifold.pdf.
15. www.paypal.com
16. www.paydirect.com
17. www.verisign.com
18. www.bibit.com

31

Criptografia În Sistemele Electronice de Plăți

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Criptografia În Sistemele Electronice de Plăți

Încărcat de

Drepturi de autor:

Formate disponibile

UNIVERSITATEA DIN CRAIOVA

FACULTATEA DE ECONOMIE I ADMINISTRAREA AFACERILOR

S-ar putea să vă placă și