Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
((В, A, RB))
4. Алиса аналогичным образом вычисляет K3 и расшифровывает сообщение Боба, убеждаясь, что А и В правильны, затем шифрует вторую половину сообщения Боба ключом K3.
(В, A, R5)
5. Алиса не посылает это сообщение Бобу, 56 бит шифротекста стано-вятся ключом K4. Затем Алиса посылает Бобу свое имя, его имя и проверочное значение С, которое содержит имена отправителя и получателя, дату, контрольную сумму, количество и два MAC. Все это шифруется DES: сначала ключом K4, затем K1. Один из MAC может быть проверен банком Алисы, а второй может быть проверен только расчетно-кассовым центром. Алиса уменьшает свой счет на соответствующее значение.
((А,В,С))
6. Боб аналогичным образом вычисляет K4. При условии, что все имена совпадают и проверка выполнена правильно, он принимает платеж.
Нововведением в этом протоколе является то, что каждое сообщение зависит от предыдущего и выступает удостоверением всех предыдущих сообщений. Это означает, что повторить старое сообщение никому не удастся, получатель просто никогда не расшифрует его.
Другая разумная идея в этом протоколе - навязывание правильной реализации. Если разработчик приложения неправильно реализует протокол, он просто не будет работать.
382 Компьютерная безопасность и практическое применение криптографии
Обе карточки сохраняют записи каждой транзакции. Когда карточки рано или поздно установят диалоговое соединение с банком (продавец -положить деньги на счет, а покупатель - снять со счета), он извлечет эти записи для последующего контроля.
Аппаратура изготавливается в форме, устойчивой к взлому, чтобы помешать любому из участников испортить данные. Алиса не сможет изменить значение своей карточки. Подробная запись содержит данные для обнаружения и запрещения мошеннических транзакций. В карточках используются универсальные секреты - ключи MAC, функции для преобразования имен пользователей в K1 и K2, но считается, что решение обратной задачи для этих секретов достаточно трудное.
Эта схема, конечно же, несовершенна, но она безопаснее бумажных чеков и обычных дебетовых карточек. Источником угрозы мошенничества являются не военные враги, а покупатели и продавцы. UEPS предоставляет защиту от таких злоупотреблений.
Обмен сообщениями является прекрасным примером устойчивого протокола: в каждом сообщении присутствуют имена обеих сторон, включая информацию, уникальную для сообщения; каждое сообщение явным образом зависит от всех предыдущих.
3.9. Электронные платежные системы и Internet
Компьютерные технологии все глубже и глубже проникают в повседневную жизнь и практическую деятельность человека. Тенденции, способствовавшие появлению так называемой электронной банковской системы, зародились приблизительно двадцать лет назад. Наряду с развитием электронных платежных систем появляются все новые и новые инструменты по проведению операций - электронные деньги (e-cash), смарт-карты и т.д. При этом усовершенствованные технологии находят применение не только в деятельности финансовых институтов, но и в повседневной деятельности обычного покупателя.
Появление новых систем оплаты стало следствием того, что традиционные системы, основанные на наличных деньгах, чеках, кредитных картах, EFT/POS и банковских переводах средств с одного счета на другой, несмотря на свою простоту и удобство в обращении, имеют высокие затраты.
В этой главе рассмотрены плателшые системы, системы, позволяющие организовать электронную коммерцию в Internet, а также вопросы безопасности и используемые средства защиты информации.
Электронные платежные системы и Internet
383
3.9.1. Классификация платежных систем
Новые платежные механизмы должны заменить традиционные методы оплаты наличными деньгами, чеками и денежными переводами их электронными аналогами (рис. 3.32).
Новые направления в развитии платежных систем
С использованием смарт-карт
С применением электронных денег
С использованием Internet
С применением предоплатных схем
С использованием кредитных карт и системы электронного банкинга
Рис. 3.32. Классификация платежных систем
Платежные системы, построенные на основе понятий «электронные деньги» и «смарт-карты»
Представителем практической реализации является система Mondex, разработанная компанией Mondex International (рис. 3.33). Система использует смарт-карты (см. раздел 3.9.2) и электронные деньги (см. раздел 3.9.3) как форму представления денежных средств, хранящихся на смарт-картах.
Плательщик, имеющий смарт-карту, загружает на нее электронные суммы через специальные устройства, в качестве которых могут выступать банковские или телефонные аппараты. Дальнейшие операции оплаты, перевода денежных средств на другой носитель и т.д. будут проходить минуя расчетные системы. Фактически электронные суммы, используемые в данной технологии, являются аналогом наличных денег.
Преимущество данного подхода заключается не только в том, что денежные средства могут быть переведены с использованием общедоступных телефонных каналов или глобальных сетей передачи данных, но и в неот-слеживаемости действий клиента.
