Il protocollo S.E.T. (Secure Electronic Transaction)

35
Il protocollo S.E.T. (Secure Electronic Transaction) Andrea Valentini Albanelli Fabrizio Cardellini Università Degli Studi Di Perug Sicurezza Informatica A.A. 2011/2012

description

Università Degli Studi Di Perugia Sicurezza Informatica A.A. 2011/2012. Il protocollo S.E.T. (Secure Electronic Transaction). Andrea Valentini Albanelli Fabrizio Cardellini. S.E.T. INTRODUZIONE. PROTOCOLLO ATTORI DOPPIA FIRMA SET IN AZIONE. VANTAGGI E SVANTAGGI. PERCHÈ S.E.T.?. - PowerPoint PPT Presentation

Transcript of Il protocollo S.E.T. (Secure Electronic Transaction)

Page 1: Il protocollo S.E.T.  (Secure Electronic Transaction)

Il protocollo S.E.T. (Secure Electronic Transaction)

Andrea Valentini AlbanelliFabrizio Cardellini

Università Degli Studi Di PerugiaSicurezza Informatica A.A. 2011/2012

Page 2: Il protocollo S.E.T.  (Secure Electronic Transaction)

S.E.T. INTRODUZIONE

PROTOCOLLO ATTORI

DOPPIA FIRMA

SET IN AZIONE

VANTAGGI E SVANTAGGI

Page 3: Il protocollo S.E.T.  (Secure Electronic Transaction)

PERCHÈ S.E.T.?

Page 4: Il protocollo S.E.T.  (Secure Electronic Transaction)

SVILUPPATORI

Page 5: Il protocollo S.E.T.  (Secure Electronic Transaction)

INTRODUZIONE

DESRSA

SHA-1X.509

Page 6: Il protocollo S.E.T.  (Secure Electronic Transaction)

Strumenti utilizzati

DES

RSA

SHA-1

X.509

Page 7: Il protocollo S.E.T.  (Secure Electronic Transaction)

S.E.T. INTRODUZIONE

PROTOCOLLO ATTORI

DOPPIA FIRMA

SET IN AZIONE

VANTAGGI E SVANTAGGI

Page 8: Il protocollo S.E.T.  (Secure Electronic Transaction)

ATTORI

CARDHOLDER COMMERCIANTE EMITTENTE

ACQUIRENTE PAYMENT GATEWAY CA

Page 9: Il protocollo S.E.T.  (Secure Electronic Transaction)

ATTORI

CARDHOLDER

Soggetto autorizzato ad utilizzare una carta di

credito

COMMERCIANTE

Persona o organizzazione

che vuole vendere beni o

servizi ai CARDHOLDER

EMITTENTE

Istituto finanziario (es. banca) che

fornisce una carta di credito per il CARDHOLDER

Page 10: Il protocollo S.E.T.  (Secure Electronic Transaction)

ATTORI

ACQUIRENTE

Istituto finanziario che ha un rapporto

con i commercianti

PAYMENT GATEWAY

Interfaccia tra acquirente e reti

di pagamento con carte bancarie

CA

Entità atta a rilasciare

certificati per titolari,

commercianti e payment gateway

Page 11: Il protocollo S.E.T.  (Secure Electronic Transaction)

S.E.T. INTRODUZIONE

PROTOCOLLO ATTORI

DOPPIA FIRMA

SET IN AZIONE

VANTAGGI E SVANTAGGI

Page 12: Il protocollo S.E.T.  (Secure Electronic Transaction)

Dual SignatureCollegare 2 messaggi per 2 differenti destinazioni

CARDHOLDER

PAYMENT

INFORMATIONPAYMENT GATEWAY

ORDER INFORMATION

COMMERCIANTE

Page 13: Il protocollo S.E.T.  (Secure Electronic Transaction)

Creazione della Dual Signature

CARDHOLDER

OI

PI

SHA-1 PIMD

SHA-1 OIMD

+ SHA-1 POMD

DS

Page 14: Il protocollo S.E.T.  (Secure Electronic Transaction)

Verifica della Dual Signature

OI

SH

A-1

PIMD + SHA-1OIMD

DS

COMMERCIANTE

PIMD

CLIENTE

OI

POMD

Page 15: Il protocollo S.E.T.  (Secure Electronic Transaction)

Verifica della Dual Signature

OI

PIMD + SHA-1OIMD

DS

COMMERCIANTE

PIMD

CLIENTE

POMD

DS POMDCLIENTE

=

Page 16: Il protocollo S.E.T.  (Secure Electronic Transaction)

Verifica della Dual Signature

PI

SH

A-1

OIMD + SHA-1PIMD

DS OIMD

CLIENTE

PI

POMD

PAYMENT GATEWAY

Page 17: Il protocollo S.E.T.  (Secure Electronic Transaction)

Verifica della Dual Signature

PI

OIMD + SHA-1PIMD

DS OIMD

CLIENTE

POMD

DS POMDCLIENTE

=

PAYMENT GATEWAY

Page 18: Il protocollo S.E.T.  (Secure Electronic Transaction)

S.E.T. INTRODUZIONE

PROTOCOLLO ATTORI

DOPPIA FIRMA

SET IN AZIONE

VANTAGGI E SVANTAGGI

Page 19: Il protocollo S.E.T.  (Secure Electronic Transaction)

SET IN AZIONE Le fasi previste dallo standard sono:

Registrazione del cardholder

Registrazione del commerciante

Sottomissione di un ordine

Autorizzazione del pagamento

Adempimento delle due parti

Page 20: Il protocollo S.E.T.  (Secure Electronic Transaction)

Registrazione del cardholder

CARDHOLDER EMITTENTE

Il cardholder acquista una carta di credito dall'emittente che gliela rilascia insieme ad un certificato e ad un e-wallet

Page 21: Il protocollo S.E.T.  (Secure Electronic Transaction)

Registrazione del commerciante

COMMERCIANTE ACQUIRENTE

Il commerciante ottiene 2 certificati: Il suo e quello dell'acquirente, e un thin-wallet

Page 22: Il protocollo S.E.T.  (Secure Electronic Transaction)

Sottomissione di un ordine

CARDHOLDER

Il cardholder, navigando nel sito web del commerciante, decide di effettuare un ordineInvia un messaggio di Initiate Request

GIVE ME YOUR CERTIFICATE AND

PAYMENT GATEWAY'S CERTIFICATE!

COMMERCIANTE

Page 23: Il protocollo S.E.T.  (Secure Electronic Transaction)

Sottomissione di un ordine

CARDHOLDER

Il commerciante risponde con un messaggio di Initiate ResponseFornisce i certificati richiesti ed un TID criptato con la sua chiave privata

COMMERCIANTETID

Initiate Response

Page 24: Il protocollo S.E.T.  (Secure Electronic Transaction)

Sottomissione di un ordine

CARDHOLDER OI

PI

+ DSP.G.

+DS

Il cardholder prepara le informazioni di pagamento (PI), le informazioni sull'ordine (OI), il certificato e crea una doppia firma (DS)

+TID

+TID3-DES

Page 25: Il protocollo S.E.T.  (Secure Electronic Transaction)

Sottomissione di un ordine

CARDHOLDER COMMERCIANTE

Il cardholder invia tutto il messaggio preparato precedentemente al commerciante. E' un messaggio di Purchase Request

Purchase Request

Page 26: Il protocollo S.E.T.  (Secure Electronic Transaction)

Autorizzazione del pagamento

COMMERCIANTEIl commerciante invia le PI criptate, il suo certificato e il certificato del cardholder al payment gateway. Il payment gateway può:

• leggere le PI • verificare l'integrità del pagamento• autenticare entrambe le parti

PI

PAYMENT GATEWAY

TID

Page 27: Il protocollo S.E.T.  (Secure Electronic Transaction)

Autorizzazione del pagamento

Deve esistere un canale di comunicazione sicuro tra payment gateway ed emittenteIl payment gateway comunica i PI all'emittente che, dopo averli verificati, fornisce l'autorizzazione

PAYMENT GATEWAY EMITTENTE

APPROVEDAPPROVED

Page 28: Il protocollo S.E.T.  (Secure Electronic Transaction)

Autorizzazione del pagamento

EMITTENTE

APPROVEDAPPROVED

PAYMENT GATEWAY

COMMERCIANTE

Page 29: Il protocollo S.E.T.  (Secure Electronic Transaction)

Autorizzazione del pagamento

CARDHOLDER COMMERCIANTE

Il commerciante invia una notifica (ACK) ed il TID criptate con la sua chiave privataE' un messaggio di Purchase Response

Purchase Response

ACK + TID

Page 30: Il protocollo S.E.T.  (Secure Electronic Transaction)

Adempimento delle 2 parti

CARDHOLDER COMMERCIANTE

Viene effettuato l’addebito sulla carta di credito del cardholderIl commerciante viene rimborsato dall’acquirenteIl commerciante fornisce il bene o il servizio acquistato

Page 31: Il protocollo S.E.T.  (Secure Electronic Transaction)

S.E.T. INTRODUZIONE

PROTOCOLLO ATTORI

DOPPIA FIRMA

SET IN AZIONE

VANTAGGI E SVANTAGGI

Page 32: Il protocollo S.E.T.  (Secure Electronic Transaction)

VANTAGGI

INTEGRITÀ

AUTENTICAZIONE

PRIVACY

CONFIDENZIALITA’

Page 33: Il protocollo S.E.T.  (Secure Electronic Transaction)

VANTAGGI

IMMUNE A MOLTI ATTACHI

Uno sniffer non ricaverebbe informazioni interessanti

Attacchi di replica inefficaci

Page 34: Il protocollo S.E.T.  (Secure Electronic Transaction)

SVANTAGGI

ATTACCO ALL’E-WALLET

COMPLESSITA’

CONFIDENZIALITA’ E PRIVACY NONGARANTITE PER OI

Page 35: Il protocollo S.E.T.  (Secure Electronic Transaction)

CONCLUSIONE

SET HA BUONE CARATTERISTICHEDI SICUREZZA

COMPLESSITA’ ELIMINABILE?

TORNERA’ AD ESSERE USATO?