Эволюция и перспективы развития электронных денег

Одним из наиболее уязвимых мест в  системе электронных платежей является пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом. Пересылка платежных и других сообщений связана со следующими особенностями [4]:

• внутренние   системы   организаций   отправителя   и   получателя должны быть приспособлены для отправки и получения электронных документов и обеспечивать необходимую защиту при их обработке внутри организации (защита оконечных систем).
• взаимодействие отправителя и получателя электронного документа осуществляется опосредовано, через канал связи.

Эти особенности порождают следующие  проблемы:

• взаимное опознавание абонентов (проблема установления взаимной подлинности при установлении соединения).
• защита электронных документов, передаваемых по каналам связи (проблемы обеспечения конфиденциальности и целостности документов).
• защита процесса обмена электронными документами (проблема доказательства отправления и доставки документа).
• обеспечение исполнения документа (проблема взаимного недоверия между отправителем и получателем из-за их принадлежности к разным организациям и взаимной независимости).

 

1. Обеспечение безопасности системы POS

Системы POS (Point-of-Sale), обеспечивающие расчёты продавца и покупателя в точке продажи, получили широкое распространение. Системы POS осуществляют проверку и обслуживание дебетовых и кредитных карт покупателя непосредственно в местах продажи товаров и услуг в рамках системы электронных платежей. POS-терминалы, входящие в эти системы, размещаются на различных предприятиях торговли – в супермаркетах, на автозаправочных станциях и т.п.

POS-терминалы предназначены для обработки транзакций при финансовых расчётах с использованием пластиковых карт с магнитной полосой и смарт-карт. Возможности и комплектации POS-терминалов варьируются в широких пределах, однако типичный современный POS-терминал снабжён устройствами считывания как карт с магнитной полосой, так и со смарт-карт; энергонезависимой памятью; портами для подключения PIN-клавиатуры (клавиатуры для набора PIN-кода); принтера; соединения с персогальным компьютером или электронным кассовым аппаратом.

Обычно POS-терминал бывает также оснащён модемом с возможностью автодозвона. POS-терминал обладает «интеллектуальными» возможностями – его можно программировать. В качестве языков программирования используется язык ассемблер. Всё это позволяет проводить авторизацию карт с магнитной полосой в режиме реального времени (on-line) и использовать при работе со смарт-картами автономный режим (off-line) с накоплением протоколов транзакций. Эти протоколы транзакций передаются в процессинговый центр во время сеансов связи. Во время этих сеансов POS-терминал может также принимать и запоминать информацию, передаваемую в ЭВМ процессингового центра. В основном это бывают стоп-листы.

Схема системы POS приведена на рисунке 2. Покупатель для оплаты покупки предъявляет свою дебетовую или кредитную карту и вводит значение PIN для подтверждения личности. Продавец, в свою очередь, вводит сумму денег, которую необходимо уплатить за покупку или услуги. Затем в банк-эквайер (банк продавца) направляется запрос на перевод денег. Банк-эквайер переадресует этот запрос в банк эмитент для проверки подлинности карты, предъявленной покупателем. Если эта карта подлинная и покупатель имеет право применять её для оплаты товаров и услуг, банк-эмитент переводит деньги в банк-эквайер на счёт продавца. После перевода денег на счёт продавца банк-эквайер посылает на POS-терминал извещение, в котором сообщает о завершении транзакции. После этого продавец выдаёт покупателю товар и извещение[11].

Рис. 2 – Схема функционирования системы POS

Следует обратить внимание на тот сложный путь, который должна проделать информация о покупке, прежде чем будет осуществлена транзакция. Во время прохождения этого пути возможны искажения и потери сообщений.

Для защиты системы POS должны выполнятся следующие требования:

• Проверка PIN, введённого покупателем, должна производиться системой банка-эмитента. При пересылке по каналам связи значение PIN должно быть зашифровано.
• Сообщения, содержащие запрос на перевод денег (или подтверждение о переводе), должны проверяться на подлинность для защиты от замены и внесения изменений при прохождении по линиям связи и обрабатывающим процессором [11].

Самым уязвимым местом системы  POS являются её POS-терминалы. В отличие от банкоматов в этом случае изначально предполагается, что POS-терминал не защищён от внешних воздействий. Угрозы для POS-терминала связаны с возможностью с возможностью раскрытия секретного ключа, который находится в POS-терминале и служит для шифрования информации, передаваемой этим терминалом в банк-эквайер. Угроза раскрытия ключа терминала достаточно реальна, так как эти терминалы устанавливаются в таких неохраняемых местах, как магазины, автозаправочные станции и прочие.

Потенциальные угрозы из-за раскрытия  ключа получили такие названия:

• «Обратное трассирование». Сущность этой угрозы состоит в том, что если злоумышленник получит ключ шифрования, то он может попытаться восстановить значение PIN, использованные в предыдущих транзакциях.
• «Прямое трассирование». Сущность этой угрозы состоит в том, что если злоумышленник получит ключ шифрования, то он попытается восстановить значения PIN, которые будут использоваться в последующих транзакциях[11].

Для защиты от угроз обратного и  прямого трассирования предложены три методы:

• метод выведенного ключа
• метод ключа транзакции
• метод открытых ключей [11].

Сущность первых двух методов состоит  в том, что они обеспечивают модификацию  ключа шифрования передаваемых данных для каждой транзакции.

Метод ключа транзакции позволяет шифровать информацию, передаваемую между POS-терминалами и банком-эквайером, на уникальном ключе, который может меняться от транзакции к транзакции. Для генерации нового ключа транзакции используется следующие составляющие[14]:

• однонаправленная функция от значения предыдущего ключа
• содержание транзакции
• информация, полученная от карты.

При этом предполагается, что предыдущая транзакция завершилась успешно. Метод  ключа транзакции обеспечивает защиту как от «обратного трассирования», так и от «прямого трассирования». Раскрытие одного ключа не даёт возможности  злоумышленнику вскрыть все предыдущие и все последующие транзакции. Недостатком данной схемы является сложность её реализации.

Метод открытых ключей позволяет надёжно  защититься от любых видов трассирования и обеспечить надёжное шифрование передаваемой информации. В этом случае POS-терминал снабжается секретным ключом для расшифровки сообщений банка-эквайера. Обмен между участниками взаимодействия выполняется с помощью открытого ключа каждого из них. Подтверждение подлинности участников осуществляется специальным центром регистрации ключей с использованием своей пары открытого и закрытого ключей. Недостатком этого метода является его сравнительно малое быстродействие.

 

2. Обеспечение безопасности банкоматов

Схема работы банкоматов рассматривалась  в пункте 3 главы 1 данной курсовой работы. Рассмотрим теперь уязвимые места банкоматов. На сегодняшний день большинство моделей банкоматов рассчитано на работу в режиме реального времени (on-line) с картами с магнитной полосой, однако появились банкоматы, способные работать со смарт-картами в автономном режиме (off-line).

  Автономный режим (off-line) работы банкомата характерен тем, что банкомат функционирует независимо от компьютеров банка. Запись информации о транзакции производиться на внутренний магнитный диск и выводится на встроенный принтер. Достоинствами автономного режима банкомата является его относительная дешевизна и независимость от качества линий связи. Это весьма важно для стран с плохой телефонной связью. В то же время низкая стоимость установки напрямую обуславливает высокую стоимость эксплуатации таких банкоматов [24, 1]. Чтобы обновлять «черные списки» (стоп-списки) утраченных карточек, необходимо хотя бы раз в день специально выделенному человеку обходить и обслуживать такие банкоматы. При большом числе таких устройств подобное обслуживание затруднительно. Отказ же от ежедневного обновления списков может привести к значительным потерям для банка в случае подделки карты или при пользовании краденой картой.

Сложности возникают также при  идентификации (аутентификации) клиента. Для защиты информации, хранящейся на карте с магнитной полосой, применяется ее шифрование. Для того чтобы банкоматы одного и того же банка воспринимали пластиковые карты с магнитной полосой, в них должен быть использован один ключ для шифрования (расшифрования). Компрометация его хотя бы на одном из банкоматов приведет к нарушению защиты на всех банкоматах.

Режим реального времени (on-line) характерен тем, что банкомат должен быть подсоединен непосредственно или через телефонную сеть к главному компьютеру банка. В этом случае регистрация транзакций осуществляется непосредственно на главном компьютере банка, хотя подтверждение о транзакции выдается на принтер банкомата. При реализации транзакции банкомат обменивается с главным компьютером банка тремя сообщениями (рис. 3)

Рис. 3 – Схема обмена сообщениями между банкоматом и главной ЭВМ банка при идентификации и платеже

1) запрос банкомата;

2) ответное сообщение банка;

3) сообщение банкомата о платеже.

Запрос банкомата включает следующие  данные:

• идентификатор банкомата
• номер счета и другая учетная информация клиента
• серийный номер карт
• защитный символ
• зашифрованный PIN клиента
• количество требуемых денег
• номер транзакции
• проверочный код для всех данных сообщения.

Ответное сообщение банка включает следующие данные:

• идентификатор банкомата
• код операции, разрешающий (запрещающий) платеж
• номер транзакции
• проверочный код для всех данных сообщения.

В этом обмене сообщениями для проверки целостности данных используется код аутентификации сообщения МАС (Message Authentication Code).

Режим реального времени имеет  ряд преимуществ по сравнению с автономным режимом.  Он дает возможность клиенту не только получить наличные деньги, но и осуществлять манипуляции со своим счетом. Централизованная идентификация/аутентификация позволяет существенно повысить устойчивость системы к компрометации ключей шифрования.  Централизованная проверка идентификатора пользователя делает возможным оперативное обновление списков запрещенных к использованию карт, а также введение ограничений на количество наличных денег, которые может получить клиент в течение одного дня (для защиты от использования украденных карт).

Однако этот режим возможен лишь при наличии надежных каналов связи между банкоматами и банком, что делает его довольно дорогим. Кроме того, наличие канала связи порождает и другие угрозы безопасности по сравнению с автономным режимом           работы. Это - анализ трафика между банкоматом и главным компьютером и имитация работы главного компьютера компьютером злоумышленника. При анализе трафика можно получить информацию о счетах, суммах, условиях платежей и т.п. При имитации работы главного компьютера банка компьютер злоумышленника может выдавать положительный ответ на запрос банкомата о результатах идентификации/аутентификации.

Сети банкоматов являются в настоящее  время распространенной формой эксплуатации банкоматов, в которой участвуют несколько банков [11]. Банки-участники такой сети преследуют следующие цели:

• уменьшение стоимости операций для участников.
• разделение затрат и риска при внедрении новых видов услуг между участниками.
• преодоление географических ограничений и соответственно повышение субъективной ценности для потребителей.

При совместном использовании несколькими  банками сети банкоматов возникает  серьезная проблема-защита конфиденциальной информации банков друг от друга (ключи шифрования и т.п.). Для разрешения этой проблемы предложена схема централизованной проверки PIN каждым банком в своем центре связи с банкоматами. Усложняется также система распределения ключей между всеми участниками сети.

Рассмотрим схему прохождения  информации о PIN клиента между банкоматом, банком-эквайером (которому принадлежит банкомат) и банком-эмитентом (который выпустил карту клиента) (рис. 4).

 

Рис. 4 – Схема прохождения информации о PIN клиента между банкоматом, банком-эквайером и банком-эмитентом

Пусть клиент Банка 2 (Эмитента) обратился к банкомату Банка 1 (Эквайера). При этом в сети банкоматов происходят следующие действия.

1.    Считывающее устройство банкомата считывает информацию, записанную на банковской карте, предъявленной клиентом, и затем банкомат определяет, имеет ли этот клиент счет в Банке 1-Эквайере.

2.   Если клиент не имеет счета в Банке 1, транзакция направляется в сетевой маршрутизатор, который, используя идентификационный номер Банка 2 - Эмитента BIN (Bank Identification Number), направляет эту транзакцию на главный компьютер Банка 2 или производит проверку PIN для Банка 2.

3.  Если  проверка PIN производится на главном компьютере Банка 2, то этот компьютер получает полную информацию о транзакции и проверяет достоверность PIN.