Εισαγωγή στην Κοινωνία της Πληροφορίας – «Ηλεκτρονικές Πληρωμές» Τετάρτη 08 Δεκ. 2004 Τμήμα Πληροφορικής, Ιόνιο Πανεπιστήμιο - Κέρκυρα Δρ. Παναγιώτης Κοτζανικολάου.

Παρουσίαση με θέμα: "Εισαγωγή στην Κοινωνία της Πληροφορίας – «Ηλεκτρονικές Πληρωμές» Τετάρτη 08 Δεκ. 2004 Τμήμα Πληροφορικής, Ιόνιο Πανεπιστήμιο - Κέρκυρα Δρ. Παναγιώτης Κοτζανικολάου."— Μεταγράφημα παρουσίασης:

1 Εισαγωγή στην Κοινωνία της Πληροφορίας – «Ηλεκτρονικές Πληρωμές» Τετάρτη 08 Δεκ. 2004 Τμήμα Πληροφορικής, Ιόνιο Πανεπιστήμιο - Κέρκυρα Δρ. Παναγιώτης Κοτζανικολάου

2 2 Ηλεκτρονικές Πληρωμές  Ηλεκτρονικές Πληρωμές: Πληρωμές που γίνονται online  Η πλειοψηφία των αγορών μέσω Web (B2C) γίνεται σήμερα με τη χρήση πιστωτικών καρτών.  Αυτό μπορεί να αλλάξει στο μέλλον  Προβλήματα απάτης (fraud)  95% όλων των ηλεκτρονικών συναλλαγών αφορά συναλλαγές B2B  Εδώ, οι συναλλαγές γίνονται κυρίως με ηλεκτρονικές επιταγές ή συστήματα EFT (Electronic Funds Transfer)

3 3 Μέθοδοι Ηλεκτρονικών Πληρωμών  Κάρτες Ηλεκτρονικών Πληρωμών (πιστωτικές – credit, χρεωστικές – debit)  Ηλεκτρονικά Πορτοφόλια (e-purse/wallet) – Software ή Hardware  Έξυπνες Κάρτες  Ηλεκτρονικά Μετρητά (e-cash)  Ηλεκτρονικές Πληρωμές P2P (Person 2 Person)  Ηλεκτρονικές Επιταγές (e-checks) ---------------------------------Non-Internet------------------------------  Ηλεκτρονικές Πληρωμές σε ATM – Online Banking  Ηλεκτρονική Μεταφορά Κεφαλαίων Electronic Funds Transfer (EFT)

4 4 To WIRE ACH WIRE ACHEDI ACH WIRE ACHEDI From Merchant EDI Most commonly used direct payment choices ACH Government Large Businesses Small to Medium Businesses Merchants Individuals

5 5 Internet: Ηλεκτρονική Αγορά Χρήστης - Χρήστης - Έμπορος - Τράπεζα - Κράτος - Βιβλιοθήκη - Εταιρία Τρίτη Οντότητα Τράπεζα Internet

6 6 Συστήματα Πληρωμών Issuer (Τράπεζα Πληρωτή) Acquirer (Τράπεζα Πληρωνόμενου) Payer (Πληρωτής) Payee (Πληρωνόμενος) ΠΛΗΡΩΜΕΣ ή

7 7 Θέματα Ασφάλειας στις Ηλεκτρονικές Συνναλαγές  Ιδιωτικότητα (Privacy )  Μυστικότητα + Ανωνυμία  Αυθεντικοποίηση (Authentication)  Με ποιον συναλλάσσομαι;  Ακεραιότητα (Integrity)  Οι πληροφορίες δεν τροποποιούνται από μη εξουσιοδ/μένους χρήστες  Καταλογισμός Ευθύνης (Non Repudiation)  Τα συμβαλλόμενα μέρη δεν μπορούν να αρνηθούν τη συναλλαγή

8 8 Anonymity (Ανωνυμία)

9 9 Κρυπτογραφία Γεννήτορας Κλειδιού k Αλγόριθμος Αποκρυπτ/σης m ή «Λάθος» Αλγόριθμος Κρυπτογρ/σης Secure Channel m Enc(k,m) (random) k • DES, IDEA, AES.. • Ταχύτητα • Μέγεθος κλειδιών: 256 bit Κρυπτογράφηση Μυστικού Κλειδιού

10 10 Γεννήτορας Κλειδιού sk Αλγόριθμος Αποκρυπτ/σης m ή «Λάθος» Αλγόριθμος Κρυπτογρ/σης Authenticated Channel m Enc(pk,m) (random) pk • RSA, Diffie-Hellamn / El Gamal • ~10 φορές πιό αργος από τα συστήματα μυστικού κλειδιού • Μέγεθος κλειδιών: 512-2048 bit για τον RSA • Χρησιμοποιείται κυρίως στα συστήματα μυστικού κλειδιου για την ανταλλαγή κλειδιού Κρυπτογραφία Κρυπτογράφηση Δημόσιου Κλειδιού

11 11 Γεννήτορας Κλειδιού sk Αλγόριθμος Υπογραφής m Αλγόριθμος Ελέγχου Authenticated Channel m, sign(sk,Hash(m)) (random) pk • RSA, El Gamal, DSS • Η αυθεντικοποίηση του μυνήματος ΜΠΟΡΕΙ να αποδειχθεί σε τρίτη οντότητα OK ή «Λάθος» Κρυπτογραφία Ψηφιακές Υπογραφές

12 12 Πιστοποίηση Δημοσίου Κλειδιού •Όνομα Οντότητας •Όνομα Χρήστη •Περίοδος Ισχύος •Δημόσιο Κλειδί •Αλγόριθμος PK CA PK Alice Erkjks ajkdjf kdjfkd Erkjks ajkdjf kdjfkd Η Alice και ο Bob: • Γνωρίζουν το PK CA • Εμπιστεύονται την CA Τρίτη Οντότητα

13 13 Ιεραρχία Πιστοποίησης Cross Certification Τρίτη Οντότητα

14 14 Πληρωμές με πιστωτική κάρτα: Secure Sockets Layer (SSL/TLS) ΠΛΗΡΩΜΕΣ “hello” μήνυμα + crypto παράμετροι Alice Bob Πιστοποιητικό του Bob Ανταλλαγή κλειδιού επικοινωνίας Έλεγχος crypto παραμέτρων Κρυπτογραφημένη επικοινωνία • Netscape 94 •Ενσωματωμένο στους web browsers

15 15 Πληρωμές με πιστωτική κάρτα: Περιορισμοί στη Χρήση του SSL “hello” μήνυμα + crypto παράμετροι Alice Bob Πιστοποιητικό του Bob Ανταλλαγή κλειδιού επικοινωνίας Έλεγχος crypto παραμέτρων Κρυπτογραφημένη επικοινωνία ΠΛΗΡΩΜΕΣ Διάφοροι περιορισμοί μπορεί να υπονομεύουν την ασφάλεια Δεν υπάρχει καταλογισμός ευθύνης Ο Bob γίνεται στόχος για Hackers

16 16 Πληρωμές με πιστωτική κάρτα: Secure Electronic Transactions (SET) ΠΛΗΡΩΜΕΣ Credit Card Network Εντολή Πληρωμής Υπογ/μένη Απόδειξη Δημ. Κλειδί του Acquirer Υπογεγραμμένη Παραγγελία Εντολή Πληρωμής (ΕΠ) Υπογραφή; Κρυπτ/νος CC# Πιστοποιητικό Acquirer ΕΠ = cert_Buyer, E_Ack(cc#), Sign_Buyer($, h(goods), time, Seller)

17 17 Πληρωμές με πιστωτική κάρτα: SET: Υπέρ και Κατά  Πλεονεκτήματα  Standard από τη Visa και την Mastercard  Χρησιμοποιεί ψηφιακές υπογραφές (Καταλογισμός Ευθύνης)  Μειονεκτήματα  Οι χρήστες πρέπει να εγκαταστήσουν ειδικό software (“e- wallet”).  Για να λειτουργήσει, θα πρέπει να υποστηρίζεται ταυτόχρονα από τον αγοραστή, τον έμπορο και τις τράπεζές τους.  Μικρό μερίδιο αγοράς (εώς τώρα), αβέβαιο μέλλον. ΠΛΗΡΩΜΕΣ

18 18 Ηλεκτρονικές Πληρωμές με Πιστωτικές Κάρτες – Προβλήματα Ασφάλειας  Προβλήματα Απάτης (fraud):  Κλεμμένες κάρτες  Άρνηση συναλλαγής εκ μέρους του αγοραστή  Υποκλοπή αριθμών Πιστωτικών Καρτών, από το site του εμπόρου  Οι επιθέσεις αφορούν κυρίως τους εμπόρους (chargeback problem)  The Merchant Fraud Squad – Ασφαλείς πρακτικές για την πρόληψη προβλημάτων απάτης http://www.beproud.com/fraudsquad.html  Ο δικτυακός τόπος www.combatfraud.orgwww.combatfraud.org

19 19 Ε-Wallets (λογισμικό)  Χρήση e-wallets: Ειδικό λογισμικό στο ο οποίο είναι αποθηκευμένος ο αρ. Πιστωτικής Κάρτας και άλλες προσωπικές πληροφορίες του αγοραστή. Για να ολοκληρωθεί μια συναλλαγή, ο χρήστης εκτελεί το λογισμικό e-wallet (one- click).  Microsoft.NET passport Express Purchase (http://www.passport.net/Consumer/default.asp?lc=1032)

20 20 Ηλεκτρονικές Πληρωμές : Πιστωτικές Κάρτες - Κόστος

21 21 Μικροπληρωμές  Γιατί Μικρο-Πληρωμές?  Πιστωτικές Κάρτες: ελάχιστο κόστος 20 cents  Παροχή υπηρεσιών χαμηλού κόστους (π.χ. per-view, per-click)  Χαμένος τζίρος από τη μη ύπαρξη τους  Περίπου 10-20 Δισ. $  Μουσική, Video  Online παιχνίδια  Λογισμικό, εικόνες, άρθρα ΠΛΗΡΩΜΕΣ

22 22 Μετρητά  Κατάλληλα για μικρο-πληρωμές (no transaction charge)  Ακατάλληλα για πληρωμή μεγάλων ποσών  Απαιτεί επαφή “πρόσωπο” με “πρόσωπο”  Ανώνυμο  Ανεξιχνίαστο (untraceable)  Εγγυημένη πληρωμή (συνήθως)

23 23 Untraceable e-Cash (Ανεξιχνίαστα Ηλ. Μετρητά) ΠΛΗΡΩΜΕΣ ή •Online: ecash, Offline: CAFE untraceable Acquirer Merchant Buyer Issuer anonymously sign Check Issuer’s signature

24 Το Μοντέλο των «Τυφλών» Υπογραφών (Blind Signatures) 1) 2) 3) ανώνυμα νόμισμα 4) Τράπεζα Alice Έμπορος

25 25 Untraceable Cash: Προβλήματα και Λύσεις 1  Πρόβλημα: Η Τράπεζα δεν γνωρίζει τι υπογράφει, π.χ. 1$ ή 10$  Λύση: Τεχνικές «Cut-and-Choose»  Κάθε νόμισμα αναγράφει το ποσό, π.χ. 1$  Ο αγοραστής στέλνει στην Τράπεζα 100 blinded 1$ νομίσματα.  Η Τράπεζα επιλέγει ένα νόμισμα, και ζητά από τον αγοραστή να «φανερώσει» (un-blind) τα υπόλοιπα 99 νομίσματα  Η Τράπεζα επιβεβαιώνει ότι τα νομίσματα αυτά είναι αξίας 1$.  Η Τράπεζα υπογράφει «τυφλά» το εναπομείναν νόμισμα.  Η πιθανότητα να κλέψει επιτυχώς ο αγοραστής είναι 1/100. ΠΛΗΡΩΜΕΣ

26 26 Untraceable Cash (Online): Προστασία από DoubleSpending  H Αlice ετοιμάζει 100 νομίσματα του 1$. Σε κάθε ένα από αυτά προσθέτει ενά ΔΙΑΦΟΡΕΤΙΚΟ τυχαίο ID αριθμό. Τα «αποκρύπτει» (blind) και τα υποβάλλει στην Τράπεζα.  Η Τράπεζα υπογράφει «τυφλά» (blind signature) τα νομίσματα και τα επιστρέφει στην Alice.  Η Alice «φανερώνει» τα νομίσματα (un-blind).  Η Alice χρησιμοποιεί κάποιο(α) από αυτά σε μία αγορά.  Ο έμπορος υποβάλει το νόμισμα στην τράπεζα για κατάθεση.  Η Τράπεζα ελέγχει εάν ο ID αριθμός που εμπεριέχεται στο νόμισμα, έχει χρησιμοποιηθεί στην κατάθεση κάποιου άλλου νομίσματος.  Εκτός από τις τεχνικές αποτροπής (prevention) του double-spending, υπάρχουν και τεχνικές ανακάλυψης (detection) των double-spenders. ΠΛΗΡΩΜΕΣ

27 27 Έξυπνες Κάρτες  Μοιάζουν με μια απλή πλαστική κάρτα …  Αλλά έχουν ενσωματωμένο ένα chip – μικρο-υπολογιστή  8-bit επεξεργαστή  32 Κ μνήμη ROM  32 K Μνήμη EEPROM (Electrically Erasable Memory)  512 bytes RAM  Επαφές Εισόδου/Εξόδου (I/O)  Χωρίς τροφοδοσία ρεύματος

28 28 Έξυπνες Κάρτες (συνέχεια)

29 29 Γιατί Έξυπνες Κάρτες;  Δύσκολο να πλαστογραφηθούν  «Ισχυρή» Αυθεντικοποίηση (PIN + φυσική κατοχή)  Πολλές εφαρμογές σε μία κάρτα  Εκτέλεση κρυπτογραφικών πράξεων μέσα στην κάρτα  Εύκολα μεταφέρσιμες http://www.misp.org

30 30 Passcode Smartcard Card Reader PC WEB Firewall Web Server Application Server Smartcard Authentication Data Sources How Does It Work ? Αρχιτεκτονική Συναλλαγής με Έξυπνη Κάρτα μέσω Web - Γενικά

31 31 Έξυπνες Κάρτες: Μondex (Offline – Traceable) – Κάρτα Αποθηκευμένης Αξίας (stored value electronic purse / card) ΠΛΗΡΩΜΕΣ Μετρητής + X Μετρητής - Y •Έλεγχος για επαναλήψεις •Ενημέρωση Λογαριασμού 1. Απαίτηση 2. Πλήρωσε Y Οποιαδήποτε στιγμή: Κατάθεση Υ Οποιαδήποτε στιγμή: Ανάληψη Χ 1. Απαίτηση 2. Πλήρωσε Y

32 32 Payer Payer’s Bank Payee Payee’s Bank Chequebook Cheque Clearing Issues statement Credits account and forwards cheque for clearing Presents cheque Lodges (endorsed) cheque Verifies availability of funds and debits account Επιταγές

33 33 PayeePayer E-Mail Payee’s Bank Verify Signatures, Endorse, Write Deposit, Sign Payer’s Bank Clear and Settle Echeck Deposit E-Mail or WWW Echeck Write Echeck, Sign Endorsed Echeck Endorsed Echeck Verify Signatures, Credit Deposit Verify Signatures, Debit Echeck Ηλεκτρονικές Επιταγές – Αρχιτεκτονική (Γενικά)

34 34 PUB Root Certificate eCheck signature chaining Payee 6/30/98 100. 00 One Hundred and no/100s Invoice # 593281 PUB Bank CA Certificate PUB Checkbook Certificate PRIV

35 35 Μπλοκ Ηλεκτρονικών Επιταγών (παράδειγμα)

36 36 Another echeck application platform…

37 37 New person-to-person epayment technology Hey, let me beam you an echeck for that sandwich you picked up for me Thanks, it was only $5.50

38 38 «Κινητές» Πληρωμές (Mobile Payments)  Ερώτηση: Μπορούν οι online συναλλαγές (π.χ. με SSL) να μεταφερθούν στην κινητή τηλεφωνία?  Απαντήσεις  WTLS (έκδοση του SSL για ασύρματες επικοινωνίες)+WAP.  Anonymity: Δεν είναι (?) δυνατή, εφόσον οι συσκευές αυθεντικοποιούνται, προκειμένου να χρεωθούν.  Οι συσκευές είναι πιο «προσωπικές» από τους υπολογιστές, άρα (?) και πιο ασφαλείς.  Αναζήτηση μηχανισμών για ανταλλαγή κλειδιών, κρυπτογράφηση και αυθεντικοποίηση. ΠΛΗΡΩΜΕΣ

39 39 Ηλεκτρονικές Πληρωμές P2P - Η Υπηρεσία PayPal

40 40 Πληρωμή με Κινητό Τηλέφωνο ΠΑΡΑΔΕΙΓΜΑ: Χρήση κινητού για την εξουσιοδότηση της πληρωμής  Στο web site του πωλητή:  Πληκτρολόγησε  O έμπορος / σύστημα τηλεφωνεί στο κινητό.  Ο πελάτης επιβεβαιώνει τη συναλλαγή (απάντηση με φωνή, με SMS ή μέσω WAP).  Η χρέωση γίνεται στον λογαριασμό του κινητού. ΠΛΗΡΩΜΕΣ

41 41 Links  www.eurobank.gr www.eurobank.gr  Πληρωμές μέσω τράπεζας (online-banking)  http://egnatiasite.egnatiabank.gr/ http://egnatiasite.egnatiabank.gr/  (Egnatias bank credit card payment system – EgnatiaShop)  http://www.verisign.com/products/payment.html http://www.verisign.com/products/payment.html  Verisign Payment Pro full  www.combatfraud.org www.combatfraud.org  http://international.visa.com/ps/products/vcash/ http://international.visa.com/ps/products/vcash/  (stored-value cards – micropayments)  http://global.mastercard.com/ourcards/smartcard/idemo1.html http://global.mastercard.com/ourcards/smartcard/idemo1.html  (smartcard demo –mastercard)

42 42 Links  https://hsm2stl101.mastercard.net/public/login/ebusiness/smart_cards/one_smart_card/in dex.jsp https://hsm2stl101.mastercard.net/public/login/ebusiness/smart_cards/one_smart_card/in dex.jsp  One smart card (master card)  www.paypal.com www.paypal.com  P2P payment  http://www.echeck.org http://www.echeck.org  http://www.echeck.org/library/presentations/index.html http://www.echeck.org/library/presentations/index.html  Σελίδα με tutorials για ηλεκτρονικές επιταγές  http://www.echeck.org/demos/ppt/ECheck_Security_Tut_pp97-W.zip http://www.echeck.org/demos/ppt/ECheck_Security_Tut_pp97-W.zip  eCheck security tutorial  http://www.mastercardintl.com/newtechnology/set/demo/ http://www.mastercardintl.com/newtechnology/set/demo/  Demo describing SET technology