Εισαγωγή στην Κοινωνία της Πληροφορίας – «Ηλεκτρονικές Πληρωμές» Τετάρτη 08 Δεκ Τμήμα Πληροφορικής, Ιόνιο Πανεπιστήμιο - Κέρκυρα Δρ. Παναγιώτης Κοτζανικολάου
2 Ηλεκτρονικές Πληρωμές Ηλεκτρονικές Πληρωμές: Πληρωμές που γίνονται online Η πλειοψηφία των αγορών μέσω Web (B2C) γίνεται σήμερα με τη χρήση πιστωτικών καρτών. Αυτό μπορεί να αλλάξει στο μέλλον Προβλήματα απάτης (fraud) 95% όλων των ηλεκτρονικών συναλλαγών αφορά συναλλαγές B2B Εδώ, οι συναλλαγές γίνονται κυρίως με ηλεκτρονικές επιταγές ή συστήματα EFT (Electronic Funds Transfer)
3 Μέθοδοι Ηλεκτρονικών Πληρωμών Κάρτες Ηλεκτρονικών Πληρωμών (πιστωτικές – credit, χρεωστικές – debit) Ηλεκτρονικά Πορτοφόλια (e-purse/wallet) – Software ή Hardware Έξυπνες Κάρτες Ηλεκτρονικά Μετρητά (e-cash) Ηλεκτρονικές Πληρωμές P2P (Person 2 Person) Ηλεκτρονικές Επιταγές (e-checks) Non-Internet Ηλεκτρονικές Πληρωμές σε ATM – Online Banking Ηλεκτρονική Μεταφορά Κεφαλαίων Electronic Funds Transfer (EFT)
4 To WIRE ACH WIRE ACHEDI ACH WIRE ACHEDI From Merchant EDI Most commonly used direct payment choices ACH Government Large Businesses Small to Medium Businesses Merchants Individuals
5 Internet: Ηλεκτρονική Αγορά Χρήστης - Χρήστης - Έμπορος - Τράπεζα - Κράτος - Βιβλιοθήκη - Εταιρία Τρίτη Οντότητα Τράπεζα Internet
6 Συστήματα Πληρωμών Issuer (Τράπεζα Πληρωτή) Acquirer (Τράπεζα Πληρωνόμενου) Payer (Πληρωτής) Payee (Πληρωνόμενος) ΠΛΗΡΩΜΕΣ ή
7 Θέματα Ασφάλειας στις Ηλεκτρονικές Συνναλαγές Ιδιωτικότητα (Privacy ) Μυστικότητα + Ανωνυμία Αυθεντικοποίηση (Authentication) Με ποιον συναλλάσσομαι; Ακεραιότητα (Integrity) Οι πληροφορίες δεν τροποποιούνται από μη εξουσιοδ/μένους χρήστες Καταλογισμός Ευθύνης (Non Repudiation) Τα συμβαλλόμενα μέρη δεν μπορούν να αρνηθούν τη συναλλαγή
8 Anonymity (Ανωνυμία)
9 Κρυπτογραφία Γεννήτορας Κλειδιού k Αλγόριθμος Αποκρυπτ/σης m ή «Λάθος» Αλγόριθμος Κρυπτογρ/σης Secure Channel m Enc(k,m) (random) k • DES, IDEA, AES.. • Ταχύτητα • Μέγεθος κλειδιών: 256 bit Κρυπτογράφηση Μυστικού Κλειδιού
10 Γεννήτορας Κλειδιού sk Αλγόριθμος Αποκρυπτ/σης m ή «Λάθος» Αλγόριθμος Κρυπτογρ/σης Authenticated Channel m Enc(pk,m) (random) pk • RSA, Diffie-Hellamn / El Gamal • ~10 φορές πιό αργος από τα συστήματα μυστικού κλειδιού • Μέγεθος κλειδιών: bit για τον RSA • Χρησιμοποιείται κυρίως στα συστήματα μυστικού κλειδιου για την ανταλλαγή κλειδιού Κρυπτογραφία Κρυπτογράφηση Δημόσιου Κλειδιού
11 Γεννήτορας Κλειδιού sk Αλγόριθμος Υπογραφής m Αλγόριθμος Ελέγχου Authenticated Channel m, sign(sk,Hash(m)) (random) pk • RSA, El Gamal, DSS • Η αυθεντικοποίηση του μυνήματος ΜΠΟΡΕΙ να αποδειχθεί σε τρίτη οντότητα OK ή «Λάθος» Κρυπτογραφία Ψηφιακές Υπογραφές
12 Πιστοποίηση Δημοσίου Κλειδιού •Όνομα Οντότητας •Όνομα Χρήστη •Περίοδος Ισχύος •Δημόσιο Κλειδί •Αλγόριθμος PK CA PK Alice Erkjks ajkdjf kdjfkd Erkjks ajkdjf kdjfkd Η Alice και ο Bob: • Γνωρίζουν το PK CA • Εμπιστεύονται την CA Τρίτη Οντότητα
13 Ιεραρχία Πιστοποίησης Cross Certification Τρίτη Οντότητα
14 Πληρωμές με πιστωτική κάρτα: Secure Sockets Layer (SSL/TLS) ΠΛΗΡΩΜΕΣ “hello” μήνυμα + crypto παράμετροι Alice Bob Πιστοποιητικό του Bob Ανταλλαγή κλειδιού επικοινωνίας Έλεγχος crypto παραμέτρων Κρυπτογραφημένη επικοινωνία • Netscape 94 •Ενσωματωμένο στους web browsers
15 Πληρωμές με πιστωτική κάρτα: Περιορισμοί στη Χρήση του SSL “hello” μήνυμα + crypto παράμετροι Alice Bob Πιστοποιητικό του Bob Ανταλλαγή κλειδιού επικοινωνίας Έλεγχος crypto παραμέτρων Κρυπτογραφημένη επικοινωνία ΠΛΗΡΩΜΕΣ Διάφοροι περιορισμοί μπορεί να υπονομεύουν την ασφάλεια Δεν υπάρχει καταλογισμός ευθύνης Ο Bob γίνεται στόχος για Hackers
16 Πληρωμές με πιστωτική κάρτα: Secure Electronic Transactions (SET) ΠΛΗΡΩΜΕΣ Credit Card Network Εντολή Πληρωμής Υπογ/μένη Απόδειξη Δημ. Κλειδί του Acquirer Υπογεγραμμένη Παραγγελία Εντολή Πληρωμής (ΕΠ) Υπογραφή; Κρυπτ/νος CC# Πιστοποιητικό Acquirer ΕΠ = cert_Buyer, E_Ack(cc#), Sign_Buyer($, h(goods), time, Seller)
17 Πληρωμές με πιστωτική κάρτα: SET: Υπέρ και Κατά Πλεονεκτήματα Standard από τη Visa και την Mastercard Χρησιμοποιεί ψηφιακές υπογραφές (Καταλογισμός Ευθύνης) Μειονεκτήματα Οι χρήστες πρέπει να εγκαταστήσουν ειδικό software (“e- wallet”). Για να λειτουργήσει, θα πρέπει να υποστηρίζεται ταυτόχρονα από τον αγοραστή, τον έμπορο και τις τράπεζές τους. Μικρό μερίδιο αγοράς (εώς τώρα), αβέβαιο μέλλον. ΠΛΗΡΩΜΕΣ
18 Ηλεκτρονικές Πληρωμές με Πιστωτικές Κάρτες – Προβλήματα Ασφάλειας Προβλήματα Απάτης (fraud): Κλεμμένες κάρτες Άρνηση συναλλαγής εκ μέρους του αγοραστή Υποκλοπή αριθμών Πιστωτικών Καρτών, από το site του εμπόρου Οι επιθέσεις αφορούν κυρίως τους εμπόρους (chargeback problem) The Merchant Fraud Squad – Ασφαλείς πρακτικές για την πρόληψη προβλημάτων απάτης Ο δικτυακός τόπος
19 Ε-Wallets (λογισμικό) Χρήση e-wallets: Ειδικό λογισμικό στο ο οποίο είναι αποθηκευμένος ο αρ. Πιστωτικής Κάρτας και άλλες προσωπικές πληροφορίες του αγοραστή. Για να ολοκληρωθεί μια συναλλαγή, ο χρήστης εκτελεί το λογισμικό e-wallet (one- click). Microsoft.NET passport Express Purchase (
20 Ηλεκτρονικές Πληρωμές : Πιστωτικές Κάρτες - Κόστος
21 Μικροπληρωμές Γιατί Μικρο-Πληρωμές? Πιστωτικές Κάρτες: ελάχιστο κόστος 20 cents Παροχή υπηρεσιών χαμηλού κόστους (π.χ. per-view, per-click) Χαμένος τζίρος από τη μη ύπαρξη τους Περίπου Δισ. $ Μουσική, Video Online παιχνίδια Λογισμικό, εικόνες, άρθρα ΠΛΗΡΩΜΕΣ
22 Μετρητά Κατάλληλα για μικρο-πληρωμές (no transaction charge) Ακατάλληλα για πληρωμή μεγάλων ποσών Απαιτεί επαφή “πρόσωπο” με “πρόσωπο” Ανώνυμο Ανεξιχνίαστο (untraceable) Εγγυημένη πληρωμή (συνήθως)
23 Untraceable e-Cash (Ανεξιχνίαστα Ηλ. Μετρητά) ΠΛΗΡΩΜΕΣ ή •Online: ecash, Offline: CAFE untraceable Acquirer Merchant Buyer Issuer anonymously sign Check Issuer’s signature
Το Μοντέλο των «Τυφλών» Υπογραφών (Blind Signatures) 1) 2) 3) ανώνυμα νόμισμα 4) Τράπεζα Alice Έμπορος
25 Untraceable Cash: Προβλήματα και Λύσεις 1 Πρόβλημα: Η Τράπεζα δεν γνωρίζει τι υπογράφει, π.χ. 1$ ή 10$ Λύση: Τεχνικές «Cut-and-Choose» Κάθε νόμισμα αναγράφει το ποσό, π.χ. 1$ Ο αγοραστής στέλνει στην Τράπεζα 100 blinded 1$ νομίσματα. Η Τράπεζα επιλέγει ένα νόμισμα, και ζητά από τον αγοραστή να «φανερώσει» (un-blind) τα υπόλοιπα 99 νομίσματα Η Τράπεζα επιβεβαιώνει ότι τα νομίσματα αυτά είναι αξίας 1$. Η Τράπεζα υπογράφει «τυφλά» το εναπομείναν νόμισμα. Η πιθανότητα να κλέψει επιτυχώς ο αγοραστής είναι 1/100. ΠΛΗΡΩΜΕΣ
26 Untraceable Cash (Online): Προστασία από DoubleSpending H Αlice ετοιμάζει 100 νομίσματα του 1$. Σε κάθε ένα από αυτά προσθέτει ενά ΔΙΑΦΟΡΕΤΙΚΟ τυχαίο ID αριθμό. Τα «αποκρύπτει» (blind) και τα υποβάλλει στην Τράπεζα. Η Τράπεζα υπογράφει «τυφλά» (blind signature) τα νομίσματα και τα επιστρέφει στην Alice. Η Alice «φανερώνει» τα νομίσματα (un-blind). Η Alice χρησιμοποιεί κάποιο(α) από αυτά σε μία αγορά. Ο έμπορος υποβάλει το νόμισμα στην τράπεζα για κατάθεση. Η Τράπεζα ελέγχει εάν ο ID αριθμός που εμπεριέχεται στο νόμισμα, έχει χρησιμοποιηθεί στην κατάθεση κάποιου άλλου νομίσματος. Εκτός από τις τεχνικές αποτροπής (prevention) του double-spending, υπάρχουν και τεχνικές ανακάλυψης (detection) των double-spenders. ΠΛΗΡΩΜΕΣ
27 Έξυπνες Κάρτες Μοιάζουν με μια απλή πλαστική κάρτα … Αλλά έχουν ενσωματωμένο ένα chip – μικρο-υπολογιστή 8-bit επεξεργαστή 32 Κ μνήμη ROM 32 K Μνήμη EEPROM (Electrically Erasable Memory) 512 bytes RAM Επαφές Εισόδου/Εξόδου (I/O) Χωρίς τροφοδοσία ρεύματος
28 Έξυπνες Κάρτες (συνέχεια)
29 Γιατί Έξυπνες Κάρτες; Δύσκολο να πλαστογραφηθούν «Ισχυρή» Αυθεντικοποίηση (PIN + φυσική κατοχή) Πολλές εφαρμογές σε μία κάρτα Εκτέλεση κρυπτογραφικών πράξεων μέσα στην κάρτα Εύκολα μεταφέρσιμες
30 Passcode Smartcard Card Reader PC WEB Firewall Web Server Application Server Smartcard Authentication Data Sources How Does It Work ? Αρχιτεκτονική Συναλλαγής με Έξυπνη Κάρτα μέσω Web - Γενικά
31 Έξυπνες Κάρτες: Μondex (Offline – Traceable) – Κάρτα Αποθηκευμένης Αξίας (stored value electronic purse / card) ΠΛΗΡΩΜΕΣ Μετρητής + X Μετρητής - Y •Έλεγχος για επαναλήψεις •Ενημέρωση Λογαριασμού 1. Απαίτηση 2. Πλήρωσε Y Οποιαδήποτε στιγμή: Κατάθεση Υ Οποιαδήποτε στιγμή: Ανάληψη Χ 1. Απαίτηση 2. Πλήρωσε Y
32 Payer Payer’s Bank Payee Payee’s Bank Chequebook Cheque Clearing Issues statement Credits account and forwards cheque for clearing Presents cheque Lodges (endorsed) cheque Verifies availability of funds and debits account Επιταγές
33 PayeePayer Payee’s Bank Verify Signatures, Endorse, Write Deposit, Sign Payer’s Bank Clear and Settle Echeck Deposit or WWW Echeck Write Echeck, Sign Endorsed Echeck Endorsed Echeck Verify Signatures, Credit Deposit Verify Signatures, Debit Echeck Ηλεκτρονικές Επιταγές – Αρχιτεκτονική (Γενικά)
34 PUB Root Certificate eCheck signature chaining Payee 6/30/ One Hundred and no/100s Invoice # PUB Bank CA Certificate PUB Checkbook Certificate PRIV
35 Μπλοκ Ηλεκτρονικών Επιταγών (παράδειγμα)
36 Another echeck application platform…
37 New person-to-person epayment technology Hey, let me beam you an echeck for that sandwich you picked up for me Thanks, it was only $5.50
38 «Κινητές» Πληρωμές (Mobile Payments) Ερώτηση: Μπορούν οι online συναλλαγές (π.χ. με SSL) να μεταφερθούν στην κινητή τηλεφωνία? Απαντήσεις WTLS (έκδοση του SSL για ασύρματες επικοινωνίες)+WAP. Anonymity: Δεν είναι (?) δυνατή, εφόσον οι συσκευές αυθεντικοποιούνται, προκειμένου να χρεωθούν. Οι συσκευές είναι πιο «προσωπικές» από τους υπολογιστές, άρα (?) και πιο ασφαλείς. Αναζήτηση μηχανισμών για ανταλλαγή κλειδιών, κρυπτογράφηση και αυθεντικοποίηση. ΠΛΗΡΩΜΕΣ
39 Ηλεκτρονικές Πληρωμές P2P - Η Υπηρεσία PayPal
40 Πληρωμή με Κινητό Τηλέφωνο ΠΑΡΑΔΕΙΓΜΑ: Χρήση κινητού για την εξουσιοδότηση της πληρωμής Στο web site του πωλητή: Πληκτρολόγησε O έμπορος / σύστημα τηλεφωνεί στο κινητό. Ο πελάτης επιβεβαιώνει τη συναλλαγή (απάντηση με φωνή, με SMS ή μέσω WAP). Η χρέωση γίνεται στον λογαριασμό του κινητού. ΠΛΗΡΩΜΕΣ
41 Links Πληρωμές μέσω τράπεζας (online-banking) (Egnatias bank credit card payment system – EgnatiaShop) Verisign Payment Pro full (stored-value cards – micropayments) (smartcard demo –mastercard)
42 Links dex.jsp dex.jsp One smart card (master card) P2P payment Σελίδα με tutorials για ηλεκτρονικές επιταγές eCheck security tutorial Demo describing SET technology