Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Eθνικό Μετσόβιο Πολυτεχνείο Μεταπτυχιακό Τμήματος ΗΜ & ΜΥ (Άνοιξη ) Δίκτυα Προστιθέμενης Αξίας EDI και Εφαρμογές Ηλεκτρονικού Εμπορίου ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΩΜΩΝ (payment systems) στο Ηλεκτρονικό Εμπόριο

αρχές πιστοποίησης τράπεζες παραγωγοί-προμηθευτές αγορά Παραγωγοί-σχεδιαστές αγορά Open/light EDI Σχεδιασμός συνεργασίας κλήσεις αγοραστές - παραγωγοί αγορά Open/light EDI Εμπιστοσύνη & ασφάλεια Αγορα- στής Παραγγελίες Φυσικών Αγαθών Σχεδιασμός, Παραγωγή & Παράδοση

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Τυπικό E-Commerce Σύστημα  Ο χρήστης στέλνει την αίτησή του στον web-server  Ο server αναγνωρίζει την ταυτότητα του χρήστη  Ο web-server “καλεί” ένα script (CGI)  Το script εκτελεί την (SQL) αίτηση και επιστρέφει τα αποτελέσματα  Το script διαμορφώνει το HTML κείμενο και το στέλνει στον web-server  Ο web-server στη συνέχεια στέλνει το έτοιμο HTML κείμενο στο χρήστη

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Αρχιτεκτονική Τυπικού E-Commerce Συστήματος

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Πρωτόκολλα Ασφαλείας S/MIME:Secure /Multipurpose Internet Mail Extensions – digital certificate S/HTTP: Secure/HyperΤext Transfer Protocol HL7-Health Level Seven:EDI Πρότυπο για τη μεταφορά αρχείων με ασφαλή τρόπο στο Internet- transactions using Internet mail- διατηρείται mailbox με τα αποθηκευμένα εισερχόμενα μηνύματα SSL: Secure Socket Layer : πάνω από TCP/IP και κάτω από HTTP STLP (Combination of SSL 3with PCT 2)

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών ELECTRONIC PAYMENT SYSTEM: using Web for electronic funds transfers, credit, smart & debit cards ELECTRONIC COMMERCE SUPPORT SYSTEMS

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Electronic Payment Systems and Technologies Introduction SET electronic bill presentment Digital cash wallets Smart cards

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Traditional payment technology Cash (80% of all transactions are still in cash.) payment card (credit /debit) check wire transfer ( for large amounts) automated clearinghouse (ACH, used for payroll ) credit/debit transfers

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Payment card percentage of total cashless transactions Source: Bank for International Settlements

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Paper checks as percentage of total cashless transactions Source: Bank for International Settlements

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών ΠΟΤΕ ΠΛΗΡΩΝΟΥΜΕ? Pay before: smart cards, digital cash Pay now: e-check, e-debit Pay later: e-charge

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Στόχοι των Συστημάτων Πληρωμών secure easy to use, unobtrusive, immediacy of use audit trail (in most cases) non-repudiation low transaction costs

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Payment systems: ΘΕΜΑΤΑ liability (usually the merchants or the financial institution assume liability) infrastructure (certificate authorities and PKI – Public Key Infrastructure) interoperability

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών What are the security problems with SSL? (Secure Socket Layer – over TCP/IP, under HTTP) Customer uses stolen number Merchant is being spoofed/ masqueraded. Merchant’s server is not secure Solution: certificates authenticating both the merchant and the customer (such as the SET protocol.)

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών E-Signatures vs. Digital Signatures E-Signature The formal definition for e-signature is any signature in electronic form, attached to or logically associated with an electronic record, executed or adopted by a person or electronic agent with intent to sign the electronic record. E-signatures do not have to rely on cryptographic methods. Signatures in this category are often biometric-based solutions in which the characteristics of a fingerprint, the iris of the eye, or the pressure of pen on a surface is encoded digitally and then stored and transmitted by computer to verify identity. While such signatures may be "digitized," they are not "digital."

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών E-Signatures vs. Digital Signatures Digital Signature On the other hand, a digital signature--the most widely used type of e-signature--relies on public key cryptographic methods to authenticate information. Digital signatures employ asymmetric public key cryptography (PKC), which involves a pair of mathematically related signing keys: The private key, known only by the signer, can be used to sign a message that only the corresponding public key can verify. A digital signature is a tool for message origination authentication and non- repudiation that affixes a coded message to the document, data, or messages that guarantees the identity of the sender.

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Digital Signatures: STANDARDS Digital Signature Standard (DSS) in U.S. (1994) –National Institute of Standards and Technology (NIST) proposed the de facto international standard RSA Public Key Cryptography Standard (PKCS) as its standard for digital signatures. DSA is, at present, considered to be secure with 1,024-bit keys X.509 Certificates A chain of trusted third parties is required to permit consumers and vendors to do business globally. Each entity in the chain is called a Certification Authority (CA).

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Digital Signatures: STANDARDS PGP Model – The PGP web of trust model does not have CAs or root authority. Instead, it relies on a small community of users who have regular contact and who "introduce" other users based on some level of trust. The model is difficult to incorporate in large-scale operations and has not been fully accepted beyond local user communities. SET Certificates At times, knowledge of an individual's identity is unnecessary and may be undesirable. Secure Electronic Transaction (SET) protocol certificates are issued to cardholders and merchants. Similar to credit cards, they do not identify the bearer, only the bearer's credit line and history. SET uses digital signature technology to provide extra security to the transaction.

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Είδη Κρυπτογραφίας – Public Key Infrastructure (PKI)  Συμμετρική (Ιδιωτικού κλειδιού)  Μη Συμμετρική (Δημόσιου κλειδιού)  Περιλήψεις μηνυμάτων (Hash Functions)

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Συμμετρική Κρυπτογραφία Enctrypt Dectrypt Encrypted data Αποστολέας Παραλήπτης Internet Encrypted data key Παραλήπτη

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Ασύμμετρη Κρυπτογραφία Enctrypt Dectrypt Encrypted data Αποστολέας Παραλήπτης Encrypted data Internet Private key Παραλήπτη

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Ψηφιακές Υπογραφές  Ενα μήνυμα υπογράφεται ως εξής:  Ο Αποστολέας περνά το μήνυμα από ένα Hash Function που δίνει αποτέλεσμα μια σειρά χαρακτήρων Α (message digest), που είναι πάντα ίδιου μήκους ασχέτως με το μήκος του μηνύματος.  Η σειρά χαρακτήρων Α κρυπτογραφείται με το δημόσιο κλειδί του Παραλήπτη σε Α’.  Το Α’ (η Ψηφιακή Υπογραφή) στέλνεται μαζί με το μήνυμα (χωρίς το σώμα του μηνύματος να είναι αναγκαστικά κρυπτογραφημένο).

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Ψηφιακές Υπογραφές  Ο Παραλήπτης παίρνει το μήνυμα μαζί με την Ψηφιακή υπογραφή Α’.  Περνά το μήνυμα από την ίδια Hash Function με αποτέλεσμα μια σειρά χαρακτήρων Β.  Με το Ιδιωτικό του κλειδί αποκρυπτογραφεί την Α’ σε Α.  Αν τα Α και Β είναι τα ίδια το μήνυμα δεν έχει αλλοιωθεί.

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Enctrypt Dectrypt Αποστολέας Αλγόριθμος Public key Hash Dig. sign Internet Dig. sign Hash 1 Public key Αλγόριθμος Hash 2 Παραλήπτης Private key Ψηφιακή Υπογραφή

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Χρήση Ψηφιακής Υπογραφής Public Key A Private Key A Public Key B Private Key B 1 2 Digital Signature 3 3 Message 4 2. Signing 3. Transmission 4. Decryption

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Ψηφιακά Πιστοποιητικά  Από τι αποτελείται ένα ψηφιακό πιστοποιητικό  Πληροφοριακά στοιχεία για το χρήστη  Το δημόσιο κλειδί του χρήστη  Το όνομα μιας Αρχής Πιστοποίησης  Την ψηφιακή υπογραφή της Αρχής Πιστοποίησης

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Customer Merchant Merchant’s Bank Cardholder’s Bank Payment Gateway = PG (Certification Authority) the Internet Private networks The SET Protocol: The Players

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών How SET works... (συνοπτικά)  1.Ο πελάτης στέλνει τη φόρμα παραγγελίας με το υπογεγραμμένο πιστοποιητικό στον προμηθευτή. Ο προμηθευτής δεν μπορεί να ανοίξει την credit card γιατί είναι κρυπτογραφημένη με το public key της τράπεζας  2.Ο προμηθευτής το στέλνει στην Αρχή Πιστοποίησης και ελέγχεται το πιστοποιητικό  3.Η τράπεζα ελέγχει αν η κάρτα είναι αυθεντική  4.Υπογράφεται η κάρτα αφού είναι εντάξει.  5.Η τράπεζα υπογράφει τη συναλλαγή  6.Ο πελάτης λαμβάνει το προϊόν και την απόδειξη  7.Στο τέλος της ημέρας ο προμηθευτής ζητάει από την τράπεζα να κρατήσει τις συναλλαγές της ημέρας  8.Ο προμηθευτής πληρώνεται σύμφωνα με το συμβόλαιο

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών How SET works (συνοπτικά)

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών SET: how it works, part 1 1. Selects merchandise 2. Sends M the credit card choice 4. Authenticates the two certificates 5. Creates order information (OI) and payment instructions (PI) and attaches T-ID. Signs OI and PI with private key. Encrypts PI using PG’s public key. Sends it all to M. 9. C now knows that M has processed the order. 3. Assigns transaction ID (T- ID), sense certificate of M and PG to C 6. Authenticates C. then, checks OΙ with C’s public key. 7. Sends OI and PI to PG using PG’s public key. 8.acknowledges back to C with message plus certificate. Customer = C Merchant = M

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών SET: how it works, part 2 Merchant = M Payment Gateway = PG 10. Authenticates M and C using private key. 11. Sends authorization request to issuing bank 12. Once authorization is received, forwards it to M and C, encrypted using M public key. 16. Authenticates M, and matches to OI, sends clearing request to bank. 17. Sends and signs “capture response” encrypted with M public key. 13. Authenticates authorization 14. Fulfills order 15. Sends”capture request” to PG with OI encrypted with PG’s public key 18. Authenticates “capture response” and stores it for reconsideration.

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Γενικό Μοντέλο

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Problems with SET merchant charge-backs are complicated because merchant doesn’t have the credit card number merchant server speed issues because of decryption

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Technology Leaders Because, realistically speaking, a digital signature scheme requires a PKI, vendors of PKI solutions, such as –VeriSign, –Entrust, –RSA, and –Baltimore, dominate the digital signature market in addition to the PKI market.

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Electronic bill presentment Presents the bill online instead of by old- fashioned mail. Savings to biller of cents per bill. Once the consumer receives the bill online, he / she is more likely to pay online

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Electronic bill presentment: competing models Biller direct: customer goes to biller site to find one’s bill Consolidation: customer goes to one site to pay all bills customer gets bills via

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Digital cash/ micro-payments

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών DIGITAL CASH: how does it work? Tokens with unique ID are generated (e.g. 2x$10 and 5x$1). The tokens are stored on your hard drive. You pay from your wallet. E-merchant can accept tokens without authorization based on algorithm… or clears token from list of “used tokens”

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Objectives of digital cash Reduce transaction costs. The argument is that micro-payments do not require authorization. Privacy/anonymity. No tracing will be possible.

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Digital cash: opportunities Digicash developed a scheme for blind signatures in which the bank cannot know who has the tokens and what they have been spent for. Digital cash allows potentially anyone to issue their own money.

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Micropayments Paying Low Value items –Millicent, –eCash, –CyberCoin, –Mondex, –NetBill, –Visa Cash Either “bearer certificate” or “national system”

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Digital cash: concerns Counterfeiting tokens needs to assure that tokens are not spent more than once. This can be verified against a list of spent tokens

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Wallets Stores your payment card information, billing information, certificate, etc, on your hard drive. WHY? For consumer: Avoid having to retype all that information every time. For merchant: allows consumer to buy on impulse.

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Wallets: problems Critical mass (58% of consumers have never heard of them, >90% still use straight credit cards). Buggy, too much work, poor integration with merchant sites consumers are scared of storing info on their hard drive too many incompatible wallets

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Wallets: too many AOL Amex Brodia Cybercash IBM Microsoft HP Quick check out AMEX online wallet Remote control shopping InstaBuy Consumer wallet Passport Wallet Many more

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Wallet-- concepts Novell - digitalme/ mecards Qpass Zeroknowledge Microsoft Passport Web utility to quickly fill out personal information. Stores all of our passwords. Allows us to give out ID cards to friends stores all kinds of vital information to be used for shopping like shoe size and shirt size and favorite colors

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Smart cards: INSIDE the Chip 8 bit microprocessor. The chip is embedded in PVC material. Newer: Java Card EPROM RAM - protected physical and software security (cryptography) Mobile Computing

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών smart cards will be in your future wallet  Cash card for micro-purchases  Payment card  Company card to access corporate or campus network.  Personal Info card (e.g., driver’s lic, health card with patient history)

Ε.Μ.Π.Ι. Βασιλείου --- Electronic Commerce Συστήματα Πληρωμών Smart cards: better than magnetic card More capacity More secure (including offline processing) More reliable Easier to update