e-business digitális pénzügyek ii

1

E-BUSINESSDigitális Pénzügyek II.

• Elektronikus fizetőeszközök, elektronikus pénz, elektronikus pénztárca

(bankkártyák, chipkártyák)• Internetes vásárlás, internetes fizetési módszerek• Ügyfélazonosítási módszerek

(smartcard, biometria)

2002. november 6.

2

Kártyatörténet

1950 – első plasztikkártya (Diners Club); név, számok, kódok1970-es évek – mágnescsíkkal ellátott kártyák (210 bit/inch információ = kb. 80 alfanumerikus/7 bites karakter) A mai mágneskártyák három részre vannak felosztva:

• csak olvasható információkat tárol (megfelel az eredeti mágnescsíknak)• 40 számjegyet tárol, 75 bit/inch sűrűséggel• írható-olvasható terület, 107 számjegy tárolására

Optikai kártyák: nagyobb információ tárolási sűrűség, néhány MB adat tárolására; főleg az egészségügyben használatos (pl. röntgen felvételek tárolására is alkalmas)1979-től – chipkártyák Fajtái:

• memóriakártyák• mikroprocesszoros chipkártyák• programozható intelligens kártyák

3

A bankkártyákról 1/5

Hazai bankkártyák fajtái:

•Betéti (debit) kártyák: a bankkártya használata csak fedezet ellenében lehetséges

•Hitel (credit) kártyák: a kártya igényléséhez és használatához nem kell betétet elhelyezni; a felhasznált hitelkeret egy részét (5-10%) ált. havonta be kell fizetni.VRC = Variable Repayment Creditcard

•Terhelési (charge) kártyák: a felhasznált pénzt teljes egészében vissza kell fizetni a számlakivonat kézhezvétele után.FRC = Fixed Repayment Creditcard

4

A bankkártyákról 2/5

A bankkártyák típusa:

• Konvertibilis (nemzetközi logós): a kártya mögötti forint fedezet az egész világon hozzáférhető, ahol a kártyán szereplő logó fel van tűntetve.• Belföldi kártyák: csak belföldön használható, nem konvertibilis.

5

A bankkártyákról 3/5A bankkártyák használhatóság szerinti csoportjai:• ATM kártyák: csak bankjegykiadó automatákban használható, kizárólag készpénzfelvételre.• Online (elektronikus) kártyák: az állandó banki összeköttetéssel rendelkező pontokon a számlánkról közvetlenül fizethetünk vele és ATM-ekben is használhatók. Elfogadóhelyek típusa: online, offline Kártyaelfogadó berendezés: POS terminál• Offline (dombornyomású) kártyák: offline elfogadó- helyeken, helyi ügyfélazonosítás után, bizonyos limit- összegig használható. POS terminálokon és ATM-ekben is használhatók. Kártyaelfogadó berendezés: imprinter (lehúzógép)

6

A bankkártyákról 4/5

Nemzetközi kártyaszervezetek és bankkártyáikKártya-szervezet

ATM kártya

Elektronikus (online) kártya

Dombornyomású (offline) kártya

Europay Cirrus Cirrus Maestro Eurocard Mastercard

VISAVISA Plus

Visa Electron VISA Classic

American Express

nincs nincs American Express

Diners Club

nincs nincs Diners Club

7

A bankkártyákról 5/5

A bankkártyák jellemzői:• fajta: betéti, hitel vagy terhelési kártya• típus: nemzetközi logós, belföldi• kibocsátó bank• készpénzfelvétel díja bankfiókban ill. postán• készpénzfelvétel díja saját vagy egyéb ATM-ben• készpénzfelvétel díja külföldi ATM-ben• vásárlás (ált. ingyenes belföldön és külföldön is)• rendelkezésre álló belföldi ill. külföldi ATM-ek száma• elfogadóhelyek száma belföldön ill. külföldön• éves tagsági díj, zárási díj• készpénzfelvételi ill. vásárlási limit

8

Hazai bankkártya-történet

1988 – első hazai kibocsátású bankkártya; devizaszámlához kapcsolódott, csak külföldön lehetett használni1989 – belföldi kártyák kibocsátása; csak a kibocsátó bank hálózatán belül fogadták el1991 – nemzetközi logós belföldi használatú kártyák; kezdetben a bankok kétoldalú megállapodás alapján fogadták el1996 – bankkártyás fizetéseknél konvertibilissé vált a forint (forintszámlához kötődő nemzetközi logós kártyákat külföldön is lehet használni)1997 – első hazai kibocsátású hitelkártya (Visa Classic); Diners Club kártyák magyarországi megjelenése2001 – bankkártya internetes vásárláshoz

9

Biztonsági problémák

• a mágneses-alapú bankkártyák könnyen hamisíthatók (a mágnescsík egy megfelelő olvasóberendezés segítségével éppen olyan könnyen olvasható, mint egy floppy lemez)• PIN kód megszerzésének módszerei

• vékony fóliát raknak a billentyűzetre, ami megőrzi a lenyomott billentyűk helyét• franciaországi eset: ál-automata felállítása (’90-es évek elején)

• hamis vagy lopott kártyával vásárlás (sok helyen a zsúfoltság miatt csak aláírást kérnek)• a POS-ba letöltött feketelisták nem jelentenek igazi védelmet, ugyanis ezeket csak naponta frissítik, a lopott kártyát viszont azonnal felhasználják• a vásárlásnál a teljes egyenleget fel lehet használni !!! (ATM-nél csak limitált összeget)

10

Chipkártyák 1/5

• 1970-es évek óta vannak forgalomban• olyan bankkártya, melybe mikrochipet szerelnek, amely chip tartalmazza az elkölthető pénzösszegről az összes információt• ha a chipben nyilvántartott összeg elfogyott a kártya eldobható vagy feltölthető • pótolja az ATM – bank ill. a POS – bank közötti drága online összeköttetést• a chip több biztonságot nyújt mint az online összeköttetés, ezért a legújabb generációs kártyarendszer offline• biztonságosabb mint a mágneskártya: védi a tárolt információt a sérüléstől és a lopástól

11

Chipkártyák 2/5

A chipkártya (intelligens kártya, smartcard) a legfejlettebb plasztikkártya; több ezer oldalnyi adatot tud tárolni a beépítettmikrochipben.

A chip lehet:• memóriachip• mikroprocesszor

A chipkártyák és a kártyaleolvasók közötti adatátvitel szerint:• érintkezős chipkártyák• érintkező nélküli chipkártyák• kombinált chipkártyák

A mikroprocesszoros chipkártyák multifunkciósak is lehetnek.Egyes chipkártyákon mágnescsík is van.

12

Chipkártyák - Memóriakártyák 3/5

• elsősorban információ tárolására alkalmas• memóriachip van beágyazva a memóriakártyákba• a tárolt adatok leolvashatók és megváltoztathatók• az értéket tároló kártyák kezdőösszeggel kerülnek forgalomba, ami minden használat után csökken• elektronikus pénzt tárol, ami a memóriachipben lévő számokból áll• eldobható vagy feltölthető

Optikai vagy lézerkártyáktöbb MB digitálissá alakított adat tárolására képes(szöveg, kép, hang, zene, szoftver stb.)

13

Chipkártyák – Mikroprocesszoros chipkártyák 4/5

• mikroprocesszor van beépítve a kártyába• adattárolásra és adatfeldolgozásra is képes• SPOM chip (self-programmable one-chip microcomputer)• ehhez a mikroszámítógéphez operációs rendszer is tartozik: multitasking, multithreaded, multi-user smart card operating system (SCOS) (pl. Windows for Smart Cards) Esettanulmány: SmarTACC rendszer www.alfagas.hu/smart_h_new.html

14

Chipkártyák 5/5

Érintkezős chipkártyák:csak kártyaolvasón keresztül tudnak külső készülékekkel és számítógépekkel kommunikálni

Érintkező nélküli chipkártyák:rádió adó-vevő van beágyazva, mely a kártyaolvasóvalvagy más készülékkel jeleket vált (nem kell bedugni)

Kombinált (hibrid) chipkártyák:kontakt-chippel és rádió adó-vevővel is fel van szerelve

Multifunkciós (többalkalmazású) chipkártyák:mikroprocesszoros chipkártya; többféle feladat ellátásáraalkalmas (pl. azonosítás, belépés-ellenőrzés, pénzügyi,egészségügyi stb. alkalmazások)

15

Chipkártyafelhasználás területei• pénzügyek: a forgalomban lévő plasztik kártyákat mikroprocesszoros

kártyák váltják fel; az ATM-eket és a kártyaelfogadó helyeket átalakítják, hogy chipkártya elfogadására alkalmasak legyenek; elektronikus pénztárca

• távközlés: Mobiltelefon: SIM kártya; olyan mobiltelefonokat fejlesztenek ki, melyekbe még egy chipkártya, a felhasználó

chip- alapú bankkártyája is behelyezhető online fizetéshez (pl. Motorola StarTAC);TV: műholdas és kábeltelevíziós szolgáltatásoknál előfizetők azonosítására

• egészségügy: kórtörténet, adatok, röntgen felvételek tárolására• tömegközlekedés: menetjegy vásárláshoz• törzsvásárlói programok: vásárlók azonosításához (pl. Shell)• személyazonosítás: épületekbe, parkolókba történő belépéshez• diákigazolvány: multifunkciós kártya (beléptetés, fénymásolás,

számítógépek és könyvtár használata stb.)• közigazgatás: személyi igazolvány, jogosítvány, TB kártya stb.

16

Elektronikus pénztárca I.

• az intelligens kártyák legkorábbi felhasználása• a smart kártyát készpénz befizetése ellenében, vagy folyószámlánk terhére adott összeggel feltöltik, és ezt az összeget maga a kártya tárolja• fizetéskor ez az összeg csökken a kártya memóriájában anélkül, hogy ellenőrizni kellene a hitelképességet• kis összegű fizetésekhez, gyors, offline• fizetéskor nem kell aláírás sem, tehát mindkét fél részéről minimális a kockázat• fizetéskor az elfogadóhely nem a folyószámlán végzi a tranzakciót• újratölthető

17

Elektronikus pénztárca II.A CEPS csoport (Europay International, Visa Espana/SERMEPA,Visa International és ZKA) 1998. december végén közzétette azokat a specifikációkat, amelyek segítségével a világ különböző elektronikus pénztárca programjai képesek az együttműködésre. A közös elektronikus pénztárca specifikációk (CEPS, Common Electronic Purse Specifications) létrehozása jelentős lépés a nyílt elektronikus pénztárca szabvány megteremtése felé.

A specifikáció:• megadja mik a feltételei annak, hogy egy szervezet kompatíbilis elektronikus pénztárca programot vezessen be• megköveteli az EMV szabványokkal való kompatibilitást • megfogalmazza a rendszer funkcionális követelményeit• a fokozott biztonság érdekében külön titkosítási kulcsot alkalmaz

18

EMV’96 szabvány

A pénzzel feltölthető fizetőkártyák (chipkártyák) 1996-ban kialakítottbiztonsági szabványa.

1996 végén az Europay International, a MasterCard International és a

Visa International egyezségre jutott, hogy közösen készítik el a chipkártyák integrációs szabványát EMV’96 néven. Az új szabványa biztonságos fizetési módokat támogató SET szabványcsomagonalapul.

Az EMV kialakította a pénzvilág első globális chipkártya infrastruktúráját.Segítségével lehetővé vált, hogy biztonságos körülmények közöttvásárolhassanak a kártyatulajdonosok hálózati számítógépen, PC-n vagymobiltelefonon keresztül.

19

SET (Secure Electronic Transaction) szabvány

A MasterCard és a Visa által kidolgozott SET protokollszabvány (1996. 02. 01.) a bankkártya-alapú internetes tranzakciók biztonságos lebonyolítását segíti. Az RSA titkosítási eljáráson alapul. Az alábbi biztonsági követelményeket elégíti ki:

• a rendelési és fizetési adatok bizalmas kezelése • a kártyatulajdonos mint vásárló azonosítása• a kereskedő mint eladó azonosítása• az adatok integritásának védelme elektronikus aláírások használatával • a letagadhatatlanság (non-repudiation) garantálása

A protokoll teszi lehetővé a tranzakciót lebonyolító felek részére a digitális aláírás részleteinek rögzítését. A protokoll megvalósításában valamennyi résztvevőt: a vásárlót, az eladót, a feldolgozót, az igazolószervezetet, valamint a bankokat megfelelő informatikai alkalmazások képviselik, amelyek közül a szolgáltatás igénybevevőjének elég csupán egy böngészővel rendelkeznie.

20

A SET elődeiA nyílt hálózatokon keresztül teljesített elektronikus átutalásokbiztonsága érdekében kifejlesztett adatátviteli szabványok összefoglalóneve: SEPP (Secure Payment Protocols)

A SET szabvány a következő javaslatokat használja fel:Mastercard: IKP (Internet Keyed Protocol)• elektronikus fizetési protokoll• IBM fejlesztés• az RSA nyílt kulcsú titkosításon alapul

Visa: STT (Secure Transaction Technology)• pénzügyi tranzakciókhoz kifejlesztett biztonsági protokoll• Microsoft javasolta, de nem valósította meg• nem avatkozik bele a bank és ügyfele,vagy a kereskedő és vásárlója közti üzleti kapcsolatba• digitális aláírást használ

21

Smartcard előnyei• olcsóbb kezelőberendezés mint a mágnescsíkos kártyáknál• könnyű áttelepíthetőség, mobilitás (nincs szükség online kapcsolatra a bankkal)• széleskörű felhasználhatóság• tároló kapacitás• gyorsabb vásárlás (kis összeg esetén) (nem kell ellenőrizni a kártya fizetőképességét)• nincs tranzakciós költsége• biztonságos

• a kártya másolása nehezebb, költségesebb• a vonal nem lehallgatható, mert nincs vonali kapcsolat• információ-hozzáféréshez biztonsági szinteket rendelhetünk

Smartcard hátránya• drágább mint a mágnescsíkos kártya

22

Biztonsági rés a smart kártyákbanA feltöréshez egy vaku és egy mikroszkóp kell 2002. május 20.

Brit komputerbiztonsági kutatók azt állítják, hogy egy vaku és egy mikroszkóp segítségével titkos információkat lehet leolvasni a széleskörűen használt smart kártyákról.

23

Felépítés (ISO 7816)Felépítés (ISO 7816)

24

Az e-kereskedelmi rendszer

Az elektronikus kereskedelmi rendszer 3 fő részből áll:- Elektronikus áruház- Elektronikus bank- Elektronikus pénztárca, (hitelkártya) egyéb fizetési formák

Háttér a megfelelő árukészet és a szállításlogisztikai kapacitás.

25

Internetes vásárlás folyamata – Megrendelés, fizetés, szállítás

26

Internetes vásárlás – Fizetési lehetőségek

27

Internetes fizetési módszerek 1/3

Jelenleg nem léteznek elfogadott szabványok az Interneten történő fizetések lebonyolítására.

Az Interneten való fizetés szempontjából két szintet különböztetünk meg:• A magasabb összegű vásárlások esetén a vásárlás során a tranzakciós költségek és az időtényező legtöbbször nem okoz problémát. Ez a makrofizetési szint.• Az alacsony összegű, lehetőleg gyors vásárlások során a magas tranzakciós költség és idő ellenben már nem tenné rentábilissá a vásárlást. Ez a mikrofizetési szint.

28

Internetes fizetési módszerek 2/3

Makrofizetés

A makrofizetésre jelenleg általánosan elfogadott megoldás a hagyományos bankkártyák használata. Nyugat-Európában és Amerikában az Internetes bankkártyás fizetés tranzakciós költsége egy adott minimum díj mellett, 2-3% körül van, az ellenőrzési idő 30 másodpertől másfél percig tart. A bankkártyás fizetés legnagyobb problémája sokak szerint a felhasználók bizalmatlansága. A makrofizetés biztonsági problémájának megoldására már létezik egy kidolgozott rendszer: a SET.

29

Internetes fizetési módszerek 3/3

Mikrofizetés

A mikrofizetés a néhány dollártól, az egy cent alatti fizetések lebonyolítását jelenti. A néhány dollár körüli fizetések már nem oldhatók meg a magas tranzakciós költségek miatt bankkártyával.

Megoldás: • mikrofizetésre is alkalmas anonim elektronikus pénz• nem teljesen anonim, kifejezetten mikrofizetésre kifejlesztett elektronikus pénz

30

Elektronikus készpénz

Az ideális kibertéri fizetőeszköz az elektronikus készpénz (e-cash) monetáris értéket testesít meg, amely közvetlen, azonnali cserére alkalmas.

Elektronikus pénznek azokat a rendszereket nevezzük, amelyek az érmék és pénzjegyek jellemzőit a leginkább magukon hordozzák; tehát nem névre szólóak, értékegységekre tagolódnak, stb.

Az elektronikus készpénz olyan monetáris értéket megtestesítő elektronikus formában tárolt mennyiség, melyet a benne megtestesülő érték közvetlenül cserére alkalmassá tesz és a fizetés a tranzakcióval egy időben, azonnal történik.

31

Az e-pénz tulajdonságai

• könnyen azonosítható, tartós, a hamisítás költséges és bonyolult • más elektronikus pénzformáktól megkülönböztető sajátságokkal bír• előre kifizetett értéket képvisel nem pusztán hozzáférést egy értéktárhoz (mint a bankkártyák) és ezért mindenki használhatja • banki közvetítés nélkül, egyszer költhető el, alacsony tranzakciós költség mellett • fajtái:

• érmeszerű forma: anonim zsetonalapú (token-based) elektronikus készpénz, a hagyománykövetőbb fajta • bankkártyához hasonló: értékjelölt fizetési (float-based) fajta

• biztonságos: az e-pénz elvesztése esetén egy másolat segítségével újra használhatjuk, ha ellopják a sorozatszáma alapján letilthatjuk

32

Az e-cash előnyei

• korlátlan névtelenséget biztosít a vásárló számára, nem kell más személyek előtt a vásárlónak személyazonosságát feltüntetnie• sem a bank sem a transzakcióban részt vevő más fél nem szerez tudomást az ügylet tartalmáról, illetve a kereskedő is csak az ügylet tartalmát ismeri, de a vásárló személyét nem• az eCash használata nem túl bonyolult, mind az eladó mind a vásárló elektronikus pénztárcája hasonlóan használható• a bank szempontjából ennek a pénznek az a nagy előnye, hogy a könyvelési pénz mindig a bank oldalán marad, és ezzel együtt a kamatjövedelem is, amelyet a bank az ügyfélnek jóváír• jelenleg az internetes eCash használata jogilag leginkább az utazási csekkek használatával analóg

33

Az elektronikus pénzeket a felhasználó azonosíthatóságának lehetősége és a visszaigazolás léte alapján csoportosíthatjuk.Fizetési mód:

• azonosítható, ha felhasználója és felvevője transzparens• azonosíthatatlan, ha nincs lehetőség a tranzakció követésére. Elektronikus pénz:• online pénz: a tranzakciót azonnali visszajelzés követi• offline pénz: a tranzakciót nem feltétlenül követi azonnal

visszajelzés

Az Interneten alapvetően három fizetési rendszer használható. 1. A készpénz hálózati megfelelője az elektronikus készpénz. Az értékét a tokenek képviselik. 2. A csekkek elektronikus megfelelője hitel-, illetve bankkártyák, amelyek bankszámla létezését feltételezik. 3. Biztonságos hitelkártya-bemutatási rendszerek.

Az elektronikus pénz

34

Az elektronikus pénz feldolgozásának lépései

35

Chipkártyával az Interneten I.

A világon elsőként a BarclayCard vállalt MasterCard kártyákkal az EMV-szabványon alapuló internetes fizetési tranzakciót. A művelet bármely chipkártya-leolvasóval rendelkező PC-ről elvégezhető.

Az EMV (Europay/MasterCard/Visa) szabványt a legnagyobb kártyatársaságok hozták létre azzal a céllal, hogy a bankkártyákkal végzett tranzakciókat biztonságosabbá tegyék. Az EMV kártyák a hagyományos mágnescsík helyett chipet tartalmaznak, mely egyértelműen azonosítja a kártyát és tulajdonosát, megakadályozva ezzel lopás, elvesztés és másolás okozta visszaéléseket. A kártyatársaságok 2005 január elsejétől a hagyományos mágnescsíkos bankkártyákkal kapcsolatos visszaélések által okozott kárt teljesmértékben a bankokra és a kereskedőkre hárítják.

36

Chipkártyával az Interneten II.

A világ bankjai elfogadták az EMV-szabványon alapuló chipkártyáta mágnescsíkkal ellátott bankkártya utódjaként.

Az Europay International kidolgozta a Smart Card Payment Protocol(SCPP, intelligens kártyás fizetési protokoll) technológiát, mellyelbiztonságosan és egyszerűen megoldható a vásárlás az Interneten.

Az SCPP a tranzakcióban résztvevőket azonosítja, hitelesíti és a pénzügyi adatok kezelésére a TLS (Transport Layer Security)Internet-szabványt alkalmazza, ami az SSL (Secure Socket Layer)protokoll utódja.

37

SSL (Secure Socket Layer) – Biztonsági Csatlakozó Réteg

•ISO/OSI szállítási rétegben, TCP/IP alkalmazási rétegben fut•hálózaton továbbított üzenetek titkosítására használható•feladata, hogy a kliens és a szerver között létrejött megállapodásalapján minden kérést, választ, adatot kódoljon és dekódoljon•protokoll réteg, amelyet egy kapcsolati protokoll és egy alkalmazási protokoll közé lehet elhelyezni a biztonság növelése érdekében•elvégzi a titkosítást, integritási védelmet és a hitelesítést:a titkosítást megbízható titkosító algoritmusok alapján (RSA, DES, stb.), az integritás védelmet MAC algoritmussal, a hitelesítést tanúsítványokkal és digitális aláírásokkal biztosítja • az adatok átvitele két különböző titkosító kulcspár alapján történik: az egyikkel a szerver felé érkező kéréseket a másikkal a szervertől kimenő adatokat titkosítja; ezek a session-kulcsok Tehát az adatok már titkosítva kerülnek le a TCP kapcsolati szintre. • mindkét oldalon 2 kulcs van, az egyiket a bejövő adatok dekódolására a másikat a kimenő adatok titkosítására használja

38

TLS (Transport Layer Security)

• SSL-en alapul• TLS szabvány, SSL a szabvány implementációja• képes a felhasználók biztonságos azonosítására és a programozók számára lehetővé teszi, hogy olyan TLS-t felhasználó kódot írhassanak, mely anélkül képes más folyamatokkal kódolt információk cseréjére, hogy a kódot létrehozó programozónak a többi program kódját ismernie kellene• olyan keretrendszert biztosít, melyet új, nyílt kulcsú és más kódoló algoritmusok is felhasználhatnak

39

WTLS – Wireless TLS

40

Internetes fizetés hazai biztonsága• bankkártyás fizetés SSL szabvánnyal: a legelterjedtebb internetes fizetési megoldás; az SSL a vásárló PC-jén futó böngésző és a távoli szerver közötti kommunikációs csatornát titkosítja; 128 bites titkosítás, a kommunikáció során mozgó bankkártya adatok mások számára nem hozzáférhetőek

• WebKÁRTYA: virtuális Eurocard/Mastercard bankkártya, OTP fejlesztette ki, az internetes tranzakciók ellenértékének kiegyenlítésére szolgál; a kártya OTP H@zibankon keresztül feltölthető

• Mobil Kártyakontroll (OTP): Interneten kártyával végzett vásárlásról az ügyfél SMS üzenetet kap

• Don’t Worry (K&H) szolgáltatás: S@FENET fejlesztette ki; Internet plasztik kártya (csak internetes tranzakciókban használható fel) kapcsolódik a szolgáltatáshoz; bankkártyás internetes vásárlásról SMS-t küld, válasz SMS-ben a tranzakció megerősítését várja

• SET alapú fizetés: legbiztonságosabb, kiválóan alkalmas B2C típusú tranzakciók lebonyolítására;

SET: adatforgalmat titkosítja, digitális aláírással azonosítja a feleket, fizetési és rendelési adatok integritását garantálja (az üzenet tartalmát ne lehessen később megváltoztatni), szelektív hozzáférést biztosít az adatokhoz

41

Néhány tanács a biztonságos vásárláshoz

• Vásároljunk high-tech és fizessünk low-tech módon. A megrendelésre felhasználhatjuk a legkorszerűbb internetes megoldásokat, de bankkártya információinkat inkább hagyományos módon (telefon, fax, levél) továbbítsuk. Vagy fizethetünk postai utánvéttel is.• E-mailben soha ne küldjük el a bankkártyánk számát!• Körültekintéssel vásároljunk.• Ne adjuk meg a bankkártyánk számát olyan kereskedőnek, aki nem ún. biztonságos szervert (secure server, https) használ.• A bankkártya számának továbbítása előtt tájékozódjunk a kereskedőről. (Better Business Bureau, Internet Fraud Watch) Internet Fraud Watch (csalásfigyelő) program: online csalások bejelentését, nyomon követését ill. megakadályozását segíti elő• Nyissunk számlát. Egyes kereskedőknél a későbbiekben a létrehozott számla terhére vásárolhatunk.

42

Elektronikus/internetes fizetési rendszerek és kapcsolatuk az intelligens kártyák világával 1/5

Jövő: • PTD (Personal Trusted Device): kijelzővel és billentyűzettel rendelkező smartcard eszköz• internetes vásárláshoz, mobiltelefonra

Chipkártya az internetes vásárlásban:• biztonsági műveletek végrehajtására képes• probléma: nem kontrollálható

PTD: Tamper* Resistant Sim + Tamper ProofTRS = WIM (WAP Identity Module; azonosításra és aláírásra képessmartcard; két különböző titkos, nyilvános kulcs kell hozzá) + TP = ME (Mobile Equipment, mobiltelefon)

*tamper: hamisít

43

Elektronikus/internetes fizetési rendszerek és kapcsolatuk az intelligens kártyák világával 2/5

• internetes vásárlás mobiltelefonnal (mobiltelefon és Internet- hozzáféréssel rendelkező PC csatlakoztatása): olcsó, nem kell GSM hívás az internetes áruház eléréséhez; a vásárlás PC-s, a fizetés mobil környezetben történik; fizetés = a számla digitális aláírása• WAP-on keresztüli vásárlás: vásárlás PC-s környezetben, fizetés mobiltelefonnal GSM hálón keresztül• bolti vásárlás mobiltelefonnal

44

WAP architektúra

45

Elektronikus/internetes fizetési rendszerek és kapcsolatuk az intelligens kártyák világával 3/5

Internet Fizetési Protokollok:pont-pont közötti rejtjelezés + digitális aláírásanonimitás, információ elrejtés biztosítása

Fajtái:1. Tranzakció alapú: egyik bankszámláról a másikra történő

átutalásIKP (Internet Keyed Payment) protokoll → SET (Secure Electronic

Transaction) szabványcsomag (OI, PI, hash értékek mozognak) Probléma: banki tranzakció kell hozzá (költséges), online kapcsolat kell a bank és a kereskedő között2. Elektronikus pénz: olyan hamisítatlan bitsorozat, ami csak egy példányban létezik (vak aláíráschip rejtjelezéstechnikai megoldás)3. Mikrofizetés

46

Elektronikus/internetes fizetési rendszerek és kapcsolatuk az intelligens kártyák világával 4/5

Az elektronikus pénz működése:

• a vevő előállít egy véletlen számot, ebből a véletlen számból csinál egy „veretlen pénzérmét” (ami megadott értékkel bír)• a véletlenszerűen generált számot 2x egymás után leírja• ezt a pénzt a vevő („lezárt borítékban”) elküldi a banknak, aki vakon aláírja, majd visszaküldi a vevőnek (ez az aláírás nyomot hagy a veretlen pénzérmén, vagyis az sorszámmal lesz ellátva)• a pénz beváltásakor a bank akkor fizet, ha az adott sorszámot más még nem mutatta be (többször elköltött pénz problémája)• teljes anonimitást biztosít• banki felügyeleti kontroll hiánya jellemzi• gyakorlatban nem alkalmazzák (a technikai megoldás adott)

47

Elektronikus/internetes fizetési rendszerek és kapcsolatuk az intelligens kártyák világával 5/5

A mikrofizetés rendszere:

• kisösszegű fizetések esetén magas a tranzakciós költség• megoldás: offline korlátos, kockázatvállaláson alapul• szereplők: vevő, kereskedő, bróker, (bank)• a vevő a brókertől vásárol (sorszámozott) tokeneket• a vevő az így beváltott tokeneket költi el a kereskedőnél• a kereskedő beváltja a tokenjeit pénzre a brókernél• minden szereplő visszaélése felderíthető• felhasználók bizalma hiányában ezt a technikát nem alkalmazzák

48

Személyazonosítási módszerek 1/4

Az egyértelmű azonosításhoz a következő, személyenként eltérő,egyedi élettani vagy viselkedési jellemzőket használják:• aláírás• arckép• ujjlenyomat• talplenyomat• hangtónus• DNS genotípus• fehérvérsejt antigén• kézgeometria• az arc vagy a csukló ereinek hálózata• a szem retinájának vagy íriszének mintázata stb.

Ezeket a jellemzőket bonyolult műszerek és különféle érzékelőksegítségével lemérik, majd digitálissá alakítják és számítógépesadatbázisokban tárolják későbbi összehasonlítás céljából.

49

Ezt a technikát biometriának nevezik.

Biometria:A biometriai rendszerek egy élő személy azonosságát ujjlenyomata, íriszének mintázata és más élettani jellemzők, vagy bizonyos viselkedési sajátosságok, mint például a kézírás vagy gépelési módszer alapján ellenőrzik le vagy ismerik fel automatikusan.

A biometriai azonosítást már az egész világon alkalmazzák bankokban, pénzkiadó automatáknál, repülőtereken, hatóságoknál.

Személyazonosítási módszerek 2/4

50

Személyazonosítási módszerek 3/4

Módszer Egyediség Változatlanság Hamisíthatóság,

másolhatóság Megtévesztés Kényszerítés Ikrek Megvalósítás

DNS TÖKÉLETES OK akár egy hajszál-

ból MÁSOLÁS kivédhetetlen [?] bonyolult, drága

ujjlenyomat szinte tökéletes (műtét, baleset) OK Mission

Impossible másik ujj 92% működik

tenyér OK (műtét, baleset) OK OK észrevehetetlen [?] működik

írisz TÖKÉLETES OK OK OK csak a szemet látom [?] működik

retina TÖKÉLETES OK OK OK csak a szemet látom [?] veszélyes

kézírás OK egy idő után a dinamikát lehe-

tetlen kizárt talán[?]

megkülönböz-tethető

alakul

hang OK elég egy nátha OK magnó csak fülelek hallható a kü-

lönbség működik, bonyo-

lult

vizuális OK OK OK OK látható, hányan van-

nak elég hasonló túl komplex

„szag” [?] gyorsan valtozik [?] ruhalopás [?] [?] [?]

51

Személyazonosítási módszerek 4/4

Ujjle-nyomat azonosí-tás

Jól bevált technológia, elfogadható áron és jól integrálható a meglévő rendszerekbe

Minden kliens önálló eszközt igényel

Könnyű használhatóság, nagyon könnyű, nagyon gyors

Irisz, retina és arc felism.

Nagy biztonságot igénylő helyekre is alkalmas - akár önállóan is.

Lényegesen drágább, mint pl. az ujjlenyomat felismerés.

Általában könnyű, és gyors, de szükség lehet a szemüveg, kontaktlencse kivételére.

Hang-felisme-rés

Legolcsóbb technológia, általában külön eszközt nem, vagy csak egy kiegészítő mikrofont igényel - egy átlagos multimédia PC

PC Háttérzaj zavaró lehet, és még egy kicsit szokatlan, ha valaki a számítógépéhez beszél.

Nagyon könnyű, de a pontosság miatt hosszabb betanítást igényelhet

Kézírás felisme-rés

Alkalmas lehet bejelentkezésre, és dokumentumok digitális aláírására is.

Digitalizáló táblát, kliens oldali, és háttér szoftvert igényel - kis cégeknek drága lehet.

Könnyű, de a pontosság miatt hosszabb betanítást igényelhet.

HasználhatóságHátrányokElőnyök

52

Linkek I.:

Intelligencia az intelligens kártyábanwww.renyi.hu/~csirmaz/csirmaz4.ppt

Smartcard alapú adattárolás és azonosításwww.elte.hu/~kincses/konf/nwsh97.html Smartcard és informatikai biztonság előadássorozatwww.inf.elte.hu/speci/

Smartcard alapú azonosításwww.elte.hu/~kincses/konf/hsdoc.htm

53

Linkek II.:

Elektronikus pénzügyi rendszerekwww.cegnet.hu/cv/9804/cv146_152.htm

E-commerce és online fizetési piac Magyarországonwww.bankkartya.hu/faliujsag.shtml

Kártyaszokások: első a készpénzfelvételwww.cegnet.hu/gazdert/2001/36/m01363.htm

54

Egyéni feladat témák:

• Választott smartcard operációs rendszer (SCOS) bemutatása (pl. Windows for Smart Cards, SmarTACC)• Két-chipkártyás mobiltelefon felépítésének és működésének ismertetése (pl. Motorola StarTEC)• Közös elektronikus pénztárca specifikációk (CEPS)• EMV szabvány• Az e-cash fajtái és megvalósításuk• Mobiltelefonnal kapcsolatos szabványok• Biztonsági kérdések (A banki világ biztonsága, Internet biztonság, Mobil biztonság)• Biztonsági szabványok, direktívák, protokollok, architektúrák