Безопасность электронных платежей в сети Интернет. Протокол защиты электронных платежей SSL
2

2

 

Задание и пояснения:

 

 

Рассмотреть проблемы, возникающие при электронных платежах через Интернет.

 

Сформулировать основные цели и функции протокола SSL, указать, как осуществляется аутентификация и поддерживается конфиденциальность сообщений при взаимодействии клиента и сервера.

 

Привести алгоритмы аутентификации клиента и сервера, обмена криптографическими ключами, обеспечения конфиденциальности и целостности сообщений. Рассмотреть структуру сообщения.

Оценить криптостойкость протокола SSL.

 

Ответ:

 

Традиционные протоколы Интернет (например, HTTP - основной протокол для передачи страниц WWW) не обеспечивают практически никакой защиты информации на пути от сервера к клиенту и обратно. Существующие угрозы безопасности передачи данных можно раздели на следующие категории:

 

-Имитация соединения («Спуфинг»): услуги Web-дизайнеров достаточно дёшевы и легкость, с которой могут быть скопированы уже существующие страницы, позволяют создавать нелегальные Web -сайты, которые выглядят «официально» и с виду представляют организацию. Реально же это ловушка, чтобы незаконно получить, скажем, номера кредитных карт;

 

-Несанкционированные действия: конкурент или обиженный пользователь могут изменить ваш Web-сайт так, чтобы он давал ложную информацию или отказывался обслуживать потенциальных клиентов;

 

-Неправомочное разглашение информации: когда транзакции осуществляются «открытым текстом», хакер может их перехватывать, чтобы получить информацию, важную для пользователей системы электронных платежей;

 

-Фальсификация данных: содержание транзакции может быть перехвачено и злонамеренно либо случайно в процессе передачи изменено. Имена пользователей, номера кредитных карт и финансовая информация, передаваемая «открытым текстом» слишком уязвима для вмешательства со стороны.

 

Криптографический протокол SSL (Secure Socket Layer) был разработан в 1996 году компанией Netscape и вскоре стал наиболее популярным методом обеспечения защищенного обмена данными через Интернет. Это основанный на открытых ключах протокол безопасности, реализующий безопасный канал