SET’ i detaylı incelemeye başlamadan önce akla gelebilecek bir soru: Niye özel-amaçlı protokol gerekli? Neden Kredi kartı bilgilerini form doldurup SSL kullanarak göndermeyelim?
Kredi kartı ödemelerinde kesinlikle SSL kullanılabilir. Bu günümüzde en çok kullanılan yol ve Netscape, Microsoft Open Market ve diğerleri tarafından satılan ′ticaret sistemlerinin′ ana özelliği. Fakat bu amaç için sadece SSL kullanmanın bazı dezavantajları var.
Birincisi, SSL müşteriden tüccara kredi kartı numarasının güvenli olarak gönderilmesini sağlasa da, işlemin sonrasında bir yararı olmuyor: numaranın doğruluğunun kontrolü, müşterinin bu numarayı kullanmaya yetkili olup olmadığının kontrolü, tüketicinin bankası ile işlemi yetkilendirme ve transferi işleme. Basit bir sistemde, kredi kartının yazım hataları bir CGI script ile kontrol edilebilir ve numarayı bir dosya ya da veri tabanına daha sonra manüel olarak kontrol için kaydedilebilir. Fakat çoğu uygulama için online olarak kredi kartı yetkilendirmesi bir ihtiyaçtır. Gelişmiş ticaret sistemleri kredi kart yetkili servisi tarafından çalıştırılan bir sunucuya SSL veya uygun bir protokolle bağlanarak siparişleri anında onaylarlar. Bu tip sistemler ayrıca geri ödemeleri, işlem kaydı tutma, alışveriş kartlarını, online katalogları da yönetebilirler. Tam fonksiyonel bir kredi kartı işleme sistemi ya çok sayıda özel programlama ya da pahalı bir paket çözümdür.
SSL-tabanlı şemalardaki diğer bir problemde sunucu-tarafı güvenliktir. Kredi kartı numarası tüccarın Web sunucusuna gönderildiği için bu bilgi bir dosya veya veri tabanında tutulabilir. Eğer birisi tüccarın web sunucusuna girmeyi başarırsa tüm kredi kartı numaralarını da ele geçirebilir.
Kredi kartı işlemlerinde SSL kullanmada diğer bir problem de kredi kartı tahmin programlarının zayıf yazılmış sistemlerde kullanılabilmesi. Uzaktaki kullanıcı önce denemelik kredi kartı numaraları yaratır. Hepsi basit checksum kontrolünü geçecektir fakat hangisinin gerçek bir hesaba ait olduğunu bilmemektedir. Daha sonra bu numaraları bir scripte ekleyerek bir web sunucusundan sahte satın almalar yapmaya çalışır. Eğer kart geçerli değilse sunucu bir hata döner ve script numarayı atar. Eğer kart tanılaması doğru olarak gerçekleşirse sunucu kabul eder ve script satın almayı iptal edip numarayı kaydeder. Bu tip bir sistem kısa zamanda yüzlerce geçerli kredi kartı numarası bulabilir. SET bu problemleri kart yetki kontrolü ve satışın sonlandırılmasına kadar tüm işlemi kontrol eden entegre bir sistem sağlayarak giderir. Kredi kartı numarasının çalınmasını engellemek için protokol hiçbir zaman tüccarın kart numarasına direk erişimine izin vermez, bunun yerine satın almanın onaylanıp onaylanmadığı konusunda bilgilendirilir.
Son olarak Amerikan ihracat kısıtlamaları konusu var. Güçlü kriptografi kullanan sistemlerin, SSL kullananlar dâhil, ihraç edilmesi yasaktır. Fakat kanun sadece parasal işlemlerde kullanılan sistemleri hariç tuttuğu için güçlü kriptografi kullanan SET ürünleri Amerika dışına çıkabilir ki bu genel-amaçlı SSL ürünleri için mümkün değildir.
SET sayesinde, tüccarlarla bankalar arasında kredi kartı işlemleri Internet üzerinden güvenli bir biçimde yürütülebilir. SET, ödeme amacı ile uç noktalarda kullanılan sistemlerde herhangi bir değişiklik yapılmasını gerektirmez. Set’in sağladığı güvenlik servisleri gizlilik, veri bütünlüğü ve kart sahibinin doğrulanmasıdır. Bir SET hareketinde tüccar bile kredi kartı sahibinin kart numarasını göremez. Bu iş hareketinde banka kredi kartını kontrol ederek, tüccara doğru olduğuna dair bilgi gönderir.
Kart sahibi de tüccarın gerçek bir tüccar olduğundan emin olması gerekir. Eğer bir tüccar banka tarafından tanınmıyorsa, herhangi bir işlemin yapılmasına izin vermez. Tüccarın saygın ve güvenilir olduğu sayısal sertifikalar ve kriptolanmış imzalarla sağlanır.
SET’ de sertifika ve imzaların ele alınış yöntemi X.509 standartlarıyla uyumludur. X.509, ITU-TSS standartlarında da yer bulmuş olan bir doğrulama(authentication) protokolüdür. X.509 standardının Internet’te kullanımı RFC 1422’de belirtilmiştir. RFC 1422’de CA’ler(Certificate Authority) tarafından sayısal olarak imzalanan sertifikaların formatı ve dağıtımı tanımlanmıştır. Aslında X.509 ilk olarak PEM ile birlikte Internet’e kullanılmak üzere ortaya atılmış olmasına karşılık, sonradan Internet uygulama ve teknolojilerinin gelişimi ile birlikte kapsamı genişletilmiştir.
SET ve X.509 birbirinden bağımsız şeylerdir. SET basit olarak X.509’u kullanmaktadır. SET aynı zamanda kart sahibinin kişisel bilgilerinin(isim, adres, telefon, vs.) ve satın aldığı mallarla ilgili ticari bilgilerin Internet’ten iletilirken başkalarınca ele geçirilmesini veya değiştirilmesini de önler. Buna verinin bütünlüğünün sağlanması(data integrity) adını veriyoruz. SET veri bütünlüğünü, SHA-1 “hashing” fonksiyonu ve RSA sayısal imzaları ile sağlar.
Tüccar kart sahibinin yasal bir kullanıcı olduğunu doğrularken, X.509 sayısal sertifikalarını ve RSA imzalarını kullanır. SET prosesi bir bankada kredi kartı hesabı açılmasına ve sonradan posta yoluyla PIN elde edilmesine benzer. Tek fark, işlemlerin güvensiz bir ortam olan Internet üzerinden gerçekleşmesidir.
Sipariş girme ve sipariş onaylarının verilmesinde müşterilerle tüccarlar sertifika değiş tokuşu gerçekleştirir. Tüccar üç tane sertifika ister. Bunlar:
- Mesajların imzalanması için,
- Anahtar değiş tokuşu için,
- İş hareketini kabul veya reddeden doğrulama otoritesi için. Bu üçüncü sertifika, bir ödeme geçit yolu(payment gateway) ile tüccar arasında gerekli olup, tüccarın ödeme isteğini göndermesi ile ortaya çıkar.
Bu işlemler sırasında CA, bir sertifikanın güvenli bir şekilde kullanılıp kullanılmayacağına dair noter görevi görür.
Hiç yorum yok:
Yorum Gönder