SET protokolü, güvenlikle ilgili üç ana alanda önemli yenilikler sağlamaktadır. Bu şekilde de diğer ödeme güvenliği yöntemlerine göre çok önemli üstünlükler elde etmektedir.
Bu üç alan; Gizlilik, mesajların kriptolanarak okunaksız hale getirilmesiyle sağlanır.
Mesaj bütünlüğü, sayısal imzalama ve “hash” ile mesajın gönderildiği şekilde hiç bir değişikliğe uğramadan karşı tarafa ulaştığının garanti edilir. İşlemler kötü amaçlı bireyler tarafından hesap numarasında veya tutarda değişiklik yapılacak şekilde değiştirilemez.
Yetkilendirme, sayısal imza kullanımı ile sağlanır. Sayısal imza sayesinde, işleme katılan tarafların kimlikleri doğrulanır, gönderdikleri mesajı inkâr etmeleri önlenmiş olur.
Bu üç güvenlik unsuru aşağıda biraz daha detaylandırılarak sunulmaktadır:
İşlemlerin gizliliği ve kişiye özel bilgilerin korunması kriptolama ile sağlanmaktadır. SET protokolü, RSA ve DES olmak üzere iki farklı algoritma kullanır.
DES simetrik bir algoritmadır ve işlem sırasında transfer edilen datanın kriptolanmasiyla ilgilenir. RSA ise asimetrik bir algoritma olup, imzalar için ve simetrik anahtarlarla banka kartı numaralarının açık anahtarla (public key) kripto işlemi için kullanılmaktadır.
Bu şekilde SET protokolü, en iyi iki algoritmanin birleşik kullanımıyla, yüksek bir kripto güvenliği seviyesine ulaşmaktadır. Bu sistem, şu şekilde çalışmaktadır: Ilk olarak, mesaj datası rastgele üretilmiş bir simetrik DES anahtarıyla kriptolanır. Daha sonra bu anahtar mesaj alıcısının açık RSA anahtarıyla kriptolanır. İkinci anahtar mesajın içine yerleştirildiği bir “sayısal zarf” niteliğindedir. Alıcı bu zarfı aldığı zaman, kendi özel anahtarıyla açarak rastgele üretilmiş simetrik anahtara ulaşır ve bu anahtarı da orijinal mesajın şifresini çözmek için kullanır.
Mesajın bütünlüğü, yanı alıcıya değişikliğe uğramadan ulaştığının garantisi, hashing algoritmalarının kullanıldığı tek yönlü kriptolama ve sayısal imzalarla sağlanır. Hashing algoritması mesajı “öğüterek” benzeri olmayan bir forma sokar. Bu işlem tek basına mesajın bütünlüğünü garanti etmeye yeterli değildir. Bu nedenle gizli bir kripto anahtarıyla birlikte kullanılır. Bu aşamada sayısal imzalar devreye girmektedir.
Yetkilendirme, mesajın göndericisinin kimliğini doğrulamak için kullanılır. SET işlemine katılan tarafların her biri sayısal sertifikalarla yetkilendirilir. Bu sertifikalar “güvenilir” bir üçüncü parti yetkili bir kuruluş (Certification Authority - CA) tarafından yayınlanmaktadır. Her sayısal sertifika, ait olduğu kişilerin kimlik bilgilerini ve açık anahtarlarından (public key) birisini içermektedir. Bunun dışında her sertifika, geçerliliğinin belgelenmesi için sertifika kuruluşu tarafından sayısal olarak imzalanır.
SET, gerek internet üzerinde satış yapan satıcılar, gerekse de alışveriş yapan müşterilerin bugüne kadar karşılaştıkları veya karşılaşabileceklerini bekledikleri sorunların aşılması yönünde önemli bir aşama sağlıyor. Kötü niyetli girişimleri önemli ölçüde engelleyecek yöntemler içermesi, kart sahiplerinin İnterneti alışveriş için kullanma yönündeki güvenlerini arttırıyor. Öte yandan, ödeme güvencesini alan ticarethaneler için de çok avantajlı bir durum ortaya çıkıyor. Set’in en önemli yararı sağladığı kesimin ise, kötü niyetli girişimlerden en büyük zararı gören kredi kartı şirketleri olacağı tahmin ediliyor.
Hiç yorum yok:
Yorum Gönder