Inhaltsverzeichnis vorherige Seite nächste Seite

5.2 SET

 

5.2.1 Einführung

SET steht für Secure Electronic Transaction und wurde von Visa und MasterCard gemeinsam entwickelt. SET ist ein offener Industriestandard, der den Kunden sichere Kreditkartenzahlungen über das Internet ermöglichen und die Schwächen des aktuellen de-facto Standards SSL beseitigen soll.

Im Juni 1997 wurde die Spezifikation V1.0 freigegeben und der Öffentlichkeit zur Verfügung gestellt.

SET gibt dem Kunden einerseits die Sicherheit, daß er bei einem für Kreditkartenzah-lungen legitimierten Händler einkauft, und andererseits kann der Anbieter darauf vertrauen, daß die Kreditkartennummer gültig ist.

Prinzipiell läuft eine Transaktion mittels SET wie folgt ab: Der Händler bekommt vom Kunden eine Bestellung. Sie enthält separat Kreditkartendaten, die er nicht lesen kann. Er reicht sie an seine Händlerbank weiter, um zu erfahren, ob die Karte gültig ist. Erst dann erhält der Kunde seine Ware.
 

5.2.2 Traditionelle Kreditkartenzahlung über das Internet

Bislang laufen Kreditkartenzahlungen über SSL oder auch S-HTTP ab. Außerdem sind auch Klassenbibliotheken mit kryptographischen Routinen verfügbar.

Hierbei existieren jedoch einige schwerwiegende Probleme:
 

  • Der Kunde kann sich nicht darauf verlassen, daß der Händler seine Kreditkarten-nummer geheim hält
  • Der Kunde weiß nicht, ob der Anbieter tatsächlich ein legitimierter Händler ist
  • Der Händler kann nicht sicher sein, daß die Karte gültig ist und er wirklich mit dem rechtmäßigen Inhaber der Karte Geschäfte tätigt (Kreditkartenabrechnungen erfolgen periodisch, meist nur am Monatsende)

    •  

    5.2.3 Grundprinzipien von SET

    Die Grundlagen für eine sichere Bezahlung im Internet (Vertraulichkeit der Informatio-nen, Integrität von Zahlungen und die Identität der Handelspartner) werden auch von SET durch Kryptographie, digitale Unterschriften und Zertifikate sichergestellt.

    SET kombiniert zwei Verschlüsselungsverfahren: die symmetrische DES-Methode und die asymmetrische RSA-Verschlüsselung. Sowohl Kunde als auch Händler benötigen digitale Zertifikate von einem sogenannten ‚Trustcenter‘. Visa hat mit der Ausgabe der Zertifikate VeriSign beauftragt.

    Wie man sich das auf Anwenderseite vorstellen kann, zeigt Microsoft mit dem IE 4.0. Dort ist eine SET-kompatible Geldbörse enthalten (Microsoft Wallet), mit der man digitale Zertifikate verwalten kann. Zertifikate selber können dann einfach per eMail von VeriSign angefordert werden.
     

    5.2.4 Ablauf einer typischen SET Transaktion

    Eine Kaufanfrage materialisiert sich beim Händler durch einen Initialisierungswunsch der SET Software des Kunden. Der Anbieter antwortet mit seinem Zertifikat und dem Public Key des Payment Gateway (der Händlerbank), an welches dann die Kreditkar-tendaten weitergereicht werden.

    Der Kunde überprüft das erhaltene Zertifikat, um sicherzugehen, daß er mit einem legitimierten Händler kommuniziert. Nach erfolgreicher Verifikation werden zwei Nachrichten verschickt:
     

  • Die Bestelldaten, verschlüsselt mit einem 56-Bit-DES-Key
  • Die Kreditkartendaten, verschlüsselt mit dem öffentlichen 1024-Bit-RSA-Key des Payment Gateways, d.h. der Händlerbank (durch diese Maßnahme kann der Händler die Kreditkartendaten nicht lesen) und der 56-Bit-DES-Key der ersten Nachricht, verschlüsselt mit dem 1024-Bit-RSA-Key des Empfängers (d.h. dem Händler)

    •  


     

    Abb. 5-3: Inhalt der SET Nachrichten

    Der Händler dekodiert nun mit seinem privaten RSA-Key die zweite Nachricht, erhält dadurch den 56-Bit-DES-Key und entschlüsselt mit diesem wiederum die Bestelldaten. Die Kreditkartendaten werden an die Händlerbank weitergeleitet. Der Händler erhält von seiner Bank dann eine Autorisierung.

    Die Integrität der Zahlungen und der Authentifizierung der Kommunikationspartner wird von SET durch digitale Signaturen gesichert. (mittels Message Digest).

     


    Inhaltsverzeichnis vorherige Seite nächste Seite