Elektron Ticarətin Təhlükəsizliyində SET Və SSL Protokollarının Rolu

Elektron Ticarətin Təhlükəsizliyində SET Və SSL Protokollarının Rolu

Planetin aparıcı səkkiz ölkəsi tərəfindən imzalanmış Qlobal İnformasiya cəmiyyətinin Okina xartiyasında deyilir ki, informasiya kommunikasiya texnologiyaları iyirmi birinci əsrin cəmiyyətinə təsir göstərən əsas faktorlardan biridir. Son zamanlar bilavasitə maliyyə–kredit institutlarının iştirakı ilə həyata keçirilən İnternet şəbəkəsi üzrə fəaliyyət göstərən ticarət və ya elektron kommersiya strukturları inkişaf etməyə başlamışdır. Bu ticarət növü xüsusilə elektron bazardan əhalinin və müəssisələrin daha çox istifadə edə biləcəyi yerlərdə daha çox məşhur olmağa başlamışdır.

Lakin, elektron kommersiyanın daha çox inkişaf etdiyi xarici ölkələrdə ticarət sövdələşmələrinin və ya məhsulların həcmi adətən 300–400 dollarla məhdudlaşdırılır. Bu, kompüter şəbəkələrində informasiya təhlükəsizliyi probleminin kifayət dərəcədə həllini tapmaması ilə əlaqədardır. BMT komitetinin onunla bağlı mübarizə ilə verdiyi qiymətləndirməyə əsasən, kompüter cinayətkarlığı beynəlxalq problemlərdən birinin səviyyəsinə gəlib çıxmışdır. Bəzən ABŞ-da cinayətkarlığın bu növü narkotik və silah ticarətindən sonra gəlirliliyinə görə 3 – cü yeri tutur.

Elektron kommersiyada həyata keçirilən tranzaksiyalarda təhlükəsizliyinin təminatında protokolların xüsusi yeri və rolu vardır. Elektron kommersiyada protokol adı altında tranzaksiya iştirakçılarının (kart sahibi, ticarət nöqtələri, xidmətedici bank, bank-emitent, sertifikasiya mərkəzi) qarşılıqlı fəaliyyət ardıcıllığını və onların bir biri ilə avtorizasiya və hesablama proseslərini təmin etmək məqsədilə mübadilə etdikləri məlumatların formatlarını müəyyən etməyə imkan verən alqoritm başa düşülür. Hal-hazırda elektron kommersiya sistemlərinin quruluşu zamanı istifadə olunan ən geniş yayılmış ( bəzi məlumatlara görə 99%-ə qədər) protokol SSL protokoludur.

SSL texnologiyası TCP/IP protokolu ilə fəaliyyət göstərən, web-server və web-brauzer arasındakı bütün məlumat axınını mühafizə edən etibarlı bir protokoldur. O, bütün məşhur web-server və web-brauzerdə tətbiq olunma imkanına malikdir. Müasir dövrdə internet vasitəsilə elektron ticarətdə və elektron iş fəaliyyətində çox əhəmiyyətli rola malikdir. SSL protokolu iki tərəf arasında etibarlı və məxfi əlaqənin təmin edilməsində çox mühüm funksiyanı həyata keçirir. SSL bağlantısı vasitəsilə göndərilən verilənlər üçüncü şəxslər tərəfindən modifikasiya edildikdə və ya oğurlandıqda tranzaksiyanın bütün iştirakçıları bundan xəbərdar olur.

Bu sistemdə kredit kartlarla bağlı bütün məlumatlar SSL texnologiyasıyla şifrələndikdən sonra online olaraq banka göndərilir və daha sonra alışın həyata keçirildiyi mağazada işləyənlər tərəfindən oxuna bilir.

Secure Sockets Layer (SSL) – web-brauzerlər və web-serverlər arasında ötürülən məlumatların mühafizəsini təmin edən protokoldur. SSL həmiçinin web düyündən əldə olunan məlumatların həqiqətən də həmin düyündən gəldiyinə və ötürülmə zamanı məlumatların təhrif olunmadığına əmin olmağa imkan verir. Ünvanı https – lə başlayan istənilən web düyün SSL protokolunu dəstəkləyir.

SSL protokolu 1994-cü ildə Netscape Communications şirkəti tərəfindən işlənib hazırlanmışdır. O, HTTP, NNTP, FTP və s.  kimi servis protokolları ilə TCP/IP kimi nəqliyyat protokolları arasında verilənlərin mühafizəsini təmin edir. O ilk növbədə verilənlərin ötürülməsi üçün şifrələmə kanalının yaradılması məqsədilə müştəri və serverin autentifikasiyasının həyata keçirilməsindən ötrü tətbiq olunur. Autentifikasiya açıq açarlar infrastrukturunun tətbiqinə əsaslanır. Bununla belə, hər kəsin istifadə edə biləcəyi açıq açar və yalnız kartın sahibinin malik olduğu bağlı açardan da istifadə olunur. Açıq açarla şifrələnmiş informasiya qoşa bağlı açar vasitəsilə deşifrələnə bilər və əksinə.

Açıq açarların bölüşdürülməsi istifadəçiləri sertifikatlar təmin edən xüsusi sertifikasiya mərkəzləri tərəfindən həyata keçirilir. Sertifikat mərkəzin bağlı açarı vasitəsilə imzalanır. Sertifikatların köməyilə həm serverin , həm də ki müştərinin ciddi autentifikasiyası həyata keçirilir. Bu proses kifayət dərəcədə çətindir, bununla bu zaman həmçinin sertifikatın hansı sertifikasiya mərkəzi tərəfindən verilməsi, onun zədələnməməsi və ya geri çağırılmaması yoxlanılır.

Adətən SSL-dən iki halda istifadə olunur: müştərinin qoşulduğu serverin və TCP/IP üzrə verilənlərin ötürülməsi zamanı şifrələmə kanalının təmin edilməsi üçün müştərinin özünün identifikasiyasının aparıldığı zaman. Bundan başqa, SSL protokolu vasitəsilə qurulan bağlantılar verilənlərin tamlığına zəmanət verir. Şifrələmə nadir hallarda aparılır, yəni o çoxlu resurs tələb edən bir prosesdir, buna görə də serverin gücü və imkanları kifayət dərəcədə yüksək olmalıdır.  Kanalın şifrələnməsi üçün istifadə olunan seans açarları autentifikasiya prosesinin uğurla həyata keçirilməsindən sonra yaradılır. Hər sonrakı bir neçə dəqiqə onlar dəyişilir,bu da kriptodavamlılığı artırır.

1996-cı ildə SSL protokolunun 3. 0 buraxılışının çıxmasıyla əlaqədar o, bütün brauzerlərin (MS Explorer,Netscape Navigarot və s. ) dəstəklədiyi bir standart halına gəlmiş və çox geniş tətbiq sahəsini əldə etmişdir. SSL, göndərilən məlumatın dəqiqliklə və sadəcə doğru ünvanda deşifrə edilə bilməsini təmin edir. Məlumat göndərilmədən öncə avtomatik olaraq şifrələnir və sadəcə doğru alıcı tərəfindən deşifrələnə edilə bilər. Hər iki tərəfdə də autentifikasiya prosesi həyata keçirilərək əməliyyatın və məlumatların gizliliyi və tamlığı təmin olunur.

Kompüterlərin bir – birini “tanıma” əməliyyatı açıq-bağlı açar texnologiyasına (public-private key encryption) əsaslanan kripto sistem ilə təmin olunur. Bu sistemdə iki təşkil olunan bir açar cütü mövcuddur. Bunlardan açıq açar (public key) hər kəsə məlum olan və göndərilən məlumatın şifrələnməsində istifadə olunan rəqəmsal açardır. Ancaq, açıq açar ilə şifrələnən məlumat yalnız bu açarın digər cütü olan “bağlı açar” (private key) tərəfindən açıla,yəni deşifrələnə bilər. Bağlı açar da yalnız məlumatı göndərənə məlum olduğuna görə onun etibarlılığı təmin olunmuş olur. Məsələn, siz sizə məlumat göndərmək istəyən birinə öz açıq açarınızı göndərirsiniz. Qarşı tərəf bu açardan istifadə edərək məlumatı şifrələyir və sizə göndərir. Şifrələnən məlumat yalnız sizə məlum olan bir açar, yəni bağlı açar tərəfindən açılıb oxuna bilər. Verilənlərin mübadiləsi zaman istifadə olunan şifrələmənin gücü açarın uzunluğundan asılıdır.

Açarın uzunluğu məlumatların mühafizəsi üçün çox önəmlidir. SSL protokolunda 40 bit və 128 bitlik şifrələnmədən istifadə olunur. 128 bitlik şifrələnmədə 2128 dəyişik açar vardır və bu şifrənin açılması üçün böyük bir maliyyə vəsaitlərinə və zamana ehtiyac duyulur. Pis niyyətli bir insanın 128 bitlik şifrəni aça bilməsi üçün 1 milyon dollarlıq vəsait qoyduqdan sonra 67 ilə qədər zaman xərcləməsi tələb olunurdu. Bu misaldan aydın olur ki, SSL etibarlı sistemi tam və dəqiq bir mühafizəni təmin edir.

SSL protokolun geniş yayılma səbəblərindən biri də odur ki, o, bütün məşhur brauzer və web-serverlərin aparıcı tərkib hissəsidir. Bu o deməkdir ki, faktiki olaraq hər bir kart sahibi İnternetə standart çıxış vasitələrindən istifadə edir və bu zaman SSL protokolundan istifadə etməklə tranzaksiyaları həyata keçirmək imkanını əldə edir. SSL protokolunun digər üstünlüyü onun sadəliyi və yüksək əməliyyat göstəriciləridir( tranzaksiyanın reallaşma sürətliliyi). Sonuncu üstünlüyü onunla əlaqədardır ki, protokol məlumtların ötürülməsi zamanı eyni kriptodavamlılıq səviyyəsində assimetrik alqoritmlərə nisbətən 2-4 dəfə tez işləyən simmetrik şifrələmə alqoritmlərindən istifadə edir.

Eyni zamanda, SSL protokolu elektron kommersiyada bir sıra çatışmamazlıqlara malikdir. SSL protokolundan istifadəni məhdudlaşdıran əsas iki mənfi cəhət mövcuddur. Ondan istifadənin klassik variantında istifadəçilərin mobilliyinə nail olunmur və autentifikasiyanı həyata keçirməkdə əsas faktor olan istifadəçinin sertifikatından bağlı açarın oğurlanması təhlükəsi mövcud olur.

SSL-in istifadəsinə əsaslanmış elektron kommersiya protokolları İnternet mağaza tərəfindən müştərinin autentifikasiyasını dəstəkləmir, belə ki, bu cür protokollarda müştərinin sertifikatlarından demək olar ki istifadə edilmir. SSL sxemlərində müştərilər tərəfindən “klassik” sertifikatlardan istifadə praktiki olaraq faydasızdır. Müştəri tərəfindən məşhur sertifikasiya mərkəzlərinin birindən əldə edilmiş bu cür sertifikat yalnız müştərinin adına və çox nadir hallarda onun şəbəkə ünvanına malik olur. Müştərilərdən çoxu dinamik İP ünvana malik olurlar. Bu şəkildə sertifikat tranzaksiyaların keçirilməsi üçün ticarətdə az faydalıdır, çünki, asanlıqla cinayətkarla tərəfindən əldə edilə bilər. Müştərinin sertifikatının ticarət nöqtəsi üçün hər hansı bir əhəmiyyətə malik olması üçün onun müştərinin kart nömrəsi ilə onun bank emitenti arasında əlaqə yaratması zəruridir. Bununla belə, sertifikata malik olan kart sahibinin alış üçün müraciət etdiyi istənilən internet-mağaza bu əlaqəni yoxlamaq imkanına malik olmalıdır (özünün xidmətedici bankın köməyindən istifadə etməklə). Başqa sözlə, bü cür sertifikat müştəri tərəfindən özünün bank emitentidən əldə edilməlidir. Bu halda sertifikatın formatı, sertifikatda kartın nömrəsinin gizlədilməsi (aydındır ki, kartın nömrəsi sertifikatda açıq şəkildə görsənməməlidir), sertifikatların yayılma və geri çağırılma prosedurları və bir sıra digər hallar tranzaksiyanın bütün iştirakçıları arasında müzakirə edilməlidir. Başqa sözlə desək, sertifikasiya mərkəzlərinin iyerarxik infrastrukturunun yaradılmasına ehtiyac vardır. Bu cür infrastruktur yaradılmadan tranzaksiyanın bütün iştirakçıları arasında qarşılıqlı autentifikasiyadan söhbət gedə bilməz.

SSL sxemlərində müştərinin autentifikasiyasının yoxluğu bu protokolun ən böyük çatışmamazlığıdır, belə ki, bu çatışmamazlıq cinayətkarlara sadəcə olaraq kartın rekvizitlərindən xəbərdar olmaqla tranzaksiyanı uğurla həyata keçirməyə imkan verir. Xüsusilə də, SSL protokolunun xidmətedici bank tərəfindən müştərinin autentifikasiyasını həyata keçirməyə imkan vermədiyini nəzərə aldıqda.

Bütün bunlara baxmayaraq SSL protokolunun kifayət dərəcədə geniş tətbiq sferası mövcuddur. SSL protokolu daha çox web-brauzerlərlə web-serverlər arasında məlumatların mübadiləsinin mühafizəsi məqsədilə istifadə olunur. Bu mühafizə protokolunun əsas təyinatı aşağıdakılardna ibarətdir:

·       Serverin autentifikasiyası – bu istifadəçilərə onların həqiqətən də istədikləri web-düyünü ziyarət etdiklərinə zəmanət verir;

·       İnformasiyanın serverlə brauzer arasında kodlaşdırılmış şəkildə ötürülməsinə imkan verən mühafizə edilmiş kanalın yaradılması. Bu ötürülmə zamanı informasiyanın təhrif olunmasının qarşısını alır.

·       Verilənlərin tamlığı.

Web istifadəçiləri web-serverin SSL protokolunu dəstəkləməsini https ünvan başlığı ilə müəyyən edə bilər. Burada məlum olan HTTP – Hypertext Transfer Protokol – una əlavə edilmiş “s” hərfi secure, yəni “mühafizə edilmiş” anlamını verir. İstifadəçinin SSL-bağlantısına qoşulmaq üçün xüsusi əməliyyatlar həyata keçirməyə ehtiyac yoxdur. SSL – in müştəri proqramı brauzerə quraşdırılıb;onlardan bir çoxu sadəcə olaraq istifadəçinin həqiqliyinə əmin olmaq üçün qeydiyyat nömrəsini və parolu tələb edə bilər.

Fəaliyyəti internetlə əlaqədar olan şirkət sertifikatlara görə müvəkkil olan və şirkətin həqiqətən də özünü təqdim edən olduğunu təsdiqləyən VeriSign və ya GeoTrust kimi müstəqil təşkilatlara müraciət etməsi zəruridir. Yoxlamanın bitməsindən sonra şirkət özünün web-serverlərində SSL bağlantılarını təşkil edə bilərlər.

 

SSL-in mühafizə edlimiş bağlantını yaratması

Mühafizə edilmiş bağlantılar, elektron kommersiya, mühafizə edilmiş interaktiv bank əməliyyatlarının təminatı, digər elektron biznes və müəyyən təhlükəsizlik səviyyəsini tələb edən bütün növ tranzaksiyalar üçün kritik əhəmiyyətə malikdir.

 

SSL seansına sorğu

 

İstifadəçi ünvanı https ilə başlayan web-düyünü ziyarət edir.  “s” hərfi göstərir ki, server iş üçün SSL protokolundan istifadəni tələb edir.

 

Bağlantının proqram quraşdırılması

İstifadəçinin brauzeri və web-düyünün serveri handshake adını qazanmış məlumatlar mübadiləsi prosesinə başlayırlar.

 

A. Server brauzerə özünün VeriSign və ya GeoTrust kimi etibar qazanmış və səlahiyyətli şirkət tərəfindən sertifikasiya edilmiş açıq açarını göndərir. Brauzer serverin serverin  serfitikatını  yoxlayır.

 

B. Server brauzerə verilənlərin kodlaşdırılması və ya şifrələnməsi üçün neçə dərəcədən istifadə ediləcəyi barəsində məlumat verir. Adətən 128 dərəcədən istifadə etmək tövsiyyə olunur.

Mühafizə edilmiş bağlantı

 

Verilənlərin mübadiləsi, cinayətkarlara məlumatları öyrənməyə və təhrif etməyə imkan verməyən mühafizə edilmiş kanal üzrə həyata keçirilir. Verilənlərin tamlığının yoxlanılması onların brauzerdən serverə doğru və ya əksinə ötürülməsi prosesində modifikasiya edilməməsinə zəmanət verir. Verilənlər serverdə və ya brauzerdə görünən kimi onların mühafizəsinə artıq zəmanət verilmir.

 

Şəkil. SSL bağlantının təmin olunması.

 

SSL protokolundan istifadə zamanı ticarət nöqtəsi yalnız özünün internetdəki ünvanı, yəni URL ünvanı üzrə autentifikasiya olunur. Bu o deməkdir ki, tranzaksiyanı həyata keçirən müştəri ticarət nöqtəsini əvvəldə qeyd edildiyi anlamda autentifikasiya etmir, yəni, ticarət nöqtəsi ilə ödəmə sisteminin iştirakçısı olan xidmətedici bankı arasındakı razılıq münasibətlərinin mövcudluq sübutunu əldə etmir. Ticarət nöqtəsinin yalnız URL üzrə autentifikasiyası cinayətkarların müxtəlif elektron kommersiya sistemlərinə çıxış əldə etməsini asanlaşdırır.

Burada qeyd etmək zəruridir ki, ticarət nöqtəsi serverinin sertifikatının yoxlanılması yalnız URL üzrə ona görə baş verir ki, bu cür quruluşa müştərilərin iş yerlərindəki bütün məşhur brauzerlər malikdir. SSL protokolu brauzerlərlə işləyən bütün əlavələrə onlar tərəfindən təhlil edilə bilən informasiyanı ötürməyə imkan verir. Məsələn, sertifikat sahibinin adı, sessiyanın quraşdırılmasının başlanma tarixi və vaxtı və s. Əldə edilən verilənlərin təhlili əsasında əlavələr protokolun işinə müdaxilə etmək imkanını əldə edirlər (məsələn,  SSL-sessiyası iştirakçılarından birinin autentifikasiyasını uğursuz qəbul etmək və sessiyanı dayandırmaq). Bu cür əlavə təhlilin mümkün olması üçün brauzerin funksionallığından istifadə edə biləcək xüsusi əlavələrə ehtiyac duyulur. Bu cür əlavə – müştəri tərəfindən elektron alışı reallaşdırmaq məqsədilə istifadə olunan xüsusi proqram təminatı olan elektron pul kisəsi çərçivəsində reallaşır.

Elektron pul kisəsindən istifadə müştəri tərəfindən bəzi çətinlikləri yaratmaqdan ( pul kisəsini yükləmək tələb olunur) və bu cür pul kisələrini bölüşdürən mərkəzin mövcudluğunu nəzərə almaqdan başqa özü özlüyündə bu problemi həll etmir. Problemin həlli üçün yuxarıda haqqında danışılan sertifikasiya mərkəzlərinin iyerarxik infrastrukturuna ehtiyac duyulur. Ticarət nöqtəsinin leqallığı, ödəmə sisteminin hər kəsə məlum olan sertifikatına malik olan xidmətedici bank tərəfindən verilən bağlı açara uyğun olan ticarət nöqtəsinin açıq açarının sertifikatı  faktının yoxlanılması ilə müəyyən edilməlidir.

SSL protokolundan istifadə zamanı ticarət nöqtəsi üçün kartın rekvizitləri ilə əlaqədar informasiyanın məxfiliyi təmin olunmur. Bu nöqteyi nəzərdən digər təhlükəsizlik təminatında SET protokolundan istifadə etmək daha məqsədyönlüdür.

SET (Security Electronics Transaction) – İnternetdə şəbəkə üzrə elektron ticarətin təhlükəsizliyini təmin edən daha perspektivli təhlükəsizlik protokoludur. Mühafizə edilmiş tranzaksiyaların həyata keçirilməsi protokolu olan SET, IBM, GlobeSet  və digər partnyorların iştirakı ilə Visa və MasterCard şirkətləri tərəfindən işlənib hazırlanmış standartdır. O, alıcılara İnternet vasitəsilə müasir dövrdə mövcud olan ən təhlükəsiz mexanizmlə ödənişləri həyata keçirməyə imkan verir. SET İnternetdə plastik kartlardan istifadə zamanı təhlükəsiz ödəmələrin həyata keçirilməsi üçün tətbiq olunan çoxtərəfli açıq standart protokoldur. SET protokolu qiymətli verilənlərin şifrələnməsini, məlumatların məxfiliyi və tamlığını və məhsula görə ödənişin hazırlığını yoxlamaq məqsədilə satıcının, onun bankının və kart sahibinin hesabının kros-autentifikasiyasını təmin edir. Buna görə də SET-i İnternet vasitəsilə plastik kartlardan istifadə zamanı təhlükəsiz ödənişlərin həyata keçirilməsi üçün tətbiq olunan protokollar sistemi və ya standart texnologiya kimi də adlandırmaq olar.

SET, istehlakçılara və satıcılara kriptoqrafiyanın köməyi və həmçinin rəqəmsal sertifikatlardan istifadə etməklə İnternetdə həyata keçirilən əməliyyatların bütün iştirakçılarının həqiqiliyini təsdiq etməyə imkan verir.

Elektron kommersiya sahəsində potensial satış həcmi  İnternet vasitəsilə ödəmələrin təhlükəszilik təminatı probleminə görə narahatlıq keçirən bütün maliyyə institutları, satıcı və alıcıların hamısının birlikdə təmin etdiyi zəruri informasiya təhlükəsizliyi səviyyəsinin əldə olunması ilə məhdudlaşır. Əvvəldə qeyd edildiyi kimi informasiya mühazifəsinin əsas məsələsi onun əlverişliliyinin, məxfililiyinin, tamlığının və hüquqi əhəmiyyətliliyinin təmin olunması ilə müəyyən olunur.

Müasir dövrdə bir çox şirkətlərin elektron kommersiyada fəaliyyət göstərməsi məqsədilə özlərinin proqram təminatlarını işləyib hazırlaması ilə əlaqədar olaraq bir problem də meydana çıxır. Çünki bu cür proqram təminatından istifadə etmək üçün əməliyyatın bütün iştirakçıları eyni bir əlavəyə malik olmalıdır, bu isə praktiki olaraq qeyri-mümkündür. Bu səbəbdən müxtəlif istehsalçıların əlavələri arasında qarşılıqlı fəaliyyət mexanizminin təmin olunması üçün digər bir üsula ehtiyac duyulur.

Yuxarıda sadalanan problemlərlə əlaqədar olaraq Visa və MasterCard şirkətləri texniki məsələlərlə məşğul olan digər şirkətlərlə birlikdə Set standartının protokollar yığımını və spesifikasiyasını işləyib hazırlamışlar.  Bu açıq spesifikasiya tez bir müddət ərzində elektron kommersiya üçün de-fakto standartı adını qazanmışdır. Bu spesifikasiyada informasiyanın şifrələnməsi onun məxfiliyini təmin edir. Rəqəmsal imza və sertifikatlar tranzaksiya iştirakçılarının identifikasiyasını və autentifikasiyasını təmin edir. Verilənlərin tamlığının təmin olunmasında rəqəmsal imzalardan həmçinin istifadə olunur. Açıq protokollar yığımından müxtəlif istehsalçıların realizasiyaları arasındakı qarşılıqlı fəaliyyətin təmin olunmasında istifadə olunur.

SET elektron kommersiyada aparılan əməliyyatların mühafizəsi məqsədilə aşağıdakı xüsusi tələblərin həyata keçirilməsini təmin edir:

·       Ödənişlə əlaqədar verilənlərin və bu verilənlərlə birgə göndərilmiş sifarişlə bağlı informasiyanın məxfiliyi;

·       Ödənişlə əlaqədar verilənlərin tamlığının qorunub saxlanması; rəqəmsal imza vasitəsilə tamlığın təminatı;

·       Autentfikasiyanın həyata keçirilməsi üçün açıq açarlı xüsusi kriptoqrafiyanın təmin olunması;

·       Kredit kart sahibinin autentifikasiyası, bu kart sahibinin rəqəmsal imzası və sertifikatlarının tətbiqi nəticəsində təmin olunur;

·       Satıcının rəqəmsal imzası və sertifikatı tətbiq olunmaqla satıcının və onun kredit kartlar üzrə aparılan ödənişləri qəbul etmək imkanının autentifikasiyası;

·       Satıcı bankının prosessing mərkəzi ilə əlaqə vasitəsilə kredit kartlar üzrə ödənişləri qəbul edə bilən fəaliyyət göstərən təşkilat olduğunu təsdiqləmək; bu təsdiqlənmə satıcı bankının rəqəmsal sertifikat və rəqəmsal imzası vasitəsilə təmin olunur;

·       Kriptoqrafiyadan istifadə nəticəsində verilənlərin ötürülməsinin təhlükəsizliyi.

SET satıcılar, kart sahibləri və banklar arasında mövcud olan münasibətləri qoruyub saxlamağa imkan verir və aşağıdakı xüsusiyyətlərə əsaslanır:

·       Maliyyə sənayesi üçün açıq və tamamilə sənədləşdirilmiş standart;

·       Ödəmə sistemlərinin beynəlxalq standartlarına əsaslanıb;

·       Maliyyə sahəsində mövcud olan texnologiyalara və hüquqi mexanizmlərə əsaslanır.

SET spesifikasiyasına uyğun olaraq ödəmə əməliyyatı iştirakçılarının qarşılıqlı fəaliyyət prosesi daha dəqiq olaraq aşağıdakı şəkildə təqdim edilir:

Şəkil . SET standartı üzrə ödəmə sisteminin iştirakçılarının qarşılıqlı fəaliyyət sxemi

Şəkildə kart sahibi sifarişi edən alıcı; alıcının bankı alıcı üçün kredit kartı buraxan maliyyə institutu; satıcı xidmət və məhsulları təklif edən elektron mağaza; satıcının bankı satıcının əməliyyatlarını həyata keçirən maliyyə strukturu; ödəmə şlyuzu satıcının sorğularını emal edən və alıcının bankı ilə qarşılıqlı fəaliyyət göstərən və adətən satıcının bakı tərəfindən nəzarətdə saxlanılan sistem; sertifikasiya təşkilatı isə sertifikatları verən və yoxlayan etibarlı strukturdur.

Şəkildə əməliyyat iştirakçılarının qarşılıqlı fəaliyyət mexanizmi kəsilməz (SET protokolu və ya standartı tərəfindən təsvir edilən qarşılıqlı fəaliyyət) və punktirli  xətlərlə (bəzi mümkün əməliyyatlar) göstərilmişdir.

SET standartının spesifikasiyasına uyğun olaraq qarşılıqlı əlaqələrin və informasiya axınlarının dinamikası özünə aşağıdakı əməliyyatları daxil edir:

1 İştirakçılar sertifikasiya təşkilatına sorğu göndərir və oradan sertifikatlar əldə edirlər;

2. Plastik kartın sahibi elektron kataloqu gözdən keçirir, məhsulları seçir və sifarişi satıcıya göndərir;

3. Satıcı özünü təsdiqləmək üçün öz sertifikatını kart sahibinə təqdim edir;

4. Kart sahibi öz sertifikatını satıcıya təqdim edir;

5. Satıcı ödəmə şlyuzunun yoxlama əməliyyatını aparması üçün ona sorğu göndərir. Şlyuz təqdim edilən informasiyanı elektron kartı buraxan bankın informasiyası ilə tutuşdurur;

6. Yoxlamadan sonra ödəmə şlyuzu nəticələri satıcıya qaytarır;

7. Bir müddət sonra, satıcı ödəmə şlyuzundan bir və ya daha çox maliyyə əməliyyatlarını həyata keçirməyi tələb edir. Şlyuz müəyyən məbləğdə vəsaitlərin alıcının bankından satıcının bankına köçürülməsi üçün sorğu göndərir.

SET protokolu etibarlılıqla əlaqədar olaraq çox mühüm üstünlüklərə malikdir. Şəbəkədə verilənlərin mübadiləsi zamanı etibarlılığın bu üstünlükləri aşağıdakı üç amillə müəyyən olunur:

·       Məxfilik, məlumatların şifrələnərək gizli hala salınmasıyla təmin olunur;

·       Məlumatların tamlığı, rəqəmsal imzalardan istifadə etməklə məlumatın göndərildiyi şəkildə heç bir dəyişkliyə uğramadan qarşı tərəfə çatdırılmasını təmin edir”

·       Autentifikasiya, rəqəmsal imzadan istifadə nəticəsində təmin olunur. Rəqəmsal imzalar vasitəsilə əməliyyat iştirakçılarının kimlikləri təsdiqlənir, göndərdikləri məlumatları inkar etmələrinin qarşısı alınmış olur.

Əməliyyatların məxfiliyi və məlumatların modifikasiyadan qorunması kriptoqrafiya ilə təmin olunur. SET protokolu RSA və DES olmaqla iki fərqli alqoritmlərdən istifadə edir. DES simmetrik bir alqoritmdir və əməliyyat zamanı mübadilə edilən verilənlərin kriptoqrafiyasını təmin edir. RSA isə assimetrik bir alqoritm olub, imzalar üçün və simmetrik açarlarla bank kartı nömrələrinin açıq açarlı kriptoqrafiyasını həyata keçirmək üçün istifadə olunur.

Bu şəkildə SET protokolu ən yaxşı iki alqoritmin birgə istifadəsiylə yüksək bir kriptodavamlılığı təmin etmiş olur. Bu sistem bu cür işləyir: İlk olaraq, verilənlər təsadüfi şəkildə yaradılmış bir simmetrik DES açarıyla şifrələnir. Daha sonra bu açar məlumat alıcısının RSA açarıyla şifrələnir. Bununla ikinci açar məlumatın içinə yerləşdirilən bir “rəqəmsal zərf” formasında olur. Alıcı bu zərfi aldığı zaman özünün xüsusi açarıyla açaraq təsadüfi şəkildə yaradılmış simmetrik açarı əldə etmiş olur və bu açar da orijinal məlumatın şifrəsini açmaq üçün istifadə olunur.

Məlumatın tamlığı dedikdə, onun alıcıya modifikasiya edilmədən çatdırılması nəzərdə tutulur və hashing alqoritmlərinin istifadə edildiyi bir istiqamətli şifrələnmə və rəqəmsal imzalarla təmin edilir. Hashing alqoritmi məlumatı dəyişərək ona bənzər olmayan bir formaya salır. Bu əməliyyat tək başına olaraq məlumatın tamlığın zəmanət verməyə kifayət deyildir. Buna görə də gizli bir kripto açarla birlikdə istifadə edilir. Bu zaman rəqəmsal imzalar əməliyyata daxil olur.

Autentifikasiya, məlumatı göndərənin kimliyini təsdiqləmək üçün istifadə edilir. SET əməliyyatının iştirakçılarının hər biri rəqəmsal sertifikatlarla təmin olunur. Bu sertifikatlar etibarlı üçüncü tərəf olan sertifikasiya mərkəzi (Certification Authority – CA) tərəfindən yaradılır. Hər rəqəmsal sertifikat özünə aid olduğu insanın kimliyi ilə bağlı məlumatları və açıq açarlarından birini daxil edir. Bundan başqa hər bir sertifikat etibarlı olduğunun təsdiqlənməsi üçün sertifikasiya quruluşu tərəfindən rəqəmsal olaraq imzalanır.

SET protokolunun istifadə etdiyi şifrələmə alqoritmi 1024 bitlik şifrələmə ilə həyata keçirilir. Bu şifrənin sındırıla bilməsi üçün saniyədə 10. 000. 000 əmri həyata keçirmək qabiliyyətinə malik olan 100 kompüterin təqribən 2. 800. 000. 000. 000 il çalışmasının lazım olduğu hesablanmışdır. Bu halda belə, açılan şifrə sadəcə bir məlumatın oxunması üçün faydalı ola bilər, sonrakı məlumatın oxunması üçünsə bu əməliyyatın təkrarən həyata keçirilməsi lazımdır.

Eyni şifrələmə metodlarından istifadə etməklə yanaşı SSL və SET protokollarının bir-birindən fərqli olduğunu nümayiş etdirən nöqtələr də mövcuddur. Bunlar aşağıdakılardır:

SSL-də kartla bağlı məlumatları göndərən insanın həqiqətən də kartın sahibi olduğuna zəmanət verilmir. Bu nöqsan SET protokolunda aradan qaldırılmış olur;

SSL-də kartın aid olduğu və POS-un aid olduğu banklar bu modelə daxil deyillər;

SSL-də kart sahibinin kart məlumatları internet vasitəsilə göndərilən zaman şifrələnir,lakin onları qəbul edən mağaza onları oxumaq imkanına malik olur. SET protokolunda isə kartlar bağlı məlumatlar mağazadan gizli olaraq saxlanılır və yalnız bank tərəfindən oxuna bilər.

Visa və MasterCard tərəfindən yaradılaraq 1996-cı ildən bu yana həyata keçirilən işlər nəticəsində SET, günümüzdə texniki xüsusiyyətlərinə görə özünü reallaşdırmış və bazarda kifayət dərəcədə geniş yayılmışdır. Bu gün SET internet vasitəsilə tamamilə etibarlı əməliyyatların həyata keçirilməsi üçün tam hazırdır.

Top