1

Redes IIRedes IIComércio Comércio EletrônicoEletrônicoProtocolos SSL e SETProtocolos SSL e SET

Raul Baldin 02088243Renato Stringassi 02172070

2

IntroduçãoIntrodução

A popularização da internet fez com A popularização da internet fez com que surgisse um grande mercado que surgisse um grande mercado virtual. Devido à suas facilidades e virtual. Devido à suas facilidades e comodidade de acesso. comodidade de acesso.

No Brasil, no ano de 2004, o No Brasil, no ano de 2004, o comércio eletrônico movimentou comércio eletrônico movimentou cerca de 1,7 bilhões de reais.cerca de 1,7 bilhões de reais.

3

Faturamento do e-Faturamento do e-commerce no Brasilcommerce no Brasil

4

DificuldadesDificuldades

Democratização da internet no Democratização da internet no Brasil.Brasil. Ainda existem muitas pessoas sem Ainda existem muitas pessoas sem

acesso à internet.acesso à internet. Medo da má utilização dos dados dos Medo da má utilização dos dados dos

clientes na internet.clientes na internet. Receio de fraudes. Receio de fraudes.

5

Comércio EletrônicoComércio Eletrônico

Compra de bens pela InternetCompra de bens pela Internet Envolve três participantes:Envolve três participantes:

Consumidores (compra o produto)Consumidores (compra o produto) Comerciantes (vende o produto)Comerciantes (vende o produto) Instituições Financeiras (autoriza Instituições Financeiras (autoriza

compra)compra)

6

Comércio Eletrônico Comércio Eletrônico usando SSL/TLSusando SSL/TLS

SSL (secure sockets layer) – Camada SSL (secure sockets layer) – Camada de Portas de Segurançade Portas de Segurança

TLS (transport layer security) – TLS (transport layer security) – Segurança da Camada de TransporteSegurança da Camada de Transporte

Geralmente só a sigla SSL é usada Geralmente só a sigla SSL é usada para representar ambospara representar ambos

7

Comércio Eletrônico Comércio Eletrônico usando SSL/TLS (cont.)usando SSL/TLS (cont.)

Inicialmente desenvolvido pela Inicialmente desenvolvido pela NetscapeNetscape

Fornece criptografia de dados entre Fornece criptografia de dados entre um cliente e um servidorum cliente e um servidor

Implementado em quase todos os Implementado em quase todos os clientes (navegadores) e servidoresclientes (navegadores) e servidores

Várias implementações, bibliotecas Várias implementações, bibliotecas (ex: OpenSSL)(ex: OpenSSL)

8

Comércio Eletrônico Comércio Eletrônico usando SSL/TLS (cont.)usando SSL/TLS (cont.)

Pode ser vista como uma camada entre a camada Pode ser vista como uma camada entre a camada de aplicação e a de transportede aplicação e a de transporte

Não é limitado apenas a aplicações Web: pode Não é limitado apenas a aplicações Web: pode ser usado em correio Imap, POP3, e por ser usado em correio Imap, POP3, e por praticamente qualquer aplicação rodando sobre praticamente qualquer aplicação rodando sobre TCPTCP

Fornece:Fornece: ConfiabilidadeConfiabilidade Integridade de conexão e mensagensIntegridade de conexão e mensagens Autenticação do servidor e opcionalmente do clienteAutenticação do servidor e opcionalmente do cliente

Camada de Aplicação

TLS

Camada de Transporte

9

Problemas de uma Problemas de uma transação de comércio transação de comércio

eletrônicoeletrônico

Bob Trudy Alice

Ordem pagamento

(Senha + #Cartão)

Ordem pagamento

(Senha + #Cartão)

Intruso interceptando ordem de Intruso interceptando ordem de pagamento:pagamento: Um intruso (Trudy) pode interceptar a ordem Um intruso (Trudy) pode interceptar a ordem

de pagamento de um cliente (Bob), obter o de pagamento de um cliente (Bob), obter o número do cartão de crédito e senha para número do cartão de crédito e senha para realizar outras compras em nome de Bobrealizar outras compras em nome de Bob

10

Problemas de uma Problemas de uma transação de comércio transação de comércio

eletrônicoeletrônico

Bob Trudy se passando por

Alice

Ordem pagamento

(Senha + #Cartão)

Intruso se passando por comerciante:Intruso se passando por comerciante: O site do comerciante (Alice) pode ser falso O site do comerciante (Alice) pode ser falso

e estar sendo mantido pelo intruso (Trudy) e estar sendo mantido pelo intruso (Trudy) só para conseguir obter o número do cartão só para conseguir obter o número do cartão e a senha de seus clientes (no caso, Bob)e a senha de seus clientes (no caso, Bob)

11

Autenticação do servidor Autenticação do servidor SSLSSL

Permite que o usuário confirme a Permite que o usuário confirme a autenticidade do servidor:autenticidade do servidor: Autenticação feita pelo navegador que Autenticação feita pelo navegador que

mantém uma lista de CAs de confiança mantém uma lista de CAs de confiança com suas respectivas chaves públicas.com suas respectivas chaves públicas.

Navegador autentica servidor antes do Navegador autentica servidor antes do usuário informar seus dados sigilososusuário informar seus dados sigilosos

Bob verifica que ele está realmente Bob verifica que ele está realmente enviando dados a Alice, e não a alguém enviando dados a Alice, e não a alguém se passando por Alice (Trudy)se passando por Alice (Trudy)

12

Autenticação do cliente Autenticação do cliente SSLSSL

Permite que o servidor confirme a Permite que o servidor confirme a identidade do usuário:identidade do usuário: Análogo a autenticação de servidorAnálogo a autenticação de servidor Servidor mantém lista de certificados Servidor mantém lista de certificados

de clientes emitidos por CAsde clientes emitidos por CAs Suportada pelo SSL, porém opcionalSuportada pelo SSL, porém opcional Usado, por exemplo, se um Banco Usado, por exemplo, se um Banco

quiser enviar dados confidenciais a um quiser enviar dados confidenciais a um clientecliente

13

Uma sessão SSL Uma sessão SSL criptografadacriptografada

Toda informação trocada entre Toda informação trocada entre navegador e servidor é criptografada navegador e servidor é criptografada por software (navegador ou por software (navegador ou servidor)servidor)

Confidencialidade importante para o Confidencialidade importante para o cliente e comerciantecliente e comerciante

Fornece mecanismo de detecção de Fornece mecanismo de detecção de alteração (por um intruso) das alteração (por um intruso) das informações trocadasinformações trocadas

14

Solução para uma Solução para uma transação segura, usando transação segura, usando

SSLSSL

Bob consulta (com navegador) a página segura de Alice

Alice envia seu certificado a Bob

Bob obtém chave pública de Alice

Bob cria uma chave simétrica aleatória e a criptografa usando a chave pública de Alice

Alice obtém a chave simétrica de Bob

15

Limitações do SSL no Limitações do SSL no comércio eletrônicocomércio eletrônico

Muito simples e genéricoMuito simples e genérico Não foi produzido visando transações com Não foi produzido visando transações com

cartões de pagamentos, e sim para comunicação cartões de pagamentos, e sim para comunicação segura entre cliente e servidorsegura entre cliente e servidor

Certificado não mostra se estabelecimento Certificado não mostra se estabelecimento comercial é de confiança ou se o mesmo está comercial é de confiança ou se o mesmo está autorizado a aceitar compras usando cartões de autorizado a aceitar compras usando cartões de pagamentopagamento

Certificado não mostra se cliente está autorizado Certificado não mostra se cliente está autorizado a fazer compra com cartões de pagamentoa fazer compra com cartões de pagamento

Abertura para diversos tipos de fraudes:Abertura para diversos tipos de fraudes: Compra com cartões de crédito roubadoCompra com cartões de crédito roubado Recusa de bens compradosRecusa de bens comprados

16

Protocolo SET Protocolo SET (secure eletronic (secure eletronic

transactions )transactions ) Originalmente desenvolvido pela Originalmente desenvolvido pela

Visa International e MasterCard Visa International e MasterCard International em 1996, International em 1996, conjuntamente com outras empresas conjuntamente com outras empresas (IBM, Microsoft, Netscape).(IBM, Microsoft, Netscape).

SETCo, em 1997 reconhecido como SETCo, em 1997 reconhecido como uma entidade legal para administrar uma entidade legal para administrar e promover a adoção global do e promover a adoção global do protocolo SET.protocolo SET.

17

Características do Características do Protocolo SETProtocolo SET

Diferente do SSL, ele foi projetado para criptografar tipos Diferente do SSL, ele foi projetado para criptografar tipos específicos de mensagens relacionadas ao cartões de específicos de mensagens relacionadas ao cartões de pagamento, não podendo criptografar texto ou imagens.pagamento, não podendo criptografar texto ou imagens.

Envolve três participantes:Envolve três participantes: ClienteCliente ComercianteComerciante BancoBancoTodos as informações importantes envolvidas na transação são Todos as informações importantes envolvidas na transação são

criptografadas. criptografadas.

Os três participantes devem ter certificados. O banco Os três participantes devem ter certificados. O banco fornece certificados para o cliente representando o cartão fornece certificados para o cliente representando o cartão de pagamento do cliente com informações sobre sua conta de pagamento do cliente com informações sobre sua conta a instituição financeira que emitiu o certificado e outras a instituição financeira que emitiu o certificado e outras informações cifradas. O mesmo ocorre para o comerciante informações cifradas. O mesmo ocorre para o comerciante contendo informações sobre ele, o banco do comerciante e contendo informações sobre ele, o banco do comerciante e a instituição que emitiu o certificado.a instituição que emitiu o certificado.

18

Características do Características do Protocolo SETProtocolo SET

O protocolo especifica o significado legal O protocolo especifica o significado legal do certificado em poder de cada do certificado em poder de cada participante e a atribuição de participante e a atribuição de responsabilidades vinculadas à transação.responsabilidades vinculadas à transação.

O número do cartão de pagamento do O número do cartão de pagamento do cliente é passado diretamente ao banco cliente é passado diretamente ao banco do comerciante, sem que ele tenha posse do comerciante, sem que ele tenha posse desses dados, evitando com quem desses dados, evitando com quem acidentalmente esses dados vão parar em acidentalmente esses dados vão parar em mãos erradas.mãos erradas.

19

Componentes de Componentes de SoftwareSoftware

Carteira do browser: Carteira do browser: É integrada ao browser e fornece ao cliente É integrada ao browser e fornece ao cliente

armazenagem e administração de cartões de armazenagem e administração de cartões de pagamento e certificado durante as compraspagamento e certificado durante as compras

Servidor do comerciante:Servidor do comerciante: Ele processa as transações do portador do Ele processa as transações do portador do

cartão e se comunica com o banco do cartão e se comunica com o banco do comerciante para aprovação e subseqüente comerciante para aprovação e subseqüente captura do pagamento.captura do pagamento.

Gateway do adquirinte:Gateway do adquirinte: Componente de software no banco do Componente de software no banco do

comerciante, processa a transação do cartão de comerciante, processa a transação do cartão de pagamento do comerciante referente à pagamento do comerciante referente à aprovação e ao pagamento. aprovação e ao pagamento.

20

Estágios de uma compraEstágios de uma compra

1.1. Cliente informa a intenção de compraCliente informa a intenção de compra

2.2. O comerciante envia ao cliente uma fatura O comerciante envia ao cliente uma fatura e um identificador de transação exclusivoe um identificador de transação exclusivo

3.3. Comerciante envia seu certificado com sua Comerciante envia seu certificado com sua chave pública juntamente com a chave chave pública juntamente com a chave pública do banco e ambos criptografados pública do banco e ambos criptografados com uma chave privada de uma CA.com uma chave privada de uma CA.

4.4. O cliente usa a chave pública de CA para O cliente usa a chave pública de CA para decifrar os dois certificados.decifrar os dois certificados.

21

Estágios de uma compraEstágios de uma compra5.5. O cliente gera dois pacotes de informação:O cliente gera dois pacotes de informação:

- informação de ordem -> contém o identificador da - informação de ordem -> contém o identificador da transação e informação sobre a bandeira do cartão que transação e informação sobre a bandeira do cartão que está sendo usado (destinado ao comerciante).está sendo usado (destinado ao comerciante).Criptografado com a chave pública do comerciante.Criptografado com a chave pública do comerciante.

- instruções de compra -> contém o identificador da - instruções de compra -> contém o identificador da transação, o número do cartão do cliente e o valor da transação, o número do cartão do cliente e o valor da compra (destinado ao banco).compra (destinado ao banco).Criptografado com a chave pública do banco do Criptografado com a chave pública do banco do comerciante.comerciante.

Ambos os pacotes são enviados ao comerciante.Ambos os pacotes são enviados ao comerciante.

6.6. O comerciante gera uma solicitação do cartão de O comerciante gera uma solicitação do cartão de pagamento, junto como o identificador da transação.pagamento, junto como o identificador da transação.

22

Estágios de uma compraEstágios de uma compra7.7. O comerciante envia uma mensagem criptografada com a chave O comerciante envia uma mensagem criptografada com a chave

pública do banco contendo um pedido de autenticação, o pacote pública do banco contendo um pedido de autenticação, o pacote IC do cliente e seu certificado.IC do cliente e seu certificado.

8.8. O banco do comerciante decifra a mensagem verificando se O banco do comerciante decifra a mensagem verificando se houve alguma falsificação e se o identificador de transação houve alguma falsificação e se o identificador de transação contido no pedido de autorização bate com o contido no pacote contido no pedido de autorização bate com o contido no pacote de IC do cliente.de IC do cliente.

9.9. O banco do comerciante envia uma solicitação de autorização de O banco do comerciante envia uma solicitação de autorização de pagamento ao cartão de pagamento do cliente através de uma pagamento ao cartão de pagamento do cliente através de uma rede bancária (exatamente como cartões).rede bancária (exatamente como cartões).

10.10. Após receber a autorização, o banco do comerciante envia uma Após receber a autorização, o banco do comerciante envia uma resposta criptografada, contendo o número identificador da resposta criptografada, contendo o número identificador da transação.transação.

11.11. Se a transação for aprovada o comerciante envia sua própria Se a transação for aprovada o comerciante envia sua própria mensagem ao cliente, que servirá de recibo, informando que o mensagem ao cliente, que servirá de recibo, informando que o pagamento foi efetuado.pagamento foi efetuado.

23

Estágios de uma compraEstágios de uma compra

24

Objetivos do SETObjetivos do SET Oferecer confidencialidade sobre as informações Oferecer confidencialidade sobre as informações

relacionadas a pagamentos e pedidos de compra. relacionadas a pagamentos e pedidos de compra. Assegurar a integridade das informações trafegadas. Assegurar a integridade das informações trafegadas. Oferecer a autenticação de que o proprietário de cartão é Oferecer a autenticação de que o proprietário de cartão é

um usuário legítimo de uma conta em uma um usuário legítimo de uma conta em uma administradora de cartões. administradora de cartões.

Oferecer a autenticação de que o comerciante está Oferecer a autenticação de que o comerciante está habilitado para aceitar pagamentos da administradora de habilitado para aceitar pagamentos da administradora de cartões em questão, através do seu relacionamento com cartões em questão, através do seu relacionamento com uma instituição financeira. uma instituição financeira.

Assegurar o uso das melhores práticas de segurança e Assegurar o uso das melhores práticas de segurança e técnicas de projeto de sistemas, a fim de proteger todas técnicas de projeto de sistemas, a fim de proteger todas as partes envolvidas na transação de compra eletrônica. as partes envolvidas na transação de compra eletrônica.

Criar um protocolo que não dependa de mecanismos de Criar um protocolo que não dependa de mecanismos de segurança no nível de transporte e não “previna seu uso”. segurança no nível de transporte e não “previna seu uso”.

Facilitar e encorajar a interoperabilidade entre Facilitar e encorajar a interoperabilidade entre provedores de software e serviços de rede. provedores de software e serviços de rede.

25

BibliografiaBibliografia http://ltodi.est.ips.pt/nribeiro/Lecturing/SD_00-01http://ltodi.est.ips.pt/nribeiro/Lecturing/SD_00-01

/sd_00-01.html#Objectivos/sd_00-01.html#Objectivos

http://www.inf.ufrgs.br/pos/SemanaAcademica/Shttp://www.inf.ufrgs.br/pos/SemanaAcademica/Semana98/alexis.htmlemana98/alexis.html

http://www-306.ibm.com/software/genservers/cohttp://www-306.ibm.com/software/genservers/commerce/payment/support/overview.htmlmmerce/payment/support/overview.html

Redes de Computadores e a Internet (James F. Redes de Computadores e a Internet (James F. Kurose, Keith W. Ross)Kurose, Keith W. Ross)