Принцип действия Технология SPA аналогична электронному чеку, выписываемому от имени владельца счёта. Система предполагает использование Покупателем цифрового кошелька – e-wallet (SPA-совместимого кошелька). Для этого Покупатель должен скачать специальное программное обеспечение с сайта MasterCard. Каждый раз, когда зарегистрированный владелец счета осуществляет сделку, система генерирует ее специфический атрибут - "показатель удостоверения владельца счета" (Accountholder Authentication Value, AAV), представляющий собой 32-значный код, содержащий информацию описывающие именно эту сделку (информация о владельце счёта и проводимой транзакции, включая наименование товара и сумму платежа). Таким образом, уникальное значение этой переменной, меняющееся с каждой транзакцией, позволяет идентифицировать держателя карты, фактически связывая владельца счета со сделкой, имевшей место по отношению к определенному торговому предприятию на определенную сумму. Совпадение значения этой переменной, меняющегося с каждой следующей транзакцией, будет подтверждать легитимность использования карты для запрашивающей стороны. Преимущества технологии SPA (Secure Payment Application):

SPA не требует больших финансовых затрат, поскольку интегрируется в уже существующие системы защиты. Эта система предоставляет продавцу эквивалент подписи владельца карточки, подтверждая, что эмитент уже проверил владельца карточки еще до завершения платежной операции.

SPA обеспечивает идентификацию владельца карточки.

SPA никак не влияет на продолжительность времени, необходимого для совершения онлайновых покупок или для подтверждения платежа.

SPA не требует использования инфраструктуры открытого ключа (PKI), что значительно упрощает использование данного приложения всеми сторонами.

SPA даёт Интернет-Магазину полную гарантию аутентификации Покупателя (владельца карты) и специальное подтверждение того, что платёж был совершён с его согласия.

Ответственность за мошеннические транзакции, не санкционированные владельцем карточки, снимается с онлайновой торговой точки и компании, осуществляющей эквайринг.

SPA поддерживает применение различных устройств доступа в Интернет для совершения транзакций (например, транзакции с мобильного телефона)

Недостатки:

Основным недостатком технологии можно считать, более сложную реализацию системы SPA, чем, например, технологии 3D-Secure от Visa International

Так же недостатком явдяется то, что пользователю приходиться предварительно скачивать дополнительное приложение, с web-страницы банковского учреждения.

4.3. Криптография - основа защиты информации в Интернет.

В основе защиты информации, передаваемой через Интернет, лежит криптография. Криптография – это наука о представлении информации в виде, понятном лишь посвященным.

Криптографические технологии решают четыре основные задачи обеспечения безопасности в электронной коммерции: обеспечение целостности информации, аутентификацию (которая включает идентификацию), невозможность отказа от совершенного (non-repudiation) и обеспечение конфиденциальности информации.

Обеспечение целостности - это невозможность для третьей стороны, расположенной между участниками информационного обмена, модифицировать передаваемую информацию, таким образом, чтобы принимающая сторона этого не заметила.

Идентификация (подвид аутентификации) проверяет, является ли отправитель послания тем, за кого себя выдает. Аутентификация идет еще дальше – проверяет не только личность, но и отсутствие изменений в послании.

Реализация требования невозможности отказа не позволяет, кому бы то ни было, отрицать, что он отправил или получил отправленный файл или данные.

И наконец, конфиденциальность информации – это невозможность для третьей стороны получить информацию, содержащеюся в передаваемых сообщениях.

Существует два вида шифрования (криптографических преобразований) – это шифрование с использованием ключа – симметричное шифрование и шифрование с открытым ключом. Другими словами существуют симметричные алгоритмы шифрования, самый известный – DES (Data Encryption Standard) и асимметричные, самым распространенным является RSA алгоритм.

При шифровании с закрытым ключом отправитель и получатель владеет одним и тем же колючем, с помощью которого и тот, и другой могут зашифровать и расшифровать информацию. Ключ используется один раз при шифровке, а второй - при расшифровке получателем. Недостатком - и существенным, - является то, что если участники переговоров никогда раньше не встречались, отправитель должен каким-то образом передать ключ получателю, а посылка ключа в открытую может быть перехвачена.

Преимущества криптографии с симметричными ключами:

Производительность - Производительность алгоритмов с симметричными ключами очень велика. Стойкость - Криптография с симметричными ключами очень стойкая, что делает практически невозможным процесс дешифрования. При прочих равных условиях (общий алгоритм) стойкость определяется длиной ключа. При длине ключа 256 бит необходимо произвести 10 в 77 степени переборов для определения ключа.

Недостатки криптографии с симметричными ключами:

Распределение ключей - Так как для шифрования и расшифрования используется один и тот же ключ, при использовании криптографии с симметричными ключами требуются очень надежные механизмы для распределения ключей. Масштабируемость - Так как используется единый ключ между отправителем и каждым из получателей, количество необходимых ключей возрастает в геометрической прогрессии. Для 10 пользователей нужно 45 ключей, а для 100 уже 499500. Ограниченное использование - Так как криптография с симметричными ключами используется только для шифрования данных и ограничивает доступ к ним, при ее использовании невозможно обеспечить аутентификацию и неотрекаемость.

Подход с открытыми ключами был изобретен в 1976 году Уитфилдом Диффи и Мартином Хэллманом и воплощен годом позже профессорами Рональдом Ривестом, Ади Шамиром и Леном Адлеманом. Этот подход использует схему, при которой один ключ используется для шифровки, а другой ключ - для расшифровки. При таком раскладе каждый участник переговоров имеет собственный набор из двух ключей: закрытый и открытый ключи. Открытый ключ полностью соответствует своему имени. Он публикуется в открытой печати, и в этом нет никакого вреда, потому что сообщение, зашифрованное при помощи открытого ключа, не может быть расшифровано при помощи того же самого открытого ключа. Ключи могут также применяться в обратном порядке для создания надежных цифровых подписей, гарантирующих, что полученное сообщение действительно послано отправителем и его текст не был изменен при передаче. С этой целью сообщение и личная подпись случайным образом перемешиваются со специальным программным обеспечением, которое формирует строку цифр, являющуюся цифровой подписью.После получения текста сообщение снова перемешивается, на этот раз вместе с открытой подписью отправителя. Если все в порядке, то результаты второго сравнения совпадают с подписью заранее определенным образом.