Protocolo de transacciones electrónicas seguras (SET)

Posted on by Rudeus Greyrat

Transacción Electrónica Segura o SET es un sistema que garantiza la seguridad e integridad de las transacciones electrónicas realizadas con tarjetas de crédito en un escenario. SET no es un sistema que permite el pago, pero es un protocolo de seguridad aplicado a esos pagos. Utiliza diferentes técnicas de encriptación y hash para asegurar los pagos por Internet realizados a través de tarjetas de crédito. El protocolo SET fue respaldado en su desarrollo por organizaciones importantes como Visa, Mastercard, Microsoft, que proporcionó su tecnología de transacciones seguras (STT), y Netscape, que proporcionó la tecnología de Secure Socket Layer (SSL). 

El protocolo SET restringe la revelación de los detalles de la tarjeta de crédito a los comerciantes, lo que mantiene a raya a los piratas informáticos y ladrones. El protocolo SET incluye Autoridades de Certificación para hacer uso de Certificados Digitales estándar como el Certificado X.509. 

Antes de seguir hablando de SET, veamos un escenario general de transacciones electrónicas, que incluye cliente, pasarela de pago, institución financiera cliente, comerciante e institución financiera comercial. 
 

Requisitos en SET: 
El protocolo SET tiene algunos requisitos que cumplir, algunos de los requisitos importantes son: 
 

  • Tiene que proporcionar autenticación mutua, es decir, autenticación del cliente (o del titular de la tarjeta) mediante la confirmación de si el cliente es un usuario previsto o no, y autenticación del comerciante.
  • Tiene que mantener la PI (información de pago) y la OI (información de pedido) confidenciales mediante encriptaciones apropiadas.
  • Tiene que ser resistente a las modificaciones del mensaje, es decir, no se deben permitir cambios en el contenido que se transmite.
  • SET también necesita brindar interoperabilidad y hacer uso de los mejores mecanismos de seguridad.

Participantes en SET: 
En el escenario general de transacciones en línea, SET incluye participantes similares: 
 

  1. Titular de la tarjeta – cliente
  2. Emisor – institución financiera cliente
  3. Comerciante
  4. Adquiriente – Merchant Financial
  5. Autoridad certificadora: autoridad que sigue ciertos estándares y emite certificados (como X.509V3) para todos los demás participantes.

ESTABLECER funcionalidades:

  • Proporcionar autenticación
    • Autenticación de comerciantes : para evitar el robo, SET permite a los clientes verificar las relaciones anteriores entre los comerciantes y las instituciones financieras. Para esta verificación se utilizan certificados estándar X.509V3.
    • Autenticación de Cliente/Tarjetahabiente – El SET verifica si el uso de una tarjeta de crédito es realizado por un usuario autorizado o no utilizando certificados X.509V3.
  • Proporcionar confidencialidad del mensaje : la confidencialidad se refiere a evitar que personas no deseadas lean el mensaje que se transfiere. SET implementa la confidencialidad mediante el uso de técnicas de encriptación. Tradicionalmente, DES se utiliza con fines de encriptación.
  • Proporcionar integridad de mensajes : SET no permite la modificación de mensajes con la ayuda de firmas. Los mensajes están protegidos contra modificaciones no autorizadas usando firmas digitales RSA con SHA-1 y algunos usando HMAC con SHA-1,

Firma dual: 
La firma dual es un concepto introducido con SET, que tiene como objetivo conectar dos piezas de información destinadas a dos receptores diferentes: 
Información de pedido (OI) para el comerciante  
Información de pago (PI) para el banco 

Puede pensar que enviarlos por separado es una forma más fácil y segura, pero enviarlos en un formulario conectado resuelve cualquier posible disputa futura. Aquí está la generación de doble firma: 
 

Where,

   PI stands for payment information
   OI stands for order information
   PIMD stands for Payment Information Message Digest
   OIMD stands for Order Information Message Digest
   POMD stands for Payment Order Message Digest
   H stands for Hashing
   E stands for public key encryption
   KPc is customer's private key
   || stands for append operation
   Dual signature, DS= E(KPc, [H(H(PI)||H(OI))])

Generación de solicitud de compra:

El proceso de generación de requests de compra requiere tres entradas: 

  • Información de pago (PI)
  • Doble firma
  • Resumen de mensajes de información de pedidos (OIMD)

La solicitud de compra se genera de la siguiente manera:  

Here,
PI, OIMD, OI all have the same meanings as before.
The new things are :
EP which is symmetric key encryption
Ks is a temporary symmetric key
KUbank is public key of bank
CA is Cardholder or customer Certificate
Digital Envelope = E(KUbank, Ks)

Validación de la solicitud de compra en el lado del comerciante: 
el comerciante verifica comparando el POMD generado a través del hashing de PIMD con el POMD generado a través del descifrado de firma dual de la siguiente manera: 
 

Dado que usamos la clave privada del Cliente en el cifrado aquí, usamos KUC, que es la clave pública del cliente o titular de la tarjeta para el descifrado ‘D’. 
  
Autorización de pago y captura 
de pago: la autorización de pago, como su nombre indica, es la autorización de la información de pago por parte del comerciante que garantiza que el comerciante recibirá el pago. La captura de pago es el proceso mediante el cual un comerciante recibe un pago que incluye nuevamente generar algunos bloques de solicitud a la puerta de enlace y la puerta de enlace de pago, a su vez, emite el pago al comerciante.
 

Publicación traducida automáticamente

Artículo escrito por KattamuriMeghna y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *