Zum Vergrößern auf das Bild klicken.
Geschrieben von: Christian Weissengruber
Kategorie: Sicherheit
This printed page brought to you by AlphaSierraPapa
Nachdem wir uns im ersten Teil mit der SET-Technologie im Allgemeinen beschäftigt haben, werden wir in diesem Artikel die einzelnen SET-Komponenten näher betrachten.
Das Payment Gateway (auch kurz nur Gateway genannt) ist die Schnittstelle zwischen dem Händler und den Kreditkartenorganisationen. Das Gateway erhält im Rahmen seiner Installation ein Zertifikat von einer CA (Certificate Authority).
Gateways werden unter anderem von Globeset , IBM und Trintech angeboten. Betrieben werden diese Gateways von den Acquirern. Acquirer sind jene Banken oder Organisationen, die für die Händlerseite der Kreditkartenabwicklung zuständig sind. In Österreich sind dies Visa und Mastercard, in der BRD z.B. B & S Cardsysteme, GZS
Jedes zertifizierte Payment Gateway entspricht dem SET-Protokoll in der aktuellen Version (derzeit 1.0.). Das Gateway verbindet den Karteninhaber - über den Händler - mit dem Zahlungssystem des Kreditkartenunternehmens und stellt auch den Konnex zwischen Händler, Acquirer-Bank und der Kartenorganisation her. Jedes Payment Gateway ist mit allen SET-konformen Produkten aller Hersteller kompatibel. Es unterstützt somit den kompletten Prozeß der Zahlungsautorisierung sowie der Zahlungsabwicklung.Das Payment Gateway bearbeitet die eingehenden Autorisierungsanfragen und leitet diese an einen Autorisierungshost weiter. Von dort wird das Ergebnis der Anfrage prompt an das Vertragsunternehmen gesendet. Die Wahl eines Gateways ist nicht frei, das Gateway wird vom Acquirer zur Verfügung gestellt.
Zum Punkt POS (Point-of-sale-Anwendungen), einer Software die den Händler mit dem Kundenwallet verbindet, werde ich in einem späteren Artikel genauer eingehen.
Für einen Kunden, der als zertifizierter Karteninhaber im World Wide Web einkaufen möchte, besteht der Einstieg aus zwei Teilen. Erstens muß er über eine geeignete Software verfügen, zweitens muß er sich Online zertifizieren lassen. Die Software steht dem Kunden primär als Download (z. B. www.set4u.at, www.visa.at, www.europay.at) zur Verfügung, sie kann auch über diverse Provider-CD's oder von Banken (zusammen mit dem SET-Code ) dem Kunden zur Verfügung gestellt werden.
Alles was der Karteninhaber benötigt, ist eine Kreditkarte, einen PC (bis eine Firma ein Java-Wallet auf den Markt bringt, sind MAC-User von der Teilnahme an SET ausgeschlossen), einen Internetzugang und einen gebräuchlichen Browser (Netscape, Microsoft Internet Explorer, etc.). Die Software, die nötig ist, um Kreditkartennummern und damit verknüpfte Zertifikate verwalten zu können wird meist als Wallet oder Pay Purse bezeichnet. Folgende Punkte sind wichtig bei Wallets:
Das MasterWallet der Europay/Mastercard stammt von IBM und ist in ganz Europa gebräuchlich.
Die Paypurse von Visa-Austria stammt von Trintech und wird nur von Visa-Austria verwendet.
Achtung: Das im MS-Internet Explorer 5 enthaltene Wallet ist kein SET-Wallet!
Vor Inbetriebnahme der Software ist vom Karteninhaber ein schriftlicher Antrag auf Ausstellung eines SET-Codes für eine Kreditkarte an die Bank zu stellen. Derzeit ist aus rechtlichen Gründen die Unterschrift des Karteninhabers verpflichtend.
In Österreich übernehmen die Kartengesellschaften Visa und Mastercard (bedingt durch ihre Stellung als alleinige kartenausgebende Institute) auch die Rolle der Bank. Der Informationsfluß wird dadurch teilweise verkürzt, und die Ausstellung beschleunigt. Generell aber regelt die Bank den Zertifikatsantrag des Endkunden und gibt den Antrag an die Kreditkartengesellschaft weiter (wie gesagt, Österreich ist anders...).
Bei der Kreditkartengesellschaft wird der Auftrag zur Generierung des Zertifikats an ein Trust Center erteilt. Das Zertifikat wird dort erstellt. Die Kreditkartengesellschaft wird über die erfolgte Ausstellung des Zertifikates informiert und leitet die Informationen an die Bank weiter. Die Bank kann nun den Zertifikatsbrief (im Idealfall gemeinsam mit einer Wallet-Software) an den Endkunden ausliefern. Dieser braucht das Wallet nur auf seinem PC zu installieren und kann dann das Zertifikat über eine verschlüsselte Internetverbindung zusammen mit einem Autorisierungscode abholen und in seinem Wallet aktivieren.
Im Normalfall geschieht das Abholen des Zertifikates dadurch, daß man im Browser eine vom jeweiligen Karteninstitut bekanntgegebene Web-Seite öffnet, dort auf das entsprechende Symbol klickt und dadurch eine Wake-Up Message für das Wallet erhält.
z.B: http://www.registervisa.com/cgi-bin/visa.atCCA/SET.exe?operation=SETWakeup&wuf=wakeup.dat http://www.europay.at/htdocs/set/zertifikat_set.htm
Zum Vergrößern auf das Bild klicken.
Auf diese Seiten gelangt man auch über Links der Websites von Visa und Mastercard. Zum einen geschieht dies deshalb um den Aufwand für den Karteninhaber zu minimieren und Schreibfehler bei der Eingabe des sogenannten Brands auszuschließen. Zum anderen ist es auf diese Art auch möglich, Testzertifikate in sein Wallet zu bekommen.
An dieser Stelle sind einige Erklärungen notwendig:
Um jedoch Software-Entwicklern die Möglichkeit zu bieten, bei komplexeren E-Commerce-Lösungen, wie z.B. Wettbüros oder auch anderen Shops, wo die Kreditkartenzahlung in einen Workflow oder ein vorhandenes Warenwirtschaftssystem integriert werden muß, ihre Software unter realen Bedingungen zu testen, bietet Netlife ein Testgateway, Testhändler, Testkartennummern und einen entsprechenden "Brand".
Unter der Adresse http://194.221.212.108/gs/brandx ist eine WakeUp-Message für den Testbrand "Brand X" vorhanden. Ohne diese WakeUp-Message wäre es nicht möglich diesen Brand und die dazugehörige Testkartennummer in einem Wallet einzugeben.
Der Kunde (Karteninhaber) ist von diesen Dingen natürlich nicht betroffen.
Zulässige Brands für Produktionsumgebungen sind VISA und MasterCard (Schreibweise beachten).
Der Karteninhaber besitzt nun ein der echten Karte entsprechendes Pendant für die virtuelle Welt. Festgelegt durch SET ist die Verwendung und Erzeugung zweier Schlüsselpaare, von denen ein Paar (Public/Private Key), das "Key Exchange" Paar, zur Ver- und Entschlüsselung von Daten dient, während das zweite, das "Signature" Paar, zum Unterschreiben und zur Prüfung von digitalen Unterschriften dient. Alle diese Funktionen laufen für den Karteninhaber unsichtbar im Hintergrund ab. Der Anwender muß nicht explizit Verschlüsselungen oder Unterschriften einleiten, im Zuge einer SET Transaktion geschehen dies Prozeduren automatisch im Hintergrund.
Nun kann der Kunde im Internet mit SET einkaufen gehen. Die genaue Beschreibung der Händler-Software, dem Kernstück des SET-Ablaufes, erfolgt im dritten Artikel dieser Artikelreihe.
This printed page brought to you by AlphaSierraPapa
Beteiligte Komponenten bei SET Transaktionen (Teil 2)
http:/www.aspheute.com/artikel/20000905.htm
Sichere Zahlungen im Internet mit SET
http:/www.aspheute.com/artikel/20000901.htm
http://www.bs-cardservice.de
http://www.bs-cardservice.de
http://www.europay.at
http://www.europay.at
http://www.globeset.com
http://www.globeset.com
http://www.gzs.de
http://www.gzs.de
http://www.ibm.com
http://www.ibm.com
http://www.netlife.de
http://www.netlife.de
http://www.visa.at
http://www.visa.at
©2000-2006 AspHeute.com
Alle Rechte vorbehalten. Der Inhalt dieser Seiten ist urheberrechtlich geschützt.
Eine Übernahme von Texten (auch nur auszugsweise) oder Graphiken bedarf unserer schriftlichen Zustimmung.