Запасный выход

Архив

В последнее время все большую популярность завоевывают расчеты за товары и услуги с использованием специальных расчетных средств, выпускаемых эмитентом ...

АЛЕКСАНДР СМИРНОВ
smirnov@paycash.ru
ИЛЬДАР ХАМИТОВ
khamitov@paycash.ru

Одной из самых простых (не требующих ни машиночитаемой памяти, ни даже магнитной полосы) технологий, применяемой для эмиссии таких средств и организации оборота связанных с ними обязательств, является нанесение на материальный объект и маскировка уникального идентификатора в форме, пригодной для считывания человеком без каких-либо технических средств.

Таким объектом может быть запечатанный в конверт бумажный купон с нанесенным на него идентификатором или скрэтч-карта с идентификатором, скрытым трудно восстанавливаемым непрозрачным слоем краски. Далее, для определенности, мы говорим просто о "картах", подразумевая скрэтч-карты (хотя нижеописанные протоколы могут быть "материализованы" и в другом виде). Как правило, скрэтч-карта имеет форму пластиковой карты с идентификатором, полностью или частично находящимся под непрозрачным покрытием, которое перед использованием карты нужно соскрести (to scratch, отсюда - "скрэтч-карта").

Сегодня скрэтч-карты все чаще используются для оплаты услуг сотовой связи и доступа к Internet по коммутируемым линиям. Они могут эмитироваться и финансовым институтом, например, банк может выпустить одноразовые карты-векселя, с каждой из которых связано обязательство банка зачислить на счет, указанный приобретателем, определенную сумму денег.

Желательным, а часто и необходимым условием успеха скрэтч-карточного проекта является возможность приобретателя потребовать исполнить связанное с картой обязательство, не предъявляя карту эмитенту или его представителю, а передавая ему идентификатор по электронным средствам связи (набирая его на клавиатуре телефона, сообщая голосом оператору или заполняя форму на Web-сайте). Фактически скрэтч-карты - прототип предъявительского расчетного средства для электронной коммерции.

Традиционный протокол удаленного востребования исполнения обязательств с использованием скрэтч-карты. 1. Приобретатель. 1.1. Считывает с карты идентификатор I. 1.2. Формирует указание по исполнению обязательства эмитента D. 1.3. Передает эмитенту требование исполнить обязательство {I, D}. 2. Эмитент. 2.1. Проверяет соответствие идентификатора I выпущенной карте. 2.2. Проверяет, что никакое обязательство {I, D'}, в котором D' . D, им не признано. 2.3. Признает обязательство {I, D}. Идентификатором карты называются данные I, однозначно определяющие экземпляр карты. Представление идентификатора на карте должно быть устойчивым по отношению к попыткам модификации (подделки) идентификатора: по меньшей мере, должна быть исключена возможность такой модификации идентификатора, при которой модифицированный идентификатор совпадет с идентификатором другой выпущенной карты. Идентификатор карты может служить обозначением связанного с картой обязательства эмитента. Указанием по исполнению обязательства называются произвольные данные D, которыми необходимо снабдить связанное с картой исходное обязательство для придания ему конкретной и окончательной формы, в которой оно будет непосредственно исполняться. Таким образом, пара {I, D} может служить обозначением того конкретного обязательства, которое получено уточнением обязательства I при помощи указания D. Форма и интерпретация указания определяются конкретным приложением и для настоящего изложения не существенны. В роли указания может, например, выступать номер банковского счета приобретателя, на который должен быть зачислен выигрыш. Пусть с картой I = 123 связано обязательство банка зачислить $100 на счет, указанный клиентом. Тогда для D = 45 обязательство {I, D} = {123, 45} является обязательством зачислить $100 на счет 45. Маскирующее приспособление - это средство для временного сокрытия некоторых данных, связанных с картой, например идентификатора карты. Маскирующее приспособление может находиться в двух состояниях - открытом и закрытом, при этом оно должно обладать следующими свойствами. - Практически невозможно считать с карты или видоизменить данные, скрытые при помощи маскирующего приспособления, если маскирующее приспособление находится в закрытом состоянии. - Практически невозможно перевести маскирующее приспособление из открытого состояния в закрытое. - Можно легко определить, в каком состоянии находится маскирующее приспособление: открытом или закрытом. - Можно легко перевести маскирующее приспособление из закрытого состояния в открытое (вскрыть маскирующее приспособление). - Можно легко считать с карты данные, скрытые при помощи маскирующего приспособления, если маскирующее приспособление находится в открытом состоянии. Первые три свойства определяют надежность (безопасность) маскирующего приспособления, а остальные - дружественность по отношению к приобретателю. Известно много различных видов маскирующих приспособлений, которые особенно часто используются при производстве билетов мгновенных лотерей.

Формальное описание традиционного протокола эмиссии и использования скрэтч-карты дано во врезке 1.

Идентификатор карты обычно скрывается, хотя бы частично, маскирующим приспособлением, чтобы по пути карты от эмитента к приобретателю идентификатор не мог быть считан третьей стороной (например, распространителем карт). При получении карты приобретатель должен убедиться в том, что маскирующее приспособление не нарушено.

Множество идентификаторов выпущенных карт должно быть таким, чтобы приобретатель был не в состоянии указать идентификатор хотя бы одной из них иначе, как считывая с карты (даже если в распоряжении имеются все другие карты). В этом случае злоумышленник не сможет "угадать" идентификатор карты, обязательство по которой еще не востребовано, даже если соберет большое количество использованных и выброшенных карт. Фактически это означает, что множество идентификаторов выпущенных карт должно составлять ничтожно малую долю от всех возможных идентификаторов и сами идентификаторы выпущенных карт должны быть "случайными" с точки зрения стороны, отличной от эмитента. Например, идентификаторы могут представлять собой достаточно большие числа, которые выбираются при помощи генератора случайных чисел. Можно также представлять идентификатор в виде пары, состоящей из серийного номера карты и пароля, причем эмитент вычисляет пароль карты по ее номеру при помощи секретной функции на основе криптографической хэш-функции и секретного ключа.

Традиционный протокол обладает многими достоинствами. В частности, он обеспечивает защиту невостребованного обязательства от атак третьей стороны. Важно, что это "предъявительский" протокол, который не требует аутентификации держателя карты. Эти его свойства и обуславливают все возрастающую популярность скрэтч-карт.

Защищенный протокол удаленного востребования исполнения обязательств с использованием скрэтч-карты. Ветвь А. 1. Приобретатель. 1.1. Считывает с карты идентификатор I. 1.2. Формирует указание по исполнению обязательства эмитента D. 1.3. Передает эмитенту требование исполнить обязательство {I, D}. 2. Эмитент. 2.1. Проверяет соответствие идентификатора I выпущенной карте. 2.2. Проверяет, что он не подписывал обязательство {I, D'}, в котором D' . D. 2.3. Ставит подпись S под обязательством {I, D}. 2.4. Запоминает, что обязательство {I, D} было им подписано. 2.5. Передает подпись S приобретателю. 3. Приобретатель. 3.1. Проверяет, что S является действительной подписью эмитента под обязательством {I, D}. 3.2. Считывает с карты верификатор V. 3.3. Передает верификатор V эмитенту. 4. Эмитент. 4.1. Проверяет, что верификатор V соответствует идентификатору I. 4.2. Признает обязательство {I, D}. Различные сеансы протокола (ветви А), в которых участвует один и тот же идентификатор I, должны быть согласованы (правило мирного сосуществования сеансов): эмитент не должен приступать к шагу 2.2 ветви А до тех пор, пока в другом сеансе ветви А идет выполнение шагов 2.2-2.4. Если по каким-либо причинам эмитент не может выполнить свой очередной шаг в рамках ветви А или если очередная проверка дает отрицательный результат, эмитент прерывает выполнение ветви, то есть отказывается признавать обязательство. Если по каким-либо причинам приобретатель не может или не хочет выполнить свой очередной шаг в рамках ветви А или если очередная проверка дает отрицательный результат, то приобретатель может инициировать процедуру разрешения конфликтов (ветвь Б) с целью добиться от эмитента признания обязательства, связанного с картой (и дополненного некоторым указанием). В отличие от ветви А ветвь Б требует физического предъявления конфликтной карты. Одна и та же карта не может участвовать в двух сеансах ветви Б. Ветвь Б может проводиться под наблюдением и с помощью арбитра. Инициируя ветвь Б, приобретатель должен быть в состоянии предъявить: - либо карту с закрытым маскирующим приспособлением верификатора, - либо карту I и действительную подпись эмитента под обязательством {I, D}. Ветвь Б имеет две подветви, одну из которых приобретатель выбирает в зависимости от того, какие данные он хочет и может предъявить. Подветвь Б1. 1. Приобретатель предъявляет карту I с закрытым маскирующим приспособлением верификатора и указание D'. 2. Эмитент. 2.1. Изымает карту I. 2.2. Удостоверяется в том, что маскирующее приспособление верификатора находится в закрытом состоянии. 2.3. Признает обязательство {I, D'}. Подветвь Б2. 1. Приобретатель предъявляет карту I и действительную подпись эмитента под обязательством {I, D}. 2. Эмитент. 2.1. Изымает карту I. 2.2. Проверяет свою подпись под обязательством {I, D}. 2.3. Признает обязательство {I, D}. Множество указаний по исполнению обязательства, допустимых в рамках подветви Б1, может отличаться от множества указаний, допустимых в рамках ветви А. Например, предоставленное приобретателем в подветви Б1 указание может включать требование возврата денег, заплаченных за карту.

Однако традиционный протокол обладает и недостатками. Самый существенный из них - отсутствие внутренней процедуры разрешения конфликтов, а значит, и незащищенность от мошенничества "изнутри".

- Недобросовестный приобретатель может повторно потребовать исполнения обязательства, связанного с картой, снабдив свое требование новым указанием. При этом эмитент не имеет возможности доказать третьей стороне, что в этом случае карта используется приобретателем повторно.

- Недобросовестный эмитент может отказаться признавать (и выполнять) свое обязательство, заявляя, что обязательство по данной карте уже выполнено с использованием некоторого другого указания. При этом добросовестный приобретатель не сможет доказать третьей стороне, что карта не была использована ранее.

- Технические сбои (отказы оборудования и каналов связи, а также человеческие ошибки) могут приводить к такой ситуации, когда оба участника протокола, добросовестно его исполняющие, предстанут друг перед другом как недобросовестные. И протокол сам по себе не дает никакой возможности третьей стороне разобраться и "помирить" их.

Этот недостаток связан с тем, что после завершения сеанса протокола ни у приобретателя, ни у эмитента не остается никаких данных, которые они не могли бы сформировать без участия противоположной стороны и которые могли бы служить доказательством при разрешении конфликта. Признал ли эмитент свое обязательство по карте или отказался это сделать, в любом случае по завершении сеанса протокола на руках у приобретателя остается карта в одном и том же состоянии, то есть с открытым маскирующим приспособлением идентификатора.

Еще один недостаток традиционного протокола заключается в том, что знания идентификатора достаточно для востребования исполнения обязательства, связанного с картой, и что всегда имеется отрезок времени, в течение которого идентификатор находится в незащищенном виде. Проворный злоумышленник, которому стал известен идентификатор карты, может успеть раньше легитимного приобретателя потребовать исполнить обязательство, связанное с картой. Например, можно подглядеть идентификатор "из-за плеча" или перехватить его в момент передачи эмитенту (если канал передачи не защищен).

Таким образом, видно, что протокол нуждается в совершенствовании. Мы предлагаем следующую модификацию протокола, предусматривающую "запасный выход": ветви протокола, позволяющие разрешить конфликт.

Эмитент выпускает карты, каждая из которых имеет идентификатор и соответствующий ему верификатор (дополнительные данные V), скрытый при помощи дополнительного маскирующего приспособления. Правило соответствия верификатора карточки ее идентификатору должно быть таким, чтобы для стороны, отличной от эмитента, было бы практически невозможно по идентификатору определить соответствующий ему верификатор, если этой стороне заранее не было известно, какой верификатор соответствует данному идентификатору. В частности, для стороны, отличной от эмитента, должно быть практически невозможно по идентификатору карточки определить ее верификатор до вскрытия маскирующего приспособления верификатора.

При получении карты приобретатель должен убедиться в том, что маскирующее приспособление, скрывающее верификатор карты, находится в закрытом состоянии.

Основная ветвь протокола начинается точно так же, как традиционный протокол востребования обязательства, описанный выше, но, приняв требование и идентификатор от держателя карты, эмитент подписывает их цифровой подписью и возвращает держателю, а тот, убедившись в действительности подписи, демаскирует и передает эмитенту верификатор карты.

При нормальном течении протокола он на этом и заканчивается, подпись эмитента и верификатор нужны для разрешения конфликтных ситуаций, подобных перечисленным выше для традиционного протокола.

Приобретатель инициирует процедуру разрешения конфликтов, чтобы добиться от эмитента признания обязательства, связанного с картой (и дополненного некоторым указанием). В отличие от основной части протокола эта процедура требует физического предъявления конфликтной карты и может проводиться под наблюдением и с помощью арбитра - независимой третьей стороны. При этом приобретатель должен быть в состоянии предъявить либо карту с закрытым маскирующим приспособлением верификатора, либо карту с действительной подписью эмитента под обязательством, связанным с идентификатором карты.

В зависимости от того, какие данные приобретатель может предъявить, он добивается от эмитента признания обязательства либо в обмен на карту с закрытым верификатором, либо в обмен на карту при наличии подписи эмитента, связывающей идентификатор карты с обязательством. И целостность маскирующего приспособления (закрытость) верификатора, и действительность подписи являются "объективными" свидетельствами, которые могут предъявляться третьему лицу.

Безопасность протокола с точки зрения приобретателя можно показать формально. Согласно протоколу приобретатель на любом шаге имеет либо карту с закрытым маскирующим приспособлением верификатора, либо карту I и действительную подпись эмитента под обязательством {I, D}. Поэтому в любой момент у приобретателя имеется достаточно данных для инициации процедуры разрешения конфликта, которая всегда завершается признанием эмитентом обязательства, связанного с картой. Неспособность предъявить данные, необходимые для инициации этой процедуры, означает, что приобретатель не следовал протоколу (ветви А) и поэтому не может предъявлять претензии.

Для эмитента же протокол безопасен в рамках некоторых более сильных предположений, а именно:

- надежности подписи эмитента,

- надежности правила соответствия верификатора карты ее идентификатору,

- надежности маскирующего приспособления верификатора карты.

При том, что о надежности криптопримитивов, лежащих в основе подписи, и установки соответствия верификатора и идентификатора можно судить достаточно уверенно, общая надежность в реальной ситуации будет определяться, видимо, третьим предположением (а также административно-организационным аспектом первых двух).

Внедрение защищенного протокола может существенно снизить объективные риски удаленных расчетов, а следовательно, увеличить как многообразие ситуаций, в которых применимы скрэтч-карты, так и психологически приемлемые суммы сделок.

Может показаться, что сфера применения протокола ограничена только случаями, когда в качестве абонентского оборудования держателя карты используется компьютер (чтобы держатель был в состоянии проверить подпись продавца), однако следует заметить, что сегодня достаточные вычислительные мощности появляются уже и в таких устройствах, как мобильные телефоны и PDA.