Internet Keyed Payment
Protocol
Pietro Montanari & Cosimo Basile
Internet Keyed Payment
Sviluppato nel ’95 da IBM
E’ un prototipo di sistema di pagamento su
internet basato su carta di credito
Può implementare un sistema di assegni
elettronici
Vantaggi
1. Consente di ottenere un alto livello di
integrità per tutte le parti coinvolte
2. Fornisce riservatezza nelle transazioni
economiche
3. Lavora con il minimo impatto sui sistemi
finanziari esistenti
Svantaggi
1. Consente una semplice procedura di
contratto (“offerta/ordine”)
2. Non fornisce la non tracciabilità dei
pagamenti
3. Non fornisce mezzi per una distribuzione
sicura delle informazioni (ricevute di
pagamento non protette)
Principali caratteristiche
Sicurezza : Basato su crittografia a chiave
pubblica
Semplicità : Basato su reti finanziarie
esistenti
Flessibilità : Facile da estendere su altri
modelli di pagamento
Efficienza : Basso costo computazionale
(funzioni hash)
Parti coinvolte nella transazione
Banca
• Fornitore carte di credito per il
compratore
• Acquirente del pagamento per il venditore
Venditore
Compratore
Parti coinvolte nella transazione
Fornitore
Acquirente
Gateway
Compratore
Venditore
La carta di credito
Riassumendo:
Fornitore o emittente: banca che emette la
carta di credito
Venditore: aderendo a un circuito di
pagamento, permette di pagare con carta
Circuito di pagamento: l'azienda che
installa i POS nei negozi e provvede a
inoltrare richieste / autorizzazioni alla spesa
Riassumendo:
Il titolare della carta si impegna a restituire
al fornitore della carta l'importo della
transazione
Il venditore eroga i beni o servizi richiesti
dal compratore
L'istituto emittente si impegna a pagare al
posto del cliente quanto dovuto
Firma digitale
Autenticazione
Codifica a chiave pubblica
Funzioni Salted-hash
Riservatezza
Codifica a chiave pubblica
Varianti
1KP : solo l’acquirente può firmare I
messaggi
2KP : anche il venditore può firmare I
messaggi
3KP : anche il compratore può firmare I
messaggi
Protocollo 1KP
Offer , Certa
Ea (Slip), Order
Ea (slip), H(order)
Sa(Auth, Ea(slip))
Sa(Auth, Ea(slip))
Protocollo 1KP
Il cliente autentica se stesso all’acquirente
solamente utilizzando il numero di carta di
credito e il pin
Il commerciante non autentica se stesso
all’acquirente o al cliente : ne il
commerciante ne il cliente forniscono
ricevute inconfutabili della transazioni
Protocollo 2KP
Risolve il problema che riguarda l’identità
del commerciante
Il commerciante invia il suo certificato sia al
cliente che all’acquirente
Protocollo 2KP
Offer, Certa, Certs
Ea (Slip), Order
Ss( Ea (slip), H(order)), Certs
Ss( Ea (slip),
H(order)), Sa(Auth,
Ea(slip))
Sa(Auth, Ea(slip))
Protocollo 3KP
Anche il cliente ha una chiave pubblica
Il cliente manda il suo certificato al
commerciante (che viene poi mandato
all’acquirente) quindi firma il suo secondo
messaggio
Protocollo 3KP
Offer, Certa, Certs
Certb, Sb( Ea (slip), H(order))
Ss (Sb( Ea (slip), H(order))), Certs, Certb
Ss( Sb (Ea (slip),
H(order))), Sa(Auth,
Ea(slip))
Sa(Auth, Ea(slip))
2KP vs 3KP
In 3KP il compratore è responsabile solo
per gli ordini di pagamento da lui firmati
In 2KP attraverso il campo slip, l’acquirente
può facilmente falsificare ordini di
pagamento e non esiste alcun modo di
provarlo
In 2KP chiunque conosca I dati del
pagamento può effettuare pagamenti falsi
Conclusioni
Ikp è stato un prototipo di sistema di
pagamento elettronico mai utilizzato.
Ha dato le basi alla creazione del SET, che
attualmente fa fatica a diventare uno
standard per i pagamenti elettronici poiché
superato dal più diffuso SSL.