Abbildung 7: Funktionsweise von SET
Home ___ Zahlungssysteme im Internet
Inhaltsverzeichnis ___ 5. Zahlungssysteme im Internet ___ 5.2 Kreditkartenzahlungen ___ 5.2.4 SET
Beim SET Zahlungsprotokoll ist sowohl der händler- als auch der käuferseitige Betrug ausgeschlossen. Deshalb bietet dieses Verfahren einen optimalen Schutz bei elektronischen Transaktionen. Es ist sowohl eine Authentifikation des Karteninhabers, als auch des Händlers gegenüber dem Kreditkartenunternehmen möglich. Dies wird dadurch realisiert, indem beide Teilnehmer Zertifikate ihrer Banken benötigen.
Um SET als Kunde benutzen zu können, ist sowohl ein sogenanntes Wallet, als auch ein SET-Zertifikat notwendig. Beides erhält man von seinem Kreditkartenunternehmen, sofern dieses die SET Technologie unterstützt. Ein Wallet ist eine Software, welche der Kunde auf seinem Rechner installieren muß. Das Programm speichert sowohl einige kundenspezifische Daten, als auch die Kreditkarteninformationen verschlüsselt auf der Festplatte. Zusätzlich generiert es ein Schlüsselpaar, um später die Daten mit einem asymmetrischen Verschlüsselungsverfahren (RSA mit 1024 Bit) übertragen zu können.
Abb. 7 soll den Ablauf einer Bestellung unter Einsatz der SET Technologie verdeutlichen. In Anlehnung an [Merz99, S.178]:
Die Bestellung (Punkte 1 - 4)
Der Kunde eröffnet die vorgesehene Transaktion mit einer ersten Kontaktaufnahme zum Händler (1). Dieser sendet eine unterschriebene Antwort, sowie sein eigenes Zertifikat, als auch jenes der Händlerbank, zurück an den Kunden (2). Der Kunde überprüft die beiden Zertifikate bei einer Zertifizierungsstelle (Certification Authority - CA). Dies wird für den Anwender transparent durch das installierte Wallet übernommen (3). Nun macht der Kunde seine Bestellung und eine Zahlungsanweisung. Beides zusammen wird als sogenannte Dual Signature Nachricht an den Händler übermittelt. Die Bestellung selbst wird mit dem öffentlichen Schlüssel des Händlers, die Zahlungsanweisung mit dem der Händlerbank verschlüsselt. Somit ist der händlerseitige Betrug ausgeschlossen, da er die Kreditkartendaten, die in der Zahlungsanweisung vorhanden sind, nicht wieder entschlüsseln kann. Er kann lediglich die Bestelldaten lesen. Die Daten der Zahlungsanweisung können somit nur durch den privaten Schlüssel der Händlerbank wieder entschlüsselt werden. An die Dual Signature Nachricht wird auch noch das Zertifikat des Kunden mit angehängt (4).
Akzeptieren der Zahlungsanweisung (Punkte 5 - 9)
Der Händler verfügt nun über die Bestelldaten des Kunden, da er diesen Teil der Nachricht mit seinem privaten Schlüssel lesen konnte. Um den Betrug von der Seite des Kunden aus ausschließen zu können, übermittelt er den Rest der Nachricht, ergänzt mit seinem eigenen Zertifikat, an die Händlerbank (5). Diese überprüft beide Zertifikate bei einer Zertifizierungsstelle und stellt somit die Echtheit des Kunden und des Händlers sicher (6). Ebenfalls kann sie mit ihrem privaten Schlüssel die Zahlungsanweisung des Kunden entschlüsseln und eine entsprechende Anfrage über das bankeninterne Netz an das Kreditkartenunternehmen des Kunden stellen. Die Bestätigung der Zahlungsanweisung wird nun zurück an den Händler gesandt (7). Die Bestätigung des Bestellvorganges wird mit dem Zertifikat des Händlers verschlüsselt und an den Kunden übermittelt (8). Dieser braucht nun nur noch das Händlerzertifikat zu überprüfen (9), und die Transaktion ist abgeschlossen.
Die Hauptvorteile von SET liegen darin, daß sowohl der kunden-, als auch der händlerseitige Betrug ausgeschlossen werden. Durch die Vermeidung dieser beiden Gefahrenquellen ist auch zu erwarten, daß die kriminalitätsbedingten Transaktionskosten erheblich sinken werden. Ein weiterer Vorteil ist, daß SET theoretisch weltweit eingesetzt werden kann. Jedoch unterstützen bislang nur ein ca. 50 Händler die Technologie, auch deswegen, weil diese einen sogenannten Payment-Server einrichten müssen. Und auch auf der Kundenseite wird die Installation des Wallets und die Zertifizierung noch nicht so akzeptiert, als dies erwartet wurde.
[Merz99,
Visa00,
Kore00,
Com100,
Com200,
Net100]
last update on 23rdof January 2001
Copyright 2001 von Marc Grieser
BA-Student der Fachrichtung Wirtschaftsinformatik