Voor een maximale veiligheid van creditcard-transacties over Internet is het ondermeer van belang dat alle versleutelingsberekeningen op een smartcard plaatsvinden. De rekenkracht van de huidige processoren staat dat nog niet, aldus Tom Schaap.
Het Secure Electronic Transaction (SET) protocol dat is voorgesteld door onder meer Visa en Mastercard, zal zich volgens Compaq ontwikkelen tot de belangrijkste standaard voor veilige creditcard-transacties over het Internet. Daarbij zien wij de opkomst van C-SET (zie ook Computable, 26 juni) als een volgende stap in de beveiliging van Internet-transacties.
Veiligheid is een relatief begrip in de tijd. Wat nu veilig is, kan morgen onveilig zijn als gevolg van technologische ontwikkelingen, zoals grotere rekencapaciteit van parallelle computersystemen om sleutels te kraken. N� is het SET-protocol als relatief veilig te beschouwen. C-SET is een eerste stap naar maximale veiligheid.
Dat maximum bestaat uit de hieronder geformuleerde eisen.
De sleutelparen (geheime en publieke sleutels) die nodig zijn voor SET komen niet beschikbaar door software op de PC (waardoor zij zijn af te luisteren door ’troyan horses’) maar via een extern apparaat (smartcard).
Het aanmaken van de eigen elektronische handtekening en het controleren van de elektronische handtekening van de andere partij vindt plaats op de smartcard, waardoor de geheime sleutel nooit dit externe apparaat verlaat.
De smartcard werkt als ’token’: als ik mijn smartcard (met geheime sleutel) op zak heb, kan niemand – ook al kan hij mijn ‘wallet-software’ op de PC activeren – betalingen onder mijn naam doen.
Een eigen ‘keypad’ activeert externe vercijferapparatuur (lees: smartcard). Dit gebeurt niet via het toetsenbord van de PC, want deze communicatie is ook af te luisteren.
Meerdere standaarden
C-SET komt tegemoet aan een aantal van deze ultieme wensen. De rekenkracht van de processoren staat nog niet toe dat alle versleutelingsberekeningen op de smartcard plaatsvinden. Ongetwijfeld zullen binnen niet al te lange tijd smartcards op de markt komen die dit wel kunnen.
C-SET heeft gevolgen voor de PC-kant en niet voor de servers met de POS-software en Payment Gateway-software bij respectievelijk retailers en banken. Compaqs dochter Atalla levert hiervoor reeds crypto-hardware die hieraan voldoet en in feite nog verder gaat. Als deze hardware bijvoorbeeld wordt bevroren of wordt beschadigd door boren, maakt deze zichzelf onschadelijk en worden de geheime sleutels onmiddellijk vernietigd.
Sommigen betwijfelen of er ooit een echte standaard zal ontstaan voor veilige creditcard-transacties via Internet. Er zijn veel verschillende niveaus van complexiteit, beveiliging en informatievoorziening en er zullen zeker verschillende systemen en protocollen voor betalingen via Internet blijven bestaan. De kans op één enkele standaard is daarom gering. Desondanks zijn wij ervan overtuigd dat SET één van de belangrijkste standaarden zal worden voor veilige creditcard-transacties over Internet. Het is momenteel het enige beveiligingsprotocol dat specifiek is ontwikkeld voor betalingsapplicaties, met een ‘public key’-infrastructuur die zowel gebruik maakt van commerciële versleutelingssystemen als van digitale certificaten die de integriteit en de veiligheid van gegevens garanderen. Ook is van groot belang dat de grootste creditcard-maatschappijen SET hebben ontwikkeld. Dit betekent dat er aanzienlijke middelen beschikbaar zullen blijven voor de ondersteuning van klanten en de verdere ontwikkeling en marketing. Daarnaast wordt de implementatie van de standaard bewaakt door SETCo, een organisatie die zich vooral bezighoudt met zaken zoals certificatie. Diverse SET-pilotprojecten waarbij de Tandem Business Unit van Compaq bij betrokken is, zijn reeds in gang, waaronder Visa-NL en Danish Payments Systems (PBS) in Europa, Chase, Wal-Mart, de Mellon Bank en de US Treasury in de VS, en de China Trust Commercial Bank en Citibank in Azië. Verder zijn verschillende grote leveranciers van beveiligingssystemen en betalingssystemen voor Internet momenteel bezig met het ontwikkelen van oplossingen voor de SET-markt.
Tom Schaap,
Tandem Business Development
Manager Finance Compaq Computer BV
