TTY / Tietoturvallisuuden jatkokurssi / Harjoitustyö 2011 /Valmis

Maria Ripatti

Maksukorttien ja varmenteiden sulkulistat

Johdanto

Maksukorttien sulkulistat ovat maksukortteihin liittyviä dokumentteja, jotka sisältävät suljettavien maksukorttien varmenteita. Korttimaksamisen lisääntyessä myös maksukorttien väärinkäyttö on lisääntynyt. Sulkulistojen avulla voidaan kontrolloida maksamista ja estää korttimaksaminen tarvittaessa. Tässä työssä perehdytään lyhyesti suomalaisten korttimaksamiseen, varmennepalvelua valvovaan CA-Neuvottelukuntaan, maksukorttien sulkulistoihin ja varmentajiin. Maksukorteilla tarkoitetaan tässä työssä pankki-, luotto-, yhdistelmä, raha- ja maksuaikakortteja [4].

Korttimaksaminen

Korttimaksujen määrä verrattuna käteismaksuihin on kasvanut merkittävästi 2000-luvulla [3]. Suuri osa suomalaisista ei enää käy nostamassa käteistä rahaa pankista vaan tekee käteisnostot automaatilla tai maksaa ostokset maksukorteilla [10]. Maksukorttien käyttö käteisen sijaan on tuonut turvallisuuteen liittyviä haasteita.

Pankin konttorissa pankkitoimihenkilöillä on mahdollisuus tunnistaa asiakas ja tarkastaa asiakkaan tiedot pankkijärjestelmistä ennen kuin tililtä tehdään nostoja. Maksukortteja käytettäessä asiakas voi itse suorittaa noston pankkiautomaatilta tai maksaa kortilla kaupan kassalla. Tällöin asiakkaan pankkitietoja ei päästä tarkistamaan samalla tavalla kuin pankissa [2]. Koska tilin tapahtumat eivät näy myyjälle, on asiakkaan tunnistaminen ja maksun hyväksyminen tehtävä muilla tavoin ennen varsinaista nosto- tai maksutapahtumaa.

Asiakkaan oikeus käyttää maksukorttia tarkistetaan tunnusluvulla. Pankkien myöntämien maksukorttien tunnusluvut ovat henkilökohtaisia ja muiden kuin maksukortinhaltijan ei pitäisi tietää tunnuslukua korttiin [6]. Näin ei tosin aina ole vaan tunnusluku saattaa päätyä kortin käyttöehtojen vastaisesti kolmannelle osapuolelle (vahingossa tai tahallisesti). Tunnusluvun lisäksi maksukortteihin liittyy varmenne. Varmenne on salausavaimista sekä muista tiedoista, kuten nimitiedoista, muodostuva kokonaisuus, jonka varmentaja allekirjoittaa yksityisellä avaimella. Varmenteen oikeellisuus voidaan varmistaa tarkistamalla, että varmentajan allekirjoitus on oikea [1].

Varmenteiden avulla kortin käyttöä voidaan valvoa ja maksutapahtuma voidaan tarvittaessa estää [12]. Varmenteessa liitetään yhteen tunnistettavan kohteen yksilöintitiedot sekä kohteen käytössä oleva avainpari [8]. Avainpari sisältää sekä julkisen että yksityisen avaimen. Varmennettava kohde on pystyttävä yksilöimään yksiselitteisesti varmenteen yksilöintitietojen perusteella [5].

Korttimaksamisen turvallisuutta edistetään myös PCI DSS-standardin avulla. Standardin noudattaimen on pakollista kaikille, jotka ottavat vastaan tai välittävät korttitapahtumia. Esimerkiksi kaikkien kortteja vastaanottavien kauppaiden on noudatettava standardia. PCI-DSS standardi määrittelee korttimaksamisen turvallisuuden vähimmäistason ja ohjaa maksutapahtumien käsittelyä sekä tallentamista. PCI-DSS:n määrittelemät vaatimukset koskevat kaikkia järjestelmiin kuuluvia komponentteja. [9]

CA-Neuvottelukunta

Suomalaisten Pankkien Varmennepalvelua valvoo CA-Neuvottelukunta. Neuvottelukunnan tehtävänä on valvoa ja ylläpitää varmenteiden käyttöä ja käyttöön liittyviä sääntöjä. Tämän lisäksi neuvottelukunta valitsee Varmennepalvelun tuottajan [7] . Neuvottelukuntaan kuuluvat seuraavat pankit: Aktia Säästöpankki Oyj, Luottokunta, Nordea Pankki Suomi Oyj, Osuuspankkikeskus Osk, Paikallisosuuspankkiliitto Ry, Sampo Pankki Oyj, Svenska Handelsbanken Ab, Säästöpankkiliitto, Tapiola Pankki Oy ja Ålandsbanken Abp [7].

Suomalaisessa maksupäätejärjestelmässä TCP/IP liikenteen suojaamiseen käytetään IPSec:iä. Jotta liikennöinti maksupäätteen ja pankin välillä voidaan turvata IPSec:llä, tulee maksupäätejärjestelmän laitteilla olla avainvarmenne [5]. Pankkien Varmennepalvelu myöntää varmenteita osapuolille, joilla on maksupäätesopimus jonkin CA-Neuvottelukunnassa mukana olevan pankin kanssa. Varmenne voidaan myöntää myös taholle, jolla on reitityspalvelusopimus CA-neuvottelukunnan tai jonkin sen hyväksymän osapuolen kanssa [7].

Sulkulistat

Kun maksukortin käyttö halutaan jostakin syystä estää, lisätään maksukortin varmenne sulkulistalle. Maksukorttien sulkulistalla tarkoitetaan varmentajan sähköisesti allekirjoittamaa ja julkaisemaa dokumenttia kesken voimassaoloajan suljetuista varmenteista ja varmenteiden sulkuajankohdista [8]. Sulkulista sisältää mitätöityjen varmenteiden yksilöintitiedot sekä nykyisen ja sitä seuraavan sulkulistan julkaisuajankohdan [5].

Varmenteen sulkemista voivat pyytää varmenteen haltija, varmennehakemuksen tehnyt tilikonttori, Luottokunta tai järjestelmään liittyneet pankit. Kortin kadotessa myös kortinhaltija voi pyytää kortin sulkemista. Tällöin kortinhaltija ilmoittaa kortin katoamisesta itse korttien sulkupalveluun ja sulkupalvelu huolehtii varmenteiden sulkemisesta [11]. Kun varmenne on suljettu, sulkupalvelu huolehtii varmenteen lisäämisestä sulkulistalle ja kortin käyttö estyy. Varmenteiden sulkeminen ja siirtäminen sulkulistalle vaativat sulkemista pyytävän osapuolen tunnistamista [5].

Kun maksaminen tapahtuu reaaliaikavarmenteisella maksukortilla (esimerkiksi Visa electron) maksun vastaanottajan on aina varmennettava tapahtuma ja tarkistettava sulkulistan tiedot, jotta maksutapahtuma voidaan hyväksyä [4]. Maksupäätevarmennus tehdään siis katevarauksen, mutta myös luottorajan tarkistuksen yhteydessä. Korttivarmennus tehdään konekielisenä, paitsi tilanteissa, joissa epäillään kortin väärinkäyttöä. Tällöin varmennus tehdään manuaalisesti [4]. Näin estetään suljettujen korttien käyttöön liittyvät väärinkäyttötapaukset. Sulkulistoja tarkistettaessa on aina otettava huomioon, että sulkulistan tulee olla ajan tasalla [1]. Jos sulkulista on vanhentunut, mihinkään varmenteisiin ei pitäisi luottaa, koska hyökkääjä on saattanut vaikuttaa sulkulistan julkamiseen [7].

Varmenteiden voimassaoloajat vastaavat maksukorttien voimassaoloaikaa. Kun kortti vanhenee, niin myös maksukortin varmenne vanhenee eikä korttia voi enää käyttää. Sulkulistalle siirrettävien korttien kanssa ongelmana on, että korttien varmenteet eivät poistu käytöstä välittömästi [5]. Vaikka kortti ilmoitetaan asian mukaisesti sulkulistalle, korttivarmenteen siirtymisessä sulkulistalle kestää jonkin aikaa. Maksupäätteellä saattaa olla myös vanhentunut sulkulista käytössä, jolloin tieto varmenteen sulkemisesta ei välity maksupäätteelle ja korttia voi vielä käyttää.

Varmentajat

Juurivarmentaja on varmennehierarkian ylin taho ja se pystyy allekirjoittamaan oman avainparinsa [12]. Tällöin varmennetun identiteetin ja varmentajana toimineen identiteetin yksilöintitiedot ovat identtiset. Juurivarmenteen elinikä on 20 vuotta luontihetkestä lähtien. Jokaisella varmennehierarkialla on juurivarmentaja, jonka alaisuudessa toimii muita varmentajia. Juurivarmentajan avainparia käytetään operatiivisten varmentajien varmenteiden myöntämisessä. Operatiiviset varmentajat ovat varmentajia, joka myöntää varmenteita loppukäyttäjille. Juurivarmentajan avainparia käytetään myös operatiivisten varmentajien sulkulistojen julkaisussa sekä tarkistuksessa ja varmenteita tarkistettaessa.[7]

Juurivarmentajan varmenteeseen sijoitetaan varmentajan avainsukupolven yksilöivä tunniste, joka on laskettu juurivarmentajan julkisesta avaimesta. Kun juurivalmentajan avainsukupolvea vaihdetaan, juurivarmentajan vanhan ja uuden avainparin avulla luodaan ristivarmenteet vanhalle ja uudelle avaimelle. Näin saadaan aikaiseksi luottamuspolku varmenteiden välille eli varmennusketju loppukäyttäjältä toiselle luotetun varmentajan kautta. Ristivarmennus on voimassa niin kauan kuin sen myönnössä käytetyt varmenteet ovat voimassa. [7]

Laitevarmentaja saa varmenteet hallinnolliselta juurivarmentajalta. Juurivarmentajan identiteettitiedot kopioidaan suoraan laitevarmentajan varmenteeseen. Lisäksi varmenteeseen sijoitetaan juurivarmentajan julkisesta avaimesta laskettu 64-bittinen tiiviste, jotta käytetty avainsukupolvi voidaan tunnistaa [8]. Laitevarmentajan julkisesta avaimesta lasketaan tunniste, joka sijoitetaan varmenteeseen avainsukupolven tunnistamiseksi. Laitevarmentajan varmenne on voimassa 10 vuotta. Laitevarmentajan varmenteeseen lisätään linkki, jonka avulla pystytään tarkistamaan laitevarmentajan varmenteen voimassaoloaika sekä noutamaan juurivarmentajan myöntämien varmenteiden sulkulista. Sijainti sulkulistalle ilmoitetaan LDAP:n URL:na. Tällöin hakemistopalvelimen osoite on palvelimelle rekisteröity DNS-nimi [7].

Maksupäätejärjestelmässä maksupäätteillä on oma varmenne. Maksupäätevarmenne saadaan laitevarmentajalta ja se on voimassa 3 vuotta [8]. Maksupäätevarmenne sisältää myöntäjän tiedot sekä laitevarmentajan julkisesta avaimesta lasketun 64-bittinen tiivisteen. Tämän lisäksi varmenne sisältää maksupäätteen julkisesta avaimesta lasketun tunnisteen. Tiivisteen ja tunnisteen avulla voidaan tunnistaa käytetty avainsukupolvet. Maksupäätteen avainparin varmennusta tarvitaan maksupäätteen tunnistamista varten sekä tietoliikenteen salaukseen. Laitevarmentajalla on sulkulista myönnettyjä varmenteita varten ja maksupäätevarmenteesta löytyy linkki listaan [7].

Päätelmät / yhteenveto

Maksukorttien käyttö pankkiautomaateilla ja kassapäätteillä on lisääntynyt kuluneen vuosikymmenen aikana. Maksukorttien käyttöön liittyy aina riski väärinkäytöstä. Korttia voi käyttää väärin sekä kortin haltija, että osapuoli, jolla ei ole oikeutta kortin käyttöön. Väärinkäyttöriskiä pyritään minimoimaan useilla erilaisilla mekanismeilla.

Yksi turvallisuutta edistävä mekanismi on PCI DSS -standardi. Standardi määrittelee korttimaksamisen minimiturvallisuustason. Maksukortteihin liittyy myös varmenne, jonka avulla voidaan varmistaa kortin käyttöoikeus. Väärinkäyttöepäilyksen alla oleva kortti voidaan sulkea lisäämällä kortin varmenne sulkulistalle. Suomalaisten Pankkien Varmennepalvelu myöntää varmenteet ja Varmennepalvelun toimintaa valvoo CA-Neuvottelukunta. Neuvottelukuntaan kuuluu useita suomalaisia pankkeja.

Varmennushierarkiaa kuuluu useita eri tasoisia varmentajia. Ylin varmentaja on juurivarmentaja. Juurivarmentajalla on lupa allekirjoittaa oma avainpari sekä laitevarmentajien avainparit. Laitevarmentajat puolestaan huolehtivat maksupäätevarmenteiden allekirjoittamisesta. Varmennushierarkiassa ylemmillä tasoilla on olemassa alempien varmentajien sulkulistat. Sulkulistasta pääsee tarkistamaan suljetut varmenteet.

Lähteet

[1] Katevarmennus tcp/ip-yhteydellä. 2008. Finanssialan Keskusliitto. Julkaistu 27.11.2008. Viitattu: 3.11.2011. http://www.fkl.fi/teemasivut/sahkoinen_asiointi/pankkienvarmennepalvelu/Dokumentit/tcpip_v23_katevarmennus.pdf

[2] Maksaminen ja laskutus. Kuluttajaoikeuden linjauksia. 2010. Kuluttajavirasto. Viitattu: 29.11.2011. http://www.kuluttajavirasto.fi/File/4672b687-d8f3-4a93-bd39-9cf0680bb51e/Maksaminen%20ja%20laskutus.pdf

[3] Maksaminen Suomessa ja Euroopassa. 2007. Finanssialan Keskusliitto. Julkaistu 25.6.2007. Viitattu: 3.11.2011. http://www.fkl.fi, finanssiala, maksujärjestelmät.

[4] Maksupäätepalvelu. Käyttäjän ohje. 2002. Samlink. Viitattu: 29.11.2011. http://www.aktia.fi/c/document_library/get_file?uuid=30aa4535-7b9f-44ab-b8d4-cbdf0d6f6556&groupId=10143

[5] Maksupäätevarmennepalvelun varmenteen, sulkulistan ja hakemiston kuvaus. 2005. Finanssialan Keskusliitto. Julkaistu 31.5.2008. Viitattu: 3.11.2011. http://www.fkl.fi/teemasivut/sahkoinen_asiointi/pankkienvarmennepalvelu/Dokumentit/Asiakasvarmenteen_hakemiston_kuvaus_V12.pdf

[6] Ohjeita kortinhaltijalle. 2010. Luottokunta. Viitattu: 10.11.2011. http://www.luottokunta.fi/fi/kortit_ja_setelit/ohjeita_kortinhaltijalle

[7] Pankkien varmennepalvelu ja CA-neuvottelukunta. 2011. Finanssialan Keskusliitto. Päivitetty: 5.5.2011. Viitattu: 3.11.2011. http://www.fkl.fi/teemasivut/sahkoinen_asiointi/pankkienvarmennepalvelu/Sivut/default.aspx

[8] Pankkien varmennepalvelun laitevarmenneperiaatteet. 2005. Finanssialan Keskusliitto. Julkaistu: 25.5.2005. Viitattu: 3.11.2011. http://www.fkl.fi/teemasivut/sahkoinen_asiointi/pankkienvarmennepalvelu/Dokumentit/Laitevarmennecp_V10.pdf

[9] PCI-DSS lyhyesti. 2011. Luottokunta. Viitattu: 1.12.2011. http://www.luottokunta.fi/fi/toimialatietoa/pci_standardit/pci_dss_lyhyesti

[10] Säästäminen ja luotonkäyttö: Tutkimusraportti. 2007. Helsinki: Finanssialan Keskusliitto. Viitattu: 3.11.2011. Http://www.fkl.fi, julkaisut ja tilastot, tutkimukset ja selvitykset.

[11] Varmennussanasto. FINeID?. Viitattu: 30.11.2011. fineid.fi/default.aspx?docid=4054

[12] Varmennuskäytäntö. Sairasvakuutustiedot sisältävällä henkilökortilla olevaa kansalaisvarmennetta varten. 2010. FINeID?. Viitattu: 30.11.2011. fineid.fi/default.aspx?docid=4071

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmis
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Useita
Missä Järjestelmä
Kuka Titu-ammattilainen
Milloin Päivittäin
Miksi Laki
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 01 Dec 2011 - 23:57:07 - MariaRipatti?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback