You are here: TUTWiki>Tietoturva/Tutkielmat>Tutkielmat?>Maksukorttiensulkulistat (revision 1)

TTY / Tietoturvallisuuden jatkokurssi / Harjoitustyö 2011 / Luonnosvaihe

Maria Ripatti

Maksukorttien ja varmenteiden sulkulistat

Johdanto

Korttimaksujen määrä verrattuna käteismaksuihin on kasvanut merkittävästi 2000-luvulla (Maksaminen Suomessa ja Euroopassa 2007). Suuri osa suomalaisista ei enää käy nostamassa käteistä rahaa pankista vaan tekee käteisnostot automaatilla tai maksaa ostokset maksukorteilla (Säästäminen ja luotonkäyttö 2007). Maksukorttien käyttö käteisen sijaan on tuonut turvallisuuteen liittyviä haasteita.

Pankin konttorissa pankkitoimihenkilöillä on mahdollisuus tunnistaa asiakas ja tarkastaa asiakkaan tiedot pankkijärjestelmistä ennen kuin tililtä tehdään nostoja. Maksukortteja käytettäessä asiakas voi itse suorittaa noston pankkiautomaatilta tai maksaa kortilla kaupan kassalla. Tällöin asiakkaan pankkitietoja ei päästä tarkistamaan samalla tavalla kuin pankissa. Koska tilin tapahtumat eivät näy myyjälle, on asiakkaan tunnistaminen ja maksun hyväksyminen tehtävä muilla tavoin ennen varsinaista nosto- tai maksutapahtumaa.

Asiakkaan oikeus käyttää maksukorttia tarkistetaan tunnusluvulla. Pankkien myöntämien maksukorttien tunnusluvut ovat henkilökohtaisia ja muiden kuin maksukortinhaltijan ei pitäisi tietää tunnuslukua korttiin (). Näin ei tosin aina ole vaan tunnusluku saattaa päätyä kortin käyttöehtojen vastaisesti kolmannelle osapuolelle (vahingossa tai tahallisesti). Tunnusluvun lisäksi maksukortteihin liittyy varmenne, jonka avulla kortin käyttöä voidaan valvoa ja tarvittaessa kokonaan estää. Varmenteessa liitetään yhteen tunnistettavan kohteen yksilöintitiedot sekä kohteen käytössä oleva avainpari. Avainpari sisältää sekä julkisen että yksityisen avaimen. Varmennettava kohde on pystyttävä yksilöimään yksiselitteisesti varmenteen yksilöintitietojen perusteella ().

CA-Neuvottelukunta

Suomalaisten Pankkien Varmennepalvelua valvoo CA-Neuvottelukunta. Neuvottelukunnan tehtävänä on valvoa ja ylläpitää varmenteiden käyttöä ja käyttöön liittyviä sääntöjä. Tämän lisäksi neuvottelukunta valitsee Varmennepalvelun tuottajan. Pankkien Varmennepalvelu myöntää varmenteita osapuolille, joilla on maksupäätesopimus jonkin CA-Neuvottelukunnassa mukana olevan pankin kanssa. Neuvottelukuntaan kuuluvat seuraavat pankit: Aktia Säästöpankki Oyj, Luottokunta, Nordea Pankki Suomi Oyj, Osuuspankkikeskus Osk, Paikallisosuuspankkiliitto Ry, Sampo Pankki Oyj, Svenska Handelsbanken Ab, Säästöpankkiliitto, Tapiola Pankki Oy ja Ålandsbanken Abp. (Pankkien varmennepalvelu ja CA-neuvottelukunta 2011). Varmenne voidaan myöntää myös taholle, jolla on reitityspalvelusopimus CA-neuvottelukunnan tai jonkin sen hyväksymän osapuolen kanssa ().

Sulkulistat

Kun maksukortin käyttö halutaan jostakin syystä estää, lisätään maksukortin varmenne sulkulistalle. Maksukorttien sulkulistalla tarkoitetaan varmentajan sähköisesti allekirjoittamaa dokumenttia, joka sisältää mitätöityjen varmenteiden yksilöintitiedot. Varmenteen sulkemista voivat pyytää varmenteet haltija, varmennehakemuksen tehnyt tilikonttori, Luottokunta tai järjestelmään liittyneet pankit.Varmenteet suljetaan varmenteiden sulkupalvelun toimesta ja suljetut varmenteet lisätään sulkulistalle. Varmenteiden sulkeminen ja siirtäminen sulkulistalle vaatii sulkemista pyytävän osapuolen tunnistettamista.

Kun maksaminen tapahtuu maksukortilla maksun vastaanottajan on tarkistettava sulkulistan tiedot, jotta maksutapahtuma voidaan hyväksyä. Näin estetään suljettujen korttien käyttöön liittyvät väärinkäyttötapaukset. Sulkulistoja tarkistettaessa on aina otettava huomioon, että sulkulistan tulee olla ajantasalla (Katevarmennus tcp/ip-yhteydellä 2008).

...tähän väliin lisää harjoitustyön seuraavassa vaiheessa..

Varmentajat

Juurivarmentaja on varmennehierarkian ylin taho ja se pystyy allekirjoittamaan oman avainparinsa. Tällöin varmennetun identiteetin ja varmentajana toimineen identiteetin yksilöintitiedot ovat identtiset. Juurivarmenteen elinikä on 20 vuotta luontihetkestä lähtien. Jokaisella varmennehierarkialla on juurivarmentaja, jonka alaisuudessa toimii muita varmentajia. Juurivarmentajan avainparia käytetään operatiivisten varmentajien varmenteiden myöntämisessä. Operatiiviset varmentajat ovat varmentajia, joka myöntää varmenteita loppukäyttäjille. Juurivarmentajan avainparia käytetään myös operatiivisten varmentajien sulkulistojen julkaisussa sekä tarkistuksessa ja varmenteita tarkistettaessa.

Juurivarmentajan varmenteeseen sijoitetaan varmentajan avainsukupolven yksilöivä tunniste, joka on laskettu juurivarmentajan julkisesta avaimesta. Kun juurivalmentajan avainsukupolvea vaihdetaan, juurivarmentajan vanhan ja uuden avainparin avulla luodaan ristivarmenteet vanhalle ja uudelle avaimelle. Näin saadaan aikaiseksi luottamuspolku varmenteiden välille eli varmennusketju loppukäyttäjältä toiselle luotetun varmentajan kautta. Ristivarmennus on voimassa niin kauan kuin sen myönnössä käytetyt varmenteet ovat voimassa.

Laitevarmentaja saa varmenteet hallinnolliselta juurivarmentajalta. Juurivarmentajan identiteettitiedot kopioidaan suoraan laitevarmentajan varmenteeseen. Lisäksi varmenteeseen sijoitetaan juurivarmentajan julkisesta avaimesta laskettu 64-bittinen tiiviste, jotta käytetty avainsukupolvi voidaan tunnistaa. Laitevarmentajan julkisesta avaimesta lasketaan tunniste, joka sijoitetaan varmenteeseen avainsukupolven tunnistamiseksi. Laitevarmentajan varmenne on voimassa 10 vuotta. Laitevarmentajan varmenteeseen lisätään linkki, jonka avulla pystytään tarkistamaan laitevarmentajan varmenteen voimassaoloaika sekä noutamaan juurivarmentajan myöntämien varmenteiden sulkulista. Sijainti sulkulistalle ilmoitetaan LDAP:n URL:na. Tällöin hakemistopalvelimen osoite on palvelimelle rekisteröity DNS-nimi.

Päätelmät / yhteenveto

Ei yhteenvetoa vielä tässä vaiheessa.. HUOM! Myöskään lähteet eivät ole vielä kunnossa, koska työ on kesken ja lähdenumerointi tulee muuttumaan.

Vastaukset ongelmaan tiivistetään tässä luvussa, jonka maksimipituus on sama kuin johdantoluvunkin. Tässä ei toisteta aiempia ilmaisuja eikä viitata aiempiin kohtiin. Toisaalta uusia näkökulmia ei tuoda esille, paitsi ehkä mainintoja siitä, miten työtä voisi jatkaa: syvemmälle tai laajemmalle. Lukija voi lukea vain johdannon ja päätelmät. Päätelmäluku on hyvä, jos lukija tällöin haluaakin lukea, mitä välissä on.

Lähteet

  • [1] Lähde, johon tekstissä viitataan merkinnällä [1]

Lähteet eivät ole vielä lopullisessa muodossa eikä siksi myöskään numeroituna ja järjestyksessä...

Maksaminen Suomessa ja Euroopassa. 2007. Finanssialan Keskusliitto. Julkaistu 25.6.2007. Viitattu: 3.11.2011. Http://www.fkl.fi, finanssiala, maksujärjestelmät.

Säästäminen ja luotonkäyttö: Tutkimusraportti. 2007. Helsinki: Finanssialan Keskusliitto. Viitattu: 3.11.2011. Http://www.fkl.fi, julkaisut ja tilastot, tutkimukset ja selvitykset.

Maksupäätevarmennepalvelun varmenteen, sulkulistan ja hakemiston kuvaus. 2005. Finanssialan Keskusliitto. Julkaistu 31.5.2008. Viitattu: 3.11.2011. http://www.fkl.fi/teemasivut/sahkoinen_asiointi/pankkienvarmennepalvelu/Dokumentit/Asiakasvarmenteen_hakemiston_kuvaus_V12.pdf

Pankkien varmennepalvelun laitevarmenneperiaatteet. 2005. Finanssialan Keskusliitto. Julkaistu: 25.5.2005. Viitattu: 3.11.2011. http://www.fkl.fi/teemasivut/sahkoinen_asiointi/pankkienvarmennepalvelu/Dokumentit/Laitevarmennecp_V10.pdf

Katevarmennus tcp/ip-yhteydellä. 2008. Finanssialan Keskusliitto. Julkaistu 27.11.2008. Viitattu: 3.11.2011. http://www.fkl.fi/teemasivut/sahkoinen_asiointi/pankkienvarmennepalvelu/Dokumentit/tcpip_v23_katevarmennus.pdf

Pankkien varmennepalvelu ja CA-neuvottelukunta. 2011. Finanssialan Keskusliitto. Päivitetty: 5.5.2011. Viitattu: 3.11.2011. http://www.fkl.fi/teemasivut/sahkoinen_asiointi/pankkienvarmennepalvelu/Sivut/default.aspx

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Titu-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r1 - 03 Nov 2011 - 21:59:17 - MariaRipatti?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback