Кристи Эссик, Торстен Буссе, Роб Гас
InfoWorld, США

Владельцы узлов электронной торговли продолжают забрасывать удочки, пытаясь выловить идеально безопасное решение

Взоры производителей систем электронной торговли в Internet все чаще обращаются в сторону технологии безопасных электронных транзакций (Secure Electronic Transactions, SET). Однако момент, когда с помощью безопасного протокола будет выполняться каждая оперативная транзакция кредитных карт, безусловно, еще не наступил. Протокол SET очень дорог и сложен в реализации. Кроме того, крупным торговым компаниям и банкам нужна совместимость, а стремление разработчиков удовлетворить потребности финансовых институтов той или иной страны (следует заметить, что эти требования довольно часто принципиально различны) чревато опасностью появления нескольких несовместимых между собой стандартов.

В такой ситуации бизнесмены вполне могут предпочесть обладающий меньшим набором функций, но более простой протокол шифрования Secure Sockets Layer (SSL).

Когда в 1996 году компании Visa International и MasterCard International объединились с целью разработки протокола SET, будущее рисовалось им в розовом свете. Потребители с энтузиазмом отнеслись к возможности покупки товаров через Internet, нисколько не сомневаясь в законности сделок и в сохранении тайны информации, записанной на кредитной карте. В свою очередь продавцы надеялись увеличить свою прибыль, избавившись от недобросовестных покупателей.

Итак, 150 финансовых институтов, представляющих 34 страны, разработали планы внедрения систем на базе протокола SET. Производители кредитных карт, от Сингапура до Сан-Франциско, начали создавать шлюзы транзакций SET. Компании, специализирующиеся на разработке программного обеспечения, занялись созданием приложений, поддерживающих протокол SET.

Однако спустя два года сторонники SET убедились, что не все так просто. Сложность протокола затрудняет его поддержку, а следовательно, на пути коммерческого успеха SET постоянно вырастают все новые и новые барьеры. Сторонникам SET пока не удается привлечь в свой лагерь достаточно продавцов и потребителей, а производители программного обеспечения на базе протокола SET (сегодня их насчитывается около двадцати) никак не могут добиться совместимости своих продуктов.

Америка пока отстает

В настоящее время технология SET применяется лишь в системах, находящихся в опытной эксплуатации. Примерно две трети таких систем установлено в европейских банках. Вслед за Европой идет Азия. Что касается Соединенных Штатов, в настоящее время они находятся в самом незавидном положении. "Отставание американских компаний объясняется тем, что в отличие от них европейские банкиры заглядывают гораздо дальше и думают не только о сегодняшнем дне, - пояснил руководитель подразделения электронной коммерции компании Visa Europe Садж Аршад. - Европейцы не ждут немедленной отдачи от инвестиций в SET".

Наличие поддержки двух ведущих производителей кредитных карт, Visa и MasterCard, а также нескольких ведущих финансовых институтов, таких как Sumimoto Credit Service в Японии и BancAmerica в США, создает все предпосылки для широкого распространения продуктов SET.

Среди крупнейших корпораций, вкладывающих деньги в инфраструктуру SET, можно выделить IBM, Hewlett-Packard и Fujitsu.

Большинство банков считают продукты SET перспективными. Однако не все компании согласны с тем, что именно этой технологии в ближайшие несколько лет суждена роль основного механизма обработки платежей через кредитные карты.

Сегодня самое подходящее время для перехода на протокол SET, у которого пока нет достойных конкурентов. Однако по мере развития технологии все более остро встает вопрос о возможностях ее коммерческого применения.

Слишком мало клиентов регулярно совершают покупки через Internet. Особенно это касается стран Европы и Азии, где объемы электронной торговли значительно уступают американским. Сторонники SET не удовлетворены слишком низкими, по их мнению, темпами увеличения числа оперативных транзакций и недостаточной активностью продавцов.

Торговые компании, уже оборудовавшие собственные Web-узлы, считают, что тратить время и деньги на реализацию SET-систем не имеет смысла.

"18 месяцев тому назад Bank of Ireland поддержал инициативу SET компании Visa и организовал систему электронных продаж, однако она не пользовалась спросом в среде коммерсантов, - сообщил глава служб Internet банка Конор О'Тул. - Нам не удалось найти торговых партнеров, которые были бы заинтересованы в применении системы SET. Большая часть продавцов отдает предпочтение традиционным методам и скептически относится к использованию Internet. Они не желают заниматься сложной и дорогостоящей установкой средств SET. В целом спрос на подобные системы очень низок".

Организационные трудности

Однако нежелание банков и торговых компаний брать на вооружение технологию SET объясняется не только скептицизмом клиентов. Дело в том, что практическая реализация SET далеко не так проста и обходится не столь дешево, как того хотелось бы заказчикам. "Банк BancAmerica совместно с компаниями Time Warner и Alaska Airlines начал устанавливать пробную систему SET в третьем квартале 1997 года, а в 1998 году он одним из первых американских банков намеревался предлагать услуги безопасных электронных транзакций, - сообщил старший вице-президент BancAmerica Джим Эвилз. - Однако результаты опытной эксплуатации не слишком обнадежили. Система работает хорошо, но очень тяжело приживается на нашей почве".

Что ж, с ним трудно не согласиться. Простота в новом протоколе принесена в жертву безопасности, поэтому пользователям придется самим решать, что для них важнее. Безопасность реализована на нескольких уровнях, причем с каждым новым уровнем система усложняется.

"Мы приняли решение не принимать участие в испытаниях систем SET - на наш взгляд, они слишком неповоротливы и вообще не заслуживают доверия", - заявил руководитель информационной службы английского банка Barclays Алекс Стивенсон.

Головоломка для потребителей

Сложность систем SET наводит на размышления не только руководителей банков и торговых компаний. Возможно, успех этой технологии в большей степени будет зависеть от того, насколько простым и интуитивно понятным выполнение транзакций окажется для покупателей.

Пользователи должны загрузить или установить с компакт-диска электронный бумажник, превращающий браузер в средство регистрации платежа. Им необходимо также получить цифровой сертификат в одной из финансовых организаций, обеспечивающих взаимную идентификацию продавцов и владельцев карточек. В перспективе сертификаты будут вкладываться в цифровые бумажники, которые в свою очередь станут составной частью браузера. Однако, по словам представителей Visa, в первых бумажниках, которые начнут поставляться летом, сертификатов не будет.

Нельзя обойти стороной и вопросы интероперабельности. Возможно, вскоре на рынке появится очень много различных систем SET, поэтому необходимо заранее позаботиться об их совместимости.

"Без интероперабельности любой протокол изначально мертв", - заметил Жерар Лякост, руководитель проекта Secure Electronic Marketplace, работающий над интеграцией SET и других протоколов обеспечения безопасности.

Несмотря на совместные усилия IBM и подразделения Hewlett-Packard Verifone, а также компаний Hitachi и Fujitsu, дело движется не столь быстрыми темпами, как хотелось бы.

"Сейчас очень сложно предсказать, каких затрат потребует реализация интероперабельности, - отметил Масааки Огава, генеральный менеджер подразделения сетевых служб корпорации Fujitsu. - Отсутствие интероперабельности - одно из наиболее серьезных препятствий на пути распространения систем SET".

Соответствие спецификациям

Корпорации Visa и MasterСard поручили компании Tenth Mountain Systems проводить проверку программных продуктов на соответствие требованиям спецификаций SET. А поскольку Tenth Mountain Systems - единственная фирма, занимающаяся подобным тестированием, сегодня к ней уже выстроилась длинная очередь производителей, для которых каждый день простоя отодвигает дату выпуска программного обеспечения.

"В настоящее время только четырем производителям удалось пройти все тесты", - сообщила исполнительный директор Tenth Mountain Линн Хедлер. Впрочем, она не согласилась с тем, что ее компания сдерживает распространение технологии SET: "Подобные испытания проводятся впервые, а любая новая операция требует некоторых навыков. Когда у нас будет необходимый опыт, процедура сертификации ускорится".

Помимо интероперабельности необходимо учитывать специфику организации платежей в конкретной стране, не нарушая при этом требований глобальных стандартов. В этом смысле Япония преподнесла другим странами хороший урок.

Специалисты компаний Visa и MasterCard два года занимались тем, что приспосабливали стандарт SET к требованиям японской платежной системы, в частности, реализуя возможность автоматического перечисления сумм, вычитавшихся в месяцы получения бонусов.

Ограничения

В то время как Visa, MasterСard и ряд производителей программного обеспечения пытаются ликвидировать недостатки протокола SET, о которых шла речь выше, многие пользователи отдают предпочтение протоколу шифрования SSL, разработанному компанией Netscape Communications и применяемому для оперативной обработки транзакций кредитных карт. В сравнении с SET этот протокол значительно проще, зато он не обладает столь мощными средствами обеспечения безопасности.

"Британский национальный Вестминстерский банк (Natwest) после испытаний технологии SET в рамках европейской программы Visa решил, что будет еще некоторое время использовать службы электронной торговли на базе протокола SSL, - сообщил старший менеджер Natwest Джонатан Бай. - Протокол SET еще не готов для коммерческого применения, поскольку для него не разработано достаточного количества прикладных программ".

В то же время Natwest, как и многие другие банки, высоко оценивает шансы SET в будущем.

Технология SET, в отличие от протокола SSL, обеспечивает более высокий уровень защиты информации и является пока единственным решением, сочетающим надежное шифрование со средствами аутентификации всех торговых партнеров.

Вне всякого сомнения, следующие версии SET будут иметь лишь отдаленное сходство с той, что существует сегодня - 1.0.

Решив дать сообществу SET возможность адаптироваться, компании Visa и MasterCard отложили выпуск версии 2.0, расширения которой будут содержать средства поддержки смарт-карт. Представители Visa сообщили, что очередная версия появится в середине следующего года, однако некоторые банки и компании, разрабатывающие смарт-карты, считают, что ее выпуск еще не раз будет отложен.

Следовательно, многие еще поработают с версией 1.0, не переходя к более сложным реализациям. Рынок пока не готов, и нет смысла бежать впереди паровоза. Да и производители просят дать им возможность твердо встать на ноги.

Аналитик компании Dataquest Эрина Дюбуа в свою очередь отметила: "У протокола SET имеются временные резервы. Технологии, которая могла бы соперничать с SET, сегодня нет. Любому потенциальному конкуренту, чтобы добиться успеха, необходимо будет предварительно заручиться поддержкой крупнейших производителей кредитных карт".

Даже такие гиганты, как Visa и MasterCard, признают: для того чтобы выжить, придется некоторое время сосуществовать с другими платежными архитектурами.

По мнению аналитиков, технология SET сможет стать основой большинства банковских систем оперативной обработки транзакций не раньше 1999 года.


Альтернатива SET

Начались продажи по протоколу Secure Electronic Transactions (SET), однако этот процесс идет не так активно, как хотелось бы разработчикам. Причина слабого интереса покупателей к SET в том, что он пока слишком сложен в использовании. Впрочем, это и понятно, поскольку разрабатывался он как инструмент для оформления сделки между покупателем и продавцом по Internet, призванный в случае необходимости служить доказательством факта купли-продажи.

В принципе, с помощью кредитной карточки можно оплатить товар через Internet уже сейчас. Это обычно делается посредством стандартных средств Web - протокола SSL, который зашифровывает передачу всех сообщений между продавцом и покупателем. В этом случае участники сделки должны доверять друг другу, а протокол SSL защищает ее от внешних недоброжелателей. Такой подход характерен при составлении договоров на небольшие суммы, когда ни продавцу, ни покупателю обманывать нет смысла. Однако банк, который обслуживает таких партнеров, считает подобные дела рискованными и берет повышенную ставку комиссии за риск.

Если же сделка совершается на крупные суммы, то покупатель должен быть уверен, что продавец не сбежит с его деньгами, а продавец хотел бы иметь гарантии того, что покупатель не потребует денег обратно. Именно эти проблемы и решает протокол SET. Таким образом, если продавец продает по Internet дешевые товары, такие как диски CD-ROM, информацию или книги, то для него логичней пользоваться простым и широко распространенным протоколом SSL, чем сложным и дорогим SET, хотя при этом он больший процент прибыли отдает банку. Если же речь идет о товарообороте на крупные суммы, то лучше пользоваться SET, так как с помощью этого протокола можно доказать факт сделки. Таким образом, хотя разработчики SET создавали его как средство массовых платежей, в результате получился механизм, который больше подходит для сделок типа "бизнес-бизнес".

В России решения на базе SET предлагают две компании - Hewlett Packard и IBM. Однако ни одной работающей системы на базе SET еще не создано. Вероятно, россйских торговцев этот протокол не интересует потому, что установка системы требует серьезных финансовых затрат, а отдача, скорее всего, будет небольшой. Впрочем, у нас нет и полноценных механизмов оплаты по пластиковым карточкам, последние скорее служат для проверки платежеспособности покупателя, чем для реального перевода денег. Таким образом, российские пользователи Internet до последнего момента были лишены возможности оплачивать товары через Сеть. Однако в последнее время стали появляться системы, которые все-таки допускают такую форму оплаты товаров и услуг - с использованием как пластиковых карточек, так и перевода денег со счета в банке.

Первая и пока единственная реально действующая система моментальных платежей через Internet предложена банком "Платина". Система под названием CyberPlat построена по клубному принципу, когда и продавцы, и покупатели должны быть зарегистрированы в ней. В случае с CyberPlat все пользователи должны регистрироваться в банке "Платина" и подписывать с ним договор об использовании электронных документов, скрепленных электронно-цифровой подписью. Впрочем, договор можно и не подписывать, но в этом случае появляется ограничение на количество хранимых на счету денег. Следует отметить, что банк "Платина" берет риск вскрытия системы шифрования на себя.

К сожалению, клубные системы подобного типа имеют существенный недостаток: если нет покупателей, то продавцы неохотно пользуются ею, а если нет продавцов, то покупателям также нет смысла обращаться. CyberPlat уже имеет нескольких продавцов, таких как "Гарант" (платный доступ к правовым базам данных) и "Демос" (оплата услуг Internet). Однако банк "Платина" заинтересован в увеличении как продавцов, так и покупателей. Для этого разработчики системы собираются добавить в систему возможность переводить деньги, полученные на счет продавца, на любой счет в любом банке. Кроме того, владельцам пластиковых карт UCS (Union, Visa, MasterCard) дается возможность регистрации через Internet.

Аналогичная система, разработанная в "ЭлбимБанке", проходит сейчас тестирование. Называется она Instant и работает примерно по тем же принципам, но только предоставляет продавцам возможность быстро разработать свой собственный электронный магазин, а также самостоятельно регистрировать пластиковые карты покупателей. Поэтому Instant можно считать более открытой системой.

Российский банк "Таврический" разработал еще одну систему - PayCash. Она построена по другим принципам и больше напоминает электронные деньги. Пользователь заводит персональную книжку, на которой хранятся электронные деньги. Причем для заведения книжки не требуется никаких достоверных сведений о клиенте, поэтому систему можно считать анонимной. Для перевода денег с одной книжки на другую используется "электронная валюта", которая представляет собой зашифрованное банком обязательство зачислить на его книжку указанную сумму денег. Следует отметить, что сама "электронная валюта" не является деньгами, а представляет собой только обещание их выдать. Однако такое обещание может устареть (если вовремя не позаботиться о его превращении в реальные деньги) или аннулироваться (если кто-то воспользовался им раньше). Поэтому перевод денег является завершенным, когда банк аннулирует "электронную валюту" и зачисляет соответствующую сумму на книжку пользователя. В системе все книжки равноправны, и с их помощью можно как платить деньги, так и получать их. Кроме того, обеспечивается анонимность платежей, поскольку нет возможности связать книжку с конкретным человеком, да и сама "электронная валюта" визируется методом слепой подписи, так что при аннулировании нельзя определить, кому она была выдана.

Кроме перечисленных систем тестируются еще две: "Элит" совместной разработки "АйТи" и Автобанка; Web-money, созданная IMTBank. Вероятно, осенью большинство из них уже будет работать. Хотя предлагаемые решения реализуют возможность моментальной оплаты через Internet, они все же являются клубными системами с регистрацией. Чтобы сделать систему полностью открытой, необходимо использовать инфраструктуру сертификатов, на которую опираются протоколы SET и SSL. Впрочем, когда протокол SET получит более широкое распространение, тогда разработчики, видимо, и начнут тем или иным способом его поддерживать.

- Валерий Коржов,

JavaWorld Россия

Глоссарий

Secure Electronic Transaction - стандарт, предназначенный для выполнения защищенных транзакций с кредитными картами по Internet. Среди его сторонников Visa International Service Association, MasterCard International, American Express и японская компания JCB Credit Card. SET поддерживает транзакции в Web между продавцами и покупателями; новая версия, выпуск которой ожидается в следующем году, будет рассчитана еще и на обслуживание транзакций между компаниями и смарт-карты.

Secure Socket Layer (SSL) - стандарт на электронные транзакции. Он намного проще, чем SET, но менее безопасен. Из-за простоты SSL аналитики предполагают, что он будет использоваться в качестве интерфейса между интерактивным покупателем и продавцом.

Смарт-карта - кредитная карта со встроенной микросхемой.

Уполномоченный по выдаче сертификатов - организация, которая генерирует и ратифицирует ключи шифрования. Она не связана с организациями, выполняющими денежные расчеты.

Цифровой сертификат - электронный идентификатор, который подтверждает подлинность пользователя. Выпускается банком или клиринговой палатой и содержит информацию о пользователе.

Цифровая подпись - код, который подтверждает личность отправителя. Если пересылаемое сообщение будет декодировано лицом, не имеющим соответствующих полномочий, цифровая подпись будет изменена и получатель сообщения будет знать о нарушении конфиденциальности информации.

Цифровой кошелек - файл или набор записей пользователя, который содержит все данные, касающиеся проводимых расчетов, такие как номера кредитных карт и цифровой сертификат.

Электронные деньги - представление денег, закодированных в кредитной карте или цифровом бумажнике. Как и деньги, если они будут украдены или утеряны, восстановить их невозможно. Электронные деньги позволяют выполнять анонимные транзакции.