Cryptography Reference
In-Depth Information
Bezahlsysteme kann man in drei Klassen einteilen: Kreditkartensysteme, Konten-
systeme und Bargeldsysteme. Im Folgenden schauen wir uns diese etwas genauer
an.
38.5.1
Kreditkartensysteme
Derzeit sind allein in Deutschland über 40 Millionen Kreditkarten im Umlauf.
Anstatt das Rad (sprich: Online-Bezahlsystem) neu zu erfinden, lohnt es sich
daher, auf diese etablierte Zahlungsform mit ihrer bereits vorhandenen Infra-
struktur zurückzugreifen. Online-Bezahlsysteme, die auf Kreditkarten basieren,
werden als
Kreditkartensysteme
bezeichnet. Zu den Kreditkartensystemen gehört
somit auch eines der einfachsten Online-Bezahlsysteme. Dieses sieht folgenden
Ablauf vor:
1.
Alice schickt ihre Kreditkartennummer (und das Gültigkeitsdatum, was ich
im Folgenden stillschweigend als Teil der Nummer betrachte) an Online-Ver-
käufer Otto, beispielsweise indem sie diese in ein Formular auf einer Web-
seite eintippt.
2.
Otto gibt die Nummer mit dem Betrag an die Zentrale (Clearing-Stelle des
Kreditkarten-Unternehmens) weiter.
3.
Die Zentrale bucht den entsprechenden Betrag von Alices Konto ab und
überweist ihn auf das Konto von Otto.
Wenn die Verbindung zwischen Alice und Otto verschlüsselt ist (in der Praxis
meist mit SSL), dann kann Mallory die Kreditkartennummer nicht abhören.
Genau diese Angst vor einem Abhörer wie Mallory war einer der wesentlichen
Beweggründe für die Entwicklung des SSL-Protokolls. Leider ist das Übermitteln
einer Kreditkartennummer gleichzeitig auch ein Fall, in dem SSL an seine Gren-
zen stößt. So kann Alice im Nachhinein bestreiten, eine Zahlung in Auftrag gege-
ben zu haben, weil SSL keine digitalen Signaturen für Nutzdaten unterstützt. Ver-
käufer Otto kann die Summe in Alices Zahlungsauftrag ändern und so mehr Geld
kassieren als vorgesehen. Dies liegt daran, dass SSL als Schicht-4-Protokoll nur
einen sicheren Tunnel bietet, sich aber nicht um die weitere Verarbeitung der
Daten kümmert. Aus demselben Grund kann sich Mallory Alices Kreditkarten-
nummer merken und später Zahlungsaufträge erfinden. Zwar sind dies zum gro-
ßen Teil keine Probleme des Online-Bezahlens, sondern des Kreditkartenwesens
allgemein (auch an der Tankstelle kann es vorkommen, dass sich der Verkäufer
eine Kreditkartennummer notiert), doch im großen, anonymen Internet ist das
Vertrauen, das man einem Händler entgegenbringt, normalerweise geringer.
Ende der neunziger Jahre entstanden Online-Bezahlsysteme, die die Online-
Nutzung von Kreditkarten sicherer machen sollten. Diese arbeiteten in Schicht 7
des OSI-Modells, sahen digitale Signaturen vor und verbargen Alices Kreditkar-
tennummer mittels Verschlüsselung vor den Augen des Händlers. Unter der Mit-
