Secure Electronic Transaction (SET)

Bei dieser Technologie handelt es sich um einen offenen Standard für sichere Kreditkartenzahlung über das Internet, welcher aus dem SST (Secure Transaction Technology) Verfahren der Firma Visa und dem SEPP (Secure Electronic Payment Protocol) der Firma MasterCard 1996 hervorging. Weitere Projektpartner dieser Entwicklung, welche am 31.5.1997 in der Version 1.0 veröffentlicht wurde, sind z.B. Microsoft, IBM, Netscape, Terisa Systems und VeriSign. Das Wesentliche Anliegen ist es dabei einen Industriestandard zu schaffen, welcher:

  1. Bestellung und Zahlungsanweisung vertraulich behandelt

  2. Die Datenintegrität durch Verschlüsselung gewährleistet

  3. Die Authentifikation eines Karteninhabers ermöglicht

  4. Die Authentifikation eines Händlers in Bezug auf ein Kreditkartenunternehmen erlaubt

  5. Den optimalen Schutz einer elektronischen Transaktion bietet

Insbesondere in Bezug auf die Anforderungen im Bereich der Sicherheit werden eine Reihe von Schutzmaßnahmen angewandt. Dazu zählen unter anderem die Folgenden:

  • Es werden immer zwei zertifizierte Schlüssel verwendet: ein Schlüssel für das Verschlüsseln von Nachrichten und einen Schlüssel für das Verschlüsseln von Signaturen.

  • Bei der Verschlüsselung von Nachrichten kommen zumeist hybride Verfahren zum Einsatz, d.h. die Nachricht wird mit einem 56-Bit DES verschlüsselt und der DES Schlüssel wird RSA verschlüsselt. Eine Ausnahme bilden Kreditkarteninformationen, welche generell mit einem 1024-Bit RSA Schlüssel codiert werden.

  • Nachrichten werden immer vom Absender unterschrieben.

Der Ablauf eines Bezahlungsvorganges nach dem SET-Standard erfolgt in drei Schritten und stellt sich vereinfacht wie folgt dar:

1 - Die Bestellung (Purchase Request)
Zunächst sendet der Kunde eine initiale Nachricht (initiate request). Diese wird vom Händler durch die Übermittlung einer unterschriebenen Antwort sowie des Zertifikates des Händlers und der Händlerbank beantwortet (initiate response). Der Kunde prüft beide Zertifikate bei der Zertifizierungsstelle und die Unterschrift des Händlers. Dann kreiert er die Bestellung und die Zahlungsanweisung und erzeugt aus beiden Nachrichten eine Dual Signature. Die Zahlungsanweisung wird zusätzlich mit dem öffentlichen Schlüssel der Händlerbank verschlüsselt, so das der Händler sie nicht lesen kann. Anschließend werden alle Nachrichten mit dem Zertifikat des Kunden an den Händler weitergeleitet.

2 - Akzeptieren der Zahlungsanweisung (Payment Authorization)
Der Händler stellt zunächst ein dementsprechende Anfrage an seine Bank. Diese Anfrage wird durch den Händler unterschrieben, verschlüsselt und es werden Zertifikate von Händler und Kunde sowie die Zahlungsanweisung des Kunden beigefügt. Die Bank des Händlers prüft sämtliche Zertifikate und stellt über das Bankennetzwerk eine entsprechende Anfrage an die Bank des Kunden. Die Antwort wird durch die Händlerbank unterschrieben und mit dem öffentlichen Schlüssel des Händlers verschlüsselt. Desweiteren wird für die spätere Abrechnung ein sogenanntes "Capture Token" erstellt und mit dem öffentlichen Schlüssel der Händlerbank verschlüsselt, so das es nur für diese lesbar bleibt. Verschlüsselte Antwort und Capture Token werden an den Händler übermittelt, welcher wiederum die erhaltenen Zertifikate und die Anwort der Kundenbank überprüft, das Capture Token speichert und die Ware an den Kunden ausliefert.

3 - Die Abrechnung (Payment Capture)
Der Händler sendet eine diesbezügliche unterschriebene und mit dem öffentlichen Schlüssel der Händlerbank verschlüsselte Anfrage (capture request) an seine Bank und übermittelt seine Zertifikate, den zu zahlenden Betrag und das Capture Token. Die Anfrage wird durch die Bank überprüft und eine Mitteilung an die Bank des Kunden gesendet (clearing request). Anschließend wird eine unterschriebene und verschlüsselte Bestätigung an den Händler weitergeleitet (capture response) welcher diese dann für weitere Zwecke speichern kann.

Momentan existieren bereits eine Anzahl von Softwaresystemen, welche den Zahlungsverkehr nach dem SET Standard unterstützen. Eines davon ist das von der Firma Visa selbst entwickelte SET Wallet, welches kostenlos über das Internet zu beziehen ist. Das Programm integriert sich in den Internet Browser und stellt quasi eine elektronische Brieftasche mit Kreditkarten dar, wobei eine gültige Visa Karte und ein SET Zertifikat vorausgesetzt werden.