Рейтинг безопасности электронных платежных систем

Дмитрий Денежко aka Denga

Спецвыпуск: Хакер, номер #061, стр. 061-070-2

В системах Webmoney, «Яндекс.Деньги» и Cyberplat, как я уже упоминал, для шифрования данных используется криптографический алгоритм RSA. При этом системы используют ключи разной длины. К примеру, в Webmoney и «Яндекс.Деньги» применяется ключ длиной 1024 бита (очень высокий показатель, взломать такой ключ методом простого перебора практически невозможно), а в Cyberplat используется ключ в два раза короче — 512 бит. Соответственно, для первых двух систем по этому критерию получаем максимальный балл — 3. Cyberplat, из-за того что применяет ключ шифрования меньшей длины, получает два балла. Остается только оценить по этому параметру E-Port.

Несмотря на использование в ней SSL-протокола и даже на длину ключа до 128-ми бит, в E-Port есть некоторая потенциальная уязвимость: многие старые версии браузеров поддерживают шифрование с ключами меньшей длины, поэтому существует возможность взломать полученные данные; соответственно, для тех, кто использует браузер как клиент для платежной системы, обязательно работать с его последней версией (конечно, это не всегда удобно и возможно). Однако в графе «шифрование» мы можем выставить для E-Port 1,7 балла: система заслужила такую оценку благодаря применению прогрессивного протокола PGP для шифрования сообщений электронной почты.

Следующий параметр в «техническом обеспечении информационной безопасности транзакций» — «аутенфикация», то есть совокупность решений, которые нужны пользователю для доступа к его собственной персональной информации. Здесь все довольно просто. В системах Webmoney и «Яндекс.Деньги» для доступа используются два критерия, в то время как в Cyberplat и E-Port — только один. В Webmoney для доступа в систему и проведения платежей необходимо вводить пароль и специальный ключ. Подобно работает и «Яндекс.Деньги»: требуется пароль и специальная программа-кошелек. Во всех остальных системах доступ осуществляется по паролю.

Однако в системе E-Port для работы по SSL-протоколу web-сервер потенциального клиента (и любого другого участника системы) должен иметь специальный цифровой сертификат, который получен от одной из уполномоченных компаний. Этот сертификат используется для аутентификации web-сервера клиента. Кстати, механизм защиты сертификата, который используется в E-Port, сертифицирован компанией RSA Security. Соответственно, Webmoney и «Яндекс.Деньги» получают здесь по троечке, Cyberplat — 0 баллов, E-Port — один.