W rozważanych w poprzednim punkcie systemach płatności elektronicznej nie poruszyliśmy w sposób bezpośredni problemu ich ochrony.
Co kryje się pod pojęciem ich bezpieczeństwa? Czy chodzi jedynie o to, by nie został okradziony właściciel ,,elektronicznego portfela''? Nie wymyślono do tej pory lepszego miejsca niż karta procesorowa, w którym można by umieścić pieniądze. Właściciel karty z gotówką może zabezpieczyć ją numerem PIN, by zagwarantować sobie, że nikt bez jego wiedzy nie będzie mógł wydać znajdujących się na niej pieniędzy. Można też wyobrazić sobie, że z elektroniczną portmonetką jest związany specjalny numer PIN, który będzie można podać złodziejowi, gdy ukradnie kartę. W momencie, gdy przestępca włoży ją do terminala i wprowadzi ten numer, karta będzie mogła symulować normalne działanie -- w rzeczywistości jednak wykona operacje mające na celu ochronę pieniędzy, które się na niej znajdują. O różnych rodzajach zabezpieczeń oferowanych przez karty procesorowe można przeczytać w rozdziale 2.1.
Bezpieczeństwo systemu gotówki elektronicznej jest jednak związane
nie tylko z obroną kupujących przed kradzieżą, lecz również z ochroną
interesów sprzedających i banków. Na przykład
trzeba zabezpieczyć bank i kupców przed użytkownikiem, który
będzie starał się wydać te same pieniądze dwukrotnie (ang.
double spending)![[*]](file:/usr/local/lib/latex2html/icons/footnote.png){kind=icon}
.
Każdy z biorących udział w transakcjach płatności
elektronicznych (kupujący, sprzedający czy też bank) musi być chroniony
przed wszelkimi oszustwami ze strony pozostałych i to nawet w przypadku,
gdy będą oni ze sobą współpracować (ang. multiparty security).
Okazuje się, że użycie kart procesorowych jako portmonetki przechowującej
pieniądze nie wystarczy, by system gotówki elektronicznej był bezpieczny.
O kartach procesorowych mówi się, że są urządzeniami odpornymi na
włamania (ang. tamper-resistant device). Uważa się, że nie można rozebrać karty
procesorowej bez uszkodzenia danych, które się na niej znajdują. Niestety
nikt nigdy nie udowodnił, że karty procesorowe są naprawdę odporne na
wszelkiego rodzaju techniczne manipulacje przez osoby niepowołane
(ang. tamper-proof).
Tylko system elektronicznej gotówki oparty na zaawansowanych technikach kryptograficznych może być systemem bezpiecznym. Karty procesorowe są natomiast inteligentnymi urządzeniami, za pomocą których można zaimplementować wygodne w użyciu systemy elektronicznej gotówki wykorzystujące takie zaawansowane techniki. Rozdział 2.1.4 jest poświęcony kartom nadającym się do zastosowań kryptograficznych.
Wspomniany wcześniej system Mondex wydaje się być bardzo praktycznym systemem gotówki elektronicznej. Okazuje się jednak, że wystarczy, iż zawartość karty procesorowej trafi w niepowołane ręce, żeby w sposób niekontrolowany zaczęły pojawiać się nowe, generowane przez przestępców elektroniczne pieniądze. Co więcej nie ma algorytmów, które umożliwiłyby odkrycie tożsamości tych oszustów.
Każdy system płatności elektronicznych, nawet wykorzystujący odporne na włamania urządzenia, takie jak karty procesorowe, należy starannie zaprojektować. W dalszych rozdziałach pracy zaprezentujemy przykłady bezpiecznych systemów gotówki elektronicznej.