Надійність цілей та додатків: вирішення конфліктів
Не було повторено помилок розробників банкоматів, які забули забезпечити кошти арбітражу спірних транзакцій. Певні кошти були вбудовані в UEPS для вирішення конфліктів.
По-перше, використовується два підписи при кожному цифровому платежі: один генерується на ключі, відомому тільки банку-емітенту і картці покупця, а інший генерується на ключі, що контролюється розрахунковою палатою і завантажується в картку перед тим, як вона поставляється до банку. Останній підпис перевіряється перед тим, як гроші кредитуються на поданий чек, а перший перевірятиметься лише за арбітражу. Наявність різних підписів сприймається як важлива особливість системи, дає початкову юридичну відповідальність банку-емітента перед користувачем. Крім того, не слід забувати, що банки, що вступають до системи, мають різний рівень розвитку автоматизації.
Ще одна властивість, що не згадувалося раніше, друк транзакцій у зашифрованому вигляді на чекову стрічку з використанням двох різних ключів: один відомий власнику картки та банку-емітенту але не відомий магазину або розрахунковій палаті, а інший відомий магазину або розрахунковій палаті, але невідомий власнику картки та банку-емітенту. У разі судового розгляду взаємних претензій, суди, ймовірно, ухвалять протоколи транзакцій як докази; особливо записи, зроблені не так на магнітної стрічці, але в папері, копії яких є й у покупця, й у продавця.
Додаткова перевага наявності кількох незалежних механізмів безпеки полягає в тому, що у разі технічної атаки малоймовірно, що всі захисні механізми будуть зруйновані. Зрештою, деякі з них (такі як тверді копії транзакцій) не повинні бути подолані, з метою отримання грошей із системи, і насправді неможуть бути обійдені доти, доки зловмисник не отримає доступу до картки жертви (або банківського модуля безпеки).
Звідси випливає, що з ймовірністю факт нападу стане відомий. Це дозволить уникнути виникнення тягаря надто складних доказів позивачам, які були в судах США у справах проти банківської індустрії карток з магнітною смугою.
Завершуючи розділ, зазначимо, що є правило, що це торгові транзакції мають бути проведені через банк протягом 14 днів. Це означає, що на відміну від подібної системи Мондекс, що пропонується зараз у Великій Британії, UEPS може повернути гроші, які знаходилися на загубленій клієнтом картці за короткий період. Функції ухвалення рішень у спірних ситуаціях є центральною частиною традиційної банківської системи. Відмова від них, що здається, мається на увазі у багатьох розробках систем електронних платежів, може призвести до зростання непередбачуваних ризиків.
У реальному світі більшість речей рано чи пізно ламається. У сфері традиційних інженерних розробок проблему надійності зазвичай намагаються вирішити, використовуючи деяку комбінацію проектування із запасом та дублюванням. Однак надійність комп'ютерної системи безпеки залежить від повної визначеності так само, як і все інше.
Цей факт може використовуватися в структурному підході і першим кроком є забезпечення певних цілей бізнесу. На наступному кроці необхідно акуратно сформувати модель загроз та опрацювати функціональні властивості, якими має володіти система. Зрештою, безпека це не просто бінарний атрибут, а безліч властивостей, які забезпечують можливість системі виконувати її призначення (проводити банківські транзакції, допомагати перемогти у війні чи щось ще).
Як тільки отримаємо добре певне безліч властивостей безпеки, якими повинна мати система, можна шукати способи, за допомогою яких можна реалізувати їх на надійній комп'ютерній основі. Властивості рівня додатків використовуються для того, щоб виконати хорошу реалізацію в конкретному операційному середовищі і таким чином забезпечити точну стикування функціональних властивостей. Принципи повної визначеності також корисні як керівна ідея при проектуванні таких технічних деталей як криптографічні протоколи, на яких будується структура в цілому.
Надійність як властивість повної визначеності не нова. Ця концепція була використана при проектуванні UEPS, що має комерційний успіх із 1991 року. Виявилося, що немає значних обчислювальних чи комунікаційних витрат, що з надійними протоколами. Єдиний дійсний внесок у проектування надійної системи безпеки полягає у додаткових зусиллях на стадії проектування. Але правильно зробити спочатку завжди дешевше, ніж доводити систему у процесі тривалої експлуатації.