IranIT.info Articles
عنوان SET
نويسندهپويا فوده تاريخ ارسال 02/10/1381 نام قسمت فناورى
مقدمه

امروز ما در طليعه انقلابي هستيم كه ما را در راه رسيدن به اجناس يا سرويس هايي كه خريدار آنها هستيم ياري ميدهد. رشد فوق العاده World Wide Web محيط جديدي براي بازرگانان بوجود آورده است كه به I-Commerce موسوم است. اساس اين پديده به استفاده از كارتهاي اعتباري جهت خريد online از طريق وب استوار است.
در اول فوريه سال 1996 VISA و MasterCard با يكديگر اعلام كردند(با همكاري شركتهاي ديگري: Microsoft, IBM, Netscape, SAIC, GTE, RSA, Terisa Systems, VeriSign) استاندارد واحدي براي پرداخت مطمئن الكترونيكي تحت شبكه هاي باز ابداع گرديده است. اين استاندارد SET ناميده شد. قبل از اين پيشرفت VISA و MasterCard روشهاي جداگانه اي را دنبال ميكردند و اين استاندارد با ايجاد همگرايي تلاشهاي منفرد را پايان بخشيد.
در اواسط دسامبر 1997 توسط اين دو سازماني به ثبت رسيد SETCo كه ساختار كنوني و وضعيت آينده اين قرارداد استاندارد و ساير متعلقات آنرا را تعيين ميكرد. American Express و JCB هم پس از مدتي بطور كامل به اين قرارداد پيوستند.

تكنولوژي SET

پروتكل SET سه مزيت دارد كه همراهي آنها با هم اين پروتكل را از ساير روشها مطمئن تر ساخته است. اين سه عبارتند از:
  • محرمانگي، بوسيله رمز گذاري كه خواندن پيامها را توسط بيگانگان غيرممكن ميكند.
  • درستي، بوسيله چكيده پيام و تاييد امضا اطمينان ميدهند پيامها بدون تغيير رد و بدل ميشوند.
  • تاييد بوسيله گواهي امضا ديجيتال، كه اطمينان ميدهد ادعاهايي كه افراد درگير معامله دارند قابل اثبات و اعمالي كه انجام داده اند غير قابل انكار است.

  • اين برتري ما را درگير تكنولوژي پيچيده اي ميكند ما نگاهي دقيقتر به هر يك از روشها خواهيم داشت اما قبل از آن و نگاه كوچكي هم به روشهاي پردازش فروش online خواهيم داشت.

    SET در عمل

    پس از تعريفي كه از تكنولوژي هاي درگير در SET داشتيم جالب خواهد بود نگاهي به عوامل واقعي اين روش بياندازيم. SET استاندارد نسبتا پيچيده اي است شكل زير پروسه هاي درگير در عمليات فروش را نشان ميدهد.



    در شكل بالا قسمت هاي درگير در پروسه فروش وقتي كه از SET استفاده ميكنيم را ميبينيد. اول مشتري دارنده كارت و فروشنده هستند كه قصد معامله دارند بعد موسسه مالي است كه كارت از طرف وي صادر شده و فروشنده كه سيستم آنرا بعنوان روش پرداخت پذيرفته است. اين موسسه است كه در كليه معاملات بين صاحبان كارت و فروشندگان مسئول است و به مغازه دار اطمينان ميدهد كه پولش پرداخت خواهدشد. و بلاخره صادر كننده گواهي شناسايي افراد است كه گواهي هايي صادر ميكند كه توسط همه قسمتها قابل تشخيص است.
    قبل از اينكه استفاده از پروتكل SET آغاز شود صاحب كارت در فروشگاه الكترونيكي سايت ميگردد و كالاهايي را كه ميپسندد را انتخاب ميكند. بعد از اين كه SET آغاز ميشود و نرم افزار فروشنده كار را آغاز ميكند و مشخصات فروشنده را كه بصورت ديجيتال گواهي شده است براي خريدار ارسال مينمايد همچنين تقاضاي گواهينامه شناسايي خريدار را به كامپيوتر او ارسال مينمايد. اين عمل اينگونه انجام ميشود كه بعد از اينكه برنامه صاحب كارت (اپلتي كه wallet به معني كيف بغلي ناميده ميشود و روي كامپيوتر مشتري اجرا ميشود) فروشنده را شناسايي كرد درخواست خريد و مشخصات كارت طبق گواهي امضا ديجيتال رمز گذاري ميكند و سپس براي فروشنده ارسال ميكند.(فلش1 شكل) .
    نرم افزار فروشنده پيام موافقت پرداخت و محتواي سفارش را از رمز در ميآورد و آنرا همراه اطلاعات حساب مشتري و مبلغ كه همچنان رمز شده اند براي موسسه ارسال ميكند(فلش 2 شكل).اين قسمت از SET حائز اهميت است چرا كه اطلاعات كارت(مانند شماره و تاريخ اعتبار) براي فروشنده قابل مشاهده نيست و فقط مسئول پرداخت –مثل بانك- ميتواند آنرا ببيند. اين روند خريد از طريق SET را مطمئن تر از خريد رو در رو و يا با نامه و تلفن ميسازد.
    بعد از اينكه موسسه درخواست مجوز فروشنده را دريافت كرد آنرا رمز گشايي و جهت بررسي و تاييد از طريق خطوط اختصاصي براي بانك صاحب كارت ميفرستد. وقتي موسسه جواب را از بانك دريافت كند آنرا رمزگذاري كرده به فروشنده ارجاع ميدهد.(فلش3 شكل)
    وقتي نرم افزار فروشنده جواب بگيرد آنرا با مبلغ مطابقت ميدهد و سپس آنرا رمز كرده به برنامه مشتري(wallet) ميفرستد اگر موجودي كافي باشد اين پاسخ تاييد شده است. (فلش4 شكل) بدين معني كه خريدار ميفهمد در صورت تاييد معامله انجام خواهد شد.
    در نهايت وقتي سفارش محقق ميگردد كه پرداخت بوسيله موسسه از بانك مشتري به حساب بانكي فروشنده انجام شده باشد.(فلش5,6 شكل)
    تاكنون ديديم كه چگونه پروتكل SET در عمل كار ميكند. حال وقت آن رسيده كه نگاهي نزديكتر به تكنيك هايي بياندازيم كه پروتكل بر آنها بنا شده است. ما مطالعه را با رمز گذاري جهت رسيدن به امنيت مطلوب آغاز ميكنيم.

    امنيت بوسيله رمز گذاري

    SET جهت اطمينان از امنيت ارتباطات از دو روش رمز گذاري استفاده ميكند. اولي يك روش نامتقارن است كه تحت عنوان RSA شناخته ميشود و دومي روشي متقارن است DES ناميده ميشود و اينها مراقب اطلاعات و عامل رمزگذاري و تاييد امضاي اطلاعاتي است كه مبادله ميشوند. شايد جالب باشد كه در نگاهي به اين دو روش بياندازيم اول RSA.

    RSA
    نوعي رمزگذاري است كه بوسيله رن ريوست , ادي ساير , لئونارد آدلمن در دانشگاه MIT به سال 1977 بوجود آمد. اين روش بر پايه رمزگذاري نامتقارن يا كليد عمومي بنا شد كه در سال 1976 توسط وايتفيلد ديفي و مارتين هلمن جهت حل مسائل مديريت كليد ارائه شد. در اين روش از قسمتهايي بنام كليدعمومي و كليد اختصاصي كه با هم روابط رياضي دارند استفاده ميشود. كليد عمومي در شبكه بين همه توزيع ميشود و جهت رمز كردن پيامها براي گيرنده بكار ميرود. اما گيرنده اطلاعات آنها را با كليد اختصاصىاش از رمز در مي آورد. در اين روش هر كس ميتواند با كليد اختصاصىاش پيام رمزي توليد كند اما فقط دارنده كليد اختصاصي است كه ميتواند آنها را رمز برداري كند. نياز به تغيير دادن كليدها در اين روش از بين ميرود و ميتوان كليد عمومي را بدون خطر روي اينترنت قرار داد.

    DES
    يك روش رمز گذاري است كه در سال 1977 بوسيله دولت ايالات متحده بعنوان يك استاندارد رسمي طراحي و تاييد شده است. در اصل اين روش بوسيله IBM طراحي و بطور گسترده در سيستم هاي رمز گذاري جهان مورد استفاده قرار گرفته است اين روش رمزگذاري متقارن است بدين معني كه فرستنده و گيرنده بايد به يك كليد محرمانه دسترسي داشته باشند كه هم در رمزگذاري و هم در رمزبرداري بكار ميرود.DES فقط براي سيستمهاي رمزي تك كاربري مانند ذخيره سازي رمزي داده ها روي هارد ديسك بكار ميرود اما در سيستمهاي چند كاربره توزيع كليد امنيتي مشكلاتي از نظر حفظ كليد بوجود مي آورد اين ضعف بزرگ سبب رو آوردن به روشهاي رمزگذاري نامتقارن ميشود كه اين مشكل را ندارند.
    اما چرا از DES در SET استفاده ميشود؟ براي اينكه حداقل صد با از RSA سريعتر است. پروتكل SET اين دو روش را به بهترين با هم تلفيق كرده است. پيامها با يك كليد تصادفي با DES رمز گذاري ميشوند و اين كليد در گيرنده بوسيله RSA كشف ميشود. به اين روش اصطلاحا "لاك و مهر الكترونيكي" ميگويند. پس از دريافت پيام ابتدا كليد امنيتي بوسيله كليد اختصاصي كشف ميشود و بعد بوسيله آن كل پيام از رمز خارج ميشود.

    چرا SET ايمن است؟

    SET براي استفاده از يك كليد 1024 بيتي طراحي شده و اين آنرا يكي از مطمئنترين روشهاي رمزگذاري عمومي ميكند. براي شكستن چنين رمزي بايد صد كامپيوتر كه هر يك ده ميليون عمل در ثانيه انجام ميدهند بايد 2,800,000,000,000 سال وقت صرف كنند تا يك پيام رمز شكسته شود و براي پيام بعدي هم همين قدر زمان لازم است! شايد اغراق باشد اما اين كليد براي كليه مقاصد تجاري روي اينترنت بدون نقص بنظر ميرسد بخصوص براي شركتهاي صادر كننده كارتهاي اعتباري كه بيشترين زيان را از كلاهبرداري ديده اند.SET براي صادرات از آمريكا تاييد شده است بشرطي كه فقط جهت ارتباطات تجاري بكار گرفته شود و براي ارسال اطلاعات حساس و محرمانه به خارج از ايالات متحده استفاده نشود.

    درستي با چكيده سازي و امضاي ديجيتال

    پروتكل SET با استفاده از چكيده گيري و امضاي ديجيتال اطمينان ميدهد كه اطلاعات صحيح بوده و در حين مخابره دستكاري نشده اند. الگوريتم چكيده گيري تابعي است كه براي محاسبه مقداري يكتا و بي نقص بكار ميرود.
    اما چكيده به تنهايي نميتواند امنيت اطلاعات را تضمين كند. امضاي الكترونيك يك چكيده ساده است كه قبل از الصاق به اصل پيام با كليد اختصاصي فرستنده رمز شده است. گيرنده مقدار چكيده را با كليد اختصاصي اش رمز برداري و سپس آنرا چك ميكند. اين رمز اطمينان ميدهد كه كسي نميتواند يك پيام اشتباه را بدون داشتن كليد اختصاصي ارسال كند.
    بهر حال هر كس ميتواند با داشتن يك جفت كليد اختصاصي عمومي خود را بجاي كس ديگري جا بزند بنابراين داشتن مكانيزمي كه كليد عمومي را به اشخاص خاص مقيد كند ضروري است و اين همان اعطاي گواهي امضاي ديجيتال است كه در زير ميبينيد:

    تاييد با گواهي امضا ديجيتال

    تاييد معاملات با اطمينان از اينكه پيام واقعا توسط كسي كه ادعا ميكند فرستنده آنست ارسال گرديده ممكن است. طبق نمودار صفحه قبل هر عامل در ارتباط SET بوسيله گواهي ديجيتال تاييد ميگردد. اين گواهينامه هاي ديجيتال بوسيله شخص ثالث قابل اعتمادي كه متصدي صدور گواهي ناميده ميشود و شناسايي صاحب گواهي را تضمين ميكند به افراد داده ميشود. هر گواهينامه شامل مشخصات صاحب آن و يك كپي از كليد عمومي است كه ضمنا جهت اطمينان از اعتبار خود آن امضاي ديجيتال شده است. جهت سرپرستي اعتبار تمام گواهي ها يك پايگاه امنيتي ايجاد ميشود.
    در شكل تعدادي از گواهي هاي ديجيتال كه بوسيله پروتكل SET استفاده ميشود را ميبينيد. همانطور كه قبلا اشاره شد هر قسمت درگير(اعم از خريدار , فروشنده , موسسه و صادركننده گواهي...) بايد گواهي هاي مربوطه را داشته باشند و بدين منظور آنها در درخت اطميناني طبقه بندي ميشوند كه CA در ريشه آن قرار دارد و براي بررسي گواهي ها تمام پايگاه بوسيله اين درخت پيمايش ميشود. هر گواهي امضا به چيزي كه آنرا گواهي ميكند متصل ميشود و طبق اين درخت هر كس ميتواند از صحت آن اطمينان حاصل كند. مثلا گواهي صاحب كارت وصل است به گواهي صادر كننده گواهي و همينطور به عقب ميرود تا ريشه برسد كه امضا و علامت آن براي تمام نرم افزارهاي SET شناخته شده است.(مثلا شعبه بانك ملي امضا مشتريش را تاييد ميكند و شعبه مركزي بانك ملي امضا شعبه مربوطه را و بانك مركزي -كه گواهي اش براي همه برنامه ها شناخته شده است- امضاي شعبه مركزي بانك ملي را تاييد مينمايد.



    مسائل حل نشده

    گرچه SET بطور بالقوه امكان ايجاد امنيت تجاري را روي اينترنت دارد و بدينوسيله I_Commerce را جذاب و مطمئن ميكند و ليكن هنوز از مسائل حل نشده اي رنج ميبرد. آنچه در اين ميان چشمگير است ارتباط بين برنامه هايي كه توسط سازندگان مختلف نرم افزار عرضه شده اند ميباشد. تا زماني كه اين مساله حل نشده است نميتوان از استاندار SET صحبت كرد. مشكل ديگر يكپارچگي سيستم است كه اين مشكل خصوصا در مورد فروشندگاني كه ميخواهند تكنولوژي SET را بر روي سيستم فعلي خود پياده سازي كنند وجود دارد. در زير نگاهي دقيقتر به اين دو مشكل خواهيم داشت.

    امكان ارتباط متقابل

    سازگاري ميان نرم افزارهاي مختلف SET لازم است و اگر اين پروتكل بخواهد براي مدت طولاني بعنوان يك پروتكل باز مطرح شود استفاده كنندگان(اعم از مشتريان , فروشندگان , موسسات مالي و صادركنندگان گواهي) بايد قابليت انتخاب از بين نرم افزارهاي توليد شده شركت هاي مختلف را داشته باشند و آنچه مهم است اينست كه اينها بدون نقص با همديگر كار كنند.
    اين تا به امروز محقق نشده است و در واقع تعداد بسيار كمي از نرم افزار هاي توليدي با هم سازگارند و اگر چنين شود بدون شك استاندارد آن بسيار گسترده خواهد بود. مسائل زيادي هنوز حل نشده اند خصوصا خود SET هم تا اندازه اي مبهم است و روند فروش را كامل پوشش نميدهد (مثلا تنظيم پرداخت با SET , مفاد سفارش , شناسايي پورت اتصال , پشتيباني از زبانهاي مختلف) براي غلبه بر اين مشكلات صنف توليد كنندگان انجمني تشكيل داده اند كه I14Y ناميده ميشود و انتشار نگارش 1.0 در اولويت كار اين گروه قرار گرفت. بعنوان قسمتي از اين تلاش IBM بوسيله VeriSine (با همكاري HP) تيمي تشكيل داده است تا روي اين موضوع كه برنامه هاي مختلف با هم كار كنند به پژوهش بپردازند كه شرح اين تجربه بعنوان مرجع SET 1.0 انتشار يافته است. با اينكه اين حركات آغاز گرانه نويد بخش هستند , هنوز خيلي چيزها براي انجام مانده تا برنامه هاي SET واقعا ارتباط پذير شوند و در راس اين مشكلات نگارش 2.0 است كه در راه ميباشد و با توجه به اين اعتمادي نيست كه اين مساله بزودي حل شود و اين بزرگترين مشكلي است كه بر سر راه پيشرفت SET وجود دارد.

    ادغام سيستمها

    در كنار مساله ارتباط متقابل مشكل ديگري درباره پروتكل SET وجود دارد. جهت پاسخ به اين سوال كه ادغام بين پروتكل SET و I-Commerce كه فعلا استفاده ميشود چقدر است بهتر است كه نگاهي به يك گزارش تحقيقاتي بياندازيم ولي اول بايد به اين نكته اشاره كنيم كه حوزه اين گزارش به ادغام بين سيستمهاي SET و سيستمهايي كه فروشندگان براي ساخت فروشگاه هاي وب استفاده ميكنند محدود خواهد بود. و بيشتر به عواملي چون به روشهاي موجود در حسابداري , سفارش , موجودي انبار , فاكتور نويسي , ... بستگي دارد.
    جايبيس آ ب بنيان گذار اين پروژه بود طي پياده سازي مقدماتي SET در تمام جهان مشاهده شده كه سيستمهاي امنيتي مشكل بزرگي دارند. در تست مقدماتي اين پروژه در سوئد كه 30 كمپاني در آن شركت داشتند اين مشكل بخوبي خودش را نشان داد. مشكلات تكنيكي اين پروژه سوئدي فقط بخاطر ادغام نبود اما ادغام مشكلات فراواني بوجود آورد.
    همانطور كه اشاره شد هدف از اين پروژه نشان دادن مشكل ادغام بين پروتكل SET و نرم افزارهايي كه هم اكنون توسط فروشندگان استفاده ميشود گر چه اين سيستمها بسيار مختلف هستند ولي بنظر ميرسد كه امكان يك ارتباط مشترك وجود دارد و اگر مشكلاتي كه در جريان داده و اجزا مختلفي كه بوسيله زبانهاي مختلف برنامه سازي و خط مشي هاي مختلف بوجود آمده اند حل شود اين مهم انجام خواهد شد.

    نقد SET

    بغير از مشكلاتي كه در فصل قبل گفته شد انتقادات واردي به SET وجود دارد. صاحب نظران در اردوگاه هاي مختلفي قرار دارند برخي به جنبه هاي زيباي SET و عده اي به كمبود هاي آن اشاره ميكنند مهمترين انتقادات در زير آمده اند.

    تعويق , تعويق , تعويق

    اولين آنها –يكي از بزرگترين مخالفتهايي كه با SET ميشود- تاخيري است كه در گسترش و پياده سازي آن وجود دارد. از سال 1996 تا به حال VISA و MasterCard و يازده كمپاني صاحب تكنولوژي بايد يك سيستم مطمئن براي ارتباطات تجاري با كارتهاي اعتباري روي اينترنت ساخته و جاده براي I-Commerce اسفالت كرده باشند. آنها با ساز و دهل SET را معرفي كردند اما پس از چند سال اين استاندارد هنوز پياده سازي نشده و صداي ساز و دهل ها هم ساكت شده است. تعويق ها در مشكلات تكنيكي و هزينه هاي زيادي كه پياده سازي آن دارد و فروشندگان را در اتخاذ آن دودل ميكند ريشه دارد. اگر اين تعويق ادامه يابد ممكن است اين پروتكل هرگز در بازار پذيرفته نشود و فروشندگان راه حل مشكل ارتباط مطمئن خود را در جايي ديگر جستجو خواهند كرد.

    چه كساني از SET سود ميبرند

    مخالفت ديگر اين است كه SET براي چه كسي سودمند است. صاحبان كارت و فروشندگان يا شركتهاي كارتهاي اعتباري و همكارانشان در سازمانهاي مالي؟ اين سوال مهمترين چيزي است كه برخي از فروشندگان عادي يا كساني كه اين استاندارد را بكار گرفته اند ميخواهند بدانند.
    در يك بررسي دقيقتر بنظر ميرسد كه بانكها و صادر كنندگان كارتهاي اعتباري بيشترين سود را ميبرند چرا كه SET به آنها وعده داده كه موقعيت شان را در I-Commerce تثبيت كند و در جايي كه در تجارت الكترونيك صحبت از جايگزيني بانكها و كارتهاي اعتباري است در محيطي رقابتي برايشان حقوقي انحصاري ايجاد كند و اگر اين برنامه اجرا شود سودي كه فروشندگان ميبرند در مقابل سودي كه شركتها در مسائل رقابتي ميبرند چشمگير نخواهد بود و در نهايت سودي كه فروشندگان از اين روش در صورتي كه اين روش همه گير شود(كه نشده!)ميبرند پس از پرداخت هزينه هاي پياده سازي با وضعيت قبل از آن علي السويه خواهد بود.
    ولـي بايد اين نكته را هم ذكر كرد گروهي از فروشندگان منتظر ايستاده اند تا از SET بهره مند شوند. اينها عمدتا فروشندگان كشورهايي هستند كه بانكها انتقالات كارتي امضا نشده را نميپذيرند(مثل سوئد) و يا جاهايي كه سيستم SSL در آنجا وجود ندارد. در اين موارد اكثر فروشندگان از روش دريافت پول در محل تحويل(COD) و يا صدور فاكتور پس از معامله –عليرغم تمام ضعفا و محدوديت ها- استفاده ميكنند.
    و در نهايت اينكه كدام مشتريان از اين روش سود ميبرند؟ اين هم مبهم است. گرچه برخي منافع سيستم امنيتي سطح بالاي SET آشكار است ولي برنامه و گواهي هاي مورد نياز بايد قبل از اينكه مشتري چيزي بخرد بايد روي كامپيوتر مشتري نصب شود كه بعنوان يك مانع واقعي در پذيرفته شدن SET مطرح است. تجربه نشان داده كه هر چيزي كه مشتري را به برداشتن يك گام بيشتر وادار كند ممكن است موجب منصرف شدن او شود. يك راه حل اين مشكل كارتهاي هوشمند است –هر استفاده كننده بايد يك دستگاه جهت خواندن كارتهاي هوشمند در كنار كامپيوتر خود داشته باشد- كه گواهي ها و ساير اطلاعات را در خود دارند و صاحب كارت را از شر دستگاه هاي محلي راحت و SET را قابل حمل ميكند.

    كند و گران

    مزايايي كه در بالا مورد SET مورد نقد قرار گرفت با معايب اين پروتكل دست بدست هم ميدهند دو تا از آنها كند و گران بودن است بياييد نگاهي به اين انتقادات بياندازيم:
    بهايي كه براي امنيت بيشتر در SET ميپردازيم اينست كه تبادل اطلاعات بسيار كند ميشود. گزارش شده كه هر پردازش معمولي با گواهي ها و گرفتن تاييد از موسسه و پاسخ نهايي حدودا 50 ثانيه طول ميكشد. اين به سختي براي يك فروشنده تحت وب قابل قبول است و از برتري هاي I-Commerce بايد اين باشد كه دقت و صرفه جويي و راحتي براي مشتري به ارمغان آورد. از هر كس كه مدتي از عمرش را در وب گذرانده ميتوانيد بپرسيد كه وقت صرف كردن براي گرفتن صفحات وب چقدر بدو خسته كننده است. معمولا زمانهاي دريافت بيش از 30 ثانيه از وب توصيه نميشود زمانهاي صرف شده براي اعمال محاسباتي نيز فرقي نميكند. براي مشتريان با والت هاي امروزي كه انتظار دارند كارها حداكثر در 15 ثانيه انجام شود يك دقيقه معطلي خيلي زياد است بخصوص كه هيچ چيزي نيست (يا خيلي كم است) كه مشتري بتواند با كمك آن درصد پيشرفت كار را ببيند. و زمان انتقال SSL هم به اين اضافه ميشود. اين طول كشيدن مشتريان را شگفت زده ميكند و حتي ميتواند آنها را مشكوك كند و ممكن است براحتي پردازش جاري را لغو و به سايت ديگري بروند. اين مشكل ممكن است در نگارش بعدي SET 2.0 حل شود و روش RSA جاي خودش را به elliptic curve بدهد اما تا آن زمان راه زيادي باقي است و تا چند سال ديگر آماده نخواهد شد.
    علاوه بر آهسته بودن SET براي صاحبان كارت , پياده سازي آن براي فروشندگان تا حدي گران است. طي تجربه سوئد قيمت آن حدودا 30,000 دلار خواهد بود و اين SET را براي فروشندگان كوچك غير قابل استفاده ميكند. در آينده اگر شركتهاي ميزبان وب (Web Hosting) استفاده از سيستمهاي سازگار با SET را آغاز كنند اين مشكل تا حدودي حل خواهد شد.

    نه قابل حمل و نه به اندازه كافي مطمئن

    آنچه همه چيز را در پياده سازيهاي كنوني SET بدتر ميكند اينست كه قابل حمل نيست و براي صاحبان كافي مطمئن نيست. همانطور كه قبلا اشاره شد اين پروتكل قابل حمل نيست چرا كه علاوه بر برنامه امضاي ديجيتال هم بايد روي كامپيوتر مشتري نصب شود و اين بدان معني است كه مشتري براي سفارش بايد هميشه به همان كامپيوتر دسترسي داشته باشد و اگر بخواهد از طريق كامپيوتر ديگري(مثلا روي LAN)اينكار را انجام دهد بايد حتما علاوه بر والت گواهي امضا را هم داشته باشد و از روي ديگر صاحب كارت بايد براي هر كارت يكسري برنامه دريافت و نصب نمايد. اين خيلي جالب و عملي نيست اما بطور بالقوه با استفاده از كارتهاي هوشمند ميتوان SET را قابل حمل كرد. در اين راه بسيار آزمايش شده و بخصوص فرانسه راه زيادي را تا رسيدن به چيزي كه C-SET ناميده ميشود طي شده و نگارش بعدي SET هم به اين موضوع خواهد پرداخت.
    همچنين SET كه پيشتاز روشهاي مطمئن در تجارت روي شبكه هاي باز ميباشد به اندازه كافي مطمئن نيست. گواهي امضا روي كامپيوتري نصب ميشود كه حداكثر با يك اسم رمز محافظت ميشود و راه حل اين مشكل نيز استفاده از كارتهاي هوشمند براي حفظ گواهي امضاي صاحبان آن خواهد بود.

    خلاصه SET

    از آنچه گفته شد پيداست كه SET كاستي ها و مشكلاتي دارد.حال اين سوال پيش ميآيد كه آيا SET بعنوان استانداردI-Commerce پذيرفته خواهد شد؟ برخي ميگويند SET خيلي پيچيده و گران است و بقيه ميگويند SET همان چيزي است I-Commerce بدان نياز دارد و براي تمام مقاصد جذاب و مطمئن است.
    حقيقت اينست كه SET توسط افرادي بسيار قوي حمايت ميشود كه از همه گير شدن آن سود ميبرد(مثل شركتهاي كارت و بانكها) و بودن آن براي آنها شانسي انكارناپذير است. VISA و MasterCard سرمايه گذاري زيادي روي آن كرده اند و نميخواهند اولين كساني باشند كه آنرا رها ميكنند . در حال حاضر تمام معاملات كارتي روي اينترنت (از جمله با SSL)در بالاترين درجه خطر قرار دارند. چه با نامه چه با تلفن و چه با روش CNP (كارت حاضر نيست) كه بيشترين هزينه را هم دارد. شايد با پيشنهاد هزينه كمتر بتوان فروشندگان را با وجود همه محدوديتها به SET ترغيب كرد.