日常生活中人們到商場購物,付款方式一般有兩種:採用現金結算或採用銀行卡結算。2006年1月4日和1月5日某媒體連續刊登了兩篇報道,題目分別爲《刷卡簽名商家有責辨真僞》、《銀行卡被盜刷商家沒過錯》。這兩篇報道代表兩個完全對立的觀點,但是闡述的內容都具有相當的說服力。這就提出兩個問題,第一,當銀行卡被盜刷的情況下,由此產生的損失到底應該由“卡”的所有者承擔,還是應該由收款的商家承擔?第二,能否避免這種損失的發生?筆者對兩個問題的回答是:在現有的法制環境、技術手段下,無法準確的判斷損失、無法準確的分清責任,也就無法準確的判罰;採用新的安全技術能夠避免這種損失,一旦出現被盜刷的情況,可以依法判罰。
傳統身份識別、簽名識別存在的缺陷
在現有金融支付平臺上使用銀行卡時,支付過程如下:在銀行提供的聯網POS機上刷卡,由客戶輸入密碼,密碼驗證通過後POS機打印銀行轉賬單據,客戶在轉賬單據上簽名,客戶出示有效身份證明(如身份證),收款員驗證客戶簽名及身份證明,收款員打印銷售發票,至此整個支付過程結束。其中收款員驗證客戶簽名及身份證明是非常關鍵的一個環節,本文所提出的問題就是針對這個環節。
該媒體兩篇報道中支持卡所有者的觀點認爲,使用手寫簽名是銀行卡不被盜刷的基本保障。這樣可以鑑別刷卡人是否爲卡的所有者。在中國銀聯頒發的《收單規範》中要求收單商戶必須仔細覈對簽名,以防銀行卡被盜刷。因此從卡的所有者角度出發,收單商戶有責任對刷卡人的真實身份進行確認,對簽名的真僞進行鑑別。如果收單商戶不對刷卡人的手寫簽名進行鑑別,將意味着銀行卡所有者的安全大門完全失去了最基本的設防。這種情況是任何合法交易對象,無論是收單商戶、還是合法卡的所有者所不願意看到的,將導致擁有銀行卡的用戶不再敢使用刷卡的方式消費,也意味着商戶將失去一部份客戶。
而站在收單商戶的立場認爲,銀行卡被盜刷商家沒有過錯。商家無權干涉持卡者的消費方式,涉及的銀行與銀聯也沒有義務對POS機操作員進行培訓,重要的是法院則認爲刷卡過程中是否應該對簽名進行鑑別、覈對,相關法律法規沒有做出特別規定,也就是說沒有法律依據。所以據此,如果客戶的銀行卡丟失後沒有及時掛失造成的損失,收單商戶沒有責任。
刷卡是一種非常方便的支付方式,但是要得到人們的認可、在生活中得以推廣,必須有一個安全的支付環境和支付工具,使得卡的所有者、收單商戶、銀行三方的利益都得到充分的保護。
筆者認爲,在目前的技術條件下,要求POS機操作員僅僅依靠身份證來識別刷卡人的真實身份,同時要鑑別刷卡人簽名時的筆跡是一項非常困難的工作。因爲,一方面現在使用的身份證技術含量低,容易僞造;另一方面鑑別簽名筆跡是一項技術性非常強的工作,一般人無法勝任,只有行業內的專家才能準確的鑑別,然而在實際工作中不可能爲每一臺POS機配備一名這樣的技術專家。
那麼是否能夠找到一種在身份鑑別、簽名鑑別上都非常方便、快捷、安全、實用的技術,這一問題就是本文論述的核心: RSA非對稱加密解密技術應用模型。
RSA加密解密算法論述
RSA是一個非對稱加密解密算法,由加密解密算法、公共參數、一對存在數學關係的公鑰和私鑰構成,其中算法、公共參數、公鑰是可以公開的,私鑰必須祕密保存。RSA的核心在於,加密時使用私鑰,而解密時則使用公鑰。