Seguridad y Criptografía
La seguridad es uno de los elementos clave en el desarrollo positivo de las redes de información mundial y particularmente en el comercio electrónico, ésta genera confianza, y hace que los usuarios al depositar sus datos en la red, esten seguros de que no serán alterados ni desviados a usuarios no autorizados. Todo esto hoy es posible gracias a la utilización de métodos criptográficos cuyo objetivo es garantizar la seguridad en la difusión de los mensajes que son transmitidos por la red.
Es muy importante, por consiguiente, reducir los riesgos que la distancia impone a compradores y a vendedores; y como primer paso es necesario garantizar la confidencialidad , es decir que los datos necesarios para hacer el pago, como son número de tarjeta o cuenta, y su fecha de vencimiento, no sean vulnerables a receptores no autorizados en la red, lo cual se alcanza mediante la encriptación de mensajes .
El segundo paso, es garantizar que la integridad de los datos que llevan las instrucciones de pago, no sean modificados a lo largo de su trayecto, esto se logra mediante el uso de firmas digitales.
Por último, la autentificación tanto del comprador como del comerciante, el primero, como usuario legítimo de la tarjeta para el pago del bien adquirido, y el segundo garantizando que mantiene una relación bancaria con una institución financiera que acepta el pago con tarjetas, lo cual se consigue con la emisión de certificados digitales y la generación de firmas digitales.
Niveles de seguridad y de autenticación:
Transmisión
segura: cifra el contenido mientras éste es transmitido por la Internet.
Cifrado
de tecla doble: asegura que solamente el destinatario deseado pueda abrir
el mensaje. Las partes se pasan entre ellas las teclas de cifrado.
Autenticación:
Una tercera parte en la que se tiene confianza emite certificados digitales
a las partes conocidas, examina las transacciones en tiempo real, provee
al comerciante recibidor válido la llave para que descifre la transmisión,
certifica que la transacción tuvo lugar entre el comprador y el
vendedor mediante un comprobante independiente de la transacción.
Transacción electrónica segura, (Secure Electronic Transaction [SET]): El protocolo común de los servicios de autenticación, permite que emisores múltiples de certificados digitales cooperen en la transacción, integra los servicios de compensación de tarjetas de crédito, débito y otras con el servicio de autenticación. No revela al comerciante la información de la tarjeta.
Proceso
de encriptación
Internet
es prácticamente una puerta abierta, sobre la cual ninguna entidad
ejerce un control en cuanto a qué publicar o no, pero si es posible
monitorear desde que lugar se conectan los usuarios a la red, con qué
frecuencia lo hacen, incluso lograr apoderarse de alguna información.
Naturalmente, como usuarios tememos por el peligro que al enviar nuestros
datos personales, caigan en manos de un extraño o los llamados hackers,
sin embargo, un servidor seguro nos garantiza que la información
llegará protegida a su destino, mediante un proceso de encriptación:
Todo dato
que se digitalice se codifica en binario, es decir en ceros y en unos.
Para encriptarlo,
se aplica al mensaje un algoritmo u operación matemática
que devuelve un mensaje indescifrable, también en binario.
Para decifrar
el mensaje original, se aplica el mismo algoritmo al llegar al lugar de
destino.
Solamente
el emisor y el receptor podrán decifrar el algoritmo y el mensaje
contenido con una información en clave que cada uno de ellos conoce.
Estas claves pueden ser privada (que conocerá solo el emisor) y
pública (que conocerán los destinatarios).
Cada usuario
deberá disponer de este par de claves que van asociadas. De esta
manera si alguien quiere enviar un mensaje cifrado a un usuario, tendría
que conocer su clave pública y solo la clave privada podría
descifrarlo.
Si quien
envía un texto es un usuario cualquiera, el emisor podrá
verificar a través de la clave pública (correspondiente solo
a ese usuario) que el mensaje ha sido enviado por el usuario correcto.
De este modo el usuario no podrá negar el hecho pues solo puede
haber sido firmado con la clave privada por él conocida.
En la práctica,
si nuestro objetivo es realizar una compra en línea utilizando el
navegador Internet Explorer, primeramente debemos asegurarnos de
que estamos conectados con un servidor seguro; de ser así, tendremos
en pantalla la opción de entrada a este sitio, y al hacer click
sobre ésta aparecerá inmediatamente la siguiente alerta de
seguridad:
Al dar
un click sobre la celda que dice "Más información", tendremos
el sigiente recuadro, que señala la garantía de estar ingresando
a un sitio seguro:
Si escogemos
la opción "Aceptar", podremos darnos cuenta que el URL o dirección
de la página ya no es http:// sino https://, y en nuestro ordenador
aparecerá un candado en la barra inferior de controles:
Al hacer
un click sobre el ícono del candado, Internet Explorer nos muestra
una ventana con las propiedades del certificado de validez, que esa tienda
virtual posee para el cobro mediante tarjeta de crédito; en dicho
certificado se especifica quien es la autoridad emisora, la fecha en la
que se emitió el certificado y la de caducidad, la huella digital
representada por una serie de números y letras, el protocolo de
seguridad utilizado ( Secure Socket Layer SSL) y otros aspectos necesarios
para su identificación:
Si la compra
la queremos hacer empleando el navegador Netscape, observamos un
proceso similar al de Internet Explorer; por consiguiente, cuando elegimos
la opción de entrada al sitio seguro, la pantalla nos muestra la
información de seguridad, que este navegador emplea:
En este
cuadro podemos distinguir la opción "Continuar", al elegirla, entraremos
al sitio seguro para efectuar la compra, esto lo podemos comprobar cuando
se presente un pequeño candado en la parte inferior de la barra
de controles:
Al dar un click sobre este candado, el certificado que valida la existencia del sitio seguro aparecerá inmediatamente, el mismo que nos presenta una serie de opciones referentes a los requisitos de seguridad empleados por la tienda virtual y el seleccionados por el navegador:
Protocolo
SET
Los principales
bancos y corporaciones involucrados con tarjetas de crédito en el
mundo, han formado un consorcio con el objetivo de crear un conjunto de
especificaciones que permitan el desarrollo del comercio electrónico
en el seno de Internet, llamado SET, Secure Electronic Transaction o Protocolo
de Transacción Electrónica Segura.
Qué es el Protocolo SET?
Secure
Electronic Transactions es un conjunto de especificaciones desarrolladas
por VISA y MasterCard, con el apoyo y asistencia de GTE, IBM, Microsoft,
Netscape, SAIC, Terisa y Verisign, que da paso a una forma segura de realizar
transacciones electrónicas, en las que están involucrados:
usuario final, comerciante, entidades financieras, administradoras de tarjetas
y propietarios de marcas de tarjetas.
SET constituye la respuesta a los muchos requerimientos de una estrategia de implantación del comercio electrónico en Internet, que satisface las necesidades de consumidores, comerciantes, instituciones financieras y administradoras de medios de pago.
Por tanto,
SET dirige sus procesos a:
SET utiliza
para sus procesos de encriptación dos algoritmos:
De clave privada DES (Data Encryption Standard), de fortaleza contrastada y excelente rendimiento, conocido también como algoritmo asimétrico ya que emplea dos claves diferentes: una para encriptación y otra para desencriptación.
La base
matemática sobre la cual trabajan los algoritmos, permite que, mientras
un mensaje es encriptado con la clave pública, es necesaria la clave
privada para su desencriptación.
El mensaje
original es encriptado con la clave pública del destinatario; este
podrá obtener el mensaje original después de aplicar su clave
privada al mensaje cifrado.
Para evitar que la clave pública de un usuario sea alterada o sustituida por otro no autorizado, se crea una entidad independiente llamada Autoridad Certificadora (Certifying Authority, CA), cuya labor consiste en garantizar y custodiar la autenticidad de la claves públicas de empresas y particulares, a través de la emisión de certificados electrónicos.
Sobres
electrónicos
Como hemos
visto SET, se encarga de proporcionar la confidencialidad de los mensajes
y para cifrarlos utiliza dos claves simétricas, las que al ser generadas
aleatoriamente, son cifradas a su vez con el componente público
del par de claves asimétricas del destinatario. Por tanto, sobre
electrónico (digital envelope) es la unión de la clave simétrica
cifrada, con los datos del mensaje cifrados por esta.
Al llegar a su destino, el componente privado del par de claves asimétricas de quien recibe el mensaje, decifra la clave simétrica y los datos del mensaje.
Firmas
electrónicas
Las relaciones
matemáticas entre la clave pública y la privada del algoritmo
asimétrico utilizado para enviar un mensaje, se llama firma electrónica
(digital signatures).
Quien envia
un mensaje, cifra su contenido con su clave privada y quien lo recibe,
lo descifra con su clave pública, determinando así la autenticidad
del origen del mensaje y garantizando que el envío de la firma electrónica
es de quien dice serlo.
La integridad
del contenido del mensaje es garantizada al hacer pasar los datos a través
de una función irreversible, como MD5, que produce un destilado
del original que es único para un contenido dado y jamás
podrá darse un destilado igual partir de dos mensajes diferentes.
Este proceso se conoce como digestión del mensaje (message digest).
La clave privada del emisor destila el mensaje, y el resultado se añade al mensaje original enviado, formando la firma electrónica, mientras que el receptor descifra el destilado con la clave pública del emisor. Si al aplicar el receptor, la misma función al mensaje original, los resultados son iguales, la integridad y autenticidad del mensaje son correctas. Si el "destilado" generado no es coincidente con el extraído de la firma electrónica, se ha producido una modificación en el contenido del mensaje.
Certificados
de autenticidad
Como se
ha visto la integridad de los datos y la autenticidad de quien envia los
mensajes es garantizada por la firma electrónica, sin embargo existe
la posibilidad de suplantar la identidad del emisor, alterando intencionalmente
su clave pública. Para evitarlo, las claves públicas deben
ser intercambiadas mediante canales seguros, a través de los certificados
de autenticidad, emitidos por las Autoridades Certificadoras.
Para el
efecto SET utiliza dos grupos de claves asimétricas y cada una de
las partes dispone de dos certificados de autenticidad, uno para el intercambio
de claves simétricas y otro para los procesos de firma electrónica.
Las Autoridades
Certificadoras poseen un sistema jerárquico para la emisión
y verificación de Certificados de Autenticidad hacia autoridades
de niveles inferiores, en este sistema intervienen:
Issuer,
entidad financiera del comprador, la cual posee certificados para actuar
como Autoridad Certificadora, lo que le permite emitir otros hacia los
compradores.
Acquirer,
entidad financiera del comerciante, de igual forma posee un certificado
de Autoridad Certificadora, para la emisión de otros hacia los comerciantes.
Compradores,
que obtienen su certificado de la entidad financiera o issuer, para su
completa identificación, el mismo que reemplazará a la tarjetas
de crédito.
El comerciante, que obtiene su certificado de la entidad financiera o acquirer, con la cual firma un contrato de adhesión para la aceptación de tarjetas de crédito o débito; el comerciante poseerá tantos certificados como marcas de tarjetas acepte como medio de pago.
En la actualidad
hay varios métodos de encriptación y cada vez se utilizan
más programas de correo electrónico coordinadamente con programas
de encriptación-desencriptación compatibles, que aseguran
sus relaciones en operaciones comerciales, entre todos ellos podemos mencionar
algunos:
Pretty
Good Privacy (PGP): Es un programa de encriptación de documentos
a través de redes, creado por Philip Zimmermann, combinando el mejor
algoritmo existente de clave única, el IDEA, con el mejor de clave
pública, el RSA, y añadiendo el MD5 para las firmas digitales.
Este combina criptografía de clave pública con criptografía
convencional, ofreciendo encriptación, autenticación de documentos
con firmas digitales, comprobación de integridad y opciones de manejo
de claves. Por sus gran ductilidad y adaptabilidad a las diferentes arquitecturas
informáticas puede ser utilizado con la mayoría de los sistemas
operativos comerciales como Windows, Windows NT, Mac, etc. Asimismo, puede
ser utilizado conjuntamente con programas de correo electrónico
tradicionales como Eudora.
La compañía
de Zimmermann ha creado diversos programas comerciales cuya venta está
restringida por la normativa ITAR a Estados Unidos y Canadá. Entre
ellos cabe destacar PGPMail, un programa que integra PGP como una parte
más del programa de e-mail Eudora, facilitando mucho la tarea en
el entorno Windows, y PGPDisk , un programa diseñado específicamente
para la protección de discos duros.
Pretty
Good Privacy Fone: Es un programa con las características del PGP
tradicional, que permite hacer llamadas telefónicas normales vía
modem, comprimiendo encriptándo la voz, para luego digitalizarla
sin que terceras personas puedan acceder a las mismas y llegue segura al
receptor. Se utiliza para este intercambio de claves el algoritmo de clave
pública DH.
International
Data Encription Algorithm (IDEA): Este programa de encriptación
algorítmica de Ascom Systec Ltd. de Suiza, utiliza el mismo sistema
de seguridad de Pretty Good Privacy (PGP). Su implementación es
simple y puede ser utilizado en todo el mundo. Ha sido registrado con normas
ISO/IEC y UNI/EDIFACT (lo que posibilita la implementación de aplicaciones
EDI).
Authosign-AEA
Technology: AEA Technology desarrolla un conjunto de herramientas informáticas
destinadas a confirmar la integridad de los documentos que se envían
mediante correo electrónico como encriptación, firma digital,
etc.
Dentro
de las instituciones más destacadas que brindan servicios de secure
server, para llevar adelante las actividades de comercio electrónico,
podemos mencionar las siguientes:
Verisign
es una de las más prestigiosas compañías líderes,
que provee la infraestructura de llaves públicas (PKI) y soluciones
para certificados digitales usados por empresas, sitios Web y consumidores,
para llevar adelante las comunicaciones y transacciones seguras en Internet
y redes privadas en todo el mundo.
La compañía
Terisa Systems trabaja en la creación de productos para seguridad
en la WWW, que son muy fáciles de utilizar pero a la vez garantiza
que la compra - venta a través de tarjetas de crédito sea
segura, de igual forma para el uso de firmas digitales en contratos mercantiles,
etc., con el empleo de claves criptográficas como el RSA.
Secude,
es un programa de seguridad que autentiza y proteje las comunicaciones
privadas realizadas por e-mail, brinda la infraestructura para la utilización
de firmas electrónicas, encriptación, redes de autenticación,
contratos digitales, aplicaciones EDI y distribución de softwares
por la Red. Para su desarrollo emplea claves simétricas y asimétricas
con algoritmos RSA.
La corporación
IBM, ha desarrollado productos y servicios para la protección de
las actividades de negocios realizados electrónicamente como antivirus,
criptografía y contrafuegos, implementando así un mayor grado
de seguridad al empresario.
Data Fellows
desarrolló un programa denominado F-Secure Commerce para encriptar
y autentificar cualquier clase de documento, utilizando métodos
de encriptación que incluyen DES, 3DES, IDEA, Blowfish y RSA, con
aplicación sobre las versiones de Windows 3.1; NT y 95.
La corporación
Internet Security Systems (ISS), es la pionera en proveer sistemas adaptables
a la gestión de seguridad y protección de programas, tales
como contrafuegos, autenticación y encriptación. La ISS aporta
con varias herramientas seguras para las actividades de comercio electrónico
como: Real Secure, Internet Scanner y System Security Scanner.
Visa conocida
mundialmente por la emisión de "dinero plástico" o tarjetas
de crédito, ha incorporado al mundo de los negocios, el uso de herramientas
de pago seguras, mediante la aplicación de SET, facilitando así
a clientes y vendedores las transacciones on line.
El Sistema
Mondex emplea la tarjeta de crédito para pagos digitales, opera
a nivel mundial a través de bancos e instituciones financieras como
una subsidiaria de Master Card Internacional.
La corporación Cybercash, posee sus oficinas centrales en Reston, Estados Unidos, reconocida mundialmente por proveer soluciones de pago seguras para el comercio electrónico, asi como un sistema de pago y facturación interactivo a través de la WWW, entre empresas y empresas y consumidores.
Retirado de http://ute.edu.ec/~mjativa/ce/seguridad.html