Seguridad y Criptografía
La seguridad es uno de los
elementos clave en el desarrollo positivo de las redes de información mundial y
particularmente en el comercio electrónico, ésta genera confianza, y hace que
los usuarios al depositar sus datos en la red, esten seguros de que no serán
alterados ni desviados a usuarios no autorizados. Todo esto hoy es posible
gracias a la utilización de métodos criptográficos cuyo objetivo es garantizar
la seguridad en la difusión de los mensajes que son transmitidos por la red.
Es muy importante, por consiguiente, reducir los riesgos que la distancia
impone a compradores y a vendedores; y como primer paso es necesario garantizar
la confidencialidad
, es decir que
los datos necesarios para hacer el pago, como son número de tarjeta o cuenta, y
su fecha de vencimiento, no sean vulnerables a receptores no autorizados en la
red, lo cual se alcanza mediante la encriptación de mensajes .
El segundo paso, es garantizar que la integridad de los datos que llevan las instrucciones
de pago, no sean modificados a lo largo de su trayecto, esto se logra mediante
el uso de firmas
digitales.
Por último, la autentificación tanto del comprador como del comerciante,
el primero, como usuario legítimo de la tarjeta para el pago del bien adquirido,
y el segundo garantizando que mantiene una relación bancaria con una
institución financiera que acepta el pago con tarjetas, lo cual se consigue con
la emisión de certificados
digitales y la
generación de firmas
digitales.
Niveles de seguridad y de autenticación:
·
Contraseña/prueba:
registro/confianza
basada en la primera transacción.
·
Transmisión
segura: cifra
el contenido mientras éste es transmitido por la Internet.
·
Cifrado
de tecla doble: asegura
que solamente el destinatario deseado pueda abrir el mensaje. Las partes se
pasan entre ellas las teclas de cifrado.
·
Autenticación: Una tercera parte en la que se tiene
confianza emite certificados digitales a las partes conocidas, examina las
transacciones en tiempo real, provee al comerciante recibidor válido la llave
para que descifre la transmisión, certifica que la transacción tuvo lugar entre
el comprador y el vendedor mediante un comprobante independiente de la
transacción.
·
Transacción
electrónica segura, (Secure Electronic Transaction [SET]): El protocolo común de los servicios de
autenticación, permite que emisores múltiples de certificados digitales
cooperen en la transacción, integra los servicios de compensación de tarjetas
de crédito, débito y otras con el servicio de autenticación. No revela al
comerciante la información de la tarjeta.
Proceso de encriptación
Internet es prácticamente una puerta abierta, sobre la cual ninguna
entidad ejerce un control en cuanto a qué publicar o no, pero si es posible
monitorear desde que lugar se conectan los usuarios a la red, con qué
frecuencia lo hacen, incluso lograr apoderarse de alguna información.
Naturalmente, como usuarios tememos por el peligro que al enviar nuestros datos
personales, caigan en manos de un extraño o los llamados hackers, sin embargo,
un servidor seguro nos garantiza que la información llegará protegida a su
destino, mediante un proceso de encriptación:
a.
Nuestra información se encripta desde el momento en que pulsamos el
boton "enviar", al llenar un formulario de compra, y es nuestro
ordenador el encargado de cifrar y "esconder" los datos.
b.
Todo dato que se digitalice se codifica en binario, es decir en
ceros y en unos.
c.
Para encriptarlo, se aplica al mensaje un algoritmo u operación
matemática que devuelve un mensaje indescifrable, también en binario.
d.
Para decifrar el mensaje original, se aplica el mismo algoritmo al
llegar al lugar de destino.
e.
Solamente el emisor y el receptor podrán decifrar el algoritmo y el
mensaje contenido con una información en clave que cada uno de ellos conoce.
Estas claves pueden ser privada (que conocerá solo el emisor) y pública (que
conocerán los destinatarios).
f.
Cada usuario deberá disponer de este par de claves que van
asociadas. De esta manera si alguien quiere enviar un mensaje cifrado a un
usuario, tendría que conocer su clave pública y solo la clave privada podría
descifrarlo.
g.
Si quien envía un texto es un usuario cualquiera, el emisor podrá
verificar a través de la clave pública (correspondiente solo a ese usuario) que
el mensaje ha sido enviado por el usuario correcto. De este modo el usuario no
podrá negar el hecho pues solo puede haber sido firmado con la clave privada
por él conocida.
En la práctica, si nuestro objetivo es
realizar una compra en línea utilizando el navegador Internet Explorer, primeramente debemos asegurarnos de que
estamos conectados con un servidor seguro; de ser así, tendremos en pantalla la
opción de entrada a este sitio, y al hacer click sobre ésta aparecerá
inmediatamente la siguiente alerta de seguridad:
Al dar un click sobre la celda que dice
"Más información", tendremos el sigiente recuadro, que señala la
garantía de estar ingresando a un sitio seguro:
Si escogemos la opción
"Aceptar", podremos darnos cuenta que el URL o dirección de la página
ya no es http:// sino https://, y en nuestro ordenador aparecerá un candado en
la barra inferior de controles:
Al hacer un click sobre el ícono del
candado, Internet Explorer nos muestra una ventana con las propiedades del
certificado de validez, que esa tienda virtual posee para el cobro mediante
tarjeta de crédito; en dicho certificado se especifica quien es la autoridad
emisora, la fecha en la que se emitió el certificado y la de caducidad, la
huella digital representada por una serie de números y letras, el protocolo de
seguridad utilizado ( Secure Socket Layer SSL) y otros aspectos necesarios para
su identificación:
Si la compra la queremos hacer empleando
el navegador Netscape, observamos un proceso similar al de
Internet Explorer; por consiguiente, cuando elegimos la opción de entrada al
sitio seguro, la pantalla nos muestra la información de seguridad, que este
navegador emplea:
En este cuadro podemos distinguir la
opción "Continuar", al elegirla, entraremos al sitio seguro para
efectuar la compra, esto lo podemos comprobar cuando se presente un pequeño
candado en la parte inferior de la barra de controles:
Al dar un click sobre este candado, el
certificado que valida la existencia del sitio seguro aparecerá inmediatamente,
el mismo que nos presenta una serie de opciones referentes a los requisitos de
seguridad empleados por la tienda virtual y el seleccionados por el navegador:
Protocolo SET
Los
principales bancos y corporaciones involucrados con tarjetas de crédito en el
mundo, han formado un consorcio con el objetivo de crear un conjunto de
especificaciones que permitan el desarrollo del comercio electrónico en el seno
de Internet, llamado SET, Secure Electronic Transaction o Protocolo de
Transacción Electrónica Segura.
Qué es el
Protocolo SET?
Secure Electronic Transactions es un
conjunto de especificaciones desarrolladas por VISA y MasterCard, con el apoyo
y asistencia de GTE, IBM, Microsoft, Netscape, SAIC, Terisa y Verisign, que da
paso a una forma segura de realizar transacciones electrónicas, en las que
están involucrados: usuario final, comerciante, entidades financieras,
administradoras de tarjetas y propietarios de marcas de tarjetas.
SET constituye la respuesta a los muchos
requerimientos de una estrategia de implantación del comercio electrónico en
Internet, que satisface las necesidades de consumidores, comerciantes,
instituciones financieras y administradoras de medios de pago.
Por tanto, SET dirige sus procesos a:
- Proporcionar la autentificación necesaria.
- Garantizar la confidencialidad de la
información sensible.
- Preservar la integridad de la información.
- Definir los algoritmos criptográficos y
protocolos necesarios para los servicios anteriores.
SET utiliza para sus procesos de
encriptación dos algoritmos:
5.
De clave pública RSA (algoritmo simétrico), diseñado por Rivest,
Shamir y Adleman, cuyas iniciales componen su nombre.
6.
De clave privada DES (Data Encryption Standard), de fortaleza
contrastada y excelente rendimiento, conocido también como algoritmo asimétrico
ya que emplea dos claves diferentes: una para encriptación y otra para
desencriptación.
La base matemática sobre la cual trabajan
los algoritmos, permite que, mientras un mensaje es encriptado con la clave
pública, es necesaria la clave privada para su desencriptación.
El mensaje original es encriptado con la
clave pública del destinatario; este podrá obtener el mensaje original después
de aplicar su clave privada al mensaje cifrado.
Para evitar que la clave pública de un
usuario sea alterada o sustituida por otro no autorizado, se crea una entidad
independiente llamada Autoridad Certificadora (Certifying Authority, CA), cuya
labor consiste en garantizar y custodiar la autenticidad de la claves públicas
de empresas y particulares, a través de la emisión de certificados
electrónicos.
Sobres electrónicos
Como hemos visto SET, se encarga de
proporcionar la confidencialidad
de los mensajes
y para cifrarlos utiliza dos claves simétricas, las que al ser generadas
aleatoriamente, son cifradas a su vez con el componente público del par de
claves asimétricas del destinatario. Por tanto, sobre electrónico (digital
envelope) es la unión de la clave simétrica cifrada, con los datos del mensaje
cifrados por esta.
Al llegar a su destino, el componente
privado del par de claves asimétricas de quien recibe el mensaje, decifra la
clave simétrica y los datos del mensaje.
Firmas
electrónicas
Las relaciones matemáticas entre la clave
pública y la privada del algoritmo asimétrico utilizado para enviar un mensaje,
se llama firma electrónica (digital signatures).
Quien envia un mensaje, cifra su contenido
con su clave privada y quien lo recibe, lo descifra con su clave pública,
determinando así la autenticidad del origen del mensaje y garantizando que el
envío de la firma electrónica es de quien dice serlo.
La integridad del contenido del mensaje es garantizada
al hacer pasar los datos a través de una función irreversible, como MD5, que
produce un destilado del original que es único para un contenido dado y jamás
podrá darse un destilado igual partir de dos mensajes diferentes. Este proceso
se conoce como digestión del mensaje (message digest).
La clave privada del emisor destila el
mensaje, y el resultado se añade al mensaje original enviado, formando la firma
electrónica, mientras que el receptor descifra el destilado con la clave
pública del emisor. Si al aplicar el receptor, la misma función al mensaje
original, los resultados son iguales, la integridad y autenticidad del mensaje
son correctas. Si el "destilado" generado no es coincidente con el
extraído de la firma electrónica, se ha producido una modificación en el
contenido del mensaje.
Certificados de autenticidad
Como se ha visto la integridad de los
datos y la autenticidad de quien envia los mensajes es garantizada por la firma
electrónica, sin embargo existe la posibilidad de suplantar la identidad del
emisor, alterando intencionalmente su clave pública. Para evitarlo, las claves
públicas deben ser intercambiadas mediante canales seguros, a través de los certificados de autenticidad, emitidos por las Autoridades
Certificadoras.
Para el efecto SET utiliza dos grupos de
claves asimétricas y cada una de las partes dispone de dos certificados de
autenticidad, uno para el intercambio de claves simétricas y otro para los
procesos de firma electrónica.
Las Autoridades Certificadoras poseen un
sistema jerárquico para la emisión y verificación de Certificados de
Autenticidad hacia autoridades de niveles inferiores, en este sistema
intervienen:
7.
Asociación de emisores de medios de pago o propietarios de las
marcas de tarjetas.
8.
Issuer, entidad financiera del comprador, la cual posee
certificados para actuar como Autoridad Certificadora, lo que le permite emitir
otros hacia los compradores.
9.
Acquirer, entidad financiera del comerciante, de igual forma posee
un certificado de Autoridad Certificadora, para la emisión de otros hacia los
comerciantes.
10. Compradores, que obtienen su certificado
de la entidad financiera o issuer, para su completa identificación, el mismo
que reemplazará a la tarjetas de crédito.
11.
El comerciante, que obtiene su certificado de la entidad financiera
o acquirer, con la cual firma un contrato de adhesión para la aceptación de
tarjetas de crédito o débito; el comerciante poseerá tantos certificados como
marcas de tarjetas acepte como medio de pago.
Programas para Encriptación -Desencriptación
En la actualidad hay varios métodos de
encriptación y cada vez se utilizan más programas de correo electrónico
coordinadamente con programas de encriptación-desencriptación compatibles, que
aseguran sus relaciones en operaciones comerciales, entre todos ellos podemos
mencionar algunos:
Pretty Good Privacy (PGP): Es un programa de encriptación de
documentos a través de redes, creado por Philip Zimmermann, combinando el mejor
algoritmo existente de clave única, el IDEA, con el mejor de clave pública, el
RSA, y añadiendo el MD5 para las firmas digitales. Este combina criptografía de
clave pública con criptografía convencional, ofreciendo encriptación,
autenticación de documentos con firmas digitales, comprobación de integridad y
opciones de manejo de claves. Por sus gran ductilidad y adaptabilidad a las
diferentes arquitecturas informáticas puede ser utilizado con la mayoría de los
sistemas operativos comerciales como Windows, Windows NT, Mac, etc. Asimismo,
puede ser utilizado conjuntamente con programas de correo electrónico
tradicionales como Eudora.
La compañía de Zimmermann ha creado
diversos programas comerciales cuya venta está restringida por la normativa
ITAR a Estados Unidos y Canadá. Entre ellos cabe destacar PGPMail, un programa que integra PGP como una
parte más del programa de e-mail Eudora, facilitando mucho la tarea en el
entorno Windows, y PGPDisk , un programa diseñado específicamente para la protección de discos
duros.
Pretty Good Privacy Fone: Es un programa con las características
del PGP tradicional, que permite hacer llamadas telefónicas normales vía modem,
comprimiendo encriptándo la voz, para luego digitalizarla sin que terceras
personas puedan acceder a las mismas y llegue segura al receptor. Se utiliza
para este intercambio de claves el algoritmo de clave pública DH.
International
Data Encription Algorithm (IDEA): Este programa de encriptación algorítmica de Ascom Systec
Ltd. de Suiza, utiliza el mismo sistema de seguridad de Pretty Good Privacy
(PGP). Su implementación es simple y puede ser utilizado en todo el mundo. Ha
sido registrado con normas ISO/IEC y UNI/EDIFACT (lo que posibilita la
implementación de aplicaciones EDI).
Authosign-AEA
Technology: AEA
Technology desarrolla un conjunto de herramientas informáticas destinadas a
confirmar la integridad de los documentos que se envían mediante correo
electrónico como encriptación, firma digital, etc.
Dentro de las instituciones más destacadas
que brindan servicios de secure server, para llevar adelante las actividades de
comercio electrónico, podemos mencionar las siguientes:
Verisign
es una de las más prestigiosas compañías líderes, que provee la
infraestructura de llaves públicas (PKI) y soluciones para certificados
digitales usados por empresas, sitios Web y consumidores, para llevar adelante
las comunicaciones y transacciones seguras en Internet y redes privadas en todo
el mundo.
La compañía Terisa Systems trabaja en la
creación de productos para seguridad en la WWW, que son muy fáciles de utilizar
pero a la vez garantiza que la compra - venta a través de tarjetas de crédito
sea segura, de igual forma para el uso de firmas digitales en contratos
mercantiles, etc., con el empleo de claves criptográficas como el RSA.
Secude, es un programa de seguridad que
autentiza y proteje las comunicaciones privadas realizadas por e-mail, brinda
la infraestructura para la utilización de firmas electrónicas, encriptación,
redes de autenticación, contratos digitales, aplicaciones EDI y distribución de
softwares por la Red. Para su desarrollo emplea claves simétricas y asimétricas
con algoritmos RSA.
La corporación IBM, ha desarrollado
productos y servicios para la protección de las actividades de negocios
realizados electrónicamente como antivirus, criptografía y contrafuegos,
implementando así un mayor grado de seguridad al empresario.
Data Fellows desarrolló un programa denominado
F-Secure Commerce para encriptar y autentificar cualquier clase de documento,
utilizando métodos de encriptación que incluyen DES, 3DES, IDEA, Blowfish y
RSA, con aplicación sobre las versiones de Windows 3.1; NT y 95.
La corporación Internet Security Systems
(ISS), es la pionera en proveer sistemas adaptables a la gestión de seguridad y
protección de programas, tales como contrafuegos, autenticación y encriptación.
La ISS aporta con varias herramientas seguras para las actividades de comercio
electrónico como: Real Secure, Internet Scanner y System Security Scanner.
Visa conocida mundialmente por la emisión
de "dinero plástico" o tarjetas de crédito, ha incorporado al mundo
de los negocios, el uso de herramientas de pago seguras, mediante la aplicación
de SET, facilitando así a clientes y vendedores las transacciones on line.
El Sistema Mondex emplea la tarjeta de
crédito para pagos digitales, opera a nivel mundial a través de bancos e
instituciones financieras como una subsidiaria de Master Card Internacional.
La
corporación Cybercash, posee sus oficinas centrales en Reston, Estados Unidos,
reconocida mundialmente por proveer soluciones de pago seguras para el comercio
electrónico, asi como un sistema de pago y facturación interactivo a través de
la WWW, entre empresas, empresas y consumidores.