Omer Depablo

Seguridad en Comercio Electr�nico

Las condiciones que debe reunir una comunicaci�n segura a trav�s de Internet (o de otras redes) son en general las siguientes:

La herramienta b�sica para cumplir las condiciones anteriores son las t�cnicas establecidas por est�ndares de seguridad

SSL (Secure Sockets Layer) es un protocolo de prop�sito general para establecer comunicaciones seguras, propuesto en 1994 por Netscape Communications Corporation junto con su primera versi�n del Navigator. Hoy constituye la soluci�n de seguridad implantada en la mayor�a de los servidores web que ofrecen servicios de comercio electr�nico. Para pagar, el usuario debe rellenar un formulario con sus datos personales (tanto para el caso del env�o de los bienes comprados, como para comprobar la veracidad de la informaci�n de pago), y los datos correspondientes a su tarjeta de cr�dito (n�mero, fecha de caducidad, titular). Esta arquitectura no exige que el servidor disponga de capacidades especiales para el comercio. Basta con que se utilice como m�nimo un canal seguro para transmitir la informaci�n de pago y el comerciante ya se ocupar� manualmente de gestionar con su banco las compras.

Esquema de seguridad con SSL:

 

Punto1: Usuario conect�ndose a Punto2 (un sitio de e-commerce como amazon.com) utilizando un navegador Internet Explorer compatible con el protocolo SSL.

 


Punto2: El Punto2 como nombramos es un sitio de e-commerce tradicional (compra / venta) que establece conexiones seguras utilizando SSL para la transacciones, y tambi�n posee un Firewall para hacer filtrado de paquetes (Packet Filtering).


Punto3: Este punto es la autoridad que emite los Certificados de Autenticidad, en ingl�s Certificate Authority (CA) que por seguridad y es recomendable que sea una tercera empresa el emisor del certificado no sea interno.

SSL es un protocolo que corre sobre TCP (protocolo de transporte punto a punto de Internet). Este se compone de dos capas y funciona de la siguiente manera:

Cuando se realiza una conexi�n inicial el cliente lo primero que hace es enviar una informaci�n con todo los sistemas de encriptaci�n que soporta, el primero de la lista es el que prefiere utilizar el cliente. Entonces el servidor responde con una clave certificada e informaci�n sobre los sistemas de encriptaci�n que este soporta.


Entonces el cliente seleccionar� un sistema de encriptaci�n, tratar� de desencriptar el mensaje y obtendr� la clave p�blica del servidor.


Este m�todo de seguridad es de lo mejor ya que por cada conexi�n que se hace el servidor env�a una clave diferente. Entonces si alguien consigue desencriptar la clave lo �nico que podr� hacer es cerrarnos la conexi�n que corresponde a esa clave.


Cuando se logra el este primer proceso que es la sesi�n solamente, los que actuar�n ahora son los protocolos de capa 7 del OSI o sea la capa de Aplicaci�n, claro que todo lo que se realice a partir de que tenemos una sesi�n SSL establecida estar� encriptado con SSL.

 

Certificados

Un Certificate Authority (CA) es generalmente una empresa que emite certificados. Si el CA es una empresa externa que emite certificados de autenticidad de clientes o empresas. Por ejemplo:

Que es lo que tiene un certificado


Un certificado contiene la siguiente informaci�n:

Como se negocia con SSL?


El protocolo http normal �escucha� en el puerto 80, el puerto SSL por defecto �escucha� en el puerto 443 del servidor.


Luego cuando el cliente se conecta al puerto 443 del servidor comienzan las primeras �negociaciones� de los protocolos, que ya hemos explicado m�s arriba en este texto. Toda esta comunicaci�n es encriptada, hasta que se cierre la misma.




 

Infraestructura de Clave P�blica o Public Key Insfrastructure (PKI)


Esta basada en criptograf�a de clave p�blica, que permite la gesti�n de certificados.

Una PKI es una fusi�n de soluciones dadas en hardware, software y pol�ticas de seguridad. PKI como nombr� anteriormente est� dada por la utilizaci�n de Certificados Digitales o bien un documento digital que identifica cualquier transacci�n.


Que provee PKI:

Componentes:

En esta imagen presenta la misma funci�n en un sitio de Internet que el CA cumple de VA, y RA, dado que es una Empresa Certificadora Externa.

 

El N�mero 3 es nuestro CA que se encarga de:

Esta sesi�n por lo tanto es privada, Integra, soporta no repudio y tambi�n autenticaci�n.

Esto es todo por lo menos en la parte te�rica.

El canal seguro lo proporciona SSL. Sin embargo, este enfoque, aunque pr�ctico y f�cil de implantar, no ofrece una soluci�n comercialmente integrada ni totalmente segura. SSL deja de lado demasiados aspectos para considerarse la soluci�n definitiva:

Son demasiados problemas e incertidumbres como para dejar las cosas como est�n. Se hac�a necesaria la existencia de un protocolo espec�fico para el pago, que superase todos los inconvenientes y limitaciones anteriores, motivo por el que se cre� SET.

 

El est�ndar SET (Secure Electronic Transaction) fue desarrollado en 1995 por Visa y MasterCard, con la colaboraci�n de gigantes de la industria del software, como Microsoft, IBM y Netscape. La gran ventaja de este protocolo es que ofrece autenticaci�n de todas las partes implicadas (el cliente, el comerciante y los bancos, emisor y adquiriente); confidencialidad e integridad, gracias a t�cnicas criptogr�ficas robustas, que impiden que el comerciante acceda a la informaci�n de pago (eliminando as� su potencial de fraude) y que el banco acceda a la informaci�n de los pedidos (previniendo que confeccione perfiles de compra); y sobre todo gesti�n del pago, ya que SET gestiona tareas asociadas a la actividad comercial de gran importancia, como registro del titular y del comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc.

 

Entonces, si todo son alabanzas, ventajas y puntos fuertes, �por qu� SET no termina de implantarse? �Por qu� no goza de la popularidad de SSL, si se supone mejor adaptado? En primer lugar, su despliegue est� siendo muy lento. Exige software especial, tanto para el comprador (aplicaci�n de monedero electr�nico) como para el comerciante (aplicaci�n POST o terminal de punto de venta), que se est� desarrollando con lentitud. En segundo lugar, aunque varios productos cumplan con el est�ndar SET, esto no significa necesariamente que sean compatibles. Este es un problema que exige mayores esfuerzos de coordinaci�n y m�s pruebas a escala mundial para asegurar la interoperabilidad. Sus puntos fuertes son tambi�n su tal�n de Aquiles: la autenticaci�n de todas las partes exige r�gidas jerarqu�as de certificaci�n, ya que tanto los clientes como comerciantes deben adquirir certificados distintos para cada tipo de tarjeta de cr�dito, tr�mites que resultan engorrosos, cuando no esot�ricos, para la mayor�a de los usuarios.

 

En definitiva, SET es un elefante de gran tama�o y fuerza, pero de movimientos extraordinariamente pesados. SSL es una liebre que le ha tomado la delantera hace a�os. No es tan perfecto, no ofrece su seguridad ni sus garant�as, pero funciona.



 

1
Hosted by www.Geocities.ws