@ esta página

@ búsqueda local

@ tour

Conozca nuestros Centros de Datos

@ brochures

e-business (59 k)
Hosting Avanzado (195 k)

Publicación mensual de temas de interés en Internet, quienes lo deseen pueden suscribirse para ser notificados por correo electrónico de estas publicaciones.

Artículo de junio 2001

Transacciones seguras y firmas digitales

Normalmente, cuando nos comunicamos a nivel empresarial o personal por medios tradicionales como el correo, el teléfono o el fax, lo hacemos con confianza, recibimos correspondencia y llamadas y las aceptamos o rechazamos, pues contamos con suficientes indicios sobre la veracidad de su contenido y origen. Es una práctica corriente el respeto a la privacidad de la correspondencia cerrada y las conferencias telefónicas son hasta cierto punto confidenciales. El correo electrónico -correo-e- como medio de comunicación, e Internet como medio para la negociación e intercambio de bienes, tiene lugar en un ambiente tecnológico con el que no necesariamente estamos familiarizados, cabe preguntarse si es a priori tan "confiable" como otros medios convencionales.

La información en Internet se mueve en un ambiente literalmente transparente. Un buzón de correo es un archivo de texto localizado en un servidor público al que, si bien no tiene acceso todo el mundo, bajo determinadas circunstacias el administrador del servidor puede tener suficientes privilegios como para examinar su contenido. No faltan los intrusos conocedores del intringulis operativo de un servidor que se procuran medios para entrar sin permiso a los servidores a husmear en predios ajenos. Típicamente la información que se mueve en Internet lo hace como textos cuyo contenido puede ser observado por terceros. En vista de lo anterior, se han adoptado esquemas de comportamiento y medidas de seguridad que previenen y hasta cierto punto evitan los abusos por parte de malintencionados o bienintencionados, o simplemente proveen un nivel de confidencialidad a las comuicaciones tal como el de una conferencia telefónica privada o el de un sobre cerrado.

La sola presencia en Internet de un sitio de comercio no garantiza la autenticidad de su origen, la veracidad de su contenido, ni la identidad de su propietario. A través del servicio "whois" se puede indagar, y eventualmente validar, algunos datos del responsable del dominio, pero este no es en modo alguno el método más práctico de verificar habitualmente la autencidad de un sitio.

Desde el incio de Internet ha existido conciencia de estas debilidades en materia de seguridad y se han ideado soluciones cuyo uso tiende a generalizarse. El objetivo de esta entrega es dar a conocer en forma sencilla y práctica las técnicas más accequibles y las pautas más recomedables para hacer y fomentar el buen uso de Internet en materia de seguridad y privacidad.

Criptografía

La ciencia detrás de las soluciones de seguridad en Internet es la criptografía. Mediante herramientas matemáticas se genera una función que transforma un texto normal o texto limpio en un texto encriptado o cifrado, de manera que solo pueda ser restituido o decifrado por el poseedor de la función inversa quién deberá ser el destinatario del texto original. La fortaleza de una fórmula criptográfica está en el tiempo que requiere un interceptor (atacante) para decifrar el código. La fortaleza de un mensaje cifrado con una solución criptográfica moderna requiere, para ser descifrado, de todo el potencial computacional existente trabajando sin cesar hasta el fin del universo.

Julio César encriptaba sus mensajes desplazando el alfabeto tres lugares de manera que a la letra A del texto original le corresponde la D en el mensaje cifrado, con este método y clave la palabra SECRETO se codifica como "VHFUHWR". Este esquema criptográfico contiene dos elementos: el método, desplazar el inicio del alfabeto, y la clave, 3 lugares. Un mismo mensaje puede lucir totalmente diferente al ser encriptado con el mismo método pero con distinta clave.

Figura 1. Criptografía convencional.

Este método funciona bien cuando la distribución y confidencialidad de la clave no representa ningún riesgo. Si el emisor y receptor están en sitios distintos se requiere de un medio confiable y seguro para la transmisión de la clave lo cual conlleva un margen de riesgo de ser interceptada, dando al traste con el objetivo. En aplicaciones "serias" de criptografía el costo de subsanar el riesgo de distribución solo podría ser cubierto por gobiernos, bancos u organismos de seguridad.

Criptografía de clave pública

En 1975 se inventó un nuevo esquema criptográfico denominado de clave pública (CCP). Este esquema emplea dos claves, una que sólo sirve para encriptar el mensaje, la cual es de dominio público y de libre acceso y otra clave privada y secreta que solo sirve para restituir los mensajes encriptados con la clave pública correspondiente. La forma en que se generan las claves hace practicamente imposible que a partir de una clave pública se pueda inferir la clave privada.

Figura 2. Criptografía de clave pública

Los benficios básicos de la CCP son:

• Permite la comunicación segura entre individuos sin que sea necesario que previamente exista un pacto para este tipo de intercambio de información.
• Todo el intercambio de información cifrada se hace a partir de la clave pública. La necesidad de que el emisor y el receptor compartan la misma clave secreta queda abolida.
• El control y responsabilidad sobre la clave privada es individual, por lo tanto más es sencillo.

Entre los sistemas criptográficos de clave pública de uso actual están: Elgamal (inventado por Taher Elgamal), RSA (denominado así por sus inventores Ron Rivest, Adi Shamir, y Leonard Adleman), Diffie-Hellman (sus inventores), y DSA (Digital Signature Algorithm), algoritmo de firma digital.

Firmas digitales

Una aplicación importante de la criptografía de clave pública son las firmas digitales. Si bien estamos acostumbrados a las firmas caligráficas, es bien sabido que éstas pueden ser falseadas. Una firma digital no solo no puede ser falsificada, adicionalmente autentica el origen y la integridad de la información enviada.

La firma digital es encriptada por el emisor del mensaje con su clave privada de manera que solo puede ser descifrada con la clave pública correspondiente. Un mensaje firmado digitalmente solo puede provenir del mismo emisor de la clave pública correspondiente, autenticando así su origen.

Figura 3. Firmas digitales

El proceso de firma digital esta acompañado de la generación de un extracto del mensaje original el cual se integra indisolublemente a la firma digital. Si el mensaje es alterado durante la transmisión, la verificación fallará, adicionalmente la firma sólo es válida para ese mensaje particular por lo tanto no funcionará si se corta y pega en otro documento. Como se ve una firma digital no se concibe aislada del mensaje suscrito, por lo tanto es más preciso el concepto de documento firmado digitalmente que el de firma digital.

Certificados digitales

Dada la disponibilidad de la clave pública en servidores Internet, es posible que alguien publique una clave impostando la identidad de algún usuario usando su nombre e identifcación y demás datos personales. Esta situación crea el riesgo de que alguien se comunique con el impostor creyendo que lo hace con la verdadera persona. Este riesgo se reduce estableciendo círculos de confianza a través de los cuales se puede asegurar la identidad de los dueños de las claves públicas. Si la situación impone el contacto con personas ajenas al círculo de confianza, se requiere de otros medios para autenticar su identidad, es aquí donde surgen los certificados digitales.

Un certificado digital, como sus homólogos en el mundo analógico, asegura que determinada información es verídica en virtud del reconocimiento público de origen y propiedad que hace la autorida que expide el certificado. Existen diversos medios para que una firma digital o una clave pública sean avaladas en forma que se pueda establecer una relación de confianza para intercambio de información. La más sencilla es solicitar la expedición del certificado digital a una Autoridad de Certificación (AC), entidad de caracter notarial que tramita la solicitud, autentica la información que suministra el solicitante y siendo validada expide el certificado digital que básicamente es una clave pública firmada digitalmente por la AC y complementada con datos propios del titular del certificado.

Los navegadores de Internet y algunos porgramas cliente de correo electrónico cuentan con recursos que permiten procesar los certificados digitales cuando estos existen. Cada vez es más frecuente encontrar en la Red páginas que avalan su auteticidad incluyendo certificados digitales expedidos por AC reconocida.

Este sitio esta avalado por un certificado de seguridad colectivo en el dominio: retiorbi.securesites.com. El botón de acceso a las opociones de seguridad se repesenta en Netscape en la barra superior de la ventana con el ícono de un candado, Internet Explorer verifica los certificados automáticamente, pero según la vesión, sólo acepta ciertos certificados exclusivamente.

Figura Certificado Digital

SSL: Intercambio seguro de información

Cuando visitamos un almacén, sus mostradores, infraestructura, personal y a veces su propio dueño nos pueden transmitir suficiente confianza como para realizar compras allí. En Internet, esta percepción no necesariamente existe. Si nos animamos a efectuar alguna transacción a través de Internet, nos gustaría tener certeza de que el proveedor es real, que el local en Interent pertenece a una firma establecida y que no es una impostura o una fachada.

Estas situaciones se remedian mediante una certificación digital expedida por un AC que se instala en el servidor. Este certificado, cuando existe, puede ser consultado fácilmente mediante las opciones de seguridad del navegador.

Estos certificados se acogen al protocolo SSL o Secure Server Layer (Estrato Seguro en Servidor). El protocolo o formato de comunicación SSL fue ideado por Netsacpe para proveer un medio de intercambio de información cifrada a través de Internet entre un servidor y un cliente o usuario conectado a este servidor mediante un navegador Internet. Los certificados expedidos por Thawte y VeriSign son muy frecuentes en Internet.

El protocolo SSL se invoca mediante el prefijo https:// seguido del dominio que ha sido habilitado para este servicio. Cuando se invoca un local seguro, generalmente el navegador emite una alerta confirmando la solicitud de información encriptada y los inconos de seguridad muestran un candado cerrado.

Figura5. Íconos de seguridad

La expedición del certificado está sujeta a la verificación por parte de la AC de la información del servidor, el dominio y el propietario del dominio. Un certificado SSL cuenta con una clave pública que es validada silenciosamente mediante el software navegador. Adicionalmente la misma clave pública sirve para encriptar la información que se emite desde el cliente garantizando privacidad en la comunicación e integridad de la información. Generalmente el pago de una negociación en Internet con un establecimiento serio se hace en ambiente SSL, por lo tanto la información confidencial como el número de una terjeta de crédito sólo es visible para el destinatario del pago.

Conclusiones

El tema de la criptografía puede sonar a Gerra Fría, a espionaje o a juego de niños. No obstante una simple conexión a Internet, sin adecuada seguridad, expone al mundo el contenido del disco duro de la o las máquinas conectadas poniendo al descubierto información privada. Si a lo anterior se suma que sus comunicaciones por correo electrónico transcurren en una red pública, una parte de su vida privad puede estar en el dominio público. La criptografía basada en clave pública pone al alcance de los ciudadanos un medio eficaz para proteger su privacidad contra cualquier tipo de escrutinio y de paso previene el fortalecimiento de poderes externos basados en el seguimiento y manipulación de la privacidad.

Un recurso gratuito de exelente calidad para el manejo de información lo ofrece el programa PGP (Pretty Good Privacy) el cual funciona atónomamente o se acopla a la mayoría de clientes de correo.

Así como no le resulta a nadie sospechoso proteger contenido de una carta en un sobre sellado, es perfectamente natural encriptar el contenido del correo elctrónico, sea que su contenido sea inocuo o no.

Publicación mensual de temas de interés en Internet, quienes lo deseen pueden suscribirse para ser notificados por correo electrónico de estas publicaciones.

@ cartelera

@ retiorbi.net

opciones