 |
Certificados Electrónicos |
 |
Un certificado electrónico es la acreditación por una entidad de que una clave pública se corresponde realmente a la identificación del usuario. El certificado va firmado digitalmente por la entidad que lo emite. 2.- Número de serie. 3.- Identificador del algoritmo empleado para la firma digital. 4.- Nombre del certificador. 5.- Periodo de validez. 6.- Nombre del sujeto. 7.- Clave pública del sujeto. 8.- Identificador único de certificador. 9.- Identificador único de sujeto. 10- Extensiones. 11- Firma digital de todo lo anterior generada por el certificador. Hay otros tipos estándar de certificado que se están desarrollando y que permiten incluir más campos. Por ejemplo, una entidad bancaria podría certificar que tal clave pública pertenece a una empresa cliente suyo y que tiene un capital social determinado. Protección de comunicaciones. Sistemas de encriptación PGP es un protocolo de seguridad diseñado a comienzos de los 90 por Phill Zimmerman. La exportación del sistema fuera de los Estados Unidos le valió a su creador un largo proceso judicial, acusado de exportación de armas de valor estratégico, y le convirtió en un prestigioso mártir del ciberespacio. En la actualidad, las versiones más avanzadas del programa PGP siguen sin poder ser exportadas legalmente de USA, pero su código fuente es considerado un artículo científico que puede ser divulgado y compilado en el exterior, por lo que en todo el mundo podemos disponer de ellas. El programa PGP es gratuito para el uso no comercial y accesible en www.pgpi.com .Es el sistema más utilizado en todo el mundo tanto por usuarios particulares como por grandes empresas. Las versiones modernas, son extraordinariamente amistosas con el usuario y se comunican con los programas de correo electrónico más habituales (Outlook, Netscape Mail, Eudora, etc.). Al instalarse el programa por primera vez, se generan automáticamente las claves privada y pública del usuario. La clave pública se distribuye automáticamente por bases de datos de todo el mundo. La clave privada queda almacenada en el ordenador de forma muy protegida. El programa de correo queda automáticamente modificado para poder enviar y recibir mensajes codificados. El usuario tan solo tiene que escribir el mensaje e indicar su(s) destinatario(s) en la forma habitual. En el momento de enviarlo tendrá la opción de incluir una firma digital o de enviarlo codificado. En este caso se necesitará disponer de la clave pública del destinatario que puede ser buscada en cualquier servidor de claves de PGP, por ejemplo, Todos los resultados de PGP -claves, firmas y documentos codificados- están en formato ASCII de forma que pueden ser transmitidos por cualquier servidor de correo. Por ejemplo, si se busca la clave pública de Juan Carlos M. Coll, se puede encontrar lo siguiente: Cuando el usuario recibe un mensaje codificado, el programa PGP lo descifra y comprueba su integridad, mostrando al usuario un breve informe y avisando en el caso de que haya detectado cualquier anomalía. El proceso es normalmente muy breve, menos de un segundo. El usuario tiene que cuidar de que este ordenador y su clave no puedan ser utilizados por terceros, lo que requerirá los métodos de autentificación de usuario que veremos más adelante. SSL y SHTTP El protocolo de seguridad SSL (Secure Sockets Layers) fue diseñado inicialmente por Marc Andressen, el creador de Mosaic y Netscape. SHTTP se desarrolló más tarde con las mismas características. Actualmente todos los navegadores de Internet están preparados para comunicarse con estos protocolos. La tienda virtual que acepte pagos mediante estos sistemas debe estar instalada en un servidor seguro, que disponga del software correspondiente. El vendedor, además, tiene que disponer de un par asimétrico de claves, certificadas por una autoridad. El comprador no necesita tener ni claves, ni certificados, ni saber que existen. Cuando el usuario accede con su navegador (Internet Explorer, Netscape, Opera,...) a una tienda virtual con SSL, se inicia automáticamente una fase de saludo. El servidor envía su clave pública y certificación. El navegador cliente recibe estos datos y se prepara para la comunicación con sistema de seguridad. El usuario introduce sus datos y pulsa el botón para enviarlos. El navegador codifica estos datos mediante una clave simétrica. La función resumen del los datos y la clave simétrica son codificadas con la clave pública del vendedor. El resultado de estas operaciones es enviado al vendedor. Los sistemas SSL y SHTTP tienen la gran ventaja de la absoluta transparencia para el usuario que no necesita ningún tipo de preparación ni conocimiento previo. Queda garantizada plenamente la identidad del vendedor y que sólo él recibirá los datos. En cambio presentan el grave inconveniente de que no se garantiza la identidad del comprador, por lo que puede aparecer el problema del repudio. En la actualidad, la mayoría de las empresas que venden en Internet utilizan este sistema. Se puede encontrar información adicional y software abierto para su instalación en http://www.openssl.org. SET es Secure Electronic Transaction Es un protocolo elaborado por iniciativa de VISA y MasterCard al que se adhirieron un gran número de grandes bancos y empresas de software de todo el mundo. La diferencia principal del sistema SET con respecto al sistema PGP es que cada clave pública va asociada a un certificado de autenticidad emitido por una autoridad de certificación (AC). Los certificados de autenticidad, también llamados certificados digitales y credenciales electrónicas, son documentos digitales que atestiguan la relación entre una clave pública y un individuo o entidad. Las AC asumen la responsabilidad de garantizar que los individuos o instituciones acreditadas son de hecho quien dicen ser. Las AC, a su vez, están certificadas por una autoridad superior formándose así una jerarquía de autoridades de certificación SET. La jerarquía está formada por la raíz (SET Root CA) que actualmente ha emitido certificados solo a ocho autoridades de nivel superior llamadas SET Brands y que son las siguientes: American Express Company, Cyber-COMM, JCB Company Limited, Maestro, MasterCard International, Nippon Shinpan Company Limited, PBS International A/S/Dankort, y Visa International. Estas, a su vez, acreditan AC de nivel inferior y directamente a los comerciantes (merchants) y compradores propietarios de tarjetas.
SISTEMAS Y PROTOCOLOS
Para que los instrumentos que hemos visto hasta ahora, claves simétricas, asimétricas, funciones resumen, certificados digitales, tengan utilidad comercial, es necesario implementarlos en programas y sistemas orientados al usuario. Hay que tener en cuenta por tanto que los usuarios no conocen, ni les interesa, nada de criptografía.
Vamos a comentar brevemente los sistemas de seguridad en Internet más habituales en el mercado. Algunos de ellos, SSL y SHTTP son tan transparentes que el usuario ni siquiera se da cuenta de que los está utilizando. Otros, como PGP y SET, son sistemas muy completos y flexibles, muy amistosos con el usuario y que están siendo utilizados ampliamente.
Una parte imprescindible en cualquier sistema de seguridad es el mecanismo de autentificación que permita a las máquinas el reconocimiento del usuario.
|