8 Bibliografía 0 Prefacio




descargar 199.12 Kb.
título8 Bibliografía 0 Prefacio
página5/6
fecha de publicación05.03.2016
tamaño199.12 Kb.
tipoBibliografía
b.se-todo.com > Documentos > Bibliografía
1   2   3   4   5   6



5 Certificados digitales


Los certificados digitales [84][85], tienen una similitud con las licencias de conducir, las primeras permiten viajar por las carreteras, los certificados digitales permiten navegar por la red Internet, la principal característica es que da identidad al usuario y puede navegar con seguridad. De igual forma que la sola licencia de conducir o un pasaporte sirve para dar identidad a quien la porta en ciertos casos, el certificado digital da identidad a una clave pública y se comparta como una persona en el espacio cibernético.
El nacimiento del certificado digital fue a raíz de resolver el problema de administrar las claves públicas y que la identidad del dueño pudiera ser falsa. La idea es que una tercera entidad intervenga en la administración de las claves públicas y asegure que las claves públicas tengan asociado un usuario claramente identificado. Esto fue inicialmente planteado por Kohnfelder del MIT en su tesis de licenciatura [86].
Las tres partes más importantes de un certificado digital son:


  1. Una clave pública

  2. La identidad del implicado: nombre y datos generales,

  3. La firma privada de una tercera entidad llamada autoridad certificadora que todos reconocen como tal y que válida la asociación de la clave pública en cuestión con el tipo que dice ser.


En la actualidad casi todas las aplicaciones de comercio electrónico y transacciones seguras requieren un certificado digital, se ah propagado tanto su uso que se tiene ya un formato estándar de certificado digital, este es conocido como X509 v. 3 [90]

Algunos de los datos mas importantes de este formato son los siguientes:

Versión: 1,2 o 3



Número de Serie:



Emisor del Certificado: VeriMex



Identificador del Algoritmo usado en la firma: RSA, DSA o CE


Periodo de Validez: De Enero 2000 a Dic 2000



Sujeto: Jesús Angel



Información de la clave pública del sujeto: la clave, longitud, y demás parámetros


Algunos datos opcionales, extensiones que permite la v3


Firma de la Autoridad Certificadora




Un certificado digital entonces se reduce a un archivo de uno o dos k de tamaño, que autentica a un usuario de la red.

6 Infraestructura de claves públicas


Teniendo ya un certificado digital que es generado con la ayuda de un algoritmo de clave pública ahora el problema es como administración todos estos [51][58][59], la estructura más básica es la siguiente:


Autoridad certificadora



Autoridad Registradora

Autoridad Registradora




Usuario


Usuario


Usuario


Usuario


Usuario


Usuario

El papel de la Autoridad certificadora (AC) es de firmar los certificados digitales de los usuarios, generar los certificados, mantener el status correcto de los certificados, esto cumple el siguiente ciclo:


  1. La generación del certificado se hace primero por una solicitud de un usuario, el usuario genera sus claves pública y privada y manda junto con los requerimientos de la solicitud su clave pública para que esta sea certificada por la AC.

  2. Una vez que la AR (es la AC regional) verifica la autenticidad del usuario, la AC vía la AR firma el certificado digital y es mandado al usuario

  3. El status del usuario puede estar en: activo, inactivo o revocado. Si es activo el usuario puede hacer uso del certificado digital durante todo su periodo válido

  4. Cuando termina el período de activación del certificado el usuario puede solicitar su renovación.








Entre las operaciones que pudiera realizar una AC están:
Generar certificados

Revocar certificados

Suspender certificados

Renovar certificados

Mantener un respaldo de certificados…..
Entre las que pudiera realizar una AR están:
Recibir las solicitudes de certificación

Proceso de la autenticación de usuarios

Generar las claves

Respaldo de las claves

Proceso de Recobrar las claves

Reportar las revocaciones….
Y las actividades de los usuarios:
Solicitar el certificado

Solicitar la revocación del certificado

Solicitar la renovación del certificado….

Una ves que algún usuario tiene un certificado digital este puede usarlo para poder navegar por la red con nombre y apellido en forma de bits, esto permite entrar al mundo del comercio electrónico, al mundo de las finanzas electrónicas y en general a la vida cibernética con personalidad certificada. El usuario dueño de un certificado digital tiene la potencialidad de poder autentificarse con cualquier otra entidad usuaria, también puede intercambiar información de forma confidencial y estar seguro de que esta es integra, así estar seguro que contactos vía el certificado digital no serán rechazados. Los primeros usuarios de certificados digitales fueron los servidores, actualmente son quienes mas los usan, sin embargo también se ha incrementado el número de personas que los usan.

Si suponemos que algún tipo de aplicación funciona ya con certificados digitales, esta tendrá una AC y las correspondientes AR, sin embargo es común que haya mas autoridades certificadoras y que sus usuarios puedan interoperar con sus respectivos certificados, a esto se le conoce como certificación cruzada y opera de la siguiente forma:

1) Las diferentes AC pueden estar certificadas enviándose una a otra sus respectivos certificados que ellas mismas generan

Cert x X


AC X

AC Y




Cert y Y



  1. Entonces la AC X tendrá el certificado de la AC Y y viceversa, pudiendo generar un certificado para Y que genera X y otro para X que genera Y

  2. Ahora como un usuario A de la AC X puede comunicarse con un usuario B de la AC Y


AC X

AC Y






Cert y B || Cert y Y



  1. El usuario B envía a A el certificado de B que genera Y ( Cert y B) junto con el certificado de Y que el mismo se genera (Cert y Y)

  2. Ahora A puede validar a B ( Cert y B) usando el certificado de Y que genera X



En la práctica se ha demostrado que el estatus de un certificado cambia con gran frecuencia, entonces la cantidad de certificados digitales revocados crece considerablemente, el problema esta en que cada vez que se piensa realizar una comunicación y es necesario validar un certificado se debe de comprobar que este no esta revocado. La solución que se ha venido usando es la de crear una lista de certificados revocados LCR y así verificar que el certificado no esta en esa lista, para poder iniciar la comunicación. El manejo de las listas de certificados revocados ha llegado a tener un gran costo que sin embargo aún no se ha reemplazar por otra técnica a pesar que se han propuesto ya salidas al problema.

Las operaciones de la administración de los certificados digitales puede cambiar de acuerdo a las leyes particulares de cada país o entidad. Más información sobre la infraestructura de certificados digitales se puede encontrar en [87][89][90][91][92][93].



  1. Comercio electrónico


Hoy en día, gran parte de la actividad comercial ha podido transformarse gracias a redes de conexión por computadoras como Internet, esta transformación facilita hacer transacciones en cualquier momento de cualquier lugar del mundo. Todo lo que esta alrededor de esta nueva forma de hacer negocios es lo que se ha llamado comercio electrónico, sin duda la gran variedad de actividades que giraban alrededor del quehacer comercial se han tenido que conjuntar con las nuevas técnicas cibernéticas. Así hoy tanto un comerciante, un banquero, un abogado o una matemático puede hablar de comercio electrónico enfocándose a la parte que le corresponde.



Existen diferentes niveles de hacer comercio electrónico, y su clasificación aún esta por formarse, sin embargo, la parte más visible es la que cualquier usuario en una computadora personal puede ver, esto es hacer comercio electrónico se convierte a comprar o vender usando una conexión por internet en lugar de ir a la tienda. La forma de hacer esto es muy similar a lo que tradicionalmente se hace, por ejemplo: en la tienda uno entra al establecimiento, de forma electrónica se prende la computadora y una ves conectado a internet entra a la página del negocio, enseguida un comprador revisa los productos que posiblemente compre y los coloca en una carrito, de la misma forma en la computadora se navega por la página del negocio y con el browser se revisan los productos que éste vende, al escoger éstos se colocan en un carrito virtual, que no es nada mas que un archivo del usuario. Una vez elegido bien los productos de compra se pasa a la caja, donde se elige un sistema de pago y se facturan los productos al comprador. De forma similar en la computadora se pueden borrar productos que no se quieren comprar o añadir nuevos, una ves elegidos éstos se procede a una parte de la pagina que toma los datos y solicita el método de pago, generalmente se lleva a cabo con tarjeta de crédito.
En la parte tradicional de comprar al pagar en la caja termina el proceso, en la parte por computadora aún tiene que esperarse que sean enviados los productos. A pesar de esto las ventajas que ofrece el comercio electrónico son magníficas, ya que es posible comprar en un relativo corto tiempo una gran cantidad de productos sin necesidad de moverse de lugar, es decir al mismo tiempo se puede comprar una computadora, un libro, un regalo, una pizza, hacer una transacción bancaria etc., de la forma tradicional se llevaría al menos un día completo y eso si los negocios esta en la misma ciudad, si no, el ahorro de tiempo que representa comprar por internet es incalculable.



Al efectuar una operación comercial por internet se presentan nuevos problemas, por ejemplo cómo saber que la tienda virtual existe verdaderamente, una vez hecho el pedido cómo saber que no se cambia la información, cuando se envía el número de tarjeta de crédito cómo saber si este permanecerá privado, en fin, para el comerciante también se presentan problemas similares, cómo saber que el cliente es honesto y no envia información falsa, etc. Todos estos problemas pueden ser resueltos de manera satisfactoria si se implementan protocolos de comunicación segura usando criptografía. En la siguiente sección nos dedicamos a describir como es que estos protocolos resuelven los problemas planteados.

8 Protocolos de seguridad

Un protocolo de seguridad es la parte visible de una aplicación, es el conjunto de programas y actividades programadas que cumplen con un objetivo especifico y que usan esquemas de seguridad criptográfica.

El ejemplo mas común es SSL (Secure Sockets Layer) (que vemos integrado en el Browser de Netscape y hace su aparición cuando el candado de la barra de herramientas se cierra y también si la dirección de internet cambia de http a https, otro ejemplo es PGP que es un protocolo libre ampliamente usado de intercambio de correo electrónico seguro, uno mas es el conocido y muy publicitado SET que es un protocolo que permite dar seguridad en las transacciones por internet usando tarjeta de crédito, IPsec que proporciona seguridad en la conexión de internet a un nivel mas bajo.

Estos y cualquier protocolo de seguridad procura resolver algunos de los problemas de la seguridad como la integridad, la confidencialidad, la autenticación y el no rechazo, mediante sus diferentes características

Las características de los protocolos se derivan de las múltiples posibilidades con que se puede romper un sistema, es decir, robar información, cambiar información, leer información no autorizada, y todo lo que se considere no autorizado por los usuarios de una comunicación por red.
Enseguida vemos un escenario donde puede ocurrir algo de esto:

Por ejemplo sobre la seguridad por Internet se deben de considerar las siguientes tres partes: seguridad en el browser (Netscape o Explorer), la seguridad en el Web server (el servidor al cual nos conectamos) y la seguridad de la conexión.


Un ejemplo de protocolo es SET, objetivo efectuar transacciones seguras con tarjeta de crédito, usa certificados digitales, criptografia de clave pública y criptografía clave privada.
SSL Es el protocolo de comunicación segura mas conocido y usado actualmente, SSL [81][82] actúa en la capa de comunicación y es como un túnel que protege a toda la información enviada y recibida.

Con SSL se pueden usar diferentes algoritmos para las diferentes aplicaciones, por ejemplo usa DES, TDES, RC2, RC4, MD5, SHA-1, DH y RSA, cuando una comunicación esta bajo SSL la información que es cifrada es:
El URL del documento requerido

El contenido del documento requerido

El contenido de cualquier forma requerida

Los “cookies” enviados del browser al server

Los “cookies” enviados del server al browser

El contenido de las cabeceras de los http
El procedimiento que se lleva acabo para establecer una comunicación segura con SSL es el siguiente:



  1. El cliente (browser) envía un mensaje de saludo al Server “ClientHello”

  2. El server responde con un mensaje “ServerHello”

  3. El server envía su certificado

  4. El server solicita el certificado del cliente

  5. El cliente envía su certificado: si es válido continua la comunicación si no para o sigue la comunicación sin certificado del cliente

  6. El cliente envía un mensaje “ClientKeyExchange” solicitando un intercambio de claves simétricas si es el caso

  7. El cliente envía un mensaje “CertificateVerify” si se ha verificado el certificado del server, en caso de que el cliente este en estado de autenticado

  8. Ambos cliente y server envían un mensaje “ChangeCipherSpec” que significa el comienzo de la comunicación segura.

  9. Al término de la comunicación ambos envían el mensaje “finished” con lo que termina la comunicación segura, este mensaje consiste en un intercambio del hash de toda la conversación, de manera que ambos están seguros que los mensajes fueron recibidos intactos

La versión más actual de SSL es la v3, existen otro protocolo parecido a SSL solo que es desarrollado por IETF que se denomina TLS (Transport Layer Security Protocol) y difiere en que usa un conjunto un poco mas amplio de algoritmos criptográficos. Por otra parte existe también SSL plus, un protocolo que extiende las capacidades de SSL y tiene por mayor característica que es interoperable con RSA, DSA/DH y CE (Criptografía Elíptica).



2) El servidor responde“Hello”


1) El Cliente envía mensaje al Server “Hello”

3) El servidor envía su certificado








5) El Cliente envía su certificado





SERVIDOR

4) El servidor solicita el certificado del cliente



CLIENTE

BROWSER

6) El cliente genera una sesión de claves privadas y la intercambia con e servidor












7) El cliente envía un mensaje de aceptación del certificado


8) Ambos intercambian mensajes para iniciar la comunicación segura


9)Amos envían mensajes para terminar la comunicación




El protocolo SSL

SET este protocolo esta especialmente diseñado para asegurar las transacciones por internet que se pagan con tarjeta de crédito. Esto es debido a que una gran cantidad de transacciones de compra por internet son efectuadas con tarjeta de crédito, por otro lado SSL deja descubierto alguna información sensible cuando se usa para lo mismo. La principal característica de SET [77][79][80][83], es que cubre estos huecos en la seguridad que deja SSL.
Por ejemplo con SSL solo protege el número de tarjeta cuando se envía del cliente al comerciante, sin embargo no hace nada para la validación del número de tarjeta, para chequear sí el cliente esta autorizado a usar ese número de tarjeta, para ver la autorización de la transacción del banco del comerciante etc., Además que el comerciante puede fácilmente guardar el número de tarjeta del cliente. En fin todas estas debilidades son cubiertas por SET, éste permite dar seguridad tanto al cliente, al comerciante como al banco emisor de la tarjeta y al banco del comerciante.

El proceso de SET es mas o menos el siguiente:


  1. El cliente inicializa la compra: consiste en que el cliente usa el browser para seleccionar los productos a comprar y llena la forma de orden correspondiente. SET comienza cuando el cliente hace clic en “pagar” y se envía un mensaje de iniciar SET.

  2. El cliente usando SET envía la orden y la información de pago al comerciante: el software SET del cliente crea dos mensajes uno conteniendo la información de la orden de compra, el total de la compra y el número de orden. El segundo mensaje contiene la información de pago, es decir, el número de la tarjeta de crédito del cliente y la información del banco emisor de la tarjeta. El primer mensaje es cifrado usando un sistema simétrico y es empaquetada en un sobre digital que se cifra usando la clave pública del comerciante. El segundo mensaje también es cifrado pero usando la clave pública del banco (esto previene que el comerciante tenga acceso a los números de tarjetas de los clientes). Finalmente el cliente firma ambos mensajes.

  3. El comerciante pasa la información de pago al banco: el software SET del comerciante genera un requerimiento de autorización, éste es comprimido (con un hash) y firmado por el comerciante para probar su identidad al banco del comerciante, además de ser cifrado con un sistema simétrico y guardado en un sobre digital que es cifrado con la clave pública del banco.

  4. El banco verifica la validez del requerimiento: el banco descifra el sobre digital y verifica la identidad del comerciante, en el caso de aceptarla descifra la información de pago del cliente y verifica su identidad. En tal caso genera una requerimiento de autorización lo firma y envía al banco que genero la tarjeta del cliente.

  5. El emisor de la tarjeta autoriza la transacción: el banco del cliente (emisor de la tarjeta) confirma la identidad del cliente, descifra la información recibida y verifica la cuenta del cliente en caso de que no haya problemas, aprueba el requerimiento de autorización, lo firma y lo regresa al banco del comerciante.

  6. El banco del comerciante autoriza la transacción: una ves recibida la autorización del banco emisor, el banco del comerciante autoriza la transacción la firma y la envía al servidor del comerciante.

  7. El servidor del comerciante complementa la transacción: el servidor del comerciante da a conocer que la transacción que la tarjeta fue aprobada y muestra al cliente la conformidad de pago, y procesa la orden que pide el cliente terminado la compra cuando se le son enviados los bienes que compró el cliente.

  8. El comerciante captura la transacción: en la fase final de SET el comerciante envía un mensaje de “captura” a su banco, esto confirma la compra y genera el cargo a la cuenta del cliente, así como acreditar el monto a la cuenta del comerciante.

  9. El generador de la tarjeta envía el aviso de crédito al cliente: el cargo de SET aparece en estado de cuenta del cliente que se le envía mensualmente.









Comercio

Cliente
















Banco emisor de la tarjeta

Banco del comercio

SET requiere un certificado digital en cada paso de autenticación y usa dos pares de claves, una para el cifrado del sobre digital y otra para la firma, (SSL solo usa un par de claves), actualmente SET usa la función hash SHA-1, DES y RSA de 1024 bits, estos parámetros fueron tomados para ser compatible con los certificados existentes, aunque el piloto de SET usó el sistema asimétrico de cifrado con curvas elípticas y se piensa que soporte también curvas elípticas en la próxima versión de SET.


8 Bibliografía

SEGURIDAD en COMPUTO


  1. E. Amoroso, Fundamentals of computer Security Technology, Prentice Hall Inc., 1994

  2. E. Felten, D. Balfans, D. Dean, D. Wallach, Web spoofing: An Internet congame. Technical Report 560-96, Dep. of Computer Science Princeton University 1996

  3. R. Focardi, R. Gorrieri, A classification of security properties, Journal of Computer Security, 3 (1) 1995

  4. G.T. Gangemi, D. Russell, Computer Security Basic, O’Reilly 1991

  5. S. Garfinkel, G. Spafford, Web Security and Commerce, O’Reilly 1997

  6. D. Icove, K. Seger, W. VonStorch, Computer Crime, O’reilly 1995

  7. P.E. Neumann, Computer Related Risks, Addison Wesley Reading MA, 1995

  8. B. Preneel V. Rijmen (eds), State of the Art in Applied Cryptography, LNCS 1528, 1998

  9. L.D. Stein, Web Security, Eddison Wesley 1997

  10. W. Stallings, Mecklermedia’s official Internet world Internet security handbook, IDG Books, San Mateo, CA USA 1995

1   2   3   4   5   6

similar:

8 Bibliografía 0 Prefacio iconBibliografíA 271 prefacio a la edición de 1976 El presente libro...

8 Bibliografía 0 Prefacio iconPrefácio

8 Bibliografía 0 Prefacio iconPrefacio

8 Bibliografía 0 Prefacio icon1 Prefacio

8 Bibliografía 0 Prefacio iconPrefacio

8 Bibliografía 0 Prefacio iconPrefacio a la edición de 1976

8 Bibliografía 0 Prefacio iconLibro uno bella prefacio

8 Bibliografía 0 Prefacio iconLibro uno bella prefacio

8 Bibliografía 0 Prefacio icon3. Bibliografía citada en estos apuntes y bibliografía adicional

8 Bibliografía 0 Prefacio iconBibliografía. Consigna los libros de los cuales se extrajeron las...




Todos los derechos reservados. Copyright © 2019
contactos
b.se-todo.com