Seguridad En El Comercio Electronico

Seguridad en el Comercio Electrónico Lic. Enrique Dutra Ing. Carlos Tomba Ing. Lisandro Rabida

TEMARIO
Los pilares del comercio electrónico seguro.Motivación de las firmas digitales.
Elementos de una PKI.
E l concepto de Autoridad de Certificación.
PKI en las empresas.
Rol de una Autoridad Certificadora.
CA pública y CA privada
Ejercitación

Principios criptográficos
Comunicación
Hay ocasiones que queremos asegurar el medio para que nadie, excepto el receptor, pueda interpretarlo .
Emisor Receptor Medio

Criptografía
Griego Kriptos (oculto) – Graphos (escritura)
Criptografía : arte de esconder un mensaje escrito.
Criptograma : Convertir texto claro en otro que sólo lo pueda entender personas autorizadas .
Cifrado : proceso mediante el cual se envía un mensaje como un criptograma.
Cifrar : requiere un método y una clave.
Cifrador : clave utilizada para cifrar.
Descifrado : acción de aplicar un cifrador a un criptograma.
Algoritmo de cifrado : Método utilizado para cifrar.

Criptografía
¿Quién sabe leer los jeroglíficos ? .
Hay mensajes cifrados en 64 artículos del Kamasutra.
Ordenes militares en épocas de guerra.
Sistema polialfabético de Alberti.
Sistema de Julio Cesar para proteger sus mensajes.
Siempre asociado con asuntos militares, secretos, espionaje, etc.

El cifrador del Cesar
Surge aproximadamente 55 años A.C.
E scribió una carta secreta a Marco Tulio Cicerón, que en su época nadie pudo descifrar.
Cifrador : desplazar el alfabeto tres lugares a la derecha, y cubrir las últimas tres letras con las tres primeras.
Originalmente se utilizó el alfabeto romano.
Principios criptográficos Secreto técnica : La sustitución de los caracteres. A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z A B C

El cifrador del Cesar
Mensaje (Mi) : Viva el César.
Cifrado (Ci) : Ylyd hñ Fhvdu.
Utilizando este método los alumnos deberán escribir tres palabras al compañero y el mismo deberá descifrarlas.
Principios criptográficos A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z A B C

Criptosistemas clásicos
Son aquellos que utilizan una máquina para cifrar y además usan por separado dos técnicas:
Sustitución
Cambiar los caracteres del mensaje original según una regla determinada (Método usado por Julio César)
Transposición
Se altera el orden de los caracteres dentro del mensaje a cifrar
El texto cifrado serán los caracteres dados por columna (de arriba hacia abajo) con una clave K consistente en el orden en que se leen las columnas.

SUSTITUCION
Cada letra o grupo de letras se sustituyen por otra letra o grupo de letras de una tabla de sustitución.
Hay 4 metodologías:
Monoalfabética.
Homofónica.
Polialfabética.
Poligrámica.

SUSTITUCION - Monoalfabética.
Se reemplaza cada carácter del texto en claro por una una única letra del alfabeto cifrado.
Para obtener el ordenamiento se recurre a tres métodos
Mezcla con clave
Desplazamiento
Decimación

Mezcla con clave:
Se define primero la palabra clave. Ej: PRIVACIDAD.
Se eliminan las letras que estuvieran repetidas: PRIVACD.
Se ordena el alfabeto inicial y se define el cifrado, pero en el comiendo de las letras se ubica la palabra clave.
Posee falencias graves.
No es muy eficiente.
PROBLEMA A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z P R I V A C D B E F G H J K L M N Ñ O Q S T U W X Y Z

Desplazamiento ( Método de sustitución por desplazamiento puro )
Responde a la formula c=(m+b) módulo n
c = cifrado
m = posición de la letra en el alfabeto ordenado.
b = la cantidad de posiciones que se desea correr hacia la derecha.

Decimación ( método de sustitución por decimación pura )
Responde a la formula c=(a.m) módulo n
c = cifrado
m = posición de la letra en el alfabeto ordenado.
a = el coeficiente para multiplicar por la posición original.

SUSTITUCION – Homofónica.
Se sustituye el carácter del texto claro por un elemento elegido al azar.
Homofonias : son distintos elementos que representan al mismo carácter.
Los más representativos :
Cifrados de Beale
Homofonias de orden superior.

SUSTITUCION – Homofónica – C. De Beale.
Beale un aventurero que supuestamente escondió un tesoro en 1821 y dejó 3 mensajes para que lo pudieran hallar.
Consistía en darles números a la primera letra de la palabra del párrafo.

SUSTITUCION – Polialfabetica
Similar al método de Homofonias, utiliza varios alfabetos para realizar múltiples cifrados.
Dependiendo de la longitud n de la clave, tendremos n alfabetos cifrados.
Existen dos tipos:
Polialfabeticos periodicos
Polialfabeticos no periodicos
Disco de Alberti Cifrado de Vigenere Cifrado de Beaufort Cifrado con clave única

SUSTITUCION – Poligramática
Los sistemas anteriores solo desplazan una letra por vez.
Este método permite cifrar bloques de textos más claros.
Lo hace más difícil alcriptoanálisis.
Lo mas conocidos son:
Cifrado de Playfair
Cifrado de Hill

Ejemplo de sustitución:
Máquina ENIGMA, creada en 1923 por Ing. Alemán Arthur Scherbius
( Sustitución Polialfabetica )
Usada en la II Guerra Mundial
Maquinas similares :
La maquina SIGABA (EEUU)
PURPLE y RED, (Japón)

TRANSPOSICION
El cifrado por transposición consiste en la alteración del orden de las unidades del texto original según una clave .
Se puede reescribir un texto corrido o por columnas. Definir el tamaño para un vector de cambios y también un orden en el que los cambios son hechos.

Transposición
Ejemplo :
Si n = 3 columnas, la clave K(3,1,2), el mensaje a cifrar es “Seguridad Informática”
Mensaje queda :
“ gidnrtasud fmieraioac”

Ejercitación:
El alumno deberá investigar que máquinas existieron con las metodologías reflejadas.
Deberá entregar un informe sobre los resultados de la investigación.
Puede usar estas referencias : rueda de Jefferson, Cifrado de Vernam, Beaufor, m-325, etc.

Objetivos de la criptografía
Resolver los problemas de seguridad de la comunicación.
Proveer :
Privacidad
Integridad
Autenticidad
No rechazo

Criptografía moderna
Sistemas criptográficos se clasifican en dos tipos o familias :
CLAVE SIMETRICA o CLAVE PRIVADA
CLAVE ASIMETRICOS o CLAVE PUBLICA
Son sistemas clásicos que han evolucionado a través de los años

Criptografía Simétrica
Sistemas clásicos
El emisor y el receptor usan la misma clave (llave) para poder encriptar y desencriptar el mensaje.
Sólo ellos deben conocer la clave y mantenerla en secreto
Si la llave cae en manos de terceros = inseguro y se deben generar nuevas para reemplazarla

Para que un algoritmo de este tipo sea considerado fiable debe cumplir varios requisitos básicos:
C onocido el criptograma (texto cifrado) no se pueden obtener de él ni el texto en claro ni la clave.
C onocidos el texto en claro y el texto cifrado debe resultar más caro en tiempo o dinero descifrar la clave que el valor posible de la información obtenida por terceros.

Elementos
M = Mensaje
C = Función encriptar
D = Función descrifrar
MC = Mensaje crifrado
Métodos de algoritmos usados : DES, IDEA, RC5
Algoritmo usan el “ crifrado de producto ” o Redes de Feistel
Cifrado de Producto : Troncar el mensaje y a cada bloque de tamaño fijo, se le aplica una función de cifrado. Suele ir acompañado de permutación
C k (M)=MC D k (MC)=M

DES (Data Encryption Standard)
Surge a los mediados de los ´70.
Estandar mucho tiempo del gob. EEUU.
El cifrado del texto en claro se realiza en bloques de 64 bits que produce 64 bits de texto cifrado. Se parametriza por una llave de 56 bits.
Es una Red de Feistel de 16 rondas más 2 permutaciones.

Entrada Permutación Inicial Inversa Salida Permutación inicial 16 interacciones DES (Data Encryption Standard)

Diagrama DES B IP Lo Ro L 1 R 1 f + f + K 1 K2 L 15 R 15 f K 16 + L 16 R 16 IP^-1 C IP :Permutación inicial f : función f(A,Z) K: Donde K1,…,K16 son cadenas de caracteres de 48bits

DES (Data Encryption Standard)
Se logro descifrar mediante un ataque de fuerza bruta sobre el encriptado.
El problema radica que la clave es demasiado corta.
Muy usado hoy en día por los cajeros automáticos.
En la práctica DES es usado para diferentes aplicaciones, entre las más comunes se encuentran
Cifrado de Bloques
Generador de números aleatorios
Para construir una función hash

DES Multiple, 3DES o T-DES
Mejora sobre el DES
Consiste en aplicar varias veces el algoritmo DES con diferentes claves.
Se codifica con clave K 1
Se descodifica con clave K 2
Se vuelve a codificar con clave K 1
Clave resultante : 112 bits (contra 56 DES)

IDEA (Int. Data Encriptyon Algorithm)
Desarrollado por Alemania
Es el más seguro de la actualidad
Trabaja con bloques de 64 bits de longitud y usa una clave de 128 bits.
Consta de 8 rondas de procesos de cifrados
Usado por Unix y PGP (Pretty Good Privacy)

RC5
Creado por RSA ( www.rsa.com )
Versión mejorada del RC4.
Permite definir el tamaño del bloque a encriptar, el tamaño de la clave y el número de fases de encriptación.
También conocido como RC5(variable)
Se prohibe su uso fuera de los EEUU si la longitud de la clave supera 56 bits..
Muy usado por Netscape para dar soporte al SSL

AES (Advanced Encryption Standard)
Primer método que no usa Redes de Feistel
Estrucurado en capas con funciones polinómicas reversibles y no lineales.
Opera con bloques y claves d elongitud variable que pueden ser de 128, 192 o 256 bits.
También conocido como sistema RIJNDAEL (Vincent Rijmen y Joan Daemen)
Poca difusión actual.

Criptografía Asimétrica
Se basa en el uso de dos claves diferentes:
Clave privada
Clave pública
Siempre que se generan, se crea el par.
Ambas claves están relacionadas matemáticamente.

Criptografía Asimétrica B desencripta el mensaje A tiene un mensaje para B B envía clave pública A encripta enbase a la clave pública Una manera de envía la clave es hacerlo mediante la FIRMA DIGITAL.

Otro uso que se le dá a los algoritmos asimétricos, es la autenticación, mediante la Firma Digital .
Función resumen que autentica el emisor
Algoritmo RSA (Ron Rivest, Adi Shamir y Leornard Adleman)

Características:
Ideado por Diffie-Hellman (Matemáticos)
Simétrico clave segura 128 bits.
Asimétricos clave segura hasta 1024 bits.
Al menos que no se tenga la clave pública no se puede leer el mensaje.
Se usa para encriptar mensaje y autenticar emisor.

RSA
Es el más empleado de la actualidad
RSA es la suma de dos algoritmos:
Máximo compun divisor de Euclídes
Teorema de Fermat
Se usa funciones que buscan el mayor número primo de una cadena.
Se ha logrado llegar a llaves de 2048 bits.

RSA
Se libera su uso en 20/09/2000
Se buscan dos números primos lo suficientemente grandes: p y q (de entre 100 y 300 dígitos).
Se obtienen los números n = p * q y Ø = (p-1) * (q-1).
Se busca un número e tal que no tenga múltiplos comunes con Ø.
Se calcula d = e-1 mod Ø, con mod = resto de la división de números enteros.
Y ya con estos números obtenidos, n es la clave pública y d es la clave privada . Los números p, q y Ø se destruyen. También se hace público el número e , necesario para alimentar el algoritmo.

Otros métodos
Algoritmo Diffie-Hellman (Se acuerdan claves entre los interlocutores.
Algoritmo ElGamal (muy usado para firmas digitales)
Algortimo de Rabin (Su algortimo se basa en el cálculo de raices cuadradas, equivale a factorización)
Algoritmo DSA (propuesto por NIST y es una variante de ElGamal)

Otros métodos
MD5 (Message Digest 5)
Siendo m un mensaje de b bits de longitud, se alarga m hasta que su longitud sea 64 bits inferior a un múltiplo de 512. (Se agregan 1 y tanto ceros como sea necesario)
Se realizan 64 operaciones divididas en 4 rondas sobre los bloques de 512 bits.
Se suman y se concatenan hasta tener la firma m .

Otros métodos
SHA-1 (Secure Hash Algorthim)
Desarrollado por NSA
Genera firma de 160 bits a partir de bloques de 512 del mensaje original

Internet se está convirtiendo en uno de los principales canales de intercambio de información y de realización de transacciones comerciales:
Internet supone importantes ahorros para la empresas como medio de enviar información confidencial sustituyendo al fax y a las líneas privadas.
Se está multiplicando el desarrollo de nuevas aplicaciones: voz por Internet, música digital, videoconferencia, etc.
Universalidad, desregulación y facilidad de acceso son los factores principales que han impulsado el fuerte crecimiento del uso de Internet como medio de comunicación.
Estos mismos factores son a su vez causa de una de las principales debilidades que plantea Internet como medio de comunicación de información confidencial y de transacciones comerciales: la falta de seguridad y de confidencialidad sobre la información transmitida.
Seguridad en Transacciones electrónicas Existe una necesidad clara de una plataforma de seguridad electrónica para Internet

Existen cinco necesidades básicas que un sistema debería poder garantizar en una transmisión por Internet:
Control de acceso : sólo los usuarios autorizados deben poder acceder a las redes de comunicación y a la información contenida en las mismas.
Confidencialidad : la información transmitida sólo debe poder leerse por aquel o aquellos a quién está dirigida.
Integridad : la información transmitida debe de ser protegida contra manipulaciones no autorizadas.
Autentificación : el emisor de la información debe de poder ser identificado.
No repudio : el emisor debe de ser identificado de tal manera que no pueda negar la autoría de un mensaje o una transacción.
Seguridad en Transacciones electrónicas

La tecnología PKI es la única solución estándar que garantiza la seguridad completa en las operaciones y las comunicaciones en Internet . Seguridad en Transacciones electrónicas Estándar Navega dores Firma Digital B2C B2B PKI SET TOKEN Control Acceso VPN

PKI
“ C lave pública" o por su equivalente en inglés (Public Key Infrastructure o PKI).
La normativa crea el marco regulatorio para el empleo de la firma digital en la instrumentación de los actos internos del Sector Público Nacional que no produzcan efectos jurídicos individuales en forma directa, otorgándole a esta nueva tecnología similares efectos que a la firma ológrafa.
Decreto Nº 427 del 16 de Abril de 1998.

La tecnología PKI permite, mediante el cifrado de la información electrónica , que las comunicaciones y transacciones en Internet se lleven a cabo de una forma segura.
El cifrado consiste en la codificación de la información mediante algoritmos matemáticos de forma que sólo pueda ser interpretada por aquel que posea la clave de decodificación correspondiente.
Además, la tecnología PKI permite, mediante la firma electrónica , vincular un documento a su autor.
PKI como solución Estándar de seguridad Descripción

El entorno PKI se basa en tres componentes:
Las claves públicas y privadas de cada usuario
La base del sistema de certificación PKI son las claves públicas y privadas de cada usuario, que se generan mediante unos algoritmos matemáticos basados en números primos.
Cada pareja de claves es única.
Estas claves sirven para cifrar, descifrar, firmar y comprobar la información que se transmite.
Poseen la propiedad de que “lo que una llave cierra (cifrar) sólo lo puede abrir la otra (descifrar) ”.
El certificado digital
El elemento de Software firmado por una CA que determina la identidad del titular del certificado. (contiene registros con el nombre, NIF, etc.).
Un certificado está asociado a una persona, servidor o empresa.
Entre otros registros contiene la clave pública del titular del certificado.
Las Autoridades de Certificación. (CA’s)
Son las instituciones encargadas de la emisión, revocación, y administración de los identificadores digitales. Son la tercera parte confiable (TTP) que asegura identidades en Internet.
Una CA puede a su vez crear Autoridades Certificadoras de Segundo Nivel (CAC’s)
Una CAC proporciona las mismas funciones que una CA, pero en entornos cerrados
(dentro de una misma empresa o en las relaciones de ésta con terceros).
PKI como solución Estándar de seguridad Componentes

Los Certificados:
Identifican un usuario, servidor o empresa.
Permiten el cifrado de las comunicaciones (con las claves).
Permiten la firma un documento electrónico.
Existen varios tipos de certificados según el protocolo de comunicaciones y la aplicación que se esté utilizando:
Certificado personal : documento de identificación de un usuario de Internet para navegar, comprar, enviar y recibir correo, firmar documentos electrónicos, etc. de forma segura.
Certificado de servidor : permite asegurar toda comunicación entre un navegador y un servidor web.
Certificado para VPNs : permite la comunicación segura, entre las empresas y sus empleados, clientes y proveedores, mediante la creación de redes privadas virtuales en el entorno abierto de internet.
Certificado Servidor WAP : permite asegurar toda comunicación entre un terminal móvil y un servidor WAP.
Certificado para firmar código : permite a una empresa firmar su software y distribuirlo de forma segura.
PKI como solución Estándar de seguridad Utilidades y tipos de Certificados

La firma electrónica tiene las siguientes etapas:
1ª Cuando el emisor crea un documento electrónico también crea, gracias a una aplicación de firma digital, un resumen con sus parámetros clave.
2ª Este resumen lo cifra con su clave privada y lo adjunta al documento.
3ª Cuando le llega al receptor, éste genera, con la misma aplicación de firma, otro resumen y con la clave pública del emisor descifra el resumen recibido.
4ª Si ambos resúmenes son idénticos significa que el documento no ha sido alterado.
PKI como solución Estándar de seguridad Mecanismo de Firma Electrónica

Cuando se envía un e-mail el programa de correo del emisor lo cifra con la clave pública del receptor (que es pública bien porque está en algún registro de la Autoridad de Certificación o bien porque el receptor se la ha enviado en un e-mail anterior).
Cómo lo que se cifra con esa clave pública del receptor, sólo se puede descifrarse con su clave privada, la comunicación es absolutamente segura (CONFIDENCIALIDAD).
Además el emisor puede firmar el mensaje y de esa forma asegurar su identidad. (AUTENTICACIÓN).
PKI como solución Estándar de seguridad Seguridad en email Receptor de la información Email Emisor de información INTERNET INTRANET Email Cifrado con la Clave pública del receptor Descifrado con la Clave privada del receptor

Firma electrónica en correo Caso Práctico

En un entorno de comercio electrónico, en que dos entidades quieran llevar a cabo un acuerdo mediante un contrato, pueden utilizar la firma electrónica como mecanismo para autenticar sus identidades.
Proveedor Document o Contrato Cliente INTERNET INTRANET Documento Contrato Firma con la Clave Privada del cliente Comprobación de la firma digital del cliente PKI como solución Estándar de seguridad Contratación con Firma Electrónica

Entorno Correo Seguro Internet

Entorno WEB (SSL)
Usuario accede a web segura.
Los mensajes viajan cifrados bajo protocolo SSL.
El cliente se identifica mediante tarjeta.
Certificado Digital Usuario Servidor 128 bits 128 bits Quien lo emite Usuario Fecha emisión Fecha caducidad Clave pública Firma de la Autoridad emisora Extensiones: Internet

Entorno Firma de Código Internet Servidor Usuario Programa ejecutable en el ordenador Version # Serial # Signature Algorithm Issuer Name Validity Period Subject Name Subject Public Key Issuer Unique ID Subject Unique ID Extensions Digital Signature

Entorno de Red Virtual (VPN) Servidor Router Router Router Router p.e.92.88.77.8 p.e.122.68.17.78 hackers

Entorno de Aplicaciones Privadas Entrada apuntes contabilidad Autenticación y Firma Base de datos contable-financiero de la empresa Autenticación Internet Servidor Usuario

CONTRATOS ELECTRÓNICOS online
BANCA ELECTRÓNICA segura sin repudio.
Transmisión de INFORMACIÓN MEDICA CONFIDENCIAL .
Contratación de POLIZAS DE SEGURO .
Cotratación de sistemas de FINANCIACIÓN A PLAZOS .
CONTROL DE ACCESO en portales verticales.
Conexión con SISTEMAS DE FIDELIZACION . Lotus Notes
Sistemas de BOLSA POR INTERNET sin repudio.
AUTENTICACIÓN DE DOCUMENTOS elaborados por empleados desplazados.
Relaciones seguras entre miembros de ENTORNOS B2B Y B2C .
FE PUBLICA electrónica (pendiente de regulación).
Emisión de FACTURAS ONLINE (e-billing).
PKI como solución Estándar de seguridad Ejemplos de Aplicaciones

Tendencias actuales: Productos y Servicios

Nuestros Productos Certificados PKI Certificados de Servidor para comercio electrónico. Certificados de Usuario para validación y firma electrónica. Certificados para VPN. Certificados para Wap. Soportes para certificados, tarjetas, tokens y otros dispositivos. Validación y gestión de riesgo · Información corporativa on-line · Scoring básico de capacidad financiera · validación de información.

Nuestros Productos Consultoría PKI, sistemas de generación de certificados para empresas- · Firma electrónica. · Sistemas de Facturación electrónica. · Sistemas de Contratación electrónica. · Sistemas de transporte seguro de documentos electrónicos. · Sistemas de almacenamiento seguro de documentos. · Adaptación de sistemas y entornos a la LOPD. · Formación en PKI, sistemas de certificación y firma electrónica. Desarrollos relacionados con: firma electrónica, almacenamiento, validación transporte seguro

PREGUNTAS ????

http://criptologiaforenseuvigo.blogspot.com	32
http://www.slideshare.net	5
http://criptologiaforenseuvigo.blogspot.mx	1
http://criptologiaforenseuvigo.blogspot.com.es	1

Seguridad En El Comercio Electronico

by Ezequiel Prieto on Aug 08, 2008

Accessibility

Upload Details

Usage Rights

4 Embeds 39

Statistics

Seguridad En El Comercio Electronico — Presentation Transcript