Menu Principal:
Limitaciones de la criptografía:
La criptografía es un elemento importante de la seguridad en la Web. Sin embargo sólo nos protege de la intercepción de datos mientras están siendo comunicados entre computadoras. No puede proteger contra el robo de llaves de encriptación ni contra ataques de negación de servicio. Tampoco la criptografía puede proteger contra un traidor o contra un error, si una persona dentro de la organización altera o divulga la información protegida criptográficamente, el sistema no tiene manera de proteger dicha información.
La criptografía en el comercio electrónico:
Los protocolos criptográficos más utilizados para la protección de datos en las transacciones de comercio electrónico son el SSL (Secure Sockets Layer) y SET (Secure Electronic Transactions).
Protocolo de Nivel de conexiones seguro en el comercio electrónico (SSL):
Es un protocolo que agrega autenticación y no repudio del servidor, y autenticación del cliente mediante firmas digitales. SSL proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente y cifrando la clave mediante un algoritmo de cifrado de clave pública, típicamente el RSA. El propósito y el éxito de SSL es su transparencia para usuarios y desarrolladores. La conexión SSL la inicia el cliente por medio de un prefijo especial en el URL. Suponiendo que el servidor Web tenga facilidades criptográficas que soporten SSL y que el cliente esté accediendo con un navegador que reconozca SSL, bastará reemplazar el "http" del URL por "https" de esta forma el cliente obtendrá de forma segura el contenido de la página y lo más importante, realizando este reemplazo al enviar información al servidor Web, se hará también de forma segura. Los navegadores muestran un pequeño icono cuando una página es descargada con SSL. Certificados digitales Existen organizaciones, llamadas autoridades certificadoras, que se encargan de comprobar si una llave pública específica es propiedad de un individuo u organización en particular. Como resultado de esta comprobación emiten un "Cerificado de llave pública" que contiene el nombre de la persona, la llave pública, número de serie, la fecha de creación del certificado y la fecha de vencimiento. El certificado comprueba que una llave pública específica es propiedad de un individuo u organización en particular. Si la llave privada del tenedor ha sido violada, si la persona ha dado datos incorrectos o si hay copias falsas de ésa llave, el certificado puede ser revocado. Las llaves revocadas que aún no están vencidas son colocadas en una Lista de Revocación de Certificados. La siguiente figura muestra un certificado emitido por VeriSign, una de las autoridades certificadoras más fuertemente reconocidas. El certificado fue tomado de la página https://www.moneybookers.com/app/ que es un sitio que permite enviar y recibir dinero por transacciones comerciales. Como medida de seguridad se debe verificar que el certificado haya sido expedido a la organización (URL) la cual se desea acceder. Y la fecha de vigencia no haya expirado.
Evaluación del protocolo SSL: Si bien SSL provee un enfoque práctico y fácil de implementar, no ofrece una solución comercialmente integrada ni totalmente segura. SSL ofrece un canal seguro para el envío de números de tarjeta de crédito, pero carece de capacidad para completar el resto del proceso comercial: verificar la validez del número de tarjeta recibido, autorizar la transacción con el banco del cliente, y procesar el resto de la operación con el banco adquiriente y emisor. Es importante recalcar que SSL sólo garantiza la confidencialidad e integridad de los datos en tránsito, ni antes ni después. Por lo tanto, si se envían datos personales al servidor, entre ellos el número de tarjeta de crédito, y otros datos sensibles, SSL solamente asegura que mientras viajan desde el navegador hasta el servidor no serán modificados ni espiados. Lo que el servidor haga con ellos, está ya más allá de la competencia de este protocolo. Los datos podrían ser manipulados irresponsablemente o caer en manos de un atacante que asaltara el servidor con éxito. Dado que SSL es un protocolo seguro de propósito general, que no fue diseñado para el comercio en particular, se hace necesaria la existencia de un protocolo específico para el pago. Este protocolo existe y se conoce como SET.
Protocolo de Transacciones Electrónicas Seguras (SET): Este protocolo criptográfico ha sido diseñado especialmente para el envío de números de tarjetas de crédito por Internet. Consta de tres partes: una "billetera electrónica" que reside en la computadora del usuario; un servidor que se ejecuta en el sitio Web del comerciante; y un servicio de pagos SET que se ejecuta en el banco del comerciante. Para utilizar este sistema el usuario introduce su número de tarjeta de crédito en el software de billetera electrónica, el cual se almacena encriptado en el disco duro; se crea también una llave pública y una privada para encriptar la información financiera antes de enviarla a través de Internet. Cuando un usuario desea comprar algo, su número de tarjeta de crédito es enviado encriptado al comerciante quien firma digitalmente el mensaje de pago y lo envía al banco, donde el servidor de pagos desencripta la información y realiza el cargo a la tarjeta. Características del protocolo de pago SET: Ø Es un protocolo estandarizado y respaldado por la industria, diseñado para salvaguardar las compras pagadas con tarjeta a través de redes abiertas, incluyendo Internet. El estándar SET fue desarrollado en 1995 por Visa y MasterCard, con la colaboración de otras compañías líderes en el mercado de las tecnologías de la información, como Microsoft, IBM, Netscape, VeriSign y otras. Ø El número de tarjeta de crédito pasa encriptado por las manos del comerciante disminuyendo enormemente las posibilidades de fraude. Ø ?Encripta los números de tarjetas de crédito mediante el algoritmo RSA, brindando confidencialidad, proporciona además integridad, autenticación y no repudiación mediante funciones de compendio de mensajes y firmas digitales. Sin embargo SET protege sólo el número de tarjeta de crédito no brindando confidencialidad y privacidad a los demás elementos de la transacción. Si se quiere cifrar el resto de datos de la compra, como por ejemplo qué artículos se han comprado, debe recurrirse a un protocolo de nivel inferior como SSL.