06 e-commerce: seguridad en el e commerce

Seguridad en el e-Commerce

Isaac Bolea – [email protected]

Preparando mi negocio para vender por internet


¿Por qué es importante la seguridad?


Modelos de seguridad

}  Firma digital }  Firma electrónica }  Certificado digital }  PKI, Clave pública. }  Protocolos de seguridad

Isaac Bolea. - [email protected] - http://isaacbolea.wordpress.com


¿Qué es la firma digital?


Es un esquema matemático que sirve para demostrar la autenticidad de un mensaje digital o de un documento electrónico. Una firma digital da al destinatario seguridad en que el mensaje fue creado por el remitente, y que no fue alterado durante la transmisión. Las firmas digitales se utilizan comúnmente para la distribución de software, transacciones financieras y en otras áreas donde es importante detectar la falsificación y la manipulación.


¿Qué es la firma digital?



¿Para que sirve la firma digital?


Una firma digital es el equivalente de la firma convencional, en el sentido de que es un añadido al final del mensaje conforme se está de acuerdo con lo que allí se dice. Formalmente, una firma digital es una transformación de un mensaje de forma que cualquier persona con conocimiento del mensaje y de la clave pública del firmante pueda comprobar que dicha transformación ha sido realizada realmente por el firmante.


Firma digital vs Firma electrónica

}  Se utilizan como sinónimos. }  Firma digital = Medios criptográficos.

}  Firma electrónica = Naturaleza legal.



Componentes de la firma electrónica

}  Nombre del titular del documento. }  Número de serie que identifica el documento (el NIF). }  Período de validez: fecha de expedición y de caducidad del

documento, más allá de cuyos límites éste pierde validez. }  Fotografía del titular. }  Firma manuscrita del titular. }  Otros datos demográficos, como sexo, dirección, etc.



Certificado Digital

}  Un certificado digital (también conocido como certificado de clave pública o certificado de identidad) es un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad (por ejemplo: nombre, dirección y otros aspectos de identificación) y una clave pública.

}  Este tipo de certificados se emplea para comprobar que una clave pública pertenece a un individuo o entidad. La existencia de firmas en los certificados aseguran por parte del firmante del certificado (una autoridad de certificación, por ejemplo) que la información de identidad y la clave pública perteneciente al usuario o entidad referida en el certificado digital están vinculadas



Certificado Digital

}  Son usados para aplicaciones y transacciones electrónicas.

}  Emitidos por una entidad certificadora. }  Fácilmente implementables en nuestras aplicaciones.



La Clave Pública


una infraestructura de clave publica (o, en inglés, PKI, Public Key Infrastructure) es una combinación de hardware y software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas. El término PKI se utiliza para referirse tanto a la autoridad de certificación y al resto de componentes, como para referirse, de manera más amplia y a veces confusa, al uso de algoritmos de clave pública en comunicaciones electrónicas. Este último significado es incorrecto, ya que no se requieren métodos específicos de PKI para usar algoritmos de clave pública.


Usos de la Clave Pública


• Autenticación de usuarios y sistemas (login)

• Identificación del interlocutor

• Cifrado de datos digitales

• Firmado digital de datos (documentos, software, etc.)

• Asegurar las comunicaciones

• Garantía de no repudio.


Como funciona la clave pública


La base tecnológica consiste en lo que criptológicamente se denomina sistema de clave asimétrica o pública. Básicamente consiste en la generación de un par de claves, una Pública y otra Privada, ligadas entre sí matemáticamente, y surgen de la aplicación de algoritmos sumamente robustos y técnicamente confiables que garantizan que el abordaje criptoanalítico se torne inoperable en forma práctica. Así, y como se han dado en denominar, la Clave Pública es de libre distribución y debe estar en disponibilidad de todo aquel que quiera verificar que la denominada Firma Digital generada con la Clave Privada y que se corresponde con esa Pública, es de quién dice que es y que lo que firmó no ha sido alterado. Por otra parte, la Clave Privada, es simplemente privada y en consecuencia debe ser resguardada por el usuario con el máximo nivel de seguridad para evitar su uso por personas no autorizadas. Ahora bien, como asegurar que la Clave Pública, relacionada con la Privada se encuentre disponible a cualquiera para su comprobación y que aquél que quiera comprobarlo lo haga con toda garantía de seguridad. La respuesta es la Autoridad de Certificación.


El protocolo SSL y TSL


Secure Sockets Layer (SSL; protocolo de capa de conexión segura) y su sucesor Transport Layer Security (TLS; seguridad de la capa de transporte) son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.


Entidades de certificación


Son las organizaciones o empresas que emiten certificados reconocidos a nivel mundial para el intercambio electrónico de documentos o para el Comercio Electrónico. Existen algunas “públicas” Ceres, sobre todo para el EDI y firma de documentos Y privadas, como Verising para el e-Commerce.

06 e-commerce: seguridad en el e commerce

Internet

firma digital

mensaje digital

documento digital

firma electrnica

internet isaac

commerce isaac

firma convencional

firma manuscrita