Seguridad en el Comercio Electrónico

Presentación del tema: "Seguridad en el Comercio Electrónico"— Transcripción de la presentación:

1 Seguridad en el Comercio Electrónico
Lic. Enrique Dutra Ing. Carlos Tomba Ing. Lisandro Rabida

2 TEMARIO Los pilares del comercio electrónico seguro.Motivación de las firmas digitales. Elementos de una PKI. El concepto de Autoridad de Certificación. PKI en las empresas. Rol de una Autoridad Certificadora. CA pública y CA privada Ejercitación

3 Principios criptográficos
Comunicación Hay ocasiones que queremos asegurar el medio para que nadie, excepto el receptor, pueda interpretarlo. Medio Emisor Receptor

4 Principios criptográficos
Criptografía Griego Kriptos (oculto) – Graphos (escritura) Criptografía : arte de esconder un mensaje escrito. Criptograma : Convertir texto claro en otro que sólo lo pueda entender personas autorizadas. Cifrado : proceso mediante el cual se envía un mensaje como un criptograma. Cifrar: requiere un método y una clave. Cifrador : clave utilizada para cifrar. Descifrado: acción de aplicar un cifrador a un criptograma. Algoritmo de cifrado : Método utilizado para cifrar.

5 Principios criptográficos
Criptografía ¿Quién sabe leer los jeroglíficos ?. Hay mensajes cifrados en 64 artículos del Kamasutra. Ordenes militares en épocas de guerra. Sistema polialfabético de Alberti. Sistema de Julio Cesar para proteger sus mensajes. Siempre asociado con asuntos militares, secretos, espionaje, etc.

6 Principios criptográficos
El cifrador del Cesar Surge aproximadamente 55 años A.C. Escribió una carta secreta a Marco Tulio Cicerón, que en su época nadie pudo descifrar. Cifrador: desplazar el alfabeto tres lugares a la derecha, y cubrir las últimas tres letras con las tres primeras. Originalmente se utilizó el alfabeto romano. A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z Secreto técnica: La sustitución de los caracteres.

7 Principios criptográficos
El cifrador del Cesar Mensaje (Mi) : Viva el César. Cifrado (Ci) : Ylyd hñ Fhvdu. Utilizando este método los alumnos deberán escribir tres palabras al compañero y el mismo deberá descifrarlas. A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z

8 Criptosistemas clásicos
Son aquellos que utilizan una máquina para cifrar y además usan por separado dos técnicas: Sustitución Cambiar los caracteres del mensaje original según una regla determinada (Método usado por Julio César) Transposición Se altera el orden de los caracteres dentro del mensaje a cifrar El texto cifrado serán los caracteres dados por columna (de arriba hacia abajo) con una clave K consistente en el orden en que se leen las columnas.

9 Criptosistemas clásicos
SUSTITUCION Cada letra o grupo de letras se sustituyen por otra letra o grupo de letras de una tabla de sustitución. Hay 4 metodologías: Monoalfabética. Homofónica. Polialfabética. Poligrámica.

10 Criptosistemas clásicos
SUSTITUCION - Monoalfabética. Se reemplaza cada carácter del texto en claro por una una única letra del alfabeto cifrado. Para obtener el ordenamiento se recurre a tres métodos Mezcla con clave Desplazamiento Decimación

11 Criptosistemas clásicos
SUSTITUCION - Monoalfabética. Mezcla con clave: Se define primero la palabra clave. Ej: PRIVACIDAD. Se eliminan las letras que estuvieran repetidas: PRIVACD. Se ordena el alfabeto inicial y se define el cifrado, pero en el comiendo de las letras se ubica la palabra clave. Posee falencias graves. No es muy eficiente. PROBLEMA A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z

12 Criptosistemas clásicos
SUSTITUCION - Monoalfabética. Desplazamiento (Método de sustitución por desplazamiento puro) Responde a la formula c=(m+b) módulo n c = cifrado m = posición de la letra en el alfabeto ordenado. b = la cantidad de posiciones que se desea correr hacia la derecha.

13 Criptosistemas clásicos
SUSTITUCION - Monoalfabética. Decimación (método de sustitución por decimación pura) Responde a la formula c=(a.m) módulo n c = cifrado m = posición de la letra en el alfabeto ordenado. a = el coeficiente para multiplicar por la posición original.

14 Criptosistemas clásicos
SUSTITUCION – Homofónica. Se sustituye el carácter del texto claro por un elemento elegido al azar. Homofonias : son distintos elementos que representan al mismo carácter. Los más representativos : Cifrados de Beale Homofonias de orden superior.

15 Criptosistemas clásicos
SUSTITUCION – Homofónica – C. De Beale. Beale un aventurero que supuestamente escondió un tesoro en 1821 y dejó 3 mensajes para que lo pudieran hallar. Consistía en darles números a la primera letra de la palabra del párrafo.

16 Criptosistemas clásicos
SUSTITUCION – Polialfabetica Similar al método de Homofonias, utiliza varios alfabetos para realizar múltiples cifrados. Dependiendo de la longitud n de la clave, tendremos n alfabetos cifrados. Existen dos tipos: Polialfabeticos periodicos Polialfabeticos no periodicos Disco de Alberti Cifrado de Vigenere Cifrado de Beaufort Cifrado con clave única

17 Criptosistemas clásicos
SUSTITUCION – Poligramática Los sistemas anteriores solo desplazan una letra por vez. Este método permite cifrar bloques de textos más claros. Lo hace más difícil alcriptoanálisis. Lo mas conocidos son: Cifrado de Playfair Cifrado de Hill

18 Criptosistemas clásicos
Ejemplo de sustitución: Máquina ENIGMA, creada en 1923 por Ing. Alemán Arthur Scherbius (Sustitución Polialfabetica) Usada en la II Guerra Mundial Maquinas similares : La maquina SIGABA (EEUU) PURPLE y RED, (Japón)

19 Criptosistemas clásicos
TRANSPOSICION El cifrado por transposición consiste en la alteración del orden de las unidades del texto original según una clave. Se puede reescribir un texto corrido o por columnas. Definir el tamaño para un vector de cambios y también un orden en el que los cambios son hechos.

20 Principios criptográficos
Transposición Ejemplo : Si n = 3 columnas, la clave K(3,1,2), el mensaje a cifrar es “Seguridad Informática” Mensaje queda : “gidnrtasud fmieraioac”

21 Principios criptográficos
Ejercitación: El alumno deberá investigar que máquinas existieron con las metodologías reflejadas. Deberá entregar un informe sobre los resultados de la investigación. Puede usar estas referencias : rueda de Jefferson, Cifrado de Vernam, Beaufor, m-325, etc.

22 Objetivos de la criptografía
Resolver los problemas de seguridad de la comunicación. Proveer : Privacidad Integridad Autenticidad No rechazo

23 Criptografía moderna Sistemas criptográficos se clasifican en dos tipos o familias : CLAVE SIMETRICA o CLAVE PRIVADA CLAVE ASIMETRICOS o CLAVE PUBLICA Son sistemas clásicos que han evolucionado a través de los años

24 Criptografía Simétrica
Sistemas clásicos El emisor y el receptor usan la misma clave (llave) para poder encriptar y desencriptar el mensaje. Sólo ellos deben conocer la clave y mantenerla en secreto Si la llave cae en manos de terceros = inseguro y se deben generar nuevas para reemplazarla

25 Criptografía Simétrica
Para que un algoritmo de este tipo sea considerado fiable debe cumplir varios requisitos básicos: Conocido el criptograma (texto cifrado) no se pueden obtener de él ni el texto en claro ni la clave. Conocidos el texto en claro y el texto cifrado debe resultar más caro en tiempo o dinero descifrar la clave que el valor posible de la información obtenida por terceros.

26 Criptografía Simétrica
Elementos M = Mensaje C = Función encriptar D = Función descrifrar MC = Mensaje crifrado Métodos de algoritmos usados : DES, IDEA, RC5 Algoritmo usan el “crifrado de producto” o Redes de Feistel Cifrado de Producto : Troncar el mensaje y a cada bloque de tamaño fijo, se le aplica una función de cifrado. Suele ir acompañado de permutación Ck(M)=MC Dk(MC)=M

27 DES (Data Encryption Standard)
Surge a los mediados de los ´70. Estandar mucho tiempo del gob. EEUU. El cifrado del texto en claro se realiza en bloques de 64 bits que produce 64 bits de texto cifrado. Se parametriza por una llave de 56 bits. Es una Red de Feistel de 16 rondas más 2 permutaciones.

28 DES (Data Encryption Standard)
Entrada Permutación inicial 16 interacciones Permutación Inicial Inversa Salida

29 Diagrama DES C B L15 R15 IP Lo Ro f + f + L16 R16 L1 R1 IP^-1
K16 Lo Ro f + K1 f + L R16 L R1 IP^-1 K2 IP :Permutación inicial f : función f(A,Z) K: Donde K1,…,K16 son cadenas de caracteres de 48bits + f C

30 DES (Data Encryption Standard)
Se logro descifrar mediante un ataque de fuerza bruta sobre el encriptado. El problema radica que la clave es demasiado corta. Muy usado hoy en día por los cajeros automáticos. En la práctica DES es usado para diferentes aplicaciones, entre las más comunes se encuentran Cifrado de Bloques Generador de números aleatorios Para construir una función hash

31 DES Multiple, 3DES o T-DES
Mejora sobre el DES Consiste en aplicar varias veces el algoritmo DES con diferentes claves. Se codifica con clave K1 Se descodifica con clave K2 Se vuelve a codificar con clave K1 Clave resultante : 112 bits (contra 56 DES)

32 IDEA (Int. Data Encriptyon Algorithm)
Desarrollado por Alemania Es el más seguro de la actualidad Trabaja con bloques de 64 bits de longitud y usa una clave de 128 bits. Consta de 8 rondas de procesos de cifrados Usado por Unix y PGP (Pretty Good Privacy)

33 RC5 Creado por RSA (www.rsa.com) Versión mejorada del RC4.
Permite definir el tamaño del bloque a encriptar, el tamaño de la clave y el número de fases de encriptación. También conocido como RC5(variable) Se prohibe su uso fuera de los EEUU si la longitud de la clave supera 56 bits.. Muy usado por Netscape para dar soporte al SSL

34 AES (Advanced Encryption Standard)
Primer método que no usa Redes de Feistel Estrucurado en capas con funciones polinómicas reversibles y no lineales. Opera con bloques y claves d elongitud variable que pueden ser de 128, 192 o 256 bits. También conocido como sistema RIJNDAEL (Vincent Rijmen y Joan Daemen) Poca difusión actual.

35 Criptografía Asimétrica
Se basa en el uso de dos claves diferentes: Clave privada Clave pública Siempre que se generan, se crea el par. Ambas claves están relacionadas matemáticamente.

36 Criptografía Asimétrica
A tiene un mensaje para B B envía clave pública A encripta enbase a la clave pública B desencripta el mensaje Una manera de envía la clave es hacerlo mediante la FIRMA DIGITAL.

37 Criptografía Asimétrica
Otro uso que se le dá a los algoritmos asimétricos, es la autenticación, mediante la Firma Digital. Función resumen que autentica el emisor Algoritmo RSA (Ron Rivest, Adi Shamir y Leornard Adleman)

38 Criptografía Asimétrica
Características: Ideado por Diffie-Hellman (Matemáticos) Simétrico clave segura 128 bits. Asimétricos clave segura hasta 1024 bits. Al menos que no se tenga la clave pública no se puede leer el mensaje. Se usa para encriptar mensaje y autenticar emisor.

39 RSA Es el más empleado de la actualidad
RSA es la suma de dos algoritmos: Máximo compun divisor de Euclídes Teorema de Fermat Se usa funciones que buscan el mayor número primo de una cadena. Se ha logrado llegar a llaves de 2048 bits.

40 RSA Se libera su uso en 20/09/2000
Se buscan dos números primos lo suficientemente grandes: p y q (de entre 100 y 300 dígitos). Se obtienen los números n = p * q    y    Ø = (p-1) * (q-1). Se busca un número e tal que no tenga múltiplos comunes con  Ø. Se calcula d = e-1 mod  Ø, con mod = resto de la división de números enteros. Y ya con estos números obtenidos, n es la clave pública y d es la clave privada. Los números p, q y Ø se destruyen. También se hace público el número e, necesario para alimentar el algoritmo.

41 Otros métodos Algoritmo Diffie-Hellman (Se acuerdan claves entre los interlocutores. Algoritmo ElGamal (muy usado para firmas digitales) Algortimo de Rabin (Su algortimo se basa en el cálculo de raices cuadradas, equivale a factorización) Algoritmo DSA (propuesto por NIST y es una variante de ElGamal)

42 Otros métodos MD5 (Message Digest 5)
Siendo m un mensaje de b bits de longitud, se alarga m hasta que su longitud sea 64 bits inferior a un múltiplo de 512. (Se agregan 1 y tanto ceros como sea necesario) Se realizan 64 operaciones divididas en 4 rondas sobre los bloques de 512 bits. Se suman y se concatenan hasta tener la firma m.

43 Otros métodos SHA-1 (Secure Hash Algorthim) Desarrollado por NSA
Genera firma de 160 bits a partir de bloques de 512 del mensaje original

44 Seguridad en Transacciones electrónicas
Internet se está convirtiendo en uno de los principales canales de intercambio de información y de realización de transacciones comerciales: Internet supone importantes ahorros para la empresas como medio de enviar información confidencial sustituyendo al fax y a las líneas privadas. Se está multiplicando el desarrollo de nuevas aplicaciones: voz por Internet, música digital, videoconferencia, etc. Universalidad, desregulación y facilidad de acceso son los factores principales que han impulsado el fuerte crecimiento del uso de Internet como medio de comunicación. Estos mismos factores son a su vez causa de una de las principales debilidades que plantea Internet como medio de comunicación de información confidencial y de transacciones comerciales: la falta de seguridad y de confidencialidad sobre la información transmitida. Existe una necesidad clara de una plataforma de seguridad electrónica para Internet

45 Seguridad en Transacciones electrónicas
Existen cinco necesidades básicas que un sistema debería poder garantizar en una transmisión por Internet: Control de acceso: sólo los usuarios autorizados deben poder acceder a las redes de comunicación y a la información contenida en las mismas. Confidencialidad: la información transmitida sólo debe poder leerse por aquel o aquellos a quién está dirigida. Integridad: la información transmitida debe de ser protegida contra manipulaciones no autorizadas. Autentificación: el emisor de la información debe de poder ser identificado. No repudio: el emisor debe de ser identificado de tal manera que no pueda negar la autoría de un mensaje o una transacción.

46 Seguridad en Transacciones electrónicas
Estándar Navega dores Firma Digital B2C B2B PKI SET TOKEN Control Acceso VPN La tecnología PKI es la única solución estándar que garantiza la seguridad completa en las operaciones y las comunicaciones en Internet.

47 PKI “Clave pública" o por su equivalente en inglés (Public Key Infrastructure o PKI). La normativa crea el marco regulatorio para el empleo de la firma digital en la instrumentación de los actos internos del Sector Público Nacional que no produzcan efectos jurídicos individuales en forma directa, otorgándole a esta nueva tecnología similares efectos que a la firma ológrafa. Decreto Nº 427 del 16 de Abril de 1998.

48 PKI como solución Estándar de seguridad
Descripción La tecnología PKI permite, mediante el cifrado de la información electrónica, que las comunicaciones y transacciones en Internet se lleven a cabo de una forma segura. El cifrado consiste en la codificación de la información mediante algoritmos matemáticos de forma que sólo pueda ser interpretada por aquel que posea la clave de decodificación correspondiente. Además, la tecnología PKI permite, mediante la firma electrónica, vincular un documento a su autor.

49 PKI como solución Estándar de seguridad Componentes
El entorno PKI se basa en tres componentes: Las claves públicas y privadas de cada usuario La base del sistema de certificación PKI son las claves públicas y privadas de cada usuario, que se generan mediante unos algoritmos matemáticos basados en números primos. Cada pareja de claves es única. Estas claves sirven para cifrar, descifrar, firmar y comprobar la información que se transmite. Poseen la propiedad de que “lo que una llave cierra (cifrar) sólo lo puede abrir la otra (descifrar)”. El certificado digital El elemento de Software firmado por una CA que determina la identidad del titular del certificado. (contiene registros con el nombre, NIF, etc.). Un certificado está asociado a una persona, servidor o empresa. Entre otros registros contiene la clave pública del titular del certificado. Las Autoridades de Certificación. (CA’s) Son las instituciones encargadas de la emisión, revocación, y administración de los identificadores digitales. Son la tercera parte confiable (TTP) que asegura identidades en Internet. Una CA puede a su vez crear Autoridades Certificadoras de Segundo Nivel (CAC’s) Una CAC proporciona las mismas funciones que una CA, pero en entornos cerrados (dentro de una misma empresa o en las relaciones de ésta con terceros).

50 PKI como solución Estándar de seguridad
Utilidades y tipos de Certificados Los Certificados: Identifican un usuario, servidor o empresa. Permiten el cifrado de las comunicaciones (con las claves). Permiten la firma un documento electrónico. Existen varios tipos de certificados según el protocolo de comunicaciones y la aplicación que se esté utilizando: Certificado personal: documento de identificación de un usuario de Internet para navegar, comprar, enviar y recibir correo, firmar documentos electrónicos, etc. de forma segura. Certificado de servidor: permite asegurar toda comunicación entre un navegador y un servidor web. Certificado para VPNs: permite la comunicación segura, entre las empresas y sus empleados, clientes y proveedores, mediante la creación de redes privadas virtuales en el entorno abierto de internet. Certificado Servidor WAP: permite asegurar toda comunicación entre un terminal móvil y un servidor WAP. Certificado para firmar código: permite a una empresa firmar su software y distribuirlo de forma segura.

51 PKI como solución Estándar de seguridad Mecanismo de Firma Electrónica
La firma electrónica tiene las siguientes etapas: 1ª Cuando el emisor crea un documento electrónico también crea, gracias a una aplicación de firma digital, un resumen con sus parámetros clave. 2ª Este resumen lo cifra con su clave privada y lo adjunta al documento. 3ª Cuando le llega al receptor, éste genera, con la misma aplicación de firma, otro resumen y con la clave pública del emisor descifra el resumen recibido. 4ª Si ambos resúmenes son idénticos significa que el documento no ha sido alterado.

52 PKI como solución Estándar de seguridad Seguridad en email
Cuando se envía un el programa de correo del emisor lo cifra con la clave pública del receptor (que es pública bien porque está en algún registro de la Autoridad de Certificación o bien porque el receptor se la ha enviado en un anterior). Cómo lo que se cifra con esa clave pública del receptor, sólo se puede descifrarse con su clave privada, la comunicación es absolutamente segura (CONFIDENCIALIDAD). Además el emisor puede firmar el mensaje y de esa forma asegurar su identidad. (AUTENTICACIÓN). Receptor de la información Emisor de información INTERNET INTRANET Cifrado con la Clave pública del receptor Descifrado con la Clave privada del receptor

53 Firma electrónica en correo
Caso Práctico

54

55

56

57

58 PKI como solución Estándar de seguridad
Contratación con Firma Electrónica En un entorno de comercio electrónico, en que dos entidades quieran llevar a cabo un acuerdo mediante un contrato, pueden utilizar la firma electrónica como mecanismo para autenticar sus identidades. Cliente Proveedor Documento Contrato INTERNET INTRANET Documento Contrato Firma con la Clave Privada del cliente Comprobación de la firma digital del cliente

59 Entorno Correo Seguro Internet

60 Entorno WEB (SSL) Internet Usuario accede a web segura.
Quien lo emite Usuario Fecha emisión Fecha caducidad Clave pública Firma de la Autoridad emisora Extensiones: Usuario accede a web segura. Los mensajes viajan cifrados bajo protocolo SSL. El cliente se identifica mediante tarjeta. Internet Certificado Digital 128 bits 128 bits Servidor Usuario

61 Entorno Firma de Código
Internet Servidor Usuario Programa ejecutable en el ordenador Version # Signature Algorithm Serial # Issuer Name Validity Period Subject Name Subject Public Key Issuer Unique ID Subject Unique ID Extensions Digital Signature

62 Entorno de Red Virtual (VPN)
Servidor Router p.e p.e hackers

63 Entorno de Aplicaciones Privadas
Base de datos contable-financiero de la empresa Autenticación Entrada apuntes contabilidad Autenticación y Firma Internet Servidor Usuario

64 PKI como solución Estándar de seguridad Ejemplos de Aplicaciones
CONTRATOS ELECTRÓNICOS online BANCA ELECTRÓNICA segura sin repudio. Transmisión de INFORMACIÓN MEDICA CONFIDENCIAL. Contratación de POLIZAS DE SEGURO. Cotratación de sistemas de FINANCIACIÓN A PLAZOS. CONTROL DE ACCESO en portales verticales. Conexión con SISTEMAS DE FIDELIZACION. Lotus Notes Sistemas de BOLSA POR INTERNET sin repudio. AUTENTICACIÓN DE DOCUMENTOS elaborados por empleados desplazados. Relaciones seguras entre miembros de ENTORNOS B2B Y B2C. FE PUBLICA electrónica (pendiente de regulación). Emisión de FACTURAS ONLINE (e-billing).

65 Tendencias actuales: Productos y Servicios

66 Nuestros Productos Certificados PKI
Certificados de Servidor para comercio electrónico. Certificados de Usuario para validación y firma electrónica. Certificados para VPN. Certificados para Wap. Soportes para certificados, tarjetas, tokens y otros dispositivos. Validación y gestión de riesgo ·         Información corporativa on-line ·         Scoring básico de capacidad financiera ·         validación de información.

67 Nuestros Productos Consultoría
PKI, sistemas de generación de certificados para empresas- ·         Firma electrónica. ·         Sistemas de Facturación electrónica. ·         Sistemas de Contratación electrónica. ·         Sistemas de transporte seguro de documentos electrónicos. ·         Sistemas de almacenamiento seguro de documentos. ·         Adaptación de sistemas y entornos a la LOPD. ·         Formación en PKI, sistemas de certificación y firma electrónica. Desarrollos relacionados con: firma electrónica, almacenamiento, validación transporte seguro

68 PREGUNTAS ????