INFR

AESTRUCTU

RA PKI

OS

CA

R W

L AD

I MI R

CH

I LU

I ZA

MO

L I NA

La seguridad informática conocida como PKIx, se ha convertido en el candado que permite manejarnos dentro del tema de moda conocido como comercio electrónico, de una manera segura. La tecnología de seguridad utilizada en el comercio electrónico se basa en la utilización de protocolos de información segura como SSL, PGP, SET, IPSec, entre otros, utilizando criptografía. Métodos como la encriptación, firmas digitales y certificados digitales, también forman parte de la seguridad aplicada al comercio electrónico.

ESQUEMA DE LA TECNOLOGÍA DE LA SEGURIDA

ENCRIPTACIÓN

Un conjunto de Técnicas

Ilegible información considerada importante

Medida de seguridad

Almacenar Transferir

Información Delicada

En una clave

La información

Accesible solo por las partes

que intervienen

(comprador, vendedor y sus dos bancos)

contraseñas, números de tarjetas de crédito, etc.

3ras Personas

es es Se basa

parao

como

Para hacer Para Cifrar

Que será

Evitando a

Para

Firma digital.

Que la transacción sea alterada

terceras personas

El certificado digital

la identidad de las partes

emitido por un tercero

Para garantizar

Evita

Por

Utiliza

OTP es una especificación para comercio electrónico sobre Internet desarrollada por el consorcio OTP, que cuenta actualmente con más de 30 miembros. OTP pretende reproducir en un escenario electrónico la secuencia de interacciones que tienen lugar en las transacciones tradicionales, incluyendo los documentos que ahora nos son familiares: recibos, facturas, etc.

Como en el caso de OBI, el modelo caracteriza una serie de entidades o "roles" y de transacciones que pueden tener lugar entre ellas (aunque tanto las entidades como las transacciones de OTP son diferentes a las de OBI). Los roles definidos por OTP son el comprador, el vendedor, el receptor del pago (que actúa en representación del vendedor), la entidad que entrega el producto y la entidad que se encarga de la atención al cliente y la resolución de posibles conflictos.

Open Trading Protocol (OTP)

OTP especifica el formato y contenido de los mensajes intercambiados entre entidades, así como las posibles formas de transmitir los mensajes OTP de una entidad a otra. OTP hace uso del estándar XML por lo que sus mensajes pueden procesarse directamente con analizadores de este lenguaje.

En general, una transacción se compone de una serie de "pasos" que pueden estar presentes o no y ordenarse de diferentes maneras según el tipo concreto de transacción a modelar, por ejemplo una compra, una devolución, un depósito de fondos, etc.. Los pasos de una transacción encapsulan procedimientos básicos como por ejemplo:

es un conjunto de especificaciones desarrolladas por VISA y MasterCard, , que da paso a una forma segura de realizar transacciones electrónicas

La SET dirige sus procesos a:

Proporcionar la autentificación necesaria.

Garantizar la confidencialidad de la información sensible.

Preserva la integridad de la información.

Definir los algoritmos criptográficos y protocolos necesarios para los servicios anteriores.

Protocolo SET: Secure Electronic Transactions

¿QUE ES LA CRIPTOGRAFÍA? Entendemos por Criptografía (Kriptos = ocultar, Graphos = escritura) la técnica de transformar un mensaje inteligible, denominado texto en claro, en otro que sólo puedan entender las personas autorizadas a ello, que llamaremos criptograma o texto cifrado. El método o sistema empleado para cifrar el texto en claro se denomina algoritmo de encriptación. La Criptografía es una rama de las Matemáticas, que se complementa con el Criptoanálisis, que es la técnica de descifrar textos cifrados sin tener autorización para ellos, es decir, realizar una especie de Criptografía inversa. Ambas técnicas forman la ciencia llamada Criptología.  

Confidencialidad: evita que un tercero pueda acceder a la información enviada.

Integridad: evita que un tercero pueda modificar la información enviada sin que lo advierta el destinatario.

Autenticación: permite a cada lado de la comunicación asegurarse de que el otro lado es realmente quien dice ser.

No repudio o irrefutabilidad: Permite a cada lado de la comunicación probar fehacientemente que el otro lado ha participado en la comunicación. En el caso de no repudio de origen, el remitente del mensaje no puede negar haberlo enviado. En el caso de no repudio de destino, el destinatario del mensaje no puede negar haberlo recibido.

Componentes

de Seguridad

Los métodos de cifrado simétrico, por ejemplo el sistema DES, usan una misma clave para cifrar y descifrar. Suponiendo que dos interlocutores comparten una clave secreta y de longitud suficientemente grande, el cifrado simétrico permite garantizar la confidencialidad de la comunicación entre ellos. Este esquema es poco adecuado cuando una parte establece comunicaciones ocasionales con muchas otras con las que no tenía una relación previa, como ocurre frecuentemente en el comercio electrónico, ya que antes de poder establecer cada comunicación sería necesario intercambiar previamente por algún procedimiento seguro la clave que se va a utilizar para cifrar y descifrar en esa comunicación. Por ejemplo, un consumidor que quisiera comprar a través de Internet necesitaría intercambiar una clave secreta diferente con cada uno de los vendedores a los que quisiera acceder.     Cifrado/descifrado simétrico

Los métodos de cifrado asimétrico, por ejemplo el sistema RSA, usan parejas de claves con la propiedad de que lo que se cifra con una cualquiera de las claves de una pareja sólo se puede descifrar con la otra clave de la pareja. En el caso más simple, con este sistema un interlocutor sólo necesita tener una pareja de claves que puede utilizar para comunicarse de forma segura con cualquier otro interlocutor que disponga a su vez de otra pareja de claves. Cada interlocutor hace pública una de sus claves (será su clave pública) y mantiene en secreto la otra (su clave privada). Por ello, el cifrado asimétrico se denomina también cifrado de clave pública. La clave privada (o las claves privadas si el usuario utiliza varias parejas de claves para diferentes propósitos) puede guardarse en el ordenador del usuario o en una tarjeta inteligente. Por la propiedad de las parejas de claves citada antes, para enviar un mensaje de forma confidencial a un destinatario basta cifrarlo con la clave pública de ese destinatario. Así sólo el podrá descifrarlo mediante la clave privada que mantiene en secreto. No es necesario que el remitente y el destinatario intercambien previamente ninguna clave secreta. El remitente sólo necesita averiguar la clave pública del destinatario. Para evitar posibles suplantaciones de identidad, es necesario contar con una tercera parte fiable que acredite de forma fehaciente cuál es la clave pública de cada persona o entidad. Esta es la función básica de las autoridades de certificación.  Cifrado asimétrico con consulta de clave publica a autoridad de certificación y descifrado con clave privada del destinatario

Certificados digitalesSegún puede interpretarse de las diapositivas anteriores, la eficacia de las operaciones de cifrado y firma digital basadas en criptografía de clave pública sólo está garantizada si se tiene la certeza de que la clave privada de los usuarios sólo es conocida por dichos usuarios y que la pública puede ser dada a conocer a todos los demás usuarios con la seguridad de que no exista confusión entre las claves públicas de los distintos usuarios.Para garantizar la unicidad de las claves privadas se suele recurrir a soportes físicos tales como tarjetas inteligentes o tarjetas PCMCIA que garantizan la imposibilidad de la duplicación de las claves. Además, las tarjetas criptográfica suelen estar protegidas por un número personal sólo conocido por su propietario que garantiza que, aunque se extravíe la tarjeta, nadie que no conozca dicho número podrá hacer uso de ella.Por otra parte, para asegurar que una determinada clave pública pertenece a un usuario en concreto se utilizan los certificados digitales. Un certificado digital es un documento electrónico que asocia una clave pública con la identidad de su propietario.Adicionalmente, además de la clave pública y la identidad de su propietario, un certificado digital puede contener otros atributos para, por ejemplo, concretar el ámbito de utilización de la clave pública, las fechas de inicio y fin de la validez del certificado, etc. El usuario que haga uso del certificado podrá, gracias a los distintos atributos que posee, conocer más detalles sobre las características del mismo.

Firma digitaUna de las principales ventajas de la criptografía de clave pública es que ofrece un método para el desarrollo de firmas digitales. La firma digital permite al receptor de un mensaje verificar la autenticidad del origen de la información así como verificar que dicha información no ha sido modificada desde su generación. De este modo, la firma digital ofrece el soporte para la autenticación e integridad de los datos así como para el no repudio en origen, ya que el originador de un mensaje firmado digitalmente no puede argumentar que no lo es. Una firma digital está destinada al mismo propósito que una manuscrita. Sin embargo, una firma manuscrita es sencilla de falsificar mientras que la digital es imposible mientras no se descubra la clave privada del firmante.La firma digital se basa en la propiedad ya comentada sobre que un mensaje cifrado utilizando la clave privada de un usuario sólo puede ser descifrado utilizando la clave pública asociada. De tal manera, se tiene la seguridad de que el mensaje que ha podido descifrarse utilizando la clave pública sólo pudo cifrarse utilizando la privada. La firma digital, por tanto, es un cifrado del mensaje que se está firmando pero utilizando la clave privada en lugar de la pública.

Legislación aplicable al comercio electrónicoLo primero que hay que tener en cuenta es que la empresas que quieren desarrollar una página web han de cumplir las mismas obligaciones legales que una empresa que no esté en Internet.Sin embargo existe una normativa específica que regula el comercio electrónico:* La Ley Orgánica 15/1999, 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD);* La Ley 34/2002, de 11 de julio, de Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE);* La Ley 7/1998, de 13 de abril, sobre Condiciones Generales de la Contratación;* El Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios,* Otras leyes complementarias, donde se regulan de forma específica los contratos celebrados a distancia, así como la normativa de desarrollo de cada una de ellas. 

¿Protección al consumidor?

Solo se podrá difundir la información en casos especiales cuando pueda servir para identificar localizar o realizar acciones legales

Artículo 197. para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro

Conclusiones:El comercio electrónico tiene muchas ventajas, que ayudan a facilitar de mejormanera la vida de los seres humanaos, ahorrando tiempo y recursos podemos ya hacer compras desde nuestro lugar de residencia o trabajo, una gran herramienta es el internet. También hay que tomar en cuenta que el comercio electrónico tienen sus desventajas una de ellas y la mas importante es la seguridad, ya que hoy en día podemos ser atacados por delincuentes informáticos y que a la hora de elegir una compra en línea debemos hacerlo en paginas con muchas seguridades, entre mas seguridades que tenga la pagina web es mucho mejor.

Recomendaciones:Abrir un foro para un debate de todos estos tópicos aplicables en el ecuador en ejemplos claros y concretos.

Tratar de que el tutor busque la manera de explicar de mejor manera Estos temas ya que hay algunas dudas en algunos de ellos.