SEGURIDAD EN LAS TRANSACCIONES ELECTRÓNICAS

Objetivo:Establecer soluciones ante el

problema de la seguridad en las

transacciones electrónicas

Temario• Firmas digitales, firmas electrónicas y

certificados digitales

• Ventajas y desventajas de las firmas

digitales

• Diferencias entre una firma digital y

una analógica

• Tipos de certificados digitales

• Organizaciones que otorgan

certificaciones

• Tipos de certificados para E-

Commerce

• Transacciones bancarias online

• Firewalls y servidores seguros

• Claves digitales

Motivación

Firma digital en Microsoft Office

https://www.seguridaddigital.pe/soluciones/certsslecommerce

http://www.verisign.es/ts-sem-page/index.html?sl=t13650207760000018

Firmas digitales, electrónicas y

certificados digitales

Mientras que firma digital hace referencia a una serie de métodos criptográficos, firma electrónica es un término de naturaleza fundamentalmente legal .

Firma digital

• Junto con el Certificado Digital se permite garantizar que el autor del mensaje es quien realmente dice ser.

• Tipos :– Firmas Digitales – Firmas de Códigos ( Serie de caracteres)

Las firmas digitales - propósitos -

• Validar el contenido de un mensaje electrónico y se puede utilizar posteriormente para comprobar que un emisor envió de hecho ese mensaje.

• Probar que no se ha falsificado un mensaje durante su envío. Las firmas digitales respaldan la autenticidad del correo electrónico, órdenes de empresa, documentos para grupos de trabajo y otros mensajes y archivos que se trasladan entre sistemas, usuarios u

organizaciones.• Se usan para

– Validar compras, – Transferencias de fondos y – otras transacciones de negocios.

Firma digital

• La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático , denominado función hash y seguidamente, aplicar el algoritmo de firma

• La función hash es un algoritmo matemático que permite calcular un valor resumen de los datos a ser firmados digitalmente

• Software de firma digital efectuar varias validaciones– Vigencia del certificado digital del firmante,– Revocación del certificado digital del firmante,– Inclusión de sello de tiempo.

Firma digital – Software y Ley -

• Software de firma digital efectuar varias validaciones– Vigencia del certificado digital del firmante,– Revocación del certificado digital del firmante,– Inclusión de sello de tiempo.

La Ley de firma digital en Perú - Ley 27269 -

otorgándole la misma validez y eficacia jurídica

que el uso de una firma manuscrita u otra

análoga que conlleve manifestación de

voluntad.

Certificados digitales o redes de confianza

• Estos brindan una forma conveniente y fácil de asegurar que los participantes en una transacción electrónica puedan confiar el uno en el otro.

• Contiene, primero los – Datos del propietario, después – Su clave pública y – La firma digital de una autoridad competente.

Certificados digitales o redes de confianza

• Los certificados digitales garantizan que dos computadoras que se comunican entre sí puedan efectuar transacciones electrónicas con éxito

• La base de esta tecnología reside en los códigos secretos o en la “encriptación”.

• La encriptación garantiza la confidencialidad, la integridad y la autenticidad de la información

Comunicación segura en

Internet- CONDICIONES -

• Inalterabilidad

• Confidencialidad

• Integridad

• Autentificación

• Adhesión

• No repudio

Firma ElectrónicaVENTAJAS DESVENTAJAS

el procedimiento de verificación es exacto y que es imposible en la práctica su falsificación

primera no es valida legalmente aun en muchos países

es portable, es decir, la firma digital puede ser realizada en diferentes puntos del mundo

depende de la clave privadasi la clave privada se compromete por alguna causa, entonces, se compromete la seguridad de la firma digital

compatible con lo dispositivos electrónicos actuales

La firma digital esta cambiando conforme la tecnología avanza, y esto hace que ciertos documentos puedan ser comprometidos.

Procedimiento

Firma Analógica vs Digital

Firma Analógica Firma Digital

Intrínsecamente seguras.Garantizan la autenticidad de origen.Garantizan Únicas.Difíciles de falsificar.El secreto está en el carácter grafológico.

Las firmas deben ser generadas sólo por el firmante.Computacionalmente seguras.Verificables: Por los receptores y por los jueces.El firmante no puede negar su propia firma.Fáciles de generar.Diferentes para cada documento.El secreto está en la clave.

Tipos de Certificados Digitales

• clase 1: para verificar el nombre y la dirección de dirección e-

Mail del titular..

• clase 2: provee seguridad respecto de la identidad del usuario

mediante el requerimiento a terceros

• clase 3: Certifica a individuos y organizaciones ante notario.

• clase 4: Verifica y asegura la relación del mismo con una

determinada organización o empresa. Están destinados al

mundo de los negocios.

Certificados digitales que existen

– Certificados de Servidor (SSL : Capa de zócalos seguro)– Microsoft Server Gated Cryptography Certificates

(Certificados de CGC-una extensión del protocolo SSL- ofrecida por Microsoft).

– Certificados Canalizadores.– Certificados de Correo Electrónico.– Certificados de Valoración de páginas WEB.– Certificados de Sello, Fecha y Hora

Organizaciones que otorgan certificaciones

• Servicio de Certificación Digital de las Cámaras de Comercio (CAMERFIRMA)– CAMERFIRMA se integra en la

red de confianza Chambersign con participación inicial de 10 asociaciones nacionales de países europeos (Alemania, Austria, Bélgica, España, Francia, Holanda, Italia, Luxemburgo, Reino Unido y Suecia) y Eurocámaras.

Protocolos de Certificación

• SET (Secure Electronic Transaction), – Desarrollado por VISA y MASTER CARD con el propósito de asegurar

y autenticar la identidad de los participantes en las compras abonadas con tarjetas de pago en cualquier tipo de red en línea, incluyendo Internet.

• PGP (Enterprise Security)– Permite a los usuarios proteger la correspondencia electrónica, las

transacciones en línea y los archivos de datos mediante su cifrado de forma que únicamente los destinatarios previstos puedan descifrar su contenido

Protocolos de Certificación

• SSL (Secure Socket Layout)– se basa en llaves públicas y es utilizado por la mayoría de los

Browsers para transmitir información de manera segura. – SSL no autentifica quién envía o recibe la información, solo protege

los datos enviados mientras viajan por Internet.

• Principal proveedor de servicios de infraestructuras de confianza a los sitios Web

• líneas de negocio• Servicios de Certificado Público, • Servicios de Certificado de Etiqueta Privada, encaminados a

proveedores de servicios y organizaciones .Los certificados de este tipo son de uso restringido.

• Productos de Gestión de Certificados, soluciones específicas que proporcionan una arquitectura para la gestión de certificados.

Transacciones bancarias online

• Uno de los aspectos por los que siempre se ha caracterizado una oficina bancaria, ha sido por disponer de un servicio de atención directa al cliente. Home Banking

• Filosofía de un servicio de banca electrónica– Rapidez de acceso– Facilidad en la interacción– Capacidad de configuración individualizada– Oferta de Servicios que fidelicen al cliente

Transacciones bancarias online

• Es el aplicativo Web o WAP (si se trata de telefonía móvil) el que, cuando es necesario, accede a la verdadera máquina o Host en la que se encuentran los datos reales de los usuarios.

Problemas de Autenticidad- on web - • Robo de información

• Suplantación de identidad• "Sniffers“• Modificación de información• Repudio• Denegación del servicio

Claves digitales

a) Clave personal, PIN o clave secreta Cuando se accede a un

banco en Internet, lo primero que se pedirá es su código de usuario y contraseña

b) Identificación operativa.- Se utiliza para aquellas transacciones que son más que una simple consulta.