RESUMEN
CAPITULO 1 CRIPTOLOGÍA
En la comunicación entre dos o más entidades, la capacidad de procesar la información transmitida antes de enviarla es vital para asegurar uno o más de los parámetros necesarios en una comunicación segura.
En un modelo formal de comunicación sobre un canal no seguro el emisor debe codificar los datos mediante un método de cifrado usando para ello una clave dispuesta a tal efecto. En el destino, el receptor de la información transmitida aplica un método de descifrado usando la clave adecuada (posiblemente la misma que el emisor, aunque no necesariamente) para recuperar los datos originales. Este modelo contempla la posibilidad de que una tercera entidad, el o la intruso, tenga la posibilidad tanto de leer la información cifrada como alterar y reenviar los mensajes remitidos entre las entidades. Para poder llevarlos a cabo los criptógrafos desarrollan algoritmos cifradores, que los criptoanalistas intentan romper. Ambas actividades se denominan globalmente criptología y sus seguidores, criptólogos.
Historia
Históricamente, los modelos de cifrado se dividen en dos categorías: cifrados por sustitución y cifrados por transposición.
En un cifrado por sustitución, cada componente discreto del alfabeto que forma el texto normal se sustituye por uno o más elementos del alfabeto de salida. Es a Julio César a quien se atribuye la autoría de uno de los más viejos, el consistente en aplicar la sustitución progresiva al texto normal de una letra por otra resultante
Los cifrados por transposición reordenan los componentes del alfabeto del texto normal, sin disfrazarlos. Cada elemento del alfabeto se transmite tal cual pero en una posición distinta ai original. Por ejemplo, escribiendo el texto normal por filas en forma de matriz n columnas por m filas- y seleccionando un orden dado de las columnas, podemos mandar una tras otra. Esto es, escribimos por filas y enviamos por columnas. La clave es el orden de las columnas elegido.
Funciones hash
Probablemente el lector pueda encontrar chocante que incluya esra subsección precisamente aquí. Las Funciones hash no son algoritmos criptográficos, en el sentido formal del término, pero si son extensivamente usadas en multitud de áreas de la informática en la criptografía en particular. Las funciones hash deben situarse antes de los métodos de criptografía de clave privada.
Conceptualmente las funciones hash convierten entradas de datos de longitud arbitraria en salidas de longitud fija. Como ya he dicho, su utilidad se extiende a varios ámbitos de la computación, no solamente a los relacionados con la seguridad en general y la criplogralia en particular.
Las propiedades de una función hash son:
Cada bit del resultante de la función sufre la influencia de cada bit de la entrada de la misma.
Si se modifica cualquier bit de la entrada de la función, cada bit de salida tiene como mínimo un 50% de posibilidades de cambiar.
Dada una entrada y su valor hash calculado, no debe ser factible compuiacionalmente encontrar otra que genere el mismo valor. En caso de existir, se dice que ambas entradas colisionan.
Función hash unidireccional (owhf)
Una función hash unidireccional es una función h que satisface las condiciones siguientes:
■ El argumento x puede ser de longitud arbitraria y el resultado h(x) tiene una longitud fija de n bits.
■ Dada una y es difícil encontrar una x tai que h(x)—y (resistente a la preimagen).
■ Dado un x es difícil encontrar x' / x tal que h(x')-h(x)
Código de autenttficación de mensajes (mac)
Han sido ampliamente usados por la comunidad bancaria. Un algoritmo MAC es una función h que cumple las siguientes condiciones:
■ El argumento x puede ser de longitud arbitraria y el resultado hk(x) tiene una longitud fija de n bils.
■ Dados h y x es difícil formar un MAC sobre un nuevo mensaje. Incluso cuando muchos pares [(xbhk(x)] son conocidos es difícil calcularhk(x´) para cualquierx'≠x¡
Modos criptográficos
I.os algoritmos de cifrado de bloques pueden ser aplicados de diversos modos.
Electroníc Codebook (ECB): cada bloque de entrada se encripta de forma independíenle al resto. Idénticos bloques de entrada producen idénticos bloques de salida. Es el más rápido y fácil de implementar. sin embargo es el menos seguro.
Cipher block chaining (CBC): cada bloque de entrada es previamente encadenado (operación XOR) con el resultado cifrado del bloque anterior, para después ser codificado. El primer bloque se opera con uno inicial (VI. vector de inicialización) conocido por ambos, emisor y receptor.
Cipher feedback (CFB): usado para el cifrado bytc a bylc. Lis adecuado cuando no se puede esperar a llenar un bloque para su transmisión codificada.
Output feedback (OFB): casi idéntico a CFB, excepto por la modificación que permite que este esquema sea más robusto a errores de transmisión dentro de un bloque. Fl error de un bit en el bloque cifrado de entrada sólo afecta a un bit en el bloque decodificado de salida.
Ataques contra algoritmos
Los algoritmos criptográficos, ya sean simétricos o asimétricos, se han construido con la seguridad en mente; pese a ello, no podemos extrapolar su infabilidad. La capacidad de un sistema criptográfico para proteger la información contra el ataque se conoce como fortaleza, la cual depende de muchos factores:
■ La confidencialidad de la/s clave/s.
■ La dificultad para adivinar y/o probar todas las claves posibles.
■ La dificultad de invertir el algoritmo sin conocer la clave.
■ La no existencia de puertas traseras.
■ El conocimiento que se tenga sobre el texto claro.
Criptoanálisis cuántico
Imaginemos la búsqueda de una ocurrencia concreta en una base de datos desordenada de, pongamos, N elementos. Mediante sistemas de búsqueda clásica basadas en la fuerza bruta podernos alcanzar nuestro objetivo en N/2 pasos de media. Un dispositivo cuántico puede llevar a cabo el mismo proceso en un solo paso.
Para poder aplicar esto al criptoanalisis.Un dispositivo clásico necesitaría 256 = 7*10*16 pasos para probar por fuerza bruta todo el espacio de claves de un algoritmo DES en busca de una en concreto. Si cada paso la realiza en una millonésima de segundo necesitará más de mil años para encontrar la clave. Un dispositivo cuántico apenas cuatro minutos, usando el algoritmo de Lov Grover
Criptografía cuántica
El principal objetivo a alcanzar por parte de la criptografía es la transmisión sobre un canal de comunicación inseguro de tal modo que sólo el destinatario correcto sea capaz de leerlo. Como hemos visto, para llevarlo a cabo usamos algoritmos criptográficos. También hemos visto como el secreto no reside en el procedimiento usado, el cual suele ser público, sino en la clave o claves usadas.
Actualmente el problema de la distribución de estas claves se soluciona eficazmente gracias a la tecnología de clave pública (principalmente RSA). Sin embargo al basarse en la intratabilidad de factorizar grandes números y dado que este hecho no se ha demostrado definitivo, podríamos ver de la noche a la mañana como estas tecnologías son desechadas.
Realidades e implicaciones
En principio sabemos cómo construir computadoras basadas en la mecánica que nos ocupa: simplemente deberíamos construir puertas lógicas cuánticas y conectarlas en forma de redes.
Una puerta lógica cuántica es un dispositivo simple de computación que lleva a cabo un cálculo cuántico elemental, habimalmente sobre dos qbits, en un tiempo conocido. Pero se difiere de sus equivalentes en la computación clásica en que estas pueden realizar sus operaciones sobre superposiciones cuánticas.
Pero a medida que unimos estos dispositivos formando redes cuánticas vamos encontrando problemas prácticos. De entre estos el más importante es el denominado decoherencia: superposiciones cuánticas afectadas por el entorno. Asi que la tarea a llevar a cabo es hacer ingeniería en sistemas subatómicos en los cuales los qbits se afectan entre ellos, pero no sobre su entorno.
CAPITULO 3
COMERCIO ELECTRÓNICO
Empezaré por definir algunos conceptos tradicionales:
EI término dinero designa un medio que puede ser usado para certificar el valor de los bienes o servicios intercambiados usando un sistema de referencia común a todas las partes participantes.
Una unidad monetaria es un simbolo que mide la capacidad adquisición legal mente instaurada y socíalmente aceptada en una determinada región geográfica.
Los bancos centrales de cada país, amparados por su gobierno, emiten dinero en forma de billetes o monedas con su valor nominal estampado en ellos. El valor real de este dinero fiduciario reside en la confianza que se tenga en el emisor.
El dinero escriturado es emitido por bancos o instituciones de crédito, las cuales ponen en disposición de los agentes no linancieros instrumentos de pago a cambio de intereses proporcionales al riesgo y a la duración de la operación. El valor de este tipo de dinero reside en ia confianza de la que disfruta la entidad emisora y en las garantías que el sistema posea.
Los instrumentos de pago facilitan el intercambio de bienes y servicios y responden a necesidades específicas. Los medios utilizados varían de un país a olro: efectivo (monedas y billetes), cheques, transferencias a crédito, débitos directos, transferencias inlerbanearias, tarjetas de pago, etc.
Instrumentos de pago más corrientes
El efectivo Constituye el dinero fiduciario que el banco central y el Tesoro público emiten en forma de billetes y monedas. liste medio es el preferido en el comercio cara a cara.
Los cheques son el medio de pago más caro, ya que el procesamiento de cada cheque individual cuesta entre 20 céntimos y $1 americano. Si se observa la evolución del porcentaje de uso de cheques en los principales países desarrollados se llega a la conclusión de que estos están siendo abandonados, como medio preferido de pago.
Las transferencias a crédito son movimientos de dinero entre cuentas, siendo el deudor quien inicia el traspaso. Este medio requiere que el deudor conozca el banco y las cuentas del beneficiario. Los porcentajes de aso de este medio escriturado parecen ser inversos a los registrados en el caso de los cheques, y su uso tiende al equilibrio.
Los cargos a cuenta son ampliamente usados en el cobro periódico de servicios, como el consumo de agua, electricidad, etc.. Normalmente este medio requiere que el deudor firme un documento aceptando futuros cargos.
Las letras de cambio son medios usados principalmente en el ámbito profesional. Con ellos el deudor o el beneficiario pueden tomar la iniciativa del proceso; el segundo puede descontar inmediatamente las letras de cambio, obteniendo su valor en moneda, o esperar a su vencimiento. Sea cual sea la opción del beneficiario, el banco del deudor cobrará a su vencimiento el total del documento. Este medio genera dos gastos añadidos al beneficiario -o al deudor. según se haya negociado- debido a la operación de descuento (ingreso en su cuenta) antes del vencimiento del mismo.
Por último las tarjetas de pago pueden ofrecer servicios muy distintos; desde la retirada en efectivo al crédito inmediato, pasando por tarjetas de crédito financieras, tarjetas de lidelidad (emitidas por comerciantes para fidelizar al cliente y ofrecerle ventajas crediticias, mediante una entidad financiera) o las que permiten un uso corporativo privado, lin general su uso está aumentando en los países analizados .
Podemos definir el comercio electrónico (e-commerce) como la actividad comercial consistente en la entrega de bienes, o servicios, a compradores que usan sistemas de pagos electrónicos (EPS).
A partir de ello podemos inferir los requerimientos de secundad de los EPS: autentiricación, integridad, autorización y confidencialidad.
La autentificación implica que ambas partes deben probar sus identidades, que no tienen que ser necesariamente las reales. Es posible la autentificación guardando el anonimato.
Los mecanismos de integridad son necesarios para salvaguardar los datos implicados en las transacciones.
La autorización pretende garantizar que las transacciones deberán ser manifiestamente consentidas por parte de su propietario.
La confidencialidad hace referencia al deseo de alguna o de todas las partes de alcanzar la imposibilidad de rastrear la transacción o que su identidad no sea asociada con la misma. Como ya hemos dicho, la auteatificación y la confidencialidad no son excluyentes.
Sistemas de pagos electrónicos
Medios offline v& oniine: en un sistema offline tanto el comprador como el comerciante están en contacto durante la transacción, pero estos no tienen conexión con sus respectivos bancos. En este escenario el beneficiario no tienen forma de confirmar con el banco emisor, el del cliente, si realmente va a recibir el pago. De la misma manera un sistema offline no puede verificar si el pagador ha agotado su saldo.
Medios basados en el débito vs los basados en crédito: en los sistemas de crédito, el pagador retrasa, acumulando, los pagos; los cuales le serán cargados en su cuenta en una o más veces, fraccionando o financiando el total acumulado. En el caso contrario una compra a débito es inmediatamente contabilizada en el saldo del pagador.
Pagos remotos
Actualmente, mediante una red de comunicaciones, un cliente puede acceder a una plataforma B2C y llevar a cabo su compra usando su tarjeta de crédito.
First virtual
En 1994 First Virtual (FV) fue la primera empresa en ofrecer servicios de compra de información digital a través de Internet. Esta empresa representa un caso especial desde su punto de vista técnico e histórico, ya que no usaban criptografía-Para asegurar el anonimato y la autentificación usaban paralelamente ínternet-navegador y correo electrónico y la red telefónica conmulada (RTC).
Protocolos ikp
Los protocolos iKP (1KP, 2KP. 3KP) forman una familia de arquitecturas de pago seguro propuesto por IBM. Estos protocolos usan criptografía de clave pública (PKC) y son compatibles con las infraestructuras de pago actuales. La diferencia entre ellos hace mención al número de participantes en la transacción que poseen una pareja de claves: pública y privada (PK., SK). El uso comercial de estos protocolos va desde el 1KP hasta el 3KP.
Los actores implicados en los tres esquemas son el comprador, el comercial y la pasarela de pago. Esta última es la responsable de interrogar a las autoridades bancarias, usando las redes tradicionales, acerca del permiso para llevar a cabo las transacciones solicitadas.
Agora
Este protocolo se basa en otro HTTP " para permitir transacciones seguras usando tárjelas bancarías. Difiere de HITPS en que el primero admite autorizaciones offline o semi online.
Este protocolo no ha sido usado en aplicaciones comerciales, por tanto podemos asumir que existe un proceso previo a la transacción en la que sus usuarios se registran.
Set
Aqui tanto el propietario de la tarjeta el comprador como el comerciante, la pasarela de pago (PG) y la autoridad certificadora (CA) están conectados a través de internet. El comprador no se pone en contacto de forma directa con la PG, sino que lo hace a través del servidor del comerciante mediante una técnica de tunneling. Las tres entidades directamente implicadas el comprador, el vendedor y la PG deben obtener un certificado de la CA antes de iniciar cualquier transacción.
Chipper
Se trata del monedero electrónico emitido por el operador Holandés KPN con el respaldo de la institución financiera Postbank. El nombre comercial es CybcrChipper y también permite el pago a través de Internet.
Geldkarte
Este esquema se ha inspirado en otro de la Deutsche Telecom, el operador ferroviario del pais Deutsche Bundesbahn y la asociación de transportes municipales (VDV); denominado PayCard (mis urde T-Card), en 1996.
De nuevo este protocolo puede ser usado tanto para comercio cara a cara como para la compra a través de Internet Para ello el usuario debe contar con un software especial y un lector de tarjetas.
La operativa de este sistema se divide en dos etapas: la de registro y carga de la tarjeta, y el pago propiamente dicho.
Vendedores y compradores se registran firmando un contrato con el operador del sistema, el vendedor recibe un SAM en forma de tarjeta.
Minipay
Iniciado en Italia con el propósito, por pane de la Comisión Europea, de fomentar el uso de tárjelas inteligentes en el transporte en 1995; Minipay también puede ser usado para programas de fidelización de clientes, ficheros administrativos, datos personales y pago de llamadas telefónicas desde teléfonos públicos.
Mondex
Tuvo su origen en 1990 en la patente formada por dos empleados de NatWest (National Wesmiinster Bank) en el Reino Unido, con el objetivo de reemplazar el dinero físico. En 1996 se tundo Mondex International con el respaldo de MásterCard conjuntamente con 17 compañías internacionales.
No todas sus características han sido publicadas, sin embargo podemos destacar que puede albergar hasta cinco monedas nacionales diferentes, el sistema permite las transferencias entre monederos electrónicos finales (comunicaciones peer to peer), sus intercambios de mensajes usan un tipo modificado de correos electrónicos MIME y cierta capacidad de recuperación ante fallos.
Cafe
Se trata de uno de los programas pertenecientes al proyecto ESPRIT. El consorcio que lo desarrolló constaba de grupos de análisis de mercado (Cardware. etc.), proveedores de software y hardware bancario (Gemplus. Ingenico Siemens, etc.) y diseñadores de software criptográfico (DigiCash, CWT Ámsterdam, KPN, etc.).
Su objetivo era diseñar una tárjela inteligente multifunción para servir como el equivalente a las tradicionales billeteras. Esta debería contener un monedero electrónico para el comercio cara a cara, así como soportar el pago de transporte público y telefónico. Además incluiría documentos personales como tarjetas de salud, licencias de conducir o pasaporte.
EI dispositivo, parecido a una calculadora de bolsillo'"5, se podía poner en contacto mediante infrarrojos con otros dispositivos similares o compatibles (otras billeteras, lectores, terminales de carga, etc.).
Jepi
Jepi {Joint Electronic Payment Iniciative) es una iniciativa conjunta de W3C (WWW Consortium) y del consorcio CommerceNet iniciado en 1995. El objetivo es dotar a un servidor de la capacidad de negociar con un cliente el protocolo de pago ventajoso para ambos. Entre los miembros del proyecto figuran proveedores de soluciones para paga seguro (Cybercash, GCTecb), fabricantes de software (Microsoft, IBM, OpenMarket), proveedores de servicios.
No hay comentarios:
Publicar un comentario