Aporte Colaborativo 3.

LECCIN 5 PROTOCOLO DE SEGURIDAD EN TRANSACCIONES

COMERCIALES TELEMTICAS

Existen diferentes mtodos de procesar transacciones en una compra, protocolos
que lo hacen de manera segura, en la leccin 5 protocolos de seguridad en
transacciones comerciales telemticas echaremos un vistazo a lo que se refiere
en seguridad con SSL, SET Y TLS:

La seguridad de un sitio electrnico tiene que ser confiable para que el mismo
tenga xito. Debido a la gran globalizacin tecnolgica el ndice de personas que
compran en lnea ha crecido bastante en los ltimos 2 aos. Y esto se debe a la
confiabilidad que estn brindndolos sitios de comercio electrnico.
La seguridad en un ambiente de comercio electrnico involucra las siguientes
partes:

Privacidad: que las transacciones no sean visualizadas por nadie.

Integridad: que los datos o transacciones como nmeros de tarjeta de
crditos o pedidos no sean alterados.


No Repudio: posibilita que el que gener la transaccin se haga
responsable de ella, y brinda la posibilidad de que este no la niegue.

Autenticacin: que los que intervienen en la transaccin sean leales y
vlidas.


Facilidad: que las partes que intervienen en la transaccin no encuentren
dificultad al hacer la transaccin.


Las herramientas para proteger un sitio de comercio electrnico son:


SSL:

Es un protocolo que corre sobre TCP (protocolo de transporte punto a punto
de Internet). Este se compone de dos capas y funciona de la siguiente
manera:
La primera capa se encarga de encapsular los protocolos de nivel ms alto,
La segunda capa que se llama SSL Handshake Protocol se encarga de la
negociacin de los algoritmos que van a encriptar y tambin la autenticacin
entre el cliente y el servidor.

Cuando se realiza una conexin inicial el cliente lo primero que hace es
enviar una informacin con todo los sistemas de encriptacin que soporta,
el primero de la lista es el que prefiere utilizar el cliente. Entonces el
servidor responde con una clave certificada e informacin sobre los
sistemas de encriptacin que este soporta. Entonces el cliente seleccionar
un sistema de encriptacin, tratar de desencriptar el mensaje y obtendr la
clave pblica del servidor.


SET:

El protocolo SET es un conjunto de especificaciones desarrolladas por Visa y
MasterCard, con el apoyo y asistencia de GTE, IBM, Microsoft,NetEl protocolo
SET es un conjunto de especificaciones desarrolladas por Visa y MasterCard,
con el apoyo y asistencia de GTE, IBM, Microsoft, Netscape,SAIC,Terisa y
Verisign con la finalidad de permitir las trasferencias y pagos seguros a travs
de Internet o de cualquier otra red. Dichas especificaciones surgen de la
necesidad de dotar al comercio electrnico de una estructura confiable para las
transacciones on-line ; es decir que a travs de la combinacin de los mtodos
criptogrficos existentes se pueda lograr una transaccin on-line bajo un
concepto de absoluta seguridad, en la que se ontemple la garanta de la
confidencialidad, la autenticidad de las partes, la integridad del documento y el
no rechazo de la operacin. Cada una de estas salvaguardias queda
acreditada, con la utilizacin del protocolo SET.

En un principio, con el descubrimiento del sistema de encriptacin asimtrico( o
de clave pblica) y el de clave privada, se pens que el problema de la
seguridad en las transacciones estaba solucionado(mtodo de encriptacin
que utiliza un algoritmo matemtico con el que se crean dos claves
emparejadas de forma tal que una desencriptar lo encriptado por la
otra).scape,SAIC,Terisa y Verisign con la finalidad de permitir las trasferencias
y pagos seguros a travs de Internet o de cualquier otra red. Dichas
especificaciones surgen de la necesidad de dotar al comercio electrnico de
una estructura confiable para las transacciones on-line; es decir que a travs
de la combinacin de los mtodos criptogrficos existentes se pueda lograr una
transaccin on-line bajo un concepto de absoluta seguridad, en la que se
ontemple la garanta de la confidencialidad, la autenticidad de las partes, la
integridad del documento y el no rechazo de la operacin. Cada una de estas
salvaguardias queda acreditada, con la utilizacin del protocolo SET.


TLS

El protocolo SSL/TLS tiene multitud de aplicaciones en uso actualmente. La
mayora de ellas son versiones seguras de programas que emplean protocolos
que no lo son. Hay versiones seguras de servidores y clientes de protocolos
como el http, nntp, ldap, imap, pop3, etc.

El protocolo SSL/TLS se ejecuta en una capa entre los protocolos de aplicacin
como:

HTTP sobre SSL/TLS es HTTPS, ofreciendo seguridad a pginas WWW para
aplicaciones de comercio electronic, utilizando certificados de clave pblica
para verificar la identidad de los extremos. Visa, MasterCard, American
Express y muchas de las principales instituciones financieras han aprobado
SSL para el comercio sobre Internet.

SSH utiliza SSL/TLS por debajo.

SMTP y NNTP pueden operar tambin de manera segura sobre
SSL/TLS.

POP3 i IMAP4 sobre SSL/TLS son POP3S i IMAPS.

Existen mltiples productos clientes y servidores que pueden proporcionar SSL
de forma nativa, pero tambin existen muchos que an no lo permiten. una
solucin podra ser usar una aplicacin SSL independiente como Stunnel para
conseguir el cifrado, pero IETF recomend en 1997 que los protocolos de
aplicacin ofrecieran una forma de actualizar a TLS a partir de una conexin sin
cifrado (plaintext) en vez de usar un puerto diferente para cifrar las
comunicaciones, evitando el uso de envolturas (wrappers) como Stunnel.

SSL tambin puede ser usado para tunelar una red completa y crear una red
privada virtual (VPN), como en el caso de OpenVPN.

Implementaciones del Protocolo TLS

Existen diferentes implementaciones, como por ejemplo:

OpenSSL: es una implementacin de cdigo abierto, la ms utilizada. Es
un proyecto desarrollado por la comunidad Open Source para libre
descarga y est basado en SSLeay, que ayuda al sistema a
implementar el SSL/TLS ofrecindole un robusto paquete de
herramientas de administracin y libreras de criptografa que pueden
ser usadas para OpenSSH y navegadores web (acceso seguro a
HTTPS).

GnuTLS: es una implementacin de cdigo abierto con licencia
compatible con GPL.

JSSE: es una implementacin realizada en el Java incluida en el Java
Runtime Environment.




BIBLIOGRAFIA

MODULO TELEMATICA UNIDAD 3.Mag Eleonora Palta Velasco
(Director Nacional) .U.N.A.D. Popayn Enero de 2014

http://www.wikilearning.com/articulo/protocolos_seguros_para_el_web

http://seguridadinformaticaunivia.wordpress.com/2013/01/02/ssl-y-tls/