Instituto Centroamericano de Administración Pública

ICAP

Seminario de Comercio Electrónico

 Criptología
La Criptología (krytós: oculto; logos: tratado)
Es el estudio de la seguridad de las comunicaciones y de las
técnicas para descifrar las comunicaciones secretas.
Tiene dos grandes ramas:
La Criptografía:
Trata de los métodos y técnicas de encripción y decripción
de comunicaciones, al servicio de la seguridad, la
autenticación, la identificación, la firma digital, medios
electrónicos de pago, redes privadas, y servicios varios
El Criptoanálisis:
Trata de problemas de difícil solución, típicamente
conocidos como ‘NP-completos’
 Seguridad y Privacidad

La seguridad de los web-sites preocupa al 80 % de los

usuarios Internet y la asocian al uso de las tarjetas de
crédito o débito
La privacidad de la información personal y su uso por las
empresas Internet preocupa al 84 % y la asocian al uso
comercial de la información financiera y médica.
Strategic Planning Services (SPS), Jupiter Comm. Press 17/8/99

Ambas preocupaciones afectan los ingresos por comercio

electrónico y por publicidad en Internet (clasificados)
 Funciones de la Seguridad
• Identificación/Autenticación de las partes
Garantizar que los sujetos de la transacción realmente sean quienes se espera
que sean (autenticidad no-repudiable).

• Integridad del mensaje

Garantizar que el contenido del mensaje no ha sido cambiado durante su
tránsito por la red o durante su almacenamiento (‘original’).

• Certidumbre de la transacción (no-repudiable/no-refutable)

Garantizar que la transacción efectivamente ha sido originada por una parte,
con el pleno conocimiento y aceptación de la otra. Proveer evidencia cierta.

• Prueba irrefutable de la fecha (‘time-stamping’)

Aportar evidencia plena de la fecha y hora de la transacción.
 Funciones de la Seguridad
• Privacidad/confidencialidad de la información sensible
Garantizar que la información sensible de una parte sólo será conocida por
otra parte legítimamente autorizada o llamada a procesarla (ej: # tarjeta/crédito).

• La Secretividad/encripción del mensaje

Codificar la información para hacerla ininteligible a todos, excepto al

destinatario legítimo. La criptografía puede ser probabilística o

determinística, y ambas pueden ser simétricas o asimétricas
• Hay soluciones tecnológicas a estos desafíos: Estándares Técnicos
de Estructuras de Datos y Algoritmos que proveen ON-LINE :
identificación, autenticación, confidencialidad o privacidad,
integridad, autorización por terceros y credibilidad a las transacc.
 CRIPTOGRAFIA
Conjunto de técnicas matemáticas y computacionales para la
protección de Datos, Comunicaciones y Transacciones.
Ofrecen tres tipos de servicios de seguridad:

• Autenticación : verifica la identidad (Identificación)

del transmisor del mensaje (persona, cliente, servidor)
y la integridad de mensaje. Esta función la realizan las
‘Autoridades Certificadoras’ que expiden ‘Certificados
Digitales’
• Certidumbre : provee evidencia cierta de una
transacción (Non-repudiation)
• Privacidad : protege la información de ser conocida
por personas no-autorizadas o legítimas
 CRIPTOGRAFIA
La Encripción se basa en dos elementos cruciales:
• un Algoritmo Criptográfico : es un procedimiento o
función matemática, y
• una Clave o Llave (Key) ejem: 10001100111000011111

Algoritmo

Texto Función Texto CBBV23nds

Original Matemática
Cifrado 235AG3xyz

Key 10001100111 N = largo de la llave en bits

Se usa para ‘encriptar’ y
‘decriptar’ el mensaje
 La seguridad está en la Llave
• Una llave de largo ‘n’ ==> 2n = número de llaves
2n = núm. de textos cifrados
Ejemplo de llave segura (512 bits):
• 3048 0241 00D6 EFD5 BD41 D116 1DBD CD3F CF91 6801 B238
879F E226 0AD2 6CAD 6C06 7225 5E96 90AE 43C5 2438 513E
0B95 C8C8 D960 9FC3 F926 7005 6DCE A0E8 A336 21FC 5BD5
4D3D 9702 0301 0001
• Tecnologías:
• Encripción Simétrica:
la misma llave encripta y decripta
Asimétrica: una llave encripta y otra distinta decripta
 CRIPTOGRAFIA
• Encripción Simétrica : emisor y receptor tienen la misma
clave o llave (key), por lo tanto,
no se puede autenticar el mensaje
• Encripción Asimétrica : emisor y receptor usan diferentes
llaves. Se puede autenticar

• Infraestructura de ‘Llave-Pública/Llave-Privada’
– Se basa en el concepto de ‘Par de Llaves’ (Pública / Privada)
– Están asociadas: si una encripta, sólo la otra decripta
– La ‘Llave Pública’ es ampliamente divulgada, sin riesgos
– La ‘Llave Privada’ es secreta. Sólo la conoce su usuario
– Provee Confidencialidad del mensaje (encriptando con Llave
Pública) y Autenticidad del autor (encriptando con Ll. Privada)
Firma Digital
Es un procedimiento (algoritmo) de encripción:
1. El documento se traduce a una serie numérica única
llamada digesto, por medio de un algoritmo de ‘Hash’
2. El digesto se encripta con llave privada, dando como
resultado la Firma Digital
 CRIPTOGRAFIA
Firmas digitales : son Mensajes Encriptados
• Utilizan la Infraestructura de ‘Llave-Pública/Llave-Privada’
• Encriptar un mensaje con la Llave Privada es funcionalmente
equivalente a ‘firmar con puño y letra sobre un papel’
• Cualquiera que use mi Llave Pública para decriptar el mensaje, y
pueda hacerlo, estará seguro que el mensaje fue enviado por mí.
• Su función es Autenticar

• Certificados digitales : son Estructuras de Datos

• Lo expiden ‘Autoridades Certificadoras’ públicas (Registros Nac.)
o privadas (como Visa o VeriSign), para verificar que alguien es
quien dice ser. Son archivos digitales que contienen:
• Identidad del certificador y de la persona certificada, E-mail addr
• Llave Pública, Clase (4) y Número del certificado, Plazo de validez
• Licencia conducir, Num.Seg. Social, fecha Nac., Crédito, Trabajo
• Sun función es Identificar
 CRIPTOGRAFIA
El Tamaño de la LLave
Depende de dos variables:
1. El grado de protección 2. El algoritmo criptográfico

Grado de Encripción RSA DSA

Protección Simétrica (Rivest, Shamir,Adleman) (Digital Signature Algorit)
(Llave Secreta) (Llave Pública) (Llave Pública)
Exportable 40 bits 512 bits 512/80 bits

Personal 56/64 bits 768 bits 768/136 bits

Comercial 80 bits 1024 bits 1024/160

Militar 128 y más 2048 bits 2048/256

Bits ABSOLUTOS Bits FACTORIZADOS
 CRIPTOGRAFIA
Algoritmos comunes de Encripción :
•DES (Data Encription Standard, by IBM): usa llave de 56 bits (7.2 E+16)
•3-DES: encripta tres veces con tres diferentes llaves (168 bits = 3.7 E+50)
•IDEA (International Data Encription Algorithm): usa k 40 bits (1.1 E+12)
•RC5, RC4, RC2 (Rivest’s Ciphers, fastest): usan k 128 (3.4 E+38 k difer.)
RC4 y RC2 de Exportación: usan llaves de 40 y 64 (restringido) bits
•RSA (Rivest, Shamir & Adleman): usan llaves de 512 y 1024 (fact-40/64 b)
Tiempo y Dinero necesario para quebrar (Craking) llaves:
(‘fuerza bruta’ y asumiendo tecnología de 1995, según Bruce Schneier)
US $ Largo de la llave en número de bits
Costo 40 bits 56 64 80 128 bits
$100.000 2 segs 35 hrs 1 año 70,000 años 1019 años
$ 1 millón 0. 2 segs 3.5 hrs 37 días 7,000 años 1018años
$ 100 millones 2 miliseg 2 min. 9 horas 70 años 1016años
$ 1 millardo 0.2 miliseg 13 segs 1 hora 7 años 1015años
$100 millardos 2 microseg 0.1 seg 32 segs 24 días 1013 años
‘blue mountain’
 Estándares de Seguridad
Principales Estándares Técnicos de Seguridad:
• SET “Secure Electronic Transaction” para operac. con tarjetas
• OBI “Open Buying Internet” compras/alto volumen en Internet
• OTP “Open Trading Protocol” Internet-trade : ofertas, acuerdos,
pagos (en cualquier medio), entregas, recepción, devoluc.
• EDIFACT, X-12, EDI-INT para el Intercambio Electr. de Datos
• OLE “Object Linking and Embedding” para formatos de aplicac
• OFX “Open Financial Exchange” para datos y servicios financ:
banca, seguros, pagos de cuentas, acciones, bonos
• SDMI “Secure Digital Music Iniciative” y MP3 para música digit.
 Protocolos y Estándares de Seguridad en Internet
Estándard Función Aplicación
S-HTTP Transac.Web seguras WebServers, Internet Apps. VPNets
SSL Sesión/Paquetes seguros WebServers, Internet Apps. VPNets Túneles
Secure Sockets 3DES(168), RC4(128), DES(56), RC2(40)
Layer
S-MIME E-mail Attachm.seguros Paquetes de E-mail con algoritmo RSA
Sec. Multim. y firmas digitales
Internet Mail
Extensions
PGP Internet E-mail seguro Paquetes E-mail con algo. RSA o IDEA
Pretty Good con intercambio de llaves RSA o KEA
Privacy
S-WAN Encripción Punto a Punto Enrutadores y Firewalls, sobre IPSec
‘Virtual Private Networking (VPNs)’
SET Transacc. con Tarjetas Transaction Servers, Smart Cards
Secure Electronic
Transactions
IPSec/PPTP/L2TP paq.IP/Datagramas Host/host Pipes,Túneles,VPNs, Firewall
Arquitectura de estándares de seguridad en
Internet
S-SHELL

SET PGP
S/MIME
S-HTTP

capa de aplicación

SMTP
HTTP

SSL FTP capa de sesión

TLS capa de transporte

IPSec capa de red

PPTP / L2TP capa de enlace

 La Privacidad
La erosión paulatina de la privacidad de las personas es una tendencia de
la Sociedad de Información, afianzada por los productos y servicios de
la Economía Digital.
La facilidad de recolectar, reusar, distribuir instantáneamente, y analizar
la información personal de millones, puede amenazar la privacidad de
las personas, si no se protege.
Por lo tanto es esencial asegurar la privacidad en el cyberespacio para
que las personas se sientan confortables haciendo negocios en la red.

La OECD promulgó “GUIDELINES GOVERNING THE PROTECTION OF

PRIVACY AND TRANSBORDER DATA FLOW OF PERSONAL DATA”
incorporando Principios de ‘prácticas de información leal’ que
descansan en preceptos fundamentales de conciencia (awareness) y
escogencia (choice):
 La Privacidad
• Los recolectores de información deben, a su vez, informar a los
consumidores qué información están recolectando, y cómo piensan
utilizarla
• Los recolectores deben proveer a los consumidores con el poder de
limitar el uso o reuso de su información personal
• Los recolectores deben proveer a los consumidores con las vías de
acceso a las bases de datos para que puedan ver, actualizar y modificar
su información personal
• Estos principios identifican tres valores que deben gobernar las
formas en que la información personal es adquirida, usada y expuesta:
• Privacidad de la información (de acceso restringido)
• Integridad de la información (sin alteraciones)
• Calidad de la información (correcta, completa, actual y relevante)