viernes, 3 de julio de 2015

Autoridades Certificadoras De Firma Digital

Autoridades Certificadoras De Firma Digital

Las autoridades certificadoras son organismos reconocidos por la comunidad Internauta sobre los que descansa toda la seguridad de este proceso de certificación, el símil habitual es el de los notarios. Es decir, la autoridad certificadora entrega un certificado digital personalizado a un individuo que le permitirá identificarse ante terceros.

Algunas de las autoridades certificadoras son :

  • Servicio de Certificación Digital de las Cámaras de Comercio (CAMERFIRMA):   El objetivo de este servicio es definir y ofrecer a las empresas un certificado digital de alta calidad, diseñado específicamente para las necesidades de las empresas y con reconocimiento internacional basado en la garantía que supone su emisión por una cámara de comercio.CAMERFIRMA se integra en la red de confianza Chambersign con participación inicial de 10 asociaciones nacionales de países europeos (Alemania, Austria, Bélgica, España, Francia, Holanda, Italia, Luxemburgo, Reino Unido y Suecia) y Eurocámaras. El sistema pretende irse extendiendo progresivamente a través de la Red Mundial de Cámaras de Comercio. Este proyecto esta coordinado por las Cámaras de Comercio Europeas (Eurochambres) y, posteriormente, su uso se expandirá al resto del mundo.
  • Agencia de Certificación Electrónica ( ACE ):
  1. Evita posibles ataques de fuerza bruta para la obtención de contraseñas.
  2. Identifica a los dispositivos móviles de su empresa, ya que la solución es integrable con los sistemas de MDM.
  3. Firmas de correo corporativo con su certificado. Será aceptado por los clientes de correo a escala mundial sin tener que hacer ninguna configuración. Así podrá recibir correo cifrado, a salvo de ojos indiscretos.
  4. Firmas de PDFs de forma que sea aceptado por los lectores de correo e identificado como una firma válida.


PGP ( Enterprice Security )

PGP ( Enterprice Security )

PGP es una solución adaptable y compatible entre plataformas, que permite a los usuarios proteger la correspondencia electrónica, las transacciones en línea y los archivos de datos mediante su cifrado de forma que únicamente los destinatarios previstos puedan descifrar su contenido.

Dado que los productos PGP contienen sólo complejos algoritmos critográficos y longitudes claves, ofrecen una protección definitiva asegurando los datos almacenados en los ordenadores y transmitidos por Intranets e Internet. Para una mayor seguridad, PGP incorpora una gran capacidad de Firma digital que verifica la propiedad e integridad de los documentos.


Incluye una suite completa de herramientas de generación de claves y administración que proporcionan a los encargados de la seguridad un control flexible sobre las políticas de seguridad empresariales.

PGP es tan fácil de utilizar que incluso los usuario poco expertos pueden aprender a cifrar, descifrar, crear firmas digitales y verificar mensajes y archivos en cuestión de minutos. Asimismo, como funciona de forma uniforme con herramientas de productividad, aplicaciones de correo electrónico y sistemas operativos conocidos, se puede instalar fácilmente en toda una organización.





¿Cual es el uso de la Encriptacion ?

¿Cual es el uso de la Encriptacion ?


Algunos de los usos más comunes de la encriptación son el almacenamiento y transmisión de información sensible como contraseñas, números de identificación legal, números de tarjetas de crédito, reportes administrativo-contables y conversaciones privadas, entre otros.

Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia asegurar que la Información viaje segura, manteniendo su autenticidad, integridad, confidencialidad y el no repudio de la misma entre otros aspectos.

Estas características solo se pueden asegurar utilizando las Técnicas de Firma Digital Encriptada y la Encriptación de Datos.

Métodos de Encriptación

Para poder Encriptar un dato, se pueden utilizar tres procesos matemáticos diferentes:

  • Los algoritmos HASH, los simétricos y los asimétricos.


1.    Algoritmo HASH:

Este algoritmo efectúa un cálculo matemático sobre los datos que constituyen el documento y da como resultado un número único llamado MAC. Un mismo documento dará siempre un mismo MAC.





2. Criptografía de Clave Secreta o Simétrica
Utilizan una clave con la cual se encripta y desencripta el documento. Todo documento encriptado con una clave, deberá desencriptarse, en el proceso inverso, con la misma clave. Es importante destacar que la clave debería viajar con los datos, lo que hace arriesgada la operación, imposible de utilizar en ambientes donde interactúan varios interlocutores.

Los criptosistemas de clave secreta se caracterizan porque la clave de cifrado y la de descifrado es la misma, por tanto la robustez del algoritmo recae en mantener el secreto de la misma.






¿Qué es Encriptación?

¿Qué es Encriptación?

Encriptación es el proceso mediante el cual cierta información o texto sin formato es cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación. Es una medida de seguridad utilizada para que al momento de almacenar o transmitir información sensible ésta no pueda ser obtenida con facilidad por terceros. 




Opcionalmente puede existir además un proceso de desencriptación a través del cuál la información puede ser interpretada de nuevo a su estado original, aunque existen métodos de encriptación que no pueden ser revertidos. El término encriptación es traducción literal del inglés y no existe en el idioma español. La forma más correcta de utilizar este término sería cifrado.


Criptología

La encriptación como proceso forma parte de la criptología, ciencia que estudia los sistemas utilizados para ocultar la información.


La criptología es la ciencia que estudia la transformación de un determinado mensaje en un código de forma tal que a partir de dicho código solo algunas personas sean capaces de recuperar el mensaje original.

La mayoría de los algoritmos modernos del cifrado se basan en una de las siguientes dos categorías de procesos:

  1. Problemas matemáticos que son simples pero que tienen una inversa que se cree (pero no se prueba) que es complicada
  2. Secuencias o permutaciones que son en parte definidos por los datos de entradas.




La primera categoría, que resume la mayoría de los métodos del cifrado de clave pública, sufre de la incapacidad de probar la dificultad de los algoritmos. 

El segundo método, que contiene a la mayoría de los códigos, sufre a menudo de correlaciones teóricas entre la entrada ("texto de entrada") y la salida ("texto cifrado"). 


Link complementario
 

Protocolos de Certificación Web

Protocolos de Certificación Web

SET ( Secure Electronic Transaction)

Desarrollado por VISA y MASTER CARD, con el apoyo y asistencia GTE, IBM, Microsoft, NetScape, SAIC, Terisa y Verisign, el protocolo SET o Transacción Electrónica Segura, esta diseñada con el propósito de asegurar y autenticar la identidad de los participantes en las compras abonadas con tarjetas de pago en cualquier tipo de red en línea, incluyendo Internet. Al emplear sofisticadas técnicas criptográficas, SET convertirá el Ciberespacio en un lugar más seguro para efectuar negocios, y con su implementación se espera estimular la confianza del consumidor en el comercio electrónico.

El objetivo primordial de SET es mantener el carácter estrictamente confidencial de la información, garantizar la integridad del mensaje y autenticar la legitimidad de las entidades o personas que participan en una transacción.

La secuencia de procesos esta expresamente diseñada para que no difiera de la utilizada en el comercio convencional:


  1. Envío de la orden de pedido al comerciante, junto con información sobre las instrucciones de pago.
  2. Solicitud de autorización del comerciante a la institución financiera del comprador.
  3. Confirmación de la orden por parte del comerciante.
  4. Solicitud de reembolso del comerciante a la institución financiera del comprador.



Por lo tanto, el protocolo SET debe entregar:


  • La confidencialidad ( no vulnerabilidad de la información ) conteniendo los datos para realizar el pago, tales como el número de cuenta o tarjeta y su fecha de caducidad) se alcanza mediante la encriptación de los mensajes .



  • La integridad de los datos conteniendo las instrucciones de pago garantizando que no han sido modificados a lo largo de su trayecto, se consigue mediante el uso de firmas digitales.



  • La autentificación del comerciante, garantizando que mantiene una relación comercial con una institución financiera que acepta el pago mediante tarjetas se consigue mediante la emisión de certificados para el comerciante y las correspondientes firmas digitales.



  • La autentificación del comprador, como usuario legítimo de la tarjeta o cuenta sobre la que se instrumenta el pago del bien o servicio adquirido, se consigue mediante la emisión de certificados y la generación de firmas digitales.

jueves, 2 de julio de 2015

El Cifrado Web (SSL/TLS)

El Cifrado Web (SSL/TLS)


¿Qué es SSL/TLS?

SSL (Secure Sockets Layer) traducido al español significa Capa de Conexiones Seguras. Es un protocolo que hace uso de certificados digitales para establecer comunicaciones seguras a través de Internet. Recientemente ha sido sustituido por TLS (Transport Layer Security) el cual está basado en SSL y son totalmente compatibles.

Te permite confiar información personal a sitios web, ya que tus datos se ocultan a través de métodos criptográficos mientras navegas en sitios seguros.

Es utilizado ampliamente en bancos, tiendas en línea y cualquier tipo de servicio que requiera el envío de datos personales o contraseñas. No todos los sitios web usan SSL, por eso debes ser cuidadoso.

Video explicativo:




¿Cómo funciona?



Del mismo modo que tu firma autógrafa, es un elemento que te identifica y distingue de las demás personas y que al firmar con ella adquieres derechos y obligaciones. La firma digital se genera con base a la llave privada de quien firma y por lo tanto es única.



Es un documento digital único que garantiza la vinculación entre una persona o entidad con su llave pública.



Contiene información de su propietario como nombre, dirección, correo electrónico, organización a la que pertenece y su llave pública, así como información propia del certificado por mencionar: periodo de validez, número de serie único, nombre de la AC que emitió, firma digital de la AC cifrada con su llave privada y otros datos más que indican cómo puede usarse ese certificado.