Protocolos de Certificacin

SET ( Secure Electronic Transaction)

Desarrollado por VISA y MASTER CARD, con el apoyo y asistencia GTE, IBM, Microsoft, NetScape, SAIC, Terisa y Verisign, el protocolo SET o Transaccin Electrnica Segura, esta diseada con el propsito de asegurar y autenticar la identidad de los participantes en las compras abonadas con tarjetas de pago en cualquier tipo de red en lnea, incluyendo Internet. Al emplear sofisticadas tcnicas criptogrficas, SET convertir el Ciberespacio en un lugar ms seguro para efectuar negocios, y con su implementacin se espera estimular la confianza del consumidor en el comercio electrnico.

El objetivo primordial de SET es mantener el carcter estrictamente confidencial de la informacin, garantizar la integridad del mensaje y autenticar la legitimidad de las entidades o personas que participan en una transaccin.

La secuencia de procesos esta expresamente diseada para que no difiera de la utilizada en el comercio convencional:

Envo de la orden de pedido al comerciante, junto con informacin sobre las instrucciones de pago.

Solicitud de autorizacin del comerciante a la institucin financiera del comprador.

Confirmacin de la orden por parte del comerciante.

Solicitud de reembolso del comerciante a la institucin financiera del comprador.

10

Por lo tanto, el protocolo SET debe:

Proporcionar la autentificacin necesaria entre compradores, comerciantes e instituciones financieras.

Garantizar la confidencialidad de la informacin sensible (nmero de tarjeta o cuenta, fecha de caducidad, etc.)

Preservar la integridad de la informacin que contiene tanto la orden de pedido como las instrucciones de pago.

Definir los algoritmos criptogrficos y protocolos necesarios para los servicios anteriores.

Y la forma como implementa todos los procesos de autentificacin, confidencialidad e integridad enunciados anteriormente, constituye el ncleo de SET :

La confidencialidad ( no vulnerabilidad de la informacin ) conteniendo los datos para realizar el pago, tales como el nmero de cuenta o tarjeta y su fecha de caducidad) se alcanza mediante la encriptacin de los mensajes .

La integridad de los datos conteniendo las instrucciones de pago garantizando que no han sido modificados a lo largo de su trayecto, se consigue mediante el uso de firmas digitales.

La autentificacin del comerciante, garantizando que mantiene una relacin comercial con una institucin financiera que acepta el pago mediante tarjetas se consigue mediante la emisin de certificados para el comerciante y las correspondientes firmas digitales.

La autentificacin del comprador, como usuario legtimo de la tarjeta o cuenta sobre la que se instrumenta el pago del bien o servicio adquirido, se consigue mediante la emisin de certificados y la generacin de firmas digitales. Protocolos Servicios de seguridad: Manejo de claves (negociacin y almacenamiento de claves) Confidencialidad / Privacidad No repudio Integridad Autenticacin Autorizacin

Un certificado, es un documento electrnico que contiene un conjunto de informacin que permite identificar al usuario titular de una clave pblica, es decir, la nica persona que administra la clave privada que le corresponde a esta clave pblica. En cambio la firma digital como tal es un conjunto de 150 caracteres o ms que permite identificar al autor del documento en el que consta. 4.8 Navegacin segura: HTTPS Hypertext Transfer Protocol Secure (en espaol: Protocolo seguro de transferencia de hipertexto) HTTPS, es un protocolo de aplicacin basado en el protocolo HTTP, destinado a la transferencia segura de datos de Hipertexto, es decir, es la versin segura de HTTP. El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) ms apropiado para el trfico de informacin sensible que el protocolo HTTP.

De este modo se consigue que la informacin sensible (usuario y claves de paso normalmente) no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexin (man in the middle), ya que lo nico que obtendr ser un flujo de datos cifrados que le resultar imposible de descifrar. Para preparar un servidor web que acepte conexiones HTTPS, el administrador debe crear un Certificado de clave pblica para el servidor web. Este certificado debe estar firmado por una Autoridad de certificacin para que el navegador web lo acepte. La autoridad certifica que el titular del certificado es quien dice ser. Los navegadores web generalmente son distribuidos con los certificados raz firmados por la mayora de las Autoridades de Certificacin por lo que estos pueden verificar certificados firmados por ellos.