Академический Документы
Профессиональный Документы
Культура Документы
Fundada en 1551
AUTOR
ELISA ZORAIDA MATTOS LESCANO
LIMA PER
2003
Agradecimientos:
A mis padres Gabriel y Juana
A mi esposo Gabriel y a mis hijos
Ana Paula y Alvaro Martn
INDICE
INTRODUCCION
I. DEFINICION DEL PROBLEMA
I.1 PRESENTACIN DEL PROBLEMA
I.2 PROPSITO DEL ESTUDIO
II. MARCO TEORICO
II.1 SEGURIDAD
II.1.1 Seguridad Lgica
II.1.1.1 CONTROLES DE ACCESO
Identificacin y Autentificacin
Roles
Transacciones
Limitaciones a los Servicios
Modalidad de Acces
Ubicacin y Horario
Control de Acceso Interno
Control de Acceso Externo
II.1.2 Seguridad Organizacional/Operacional
II.1.2.1 RECUPERACIN DE DESASTRES
Tipos de Desastre
Acciones Hostiles
II.1.2.2 SEGURIDAD FSICA
Controles de Seguridad Fsica y de entorno. ISO 17799
Controles de Seguridad Fsica y de entorno. NIST
Control de Accesos
II.1.2.3 FORNSICA
II.1.2.4 EDUCACIN Y DOCUMENTACIN
Educacin
Documentacin
II.1.3 Criptologa
II.1.3.1 CIFRADO SIMTRICO
Criptografa simtrica de Bloques
Criptografa simtrica de Lluvia o Flujo
II.1.3.2 CIFRADO ASIMTRICO
II.1.3.3 CRIPTOGRAFA DE RESUMEN
II.1.3.4 FIRMA DIGITAL
RESUMEN
SEGURIDAD EN EL COMERCIO
ELECTRONICO
Por : Elisa Zoraida Mattos Lescano
ABSTRACT
E-COMMERCE SECURITY
By : Elisa Zoraida Mattos Lescano
To prove signing person authenticity, and that he/she were no forced to sign.
The Digital Certificate supports Digital Sign trusty. The Digital Certificate confirms the
correspondence between Digital Signature and its legal owner.
The confirmation about this correspondence is supported by a Certification Authority
(CA), the CA is the trusted third party (TTP) who holds Digital Signature and ensure its
emission and maintenance.
The CAs are the Public Key Infrastructure (PKI) basis, and, its main function is Digital
Certificates emission.
The Digital Certificate owner could be a person or an entity, for example: certificate
which confirms a web site authenticity.
Everything mentioned before is part of confidence needed in order to execute
successfully e-commerce transactions. We say that is part of , because security is
needed in e-commerce transactions and its components, to ensure needed security has
many points of view, you can appreciate that in the present paper.
INTRODUCCION
Privacidad
Autenticidad
Disponibilidad
Integridad
No mucho tiempo atrs (los 60s), el control de acceso a los datos, era
satisfactoriamente llevado a cabo por el Mainframe, que centralizaba las invocaciones y
el control de acceso, garantizando as la seguridad necesaria para que los datos tuvieran
las caractersticas deseadas. Los computadores y la seguridad de datos han evolucionado
con la tecnologa, pero el objetivo es bsicamente el mismo.
En los 70s, surge ARPAnet, que interconectaba departamentos de investigacin de
varias universidades y diversas oficinas gubernamentales de defensa de los EE.UU.,
hasta ese momento los usuarios conectados tanto a los mainframes como a esta red, eran
una audiencia selecta cuyos lmites eran bien conocidos.
En los 80s, junto con la era de las PCs, los sistemas distribudos y las redes, aparecen
los virus. Luego con el uso de Internet, las redes corporativas y los servidores son
susceptibles de ser vctimas de diferentes amenazas.
Siguiendo a Castells, la infraestructura de la vida cotidiana se ha vuelto tan compleja y
est tan entrelazada que su vulnerabilidad ha aumentado de forma exponencial.
Aunque las nuevas tecnologas mejoran los sistemas de seguridad, tambin hacen la
vida diaria ms vulnerable. El precio por aumentar la proteccin ser vivir en un sistema
de cerrojos electrnicos, sistemas de alarma y patrullas de polica en lnea telefnica1 .
Tampoco es infrecuente encontrar recelos; por ejemplo cuando al pblico se le plantea
la cuestin de si es sensato confiar en las computadoras; ciertamente fundados, a juzgar
por las noticias que con creciente asiduidad aparecen en los medios de comunicacin.
Castells, Manuel. Fin del Milenio. Pg. 391. Alianza Editorial, 1997
Privacidad
Autenticidad
Disponibilidad
Integridad
CAPTULO I
El usuario final en nuestro medio no dispone de informacin del entorno que gira
alrededor del tema de comercio electrnico, ni tampoco de criterios para decidir
cuando debe aplicar seguridad del tipo de firmas digitales, u otros tipos de
seguridad.
CAPITULO II
MARCO TERICO
II.1 SEGURIDAD
II.1.1 Seguridad Lgica
Existe un viejo dicho en la seguridad informtica que dicta que todo lo que no
est permitido debe estar prohibido y esto es lo que debe asegurar la Seguridad
Lgica, podemos pensar en la Seguridad Lgica como la manera de aplicar
procedimientos que aseguren que slo podrn tener acceso a los datos las personas
o sistemas de informacin autorizados para hacerlo.
Los objetivos que se plantean sern:
1. Restringir el acceso a los programas y archivos
2. Los operadores deben trabajar sin supervisin minuciosa y no podrn
modificar ni programas archivos que no correspondan.
3. Asegurar que se estn utilizando los datos, archivos y programas correctos
en y por el procedimiento correcto.
4. Asegurar que la informacin transmitida sea recibida slo por el destinatario
al cual ha sido dirigida y por ningn otro.
5. Asegurar que la informacin que el destinatario ha recibido sea la misma que
ha sido transmitida.
6. Se debe disponer de sistemas alternativos de transmisin de informacin
entre diferentes puntos.
II.1.1.1 Controles de Acceso
Los controles de acceso pueden implementarse a nivel de Sistema Operativo, de
sistemas de informacin, en bases de datos, en un paquete especfico de
seguridad o en cualquier otro utilitario.
Estos controles constituyen una ayuda importante para proteger al sistema
operativo de la red, a los sistemas de informacin y software adicional; de que
Lder de proyecto,
Programador
Operador
Etc.
http://www.csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf
Lectura
Escritura
Ejecucin
Borrado
se permitir. El
Creacin
Bsqueda
Estos criterios pueden ser usados de manera conjunta con otros, por ejemplo,
una organizacin
Hay una gran flexibilidad para el manejo de estas listas, pueden definir
tambin a que usuario o grupos de usuarios se les niega especficamente el
acceso a un recurso. Se pueden implementar Listas de Control de Accesos
Elementales y Avanzadas.
Lmites sobre la Interfase de Usuario
Comnmente utilizados en conjunto con listas de control de accesos, estos
lmites restringen a los usuarios a funciones especficas. Pueden ser de tres
tipos:
Mens
Etiquetas de Seguridad
Las Etiquetas de Seguridad son denominaciones que se dan a los recursos
(puede ser un archivo), las etiquetas pueden utilizarse para varios propsitos,
por ejemplo: control de accesos, especificacin de pruebas de proteccin, etc.
En muchas implementaciones, una vez que la denominacin ha sido hecha,
ya no puede ser cambiada, excepto, quizs, bajo cuidadosas condiciones de
control, que estn sujetas a auditora. Las etiquetas de seguridad son una
forma muy efectiva de control de acceso, pero a veces resultan inflexibles y
pueden ser costosas de administrar, y estos factores pueden desanimar en su
uso.
Control de Acceso Externo
Los controles de acceso externo son una proteccin contra la interaccin de
nuestro sistema con los sistemas, servicios y gente externa a la organizacin.
Dispositivos de control de puertos
Estos dispositivos autorizan el acceso a un puerto determinado del
computador host y pueden estar fsicamente separados o incluidos en otro
dispositivo
de
comunicaciones,
como
por
ejemplo
un
mdem.
Los
Recuperacin de Desastres
Seguridad Fsica
Fornsica
Educacin y Documentacin
Desastres naturales
Desastres naturales
Son eventos generados por procesos dinmicos en el interior de la tierra,
estos eventos son de manifestacin espectacular y constituyen muestras de la
energa interna de la tierra. Los desastres naturales que se pueden producir en
nuestro pas son :
Sismos
Maremoto
Inundaciones
Actividad volcnica
Para los fines del presente estudio analizaremos los tres primeros.
Sismos
Este fenmeno se manifiesta como el repentino movimiento o vibracin de
una parte de la corteza terrestre, causado por la presencia de ciertas fuerzas,
como las producidas por la tectnica de placas, o la ruptura gradual de la
corteza ocasionada por el plegamiento o desplazamiento de materiales
(fallas geolgicas), o por el proceso de erupcin volcnica. Un sismo es la
liberacin de energa de la corteza terrestre, acumulada por tensiones
internas.2
2
recuperacin que se
Los suelos de peor calidad son los de sedimentos, como lodo, arena o
saturados de humedad, siendo los mejores los de roca buena o poco
deteriorada.
Identificar las reas que ofrecen mayor seguridad para ubicar los
equipos (interseccin de columnas con vigas, por ejemplo), zonas de
peligro y rutas de evacuacin directas y seguras.
Las puertas y ventanas deben abrirse fcilmente (es preferible que las
puertas se abran hacia afuera) para evitar que se traben.
Maremotos
Son fenmenos martimos que consisten en una sucesin de olas que pueden
alcanzar grandes alturas: unos 30 metros en litorales con contornos y
batimetra desfavorables, este fenmeno es causado por sismos de origen
Conozca
Inundaciones
Las inundaciones se definen como la invasin de agua por exceso de
escurrimientos superficiales o por acumulacin en terrenos planos, son
ocasionadas por falta de drenaje ya sea natural o artificial. Adems de las
causas naturales de inundaciones vistas en el rubro anterior, puede existir la
posibilidad de una inundacin provocada por la necesidad de apagar un
incendio en un piso superior.
Para evitar este inconveniente se pueden tomar las siguientes medidas:
construir un techo impermeable para evitar el paso del agua desde un nivel
superior y acondicionar las puertas para contener el agua que bajase por las
escaleras.
Incendios
El uso inadecuado de combustibles, fallas en instalaciones elctricas,
instalaciones
elctricas
defectuosas,
el
inadecuado
almacenamiento
Acciones Hostiles
Los sistemas de TI son vulnerables a una serie de amenazas que pueden
ocasionar daos que resulten en prdidas significativas. Los daos pueden ser
de diversos tipos, como alterar la integridad de la Base de Datos o un incendio
que destruya todo el centro de cmputo, por otro lado las prdidas pueden ser
consecuencia de acciones de empleados supuestamente confiables o de hackers
externos, la precisin para calcular las prdidas no siempre es posible, algunas
de ellas nunca son descubiertas y otras son barridas bajo la alfombra a fin de
evitar publicidad desfavorable para la organizacin, los efectos de las amenazas
varan desde afectar la confidencialidad e integridad de los datos hasta afectar la
disponibilidad del sistema. Algunas de las amenazas ya han sido vistas en
rubros anteriores, ahora trataremos las siguientes:
Robo y Fraude
Espionaje
Sabotaje
Tesis Seguridad Informtica: Sus implicancias e implementacin. Cristian Borghello 2001, www.cfbsoft.com.ar
Robo y Fraude
Los sistemas de TI pueden ser usados para estas acciones de manera
tradicional o usando nuevos mtodos, por ejemplo, un individuo puede usar
el computador para sustraer pequeos montos de dinero de un gran nmero
de cuentas financieras bajo la suposicin de que pequeas diferencias de
saldo no sern investigadas, los sistemas financieros no son los nicos que
estn bajo riesgo, tambin lo estn los sistemas que controlan el acceso a
recursos de diversos tipos, como: sistemas de inventario, sistemas de
calificaciones, de control de llamadas telefnicas, etc.
Los robos y fraudes usando sistemas de TI pueden ser cometidos por
personas internas o externas a las organizaciones, estadsticamente los
responsables de la mayora de los fraudes son personas internas a la
organizacin.
Adicionalmente al uso de TI para cometer fraudes y robos, el hardware y el
software del computador tambin son vulnerables al robo, de la misma forma
que lo son las piezas de stock y el dinero, tambin es necesario ser consciente
de que para hablar de robo no es necesario que una computadora o una parte
de ella sea sustrada, es frecuente que los operadores utilicen la computadora
de la empresa para realizar trabajos privados o para otras organizaciones y, de
esta manera, robar tiempo de mquina, la informacin tambin es susceptible
de ser sustrada pues puede ser fcilmente copiada, al igual que el software,
del mismo modo las cintas y/o discos pueden ser copiados sin dejar rastro.
Cada ao millones de dlares son sustrados de empresas y en muchas
ocasiones, las computadoras han sido utilizadas como instrumento para
dichos fines, ya sea para transferencias ilcitas de dinero, alteracin de saldos
de cuentas, eliminacin de registros de deuda, u otras actividades similares,
sin embargo, debido a que las partes implicadas (compaa, empleados,
fabricantes, auditores, etc.), en lugar de ganar, tienen mas que perder, ya sea
en imagen o prestigio, no se da publicidad a este tipo de situaciones.
Sabotaje
Una gran parte de las empresas que han intentado implementar programas de
seguridad de alto nivel, han encontrado que la proteccin contra esta amenaza
es uno de los retos mas duros, el saboteador puede ser un empleado o un
sujeto ajeno a la empresa y sus motivos pueden ser de lo mas variados.
Al estar mas familiarizados con las aplicaciones, los empleados saben que
acciones causaran mas dao, por otra parte el downsizing ha generado
grupos de personas con conocimientos sobre diversas organizaciones y con
conocimiento de acceso a sus sistemas. Entre las acciones de sabotaje mas
comunes tenemos:
Destruccin de hardware
Espionaje
Se refiere a la accin de recolectar informacin propiedad de una compaa
para ayudar a otra compaa. Desde que la informacin es procesada y
almacenada en computadoras, la seguridad informtica puede ayudar a
proteger este recurso, sin embargo es muy poco lo que puede hacer para
evitar que un empleado con autorizacin de acceso a informacin pueda
entregarla o venderla.
Hackers y Cdigo Maliciosos
El trmino hacker, se refiere a los atacantes que se introducen en un sistema
sin autorizacin y pueden ser internos o externos a la organizacin, existen
diferencias entre estos atacantes, el hacker tiene por finalidad introducirse en
el sistema y hacer notar que lo logr,
ISO 17799 contiene 10 controles de seguridad, los cuales se usan como base
para la evaluacin de riesgos, entre los 10 controles mencionados se encuentran
aquellos orientados a garantizar la Seguridad Fsica y del entorno.
Los controles de Seguridad Fsica manejan los riesgos inherentes a las
instalaciones de las empresas, e incluyen :
su
operacin,
los
beneficios
que
proporcionan
las
medidas
Dao fsico
Robo fsico
Interceptacin de datos
tambin a las zonas del cableado necesario para conectar los elementos del
sistema, de energa elctrica, aire acondicionado o calefaccin, lneas
telefnicas, dispositivos de backup, documentos fuente y otros elementos
necesarios para la operacin del sistema, eso significa que es necesario
identificar todas las zonas de las instalaciones que contengan elementos del
sistema.
Es importante revisar los controles de acceso fsico a cada rea, en horario de
trabajo y fuera de l, para determinar si los intrusos pueden evadir los
controles y evaluar la efectividad de los procedimientos.
Se debe considerar la posibilidad del ingreso subrepticio de un intruso, por
ejemplo por el techo o por una abertura en la pared que puede ser cubierta
con el mobiliario, si una puerta es controlada por una cerradura con
combinacin, el intruso puede observar a una persona autorizada introducir la
clave, si las tarjetas llave no son controladas cuidadosamente, el intruso
puede robar una o usar la de un cmplice, todas estas posibilidades dan paso
a medidas correctivas enfocadas a eliminarlas, la idea es adicionar barreras
para reducir el riesgo en las reas cubiertas por dichas barreras.
Fallas en servicios accesorios
Los sistemas de TI y las personas que los operan requieren un ambiente de
trabajo razonablemente bajo control, en estos ambientes usualmente se
utilizan equipos de servicios accesorios como por ejemplo los de aire
acondicionado que cuando fallan ocasionan una interrupcin del servicio y
pueden daar el hardware.
Los equipos de servicios accesorios tienen diversos elementos, cada uno de
ellos tiene un Tiempo entre fallas (mean-time-between-failures MTBF) y un
Tiempo de reparacin (mean-time-to-repair MTTR) , el riesgo de fallas se
puede reducir adquiriendo equipos con valores MTBF bajos y el MTTR se
puede reducir manteniendo un stock de repuestos y personal entrenado en su
mantenimiento, estas y otras estrategias se evaluarn comparando la
reduccin del riesgo con los costos de conseguirlo.
Interceptacin de datos
Existen tres formas en que los datos pueden ser interceptados: observacin
directa,
interceptacin
de
la
transmisin
de
datos
interceptacin
electromagntica.
Proteccin Electrnica
Tiempo de ingreso.-
Patrones de Voz
Hasta 7 parmetros de tonos nasales, vibraciones en la laringe y garganta, y
presin de aire en la voz son capturadas por sensores de audio. Este sistema
es muy sensible a factores externos como : ruido, estado de nimo y/o de
salud de la persona, envejecimiento, etc.
Patrones de Retina
El sistema trabaja en base a patrones de los vasos sanguneos de la retina, en
el rea de la retina que se encuentra detrs del globo ocular.
Patrones de Iris
El iris, que es la porcin alrededor de la pupila que da color al ojo, tiene un
patrn nico de estras, puntos, filamentos, aros, vasos, etc. que permite la
identificacin efectiva de una persona.
Dinmica de firma
La velocidad de la firma, la direccin y la presin son captados por
sensores, el proceso de escribir genera una secuencia sonora de emisin
acstica, esto constituye un patrn que es nico en cada individuo.
Emisin de Calor
Se basa en el termograma, que es la medicin del calor que emana el cuerpo,
realizando un mapa de valores sobre la forma de cada persona.
Proteccin Electrnica
Este tipo de proteccin hace uso de elementos sensores que detectan una
situacin de riesgo, la transmiten a una central de alarmas, sta procesa la
informacin que ha recibido y en respuesta emite seales alertando sobre la
situacin.
Detector de aberturas
Detector de vibraciones
Edificios inteligentes
Un edificio inteligente se define como una estructura que facilita a usuarios
y administradores, herramientas y servicios integrados a la administracin y
comunicacin, esto a travs de la integracin de la totalidad de los sistemas
existentes en el inmueble, como por ejemplo telfonos, seguridad,
comunicaciones por computador, control de subsistemas (calefaccin, aire
acondicionado, entre otros) y todas las formas de administracin de energa.
II.1.2.3 Fornsica
El trmino fornsica se refiere al examen sistemtico o cientfico de evidencia
durante la investigacin de un crimen.
La computacin fornsica involucra el examen metdico de todos y cada uno de
los datos relevantes que pueden ser encontrados en un computador, en un
intento de descubrir evidencia o recrear eventos; los datos son todo lo que est
almacenado en dicho computador, como: cartas, e-mails, documentos, archivos
de imgenes, logs de los firewalls, o routers, de los Sistemas de Deteccin de
Intrusos, etc.
Las tcnicas de la fornsica son empleadas frecuentemente en casos de delito
informtico, un caso tpico es cuando la red ha sufrido un ataque y el equipo
forense trata de determinar en que punto el hacker rompi la seguridad del
sistema, si uno o mas computadores han sido comprometidos en el ataque y
cual o cuales son; otro punto a determinar por el equipo forense es la actividad
del hacker en el sistema, es bsico identificar como ingres y eliminar los
Caballos de Troya (Trojan horses), puertas traseras (Back doors) u otros
elementos que el hacker haya dejado. Todos los hallazgos del equipo forense
debern ser documentados de manera muy cuidadosa y precisa.
La documentacin de los sucesos cobra mayor importancia, toda vez que,
dependiendo de la legislacin del pas, sta puede ser usada como evidencia
para enjuiciar al hacker. Como un ejemplo de lo que un equipo forense puede
hacer : durante la investigacin al Presidente Clinton que realiz un Consejo
Independiente, algunos de los e-mails que Mnica Lewinsky dirigi al
Examinar la evidencia.-
Conocimiento
Entendemos este nivel como dar a conocer la importancia de las prcticas
de seguridad y las polticas de la organizacin al respecto. Es necesario que
se tenga conciencia que actualmente en el ambiente de sistemas de TI, casi
todos en la organizacin tienen acceso a estos recursos y por lo tanto pueden
causar dao en ellos.
Este dar a conocer enfatiza el hecho de que la seguridad da soporte a la
misin de la organizacin al proteger los recursos valiosos y motiva a los
empleados respecto a las polticas de seguridad, es comn encontrar que stos
piensan que la seguridad es un obstculo para la productividad y que su
funcin es producir y no proteger, por eso esta motivacin busca cambiar la
actitud en las organizaciones dando a conocer a los empleados la importancia
de la seguridad y las consecuencias de su falta.
Entrenamiento
El propsito del entrenamiento es ensear al personal las habilidades
necesarias para desarrollar sus labores de manera ms segura, esto incluye el
que hacer y como hacerlo. El entrenamiento es ms efectivo cuando est
enfocado a una audiencia especfica, pues es distinto lo que se imparte a los
usuarios en general de lo que es necesario dar a los ejecutivos o al personal
tcnico.
Educacin
La educacin en seguridad es algo mas profundo y est dirigido a
profesionales del rea o personas cuyo trabajo requiere especializacin en
seguridad.
La Educacin en seguridad est ms all de los alcances de los programas de
Conocimiento o Entrenamiento de las organizaciones.
Documentacin
La documentacin de todos los aspectos de operacin y soporte de los
computadores es importante para asegurar continuidad y consistencia. La
Planes de seguridad
Planes de contingencia
Anlisis de riesgos
Polticas
Procedimientos
II.1.3 Criptologa
El cifrado o encriptado es el proceso de transformacin del texto original en texto
cifrado o criptograma, este proceso es llamado encriptacin. El contenido de
informacin del texto cifrado es igual al del texto original pero slo es inteligible
para las personas autorizadas. El proceso de transformacin del criptograma en el
texto original se llama desencriptado o descifrado.
El trmino Criptografa consta de los vocablos griegos Cryto : secreto y grafos :
escritura. La criptografa es la rama del conocimiento que se encarga de la
escritura secreta, tambin se puede definir como la ciencia y arte de escribir para
que sea indescifrable el contenido del texto original para el que no posea la clave.
El Criptoanlisis es la ciencia que estudia los mtodos para descubrir la clave, a
partir de textos cifrados, o de insercin de textos cifrados falsos, vlidos para el
receptor.
La Criptologa es el conocimiento que engloba la criptografa y el criptoanlisis y
se define como la ciencia de la creacin y ruptura de cifrados y cdigos.
II.1.3.1 Cifrado Simtrico
La criptografa convencional es tambin llamada de clave secreta o privada, o
sistema de cifrado simtrico. Su caracterstica fundamental es que la misma
clave que se utiliza para encriptar se usa tambin para desencriptar
La mayora de los algoritmos simtricos se apoyan en los conceptos de
Confusin y Difusin vertidos por Claude Shannon sobre la Teora de la
Informacin a finales de los aos cuarenta.
Estos mtodos consisten en ocultar la relacin entre el texto plano, el texto
cifrado y la clave (Confusin); y repartir la influencia de cada bit del mensaje
original lo ms posible entre el mensaje cifrado (Difusin).
La criptografa simtrica se clasifica en dos familias:
Sus autores son Vincent Rijmen y Joan Daemen. Usa tamao de clave
variable 128,192 y 256 bits (estndar) o bien mltiplo de 4 bytes,
tamao de bloque de texto 128 bits o mltiplo de 4 bytes, realiza
operaciones modulares a nivel de byte y de palabra de 4 bytes.
TDES o Triple DES: Est basado en la utilizacin del DES en tres tiempos
(encriptar-desencriptar-encriptar) con 3 claves diferentes.
Twofish: Propuesto por Bruce Schneier despus de Blowfish, de tipo Feistel,
diseo simple, sin claves dbiles y multiplataforma, candidato a AES, lo
encontraremos en ltimas versiones del PGP.
Khufu: algoritmo propuesto por Ralph Merkle con una clave generada con un
sistema de cajas S.
Khafre: algoritmo propuesto por Ralph Merkle en el que la clave ya no depende
de las cajas S.
Gost: algoritmo similar al DES con cajas S secretas propuesto en la Unin
Sovitica. Cifra bloques de 64 bits con claves de 256 bits y tiene 32
vueltas.
SAFER (Secure and Fast Encryption Routine): algoritmo propuesto por James
Massey. Existen dos variantes una utiliza una llave de 64 bits y la otra
usa una de 128 bits, cada bloque de texto a cifrar se divide en 8 bytes, de
0 a 10 vueltas, el mnimo recomendable es 6; en cada vuelta hay
operaciones or y sumas normales, potencias y logaritmos discretos. Al
final del algoritmo hay tres niveles de operaciones lineales conocidas
Bloque (bits)
Clave (bits)
Vueltas
Lucifer
128
128
16
DES
64
56
16
Loki
64
64
16
RC2
64
Variable
--
CAST
64
64
Blowfish
64
Variable
16
IDEA
64
128
Skipjack
64
80
32
RIJNDAEL
128
128 o ms
Flexible
Twofish
128
Variable
Variable
Khufu
64
512
16, 24, 32
Khafre
64
128
Gost
64
256
32
RC5
Variable
Variable
Variable
SAFER 64
64
64
Akelarre
Variable
Variable
Variable
FEAL
64
64
32
Figura II.1
Fuente: Seguridad Informtica y Criptografa. Jorge Rami Aguirre,
Universidad Politcnica de Madrid (1998).
DES
DES (Data Encryption Standard) ha sido el estndar utilizado mundialmente
durante 25 aos, generalmente en la banca. Hoy presenta signos de
envejecimiento y ha sucumbido a los diversos criptoanlisis que contra l se
viene realizando hace ya aos. Las especificaciones tcnicas de DES son:
Normas ANSI:
X3.92: Descripcin del algoritmo.
X3.108: Descripcin de los modos de operacin (ECB, CBC, OFB).
nmeros primos, cuando stos ltimos tienen una longitud superior a los cien
dgitos.
Se enumera a continuacin las caractersticas de un criptosistema de clave
pblica:
Como se puede ver el hecho de usar parejas de claves permite que para enviar
un mensaje confidencial a un destinatario, basta cifrar dicho mensaje con la
clave pblica de ese destinatario, de esa forma slo l podr descifrarlo
haciendo uso de su clave privada, no es necesario un intercambio previo de
claves entre emisor y destinatario, el emisor slo requiere la clave pblica del
destinatario. Asimismo cada usuario puede cifrar un mensaje con su clave
privada de tal forma que otro pueda descifrarlo con su clave pblica, de esta
manera se implementa la Firma Digital.
Para evitar suplantaciones de identidad, se requiere contar con una tercera parte
de confianza que acredite cual es la clave pblica de una persona o entidad, esta
es la funcin de las Autoridades de Certificacin.
Los algoritmos de cifrado asimtrico son:
Firma: f = EdE{H(M)}
Donde : dE es la clave privada del emisor que firmar H(M)
eE es la clave pblica del emisor
Problema: Cmo se comprueba la identidad en destino?
Solucin: Se descifra la firma f con eE. Al mensaje en claro recibido M (se
descifra si viene cifrado) se le aplica la misma funcin resumen (hash) usada
con el mensaje M original, si los valores son iguales, la firma es autntica y el
mensaje ntegro:
Las funciones hash deben cumplir las siguientes propiedades para garantizar
seguridad:
1.
Unidireccionalidad.-
Conocido
un
resumen
H(M),
debe
ser
3.
4.
5.
6.
Snefru: Autor Ralph Merkle, 1990. Resmenes entre 128 y 256 bits.
Ha sido criptoanalizado y es lento.
Las funciones hash vistas (MD5, SHA-1, etc.) pueden usarse adems para
autenticar a dos usuarios. Como carecen de una clave privada no pueden usarse
de forma directa para estos propsitos. No obstante, existen algoritmos que
permiten incluirles esta funcin, entre ellos est HMAC, una funcin que
usando los hash vistos y una clave secreta, autentica a dos usuarios mediante
sistemas de clave secreta. HMAC se usa en plataformas IP seguras como por
ejemplo en Secure Socket Layer, SSL.
II.1.3.4 Firma Digital
En los sistemas computacionales de la actualidad se almacena y procesa un
nmero creciente de informacin basada en documentos en papel, disponer de
estos documentos electrnicamente permite un procesamiento y transmisin
rpidos que ayudan a mejorar la eficiencia en general. Sin embargo, la
aceptacin de estos documentos en papel ha sido tradicionalmente determinada
por la firma escrita que contienen, por lo tanto es necesario refrendar estos
documentos en su forma electrnica con un instrumento que tenga el mismo
peso legal y aceptacin que la firma escrita.
El instrumento en mencin es la Firma Digital, esta firma es un mecanismo
criptogrfico con una funcin similar a la de la firma escrita, que es de verificar
B enva el criptograma
The Global Trust Register, es un directorio que contiene las principales claves
pblicas a nivel mundial, esto permite verificar la validez de certificados X.509
y claves pblicas PGP.
Fecha de expiracin
PGP Certificados
Inicio de la Validez
Caducidad de la Validez
Un certificado de la CA
Presentacin
Aplicacin
Sesin
Transporte
TCP
Red
IP
Enlace de Datos
Enlace de Datos y
Fsico
Fsico
Niveles TCP/IP
Figura II.2
Aplicacin
Seguridad
TCP
IP
Enlace de Datos y
Fsico
Figura II.3
En este nivel la seguridad est dirigida a tres rubros que son de particular
preocupacin: Mensajes electrnicos, transacciones en la Web y pagos en lnea;
todos estos rubros estn sujetos a riesgos potenciales tanto de prdidas
financieras como de imagen y relaciones pblicas y aspectos legales y requieren
una seguridad mayor que la que proporcionan protocolos de seguridad de
niveles inferiores.
Cuando la seguridad est ubicada en este nivel tenemos las siguientes ventajas:
Aplicacin
Seguridad
TCP
IP
Enlace de Datos y
Fsico
Figura II.4
Aplicacin
TCP
Seguridad
IP
Enlace de Datos y
Fsico
Figura II.5
dominio controlado con una informacin de referencia, dicho contenido puede ser
una informacin explcita, por ejemplo una contrasea, o bien informacin que
exija un anlisis estructural del mensaje para descubrir un patrn catalogado, sea
de infeccin (virus, worms, etc.) o de modificacin (intrusin). En todos los casos,
el resultado de la comparacin conlleva a decisiones de apertura o cierre de
puertas, seguidas de otras posibles medida de salvaguarda.
II.1.5.1 Filtros
Los mecanismos de filtro que se instalan en los nodos-conectores de las redes
tienen como funcin controlar el acceso de terceros a los flujos de informacin.
Los nodos pueden ser de tres tipos segn su nivel OSI y funcin:
Repetidor. Nivel 1,
Un
Firewall
es
un
mecanismo
de
filtro
avanzado
que
protege
la
Basado en Host
Basado en Red
El IDS basado en Host debe ser instalado en todo sistema en que la capacidad
de detectar intrusos es deseada; y an cuando puede ser mas apropiado para esta
funcin incluso de un atacante interno, su costo puede ser alto y puede limitar la
performance del sistema de manera sustancial.
La alternativa son los IDS basados en Red, stos recolectan datos de sensores y
sistemas y los procesan de manera centralizada. Los IDS basados en Red suelen
tener un bajo costo y no afectan de manera importante la performance del
sistema, pero no son tan eficaces como los IDS basados en host.
CSE (Canad)
SCSSI (Francia)
BSI (Alemania)
NIST (EE.UU.)
NSA (EE.UU.)
El proyecto de los CC se remonta a 1993, y tiene como punto de partida los tres
criterios de evaluacin de seguridad de las TI existentes en ese momento:
CTCPEC de Canad
Los Criterios Comunes son un esfuerzo multiestatal para armonizar estos criterios,
y pese a las diferencias entre unos y otros se pudo comprobar que los resultados
de las evaluaciones efectuadas, arrojaban resultados razonablemente equivalentes,
lo que permita la viabilidad de una solucin comn.
Los CC son lo suficientemente flexibles para permitir su evolucin convergente
con los numerosos esquemas nacionales existentes sobre seguridad informtica
en lo concerniente a evaluacin, certificacin y acreditacin. Los
CC tambin
Consumidores
Parte 1 :
Como
Introduccin
Desarrolladores Evaluadores
informa Como
y cin referencial
Modelo General
informa Como
cin
para
informa
re Como estructura
querimientos
formular
y de soporte para
espe- STs y PPs.
cificaciones
de
seguridad
para
TOEs,
Parte 2 :
formulacin
Funcional
declaracin
requerimientos
rimientos
de funciones de formulacin
seguridad.
la presenta efectiva
de mente las funcio
especificaciones
funcionales
nes de seguridad
de que declara.
los TOEs
Parte 3 :
Como
Requerimientos para
de
Aseguramiento
guramiento reque de
nar
ridos
aseguramiento
determinar
el
y miento
los TOEs
asegura
de
los
para
de y STs
los TOEs
Donde:
requerimientos
vulnerabilidad
especificaciones
de
chequeo
del
desarrollador,
el
anlisis
de
la
evaluacin
de
la
funcionalidad
basada
en
mas
detalladas
del
TOE.
Es
aplicable
cuando
EAL7
se
requiere
una
presentacin
formal
de
las
Common Criteria
US TCSEC
European ITSEC
D: Proteccin Mnima
E0
EAL1
C1:
EAL2
Seguridad
E1
Discrecional
EAL3
EAL4
Seguridad
Etiquetada
B2:
EAL5
Proteccin
E3
E4
Estructurada
B3:
EAL6
Dominios
de
E5
Seguridad
A1:
EAL7
Seguridad
E6
Verificada
Australia
Espaa
Grecia
Italia
Noruega
Nueva Zelanda
Arreglo representaban mas del 65% del mercado mundial, esto en 1999.
Participantes
(agentes
del
mercado
como
empresas,
proveedores,
Proceso
(abastecimiento,
produccin,
marketing,
competicin,
mercado digital. Es decir aunque no nos hayamos dado cuenta, casi todos nosotros ya
somos partcipes del mercado electrnico.
Para comenzar participando en el Comercio Electrnico, y realizar transacciones a
travs del mercado electrnico, se debe cumplir lo siguiente:
Comercio
Business-to-Business
(Extranet,
Red
Compartida,
Colaboracin).
El comercio electrnico nos ofrece una serie de beneficios que van a hacer que
nuestros negocios tengan mayor acogida en todo el contexto global, estos pueden ser
algunos de los beneficios que ofrece:
La mercadotecnia es ms barata.
La respuesta es inmediata.
El Banco
El Distribuidor
La empresa de logstica
La Fabrica virtual
La empresa en el hogar
universal
para
la
interconexin
interoperatividad de redes.
6. Riesgo: Cabe la posibilidad de que muchas empresas, sobre todo
pequeas, se encuentren en desventaja, lo que hara que
simplemente queden marginadas en este tipo de posibilidades
y oportunidades. Es por eso que crece la necesidad de
promover iniciativas, realizar campaas publicitarias y dar a
conocer ejemplos afortunados promoviendo la formacin y el
entrenamiento.
En relacin a las infracciones que pueden cometer los clientes al realizar acciones
prohibidas que no van de acuerdo a las polticas de uso definidas en el contrato de
servicios de un sitio web:
La
Entonces, cules son los planteamientos estratgicos que estas dos compaas
tienen?, acaso pueden haber empresas de productos de competencia similar que se
enfrenten?.
El Caso:
formato
regular
de
sus
caractersticas
tecnolgicas o de los
2.
Mensaje
de
Datos
en
un
sistema
de
informacin
utilizado
de
la
Superintendencia
de
Servicios
de
Certificacin
de Servicios de
De la acreditacin.
Garanta de validez.
CERTIFICADOS ELECTRONICOS
Cancelacin.
4)
efectos
basados en normas
estndar en la red.
6)
CHILE:
Segn Erwin Fiebig, director de comercio electrnico de Entel Internet, en Chile
la conectividad a Internet en empresas no logr penetrar como se esperaba,
porque no exista contenido, aplicaciones reales y las compaas no vean un fin
prctico en Internet, ahora con el ejemplo del SII, las empresas comienzan a
distinguir que Internet es un medio y una herramienta para hacer ms eficiente
muchas gestiones, reducir costos y a su vez generar mayores ventas.
Santiago, Chile. Luego de que por aos se pens que Transbank fue la entidad
que limit el surgimiento de las ventas a travs de Internet, ahora Chile ingresa
abruptamente haca el comercio electrnico para personas, una serie de
declaraciones estn tratado de "desmitificar" este problema y como parte del
lanzamiento de su plataforma de comercio electrnico para PYMEs, Erwin
Fiebig, director de Comercio Electrnico de Entel Internet, trata de aclarar estos
temas.8
Por qu se demor la introduccin del Comercio electrnico en Chile? Por Claudio Alegra G.
ESTADOS UNIDOS :
La ley del Senado americano para la tutela de la privacidad en Internet ha
suscitado las crticas de las empresas tecnolgicas que sostienen que la ley las
expone a acciones legales por parte de los clientes y les impone unos requisitos
mayores que los requeridos a sus competidores de la Vieja Economa.
En una audiencia de la comisin para el comercio del Senado, la ley para la
privacidad online presentada por el senador Ernest Hollings ha obtenido el
consenso mayoritario de las asociaciones de consumidores por establecer
requisitos diferenciados segn el tratamiento que de los datos personales o
sensibles se haga. Sin embargo las empresas de la Nueva Economa han
encontrado varios puntos sobre los que discrepar.
Desde el sitio de e-commerce Amazon.com. han declarado que a dicha empresa
no se le puede pedir el tratamiento de los datos personales de los clientes de
forma distinta a la que hace cualquier otro competidor "offline. Desde
Hewlett-Packard Co. apuntaban que la ley podra provocar una oleada de
acciones legales por parte de los clientes. 9
Algunos senadores sostienen que precisamente las empresas tecnolgicas son
las que deberan apoyar la ley para evitar la existencia de un mosaico confuso
de leyes diferentes en cada estado para la tutela de la privacidad.
Congreso de la Repblica:
Ley N 27419 de 25 de enero del 2001: Ley sobre notificacin por correo
electrnico.
Procesal Civil.
o Artculo 163: Notificacin por telegrama o facsmil, correo
electrnico u otro medio.
de
Transportes,
Comunicaciones,
Vivienda
Modificanse los
Artculos 141 y 1374 del Cdigo Civil, con los siguientes textos:
Artculo 141.- Manifestacin de voluntad
Artculo 1374.- Conocimiento y contratacin entre ausentes
o Artculo 2.- Adicin de artculo al Cdigo Civil. Adicinase el
Artculo 141 al Cdigo Civil, con el siguiente texto:
Artculo 141-A.- Formalidad
Ley N 27309: Ley que incorpora los delitos informticos al Cdigo Penal
del 15 de julio del 2001.
Ley N 27323: Ley que modifica el Decreto Ley N 26126 Ley Orgnica
de CONASEV, el Decreto Legislativo N604 Ley de Organizacin y
Funciones del Instituto Nacional de Estadstica e Informtica, el Decreto
Legislativo N 681 Normas que regulan el uso de tecnologas avanzadas
en materia de archivo y documentos y el Decreto Legislativo N 861 Ley
del Mercado de Valores del 22 de julio del 2000.
CAPITULO III
APLICACIN:
CONSTRUYENDO UNA INFRAESTRUCTURA CONFIABLE DE E-COMMERCE
Cmo puedo estar seguro de que los datos sobre las tarjetas de crdito o
dbito de mis clientes, no sern accedidos por personas no autorizadas, cuando
realicen una transaccin supuestamente segura en la Web?
Cmo puedo garantizar a los clientes que visitan mi site que estn realizando
negocios conmigo y no con un impostor?
Autentificacin
Confidencialidad
Integridad
No repudio
Adems se debe tener en cuenta que la seguridad debe estar en todas las etapas desde el
inicio del proyecto.
III.1 SEGURIDAD EN EL COMERCIO ELECTRNICO
Internet es una red insegura para todo tipo de operaciones. La nica forma de poder
hacer transacciones seguras es imponindole mecanismos de seguridad a cada una
de ellas.
Una de las leyes fundamentales de la seguridad informtica dice que el grado de
seguridad de un sistema es inversamente proporcional a la operatividad del mismo.
Esto se debe a que darle a un sistema un determinado grado de seguridad, aunque
sea mnimo, implica imponer algn tipo de restriccin, lo que forzosamente
disminuir la operatividad con respecto al estado anterior en el que no se tena
seguridad.
Internet es una red insegura, porque fue diseada con un alto nivel de operatividad.
No est mal que sea insegura, ni se trata de un error de diseo, sino que para que
cumpliera la funcin para la cual se la cre deba tener el ms alto grado de
operatividad, lo que trae como consecuencia un alto nivel de inseguridad.
No es cierto que, por implantar determinados mecanismos de seguridad
automticos, Internet se vuelve segura.
Ponindonos
en el caso ms desfavorable, que implicara que todo mensaje que enviemos por
Internet ser interceptado, lo que tenemos que lograr es que, una vez que sea
interceptado, la informacin que contiene no sea til para el intruso.
EL APORTE DE LA ENCRIPTACIN
ser el propietario de esa direccin de correo electrnico quien dice ser, y por
lo tanto el titular de la tarjeta de crdito?
PROTOCOLOS
Determinados protocolos aseguran la confidencialidad e integridad de la
informacin transmitida a travs de la Red y garantizan la viabilidad de cualquier
orden de pago.
Una de las principales preocupaciones que tiene el consumidor en el uso del
comercio electrnico es la seguridad. Qu pasa si doy mi nmero de tarjeta para
comprar en una tienda? Es seguro? Me robarn los datos? Y el dinero? Es
Internet un medio de pago seguro?
Para ello se han creado dos protocolos estndar de seguridad: el protocolo SET y
el protocolo SSL.
Una vez que ingresas a Internet para comprar, los comercios virtuales te avisan de
que vas a entrar en un servidor seguro y podrs comprobarlo cuando en la parte
superior de tu navegador la direccin empieza por https. Esa "s" indica servidor
seguro. A partir de ese momento, has entrado en una pgina protegida por SSL o
por SET. Los protocolos SSL y SET son medios de encriptacin de datos. Es decir,
una vez entregados tus datos, nadie podr interceptarlos, copiarlos o modificarlos.
de comercio electrnico. Para pagar, el usuario debe rellenar un formulario con sus
datos personales (tanto para el caso del envo de los bienes comprados, como para
comprobar la veracidad de la informacin de pago), y los datos correspondientes a
su tarjeta de crdito (nmero, fecha de caducidad, titular). Esta arquitectura no exige
que el servidor disponga de capacidades especiales para el comercio. Basta con que
se utilice como mnimo un canal seguro para transmitir la informacin de pago y el
comerciante ya se ocupar manualmente de gestionar con su banco las compras. El
canal seguro lo proporciona SSL. Sin embargo, este enfoque, aunque prctico y
fcil de implantar, no ofrece una solucin comercialmente integrada ni totalmente
segura (debido a que los navegadores utilizan 40 bits de longitud de clave,
proteccin muy fcil de romper). SSL deja de lado demasiados aspectos para
considerarse la solucin definitiva y esto porque:
' Slo protege transacciones entre dos puntos (el servidor web comercial y el
navegador del comprador). Sin embargo, una operacin de pago con tarjeta
de crdito involucra como mnimo tres partes: el consumidor, el comerciante
y el emisor de tarjetas.
' No protege al comprador del riesgo de que un comerciante deshonesto utilice
ilcitamente su tarjeta.
' Los comerciantes corren el riesgo de que el nmero de tarjeta de un cliente
sea fraudulento o que sta no haya sido aprobada.
TCNICAS CRIPTOGRFICAS
tener
un
rpido
proceso
de
una
entidad
llamada
Autoridad
de
de
tal
manera
que
confiemos
distribuidas
de
manera
segura
individuos
sobrecargado
encriptacin/decriptacin.
de
Seguridad
y Funcin
Tecnologa
solucin
Datos interceptados, Encriptamiento
Los
ledos o modificados
ilcitamente.
su alteracin.
del
cometer un fraude.
emisor.
Un
usuario
autorizado
en
no Firewall
datos
se Encriptamiento
y
asimtrico.
receptor
una
redes
a la red o servidor.
otra red
ESTANDARES DE SEGURIDAD PARA INTERNET
Estndar
Funcin
Asegura
Aplicacin
las
transacciones Exploradores,
en el web.
web,
servidores
aplicaciones
para
Internet.
Secure Sockets Layer (SSL)
web,
servidores
aplicaciones
p/
Internet
Secure MIME (S/MIME).
Asegura
los
anexos
correo
electrnico
plataformas mltiples.
Secure
Wide-Area
(S/WAN)
Nets Encriptamiento
punto
con
encriptamiento
Secure
Transaction (SET)
Electronic Asegura
las
transacciones Tarjetas
servidores
inteligentes,
de
transaccin,
comercio electrnico.
Solicita certificado
1 Va Web
5 Descarga
Procesa datos
Pre-validados por SC
(Backup de Claves)
certificado
2
4
Gestin de datos
-Pre-validacin
-Proceso
Remite PIN al cliente
para descargar el
certificado
ACE/VERISIGN Espaa
Procesing Center
CONCLUSIONES Y RECOMENDACIONES
Es necesario tener definido un marco jurdico para las operaciones que se realizan
en un ambiente de comercio electrnico.
A pesar de que an quedan temas abiertos por resolver (marco jurdico, seguridad,
tecnolgico), el comercio electrnico ya est en marcha y adems de forma
acelerada.
Esta nueva tecnologa est adquiriendo gran importancia debido a que las empresas
estn teniendo una presencia electrnica bsica sobre la red global abierta,
aprendiendo de la experiencia, siendo gradualmente ms sofisticada en el uso que
hacen de las tecnologas.
Se debe recalcar que los sectores o niveles bsicos de comercio electrnico ya estn
bien establecidos y soportados en soluciones normalizadas, a pesar de que los
niveles ms avanzados de comercio electrnico enfrentan an retos sustanciales.
Las instituciones bancarias son las que han realizado mayor avance en comercio
electrnico con la implantacin de sus operaciones bancarias por medio de internet,
preocupndose con prioridad en el tema de seguridad y privacidad de la
informacin.
FUENTES DE INFORMACIN
LIBROS
Auerbach.
Fourth
Edition.
2000.
ISBN
1-8493-9829-0.
www.auerbach-publications.com
KLEVINSKY, T.J. LALIBERTE, Scott. GUPTA, Ajay. Hack I.T. Security Through
Penetration Testing. Addison Wesley. 2002. ISBN 0-201-71965-8. www.aw.com
ISBN 84-86451-69-8.
ENTREVISTAS
REVISTAS Y PUBLICACIONES
Revista
Perspectiva
N5.
Seguridad.
Publicacin
virtual.
www.microsoft.com/spain/enterprise/perspectivas/numero_5
INTERNET
Indecopi. www.indecopi.gob.pe
VirusProt. www.virusprot.com
ANEXOS
Glosario
Abonado. Persona natural o jurdica que tiene derecho al uso permanente de un servicio
de telecomunicaciones mediante el pago de una suscripcin peridica.
Ancho de banda: Capacidad de un medio para transportar archivos y mensajes.
En
general se trata de la capacidad que posee un medio para transmitir una seal.
Habitualmente se mide en kilobits por segundo (Kbps) o megabits por segundo (Mbps).
Arancel ad Valorem: Tarifa o tasa que se paga como porcentaje del Valor CIF de una
importacin para que el producto adquiera el derecho de internamiento en el pas.
Ciberespacio (Cyberspace): Este trmino sirve para describir todos los rangos y
recursos de informacin disponibles a travs de redes de computadoras.
Correo electrnico: Son mensajes, usualmente textos, que se envan de una persona a
otra, va computadora conectada a una red. El correo electrnico puede ser mandado a
un gran nmero de direcciones en forma simultnea.
RED: Cada vez que dos computadoras se conectan entre s, se convierte en una red.
Cada vez que tres redes se conectan entre s, tenemos Internet.
Emisor: Persona, natural o jurdica, pblica o privada, que origina un Mensaje de Datos
por s mismo, o a travs de terceros autorizados..
Proveedor
de
Servicios
de
Certificacin:
Persona
Quiebra
Proveedor
de
Servicios
como, con los requisitos y condiciones establecidos en esta Ley para el ejercicio de sus
actividades.
Seguridad en Comercio
Electrnico
Por: Elisa Mattos Lescano
Facultad de Ciencias Matemticas
U.N.M.S.M.
Seguridad Lgica
Controles de Acceso
Identificacin y
Autentificacin
Roles
Transacciones
Limitaciones a los Servicios
Modalidad de Acceso
Ubicacin y Horario
Acceso Interno
Acceso Externo
Seguridad
Organizacional/Operacional
Recuperacin de
Desastres
Seguridad Fsica
Fornsica
Educacin y
Documentacin
Criptologa
Criptografa
Simtrica
Asimtrica
Resumen
Firma Digital
Certificados Digitales
Criptoanlisis
CIFRADO EN BLOQUE
LFSRs A5
Telefona mvil
y tiempo real
EXPONENCIACIN
RSA , ELGAMAL
Intercambio de claves
y firma digital
CLAVE PBLICA
SUMA/PRODUCTO
CE, MOCHILAS
MH (Proteccin
de SW va HW)
CLAVE SECRETA
DES; T-DES; CAST;
IDEA; RIJNDAEL ...
Cifrado propio de
la informacin
Criptografa Simtrica
Criptografa Asimtrica
Criptografa de Resumen
Firma Digital
Generacin
Firma Digital
Comprobacin
Certificados Digitales
Estndar X.509
Versin
N de serie
Algoritmo
Parmetros
Autoridad de Certificacin
Inicio de la validez
Caducidad de la validez
Nombre del usuario
Algoritmo
Parmetros
Clave pblica del usuario
Firma de la AC
Perodo de validez
Certificados Digitales
Estructura de una AC
Certificados Digitales
PKI
En una Infraestructura de Clave Pblica,
Seguridad en Comunicaciones
OSI Vs TCP/IP
Seguridad en Infraestructura
Firewalls
Sistemas de Deteccin
de Intrusos IDS
Basado en Host
Basado en Red
Niveles de Seguridad
NIST
EAL1
EAL2
EAL3
EAL4
EAL5
EAL6
EAL7
Comercio Electrnico
Cualquier forma de transaccin
Marco Legal
Congreso de la Repblica
Ley 27269 de Firmas Digitales
Ley 27419 Notificacin por correo electrnico. Cdigo
Procesal Civil
Decreto Supermo 066-2001-PC. Lineamientos para
promover masificacin de acceso a Internet en el Per
Ley 27291 Permite utilizar medios electrnicos para
manifestar voluntad
Ley 27309 Incorpora delitos informticos al Cdigo
Penal 15/07/2001
Marco Legal
Indecopi
Cdigo de Barras, especificaciones de simbologa,
descripcin de formato
EDI. Mensaje de catlogo de precios/ventas
EDI. Mensaje de Informacin de Inventario
Formatos de Elementos de Intercambio de Informacin
de fechas y tiempos
Marco Legal
IPCE. Funciones
Liderazgo en propuestas de adaptacin jurdica
y normativa
Difusor de estrategias de mercadotecnia
electrnica
Promotor de soluciones en e-commerce
Difusor de conocimientos
dos elementos
esenciales, bajo la
normatividad
correspondiente:
Certificados para
servidores
Sistema de pago
seguro en lnea
Conclusiones y Recomendaciones
El impacto del comercio electrnico es arrollador en las empresas y
en la sociedad
Las instituciones bancarias son las que han realizado mayor