Comercio electrnico o

Que es SSL
SSL es un acrnimo de: o Secure Sockets Layer Fue diseado por Netscape en 1,994 con el n proposito de mejorar la seguridad de las comunicaciones a traves de Internet. Hoy en d es un estndar. a a Ofrece los siguientes servicios:

Encriptacin de datos. (DES, 3-DES, RC2, o RC4, IDEA, RSA)

Integridad de mensajes. (MD5, SHA)

Autenticacin tanto del servidor de deso tino, como del cliente (opcional). (RSA)

SSL es un protocolo para comunicaciones seguras.

Como funciona SSL

Una comunicacin mediante SSL tiene varias o etapas: 1. Ambas partes se ponen de acuerdo en los algoritmos que van a utilizar y la longitud de claves. Autenticacin. El servidor se identica con o un certicado X.509v3(suministrando su clave pblica) y si hay autenticacin de u o cliente el navegador solicita el certicado X.509v3 al cliente. Se establece la clave de sesin que ser utio a lizada posteriormente con un algoritmo simtrico para establecer la comunicacin. e o El cliente manda una clave inicial encriptada con las clave pblica del servidor y u a partir de esa clave se genera la clave de sesin. o

2.

3.

4.

Se verica la autenticidad de los datos, que el canal es seguro y se puede empezar la transmisin. o

SSL es un protocolo que se instala entre los niveles de transporte y de aplicacin, con lo o cual puede ser utilizado con pequeas modin caciones en los programas que utilizan protocolos de red.

Ventajas y desventajas de SSL

Ventajas:

Proporciona seguridad durante la transmisin. o

Es transparente para el usuario.

No son necesarias muchas modicaciones en los programas que lo utilizan.

Desventajas:

Debido a las fuertes restricciones que tenian los EEUU hasta hace poco, las versiones de exportacin tanto de Netscape o como del otro navegador utilizaban claves de sesin de 40 bits. o

Estas longitudes de clave garantizan la seguridad durante la transmisin, pero no o despus de ella, ya que estos datos pueden e ser almacenados y criptoanalizados con xito al tener una clave de 40 bits. e

Comprueba t navegador preferido y deu sactiva todas las opciones para utilizar algoritmos simtricos con claves menores e de 128 bits y claves menores de 1,024 bits con algoritmos asimtricos. e

Fortify
Fortify es un programa para Netscape que existe en todos los S.O. en los que funciona Netscape. Este programa activa las opciones de criptograf fuerte presentes en Netscape a y que no son accesibles en las versiones de exportacin. Hasta hace poco todos los produco tos Americanos de criptograf ten a an unas fuertes restricciones para su exportacin. o Para ver las opciones de seguridad:

Las versiones de exportacin usan claves de o 40 bits para SSL versin 2: o

Y para la versin 3 de SSL las cosas no mejoo ran mucho:

Estas claves unicamente protegen los datos durante el trnsito, pero no despus ya que a e pueden romperse en menos de un d con los a ordenadores de hoy en d a. Utilizando Fortify obtendremos ms seguria dad en SSL. Para SSL versin 2: o

y para SSL versin 3: o

Haciendo lo mismo para messenger tendremos que antes de utilizar Fortify:

y depus de utilizar Fortify: e

Que es SET
En 1,985 las compaias Visa y MasterCard n junto con otras empresas punteras en el sector tecnolgico como RSA, IBM, Netscape, o VeriSign y Microsoft (si, ya se que he dicho punteras ;-)) decidieron desarrollar un protocolo respaldado por la industria y estandarizado desde el primer momento. El proposito de este protocolo es favorecer las transacciones electrnicas con tarjetas de credito a o travs de redes electrnicas. e o Dicho protocolo recibe el nombre de Secure Electronic Transaction(SET). SSL fue diseado para proteger comunican ciones entre dos usuarios, entidades, . . . Adems a SSL no protege contra usos fraudulentos de las tarjetas de credito. Una transaccin econmica mediante una taro o jeta de credito involucra a ms de dos entia dades(cliente, comerciante, bancos, CAs).

Como funciona SET

SET funciona de manera que permite conar en todos los participantes en la transaccin o electrnica: o Autenticacin, todas las partes pueden auo tenticarse de forma able mediante la utilizacin de certicados digitales. Evitano do de esta forma el uso fraudulento de las tarjetas, suplantacin de sitios web (web o spoong). Condencialidad, SET encripta el nmero u de la tarjeta de credito, de tal forma que el vendedor no tiene acceso al nmero de u la tarjeta, evitando un posible uso fraudulento por parte del comerciante. Integridad, para vericar que la informacin o no ha sido alterada se utilizan las rmas digitales.

Intimidad, el banco no tiene acceso a las compras del cliente con lo que no puede elaborar estudios de mercado, hbitos de a consumo, . . .

Vericacin inmediata, antes de completar o la compra el vendedor puede vericar si el cliente dispone del saldo necesario para pagar.

No repudio, mediante el uso de certicados digitales X.509v3. Lo que impide hacer una compra y luego negarse a pagarla con el pretexto de no haberla realizado.

Software

Software Criptogrco a
Sistemas criptogrcos de cheros a cfs, Cryptographic File System sfs, Self-certifying File System http://www.fs.net tcfs, Transparent Cryptographic File System http://www.tcfs.it Seguridad en comunicaciones Fortify, activa opciones de criptograf fuerte a en versiones de exportacin de Netscape. o http://www.fortify.net

Gnupg y PGP PGP, programa para la encriptacin de doo cumentos, correo electrnico, . . . o http://www.pgpi.com (libre para uso no comercial) Gnupg, programa para la encriptacin de doo cumentos, correo electrnico, . . . o http://www.gnupg.org (libre) n Pgp4pine, aade funcionalidad para el uso de gnupg con pine (libre) TkPgp, interface grca para gnupg basada a en Tcl/tk. Librerias Miracl, libreria de C/C++ para criptograf a de clave pblica. u ftp://ftp.compapp.dcu.ie/pub/crypto/miracl.zip (libre para usos acadmicos) e

Protocolos criptogrcos a SSH, Conjunto de aplicaciones para establecer comunicaciones encriptadas. http://www.ssh.com (producto comercial) OpenSSH, Conjunto de aplicaciones para establecer comunicaciones encriptadas, basado en SSH y desarrollado con cdigo libre. o http://www.openssh.org SSL, Protocolo para establecer comunicaciones encriptadas a traves de la web. http://www.ssl.com (producto comercial) OpenSSL, Protocolo para establecer comunicaciones encriptadas a traves de la web, basado en SSL y desarrollado con cdigo lio bre. http://www.openssl.org