Manual

INTRODUCCIÓN

La seguridad en los sistemas de información y de computo se ha convertido en uno de los problemas más grandes desde la aparición, y más aún, desde la globalización de Internet. Dada la potencialidad de esta herramienta y de sus innumerables aplicaciones, cada vez mas personas y cada vez mas empresas sienten la necesidad de conectarse a este magnifico mundo.

De lo anterior, los administradores de red han tenido la necesidad de crear políticas de seguridad consistentes en realizar conexiones seguras, enviar y recibir información encriptada, filtrar accesos e información, etc.

El reciente aumento del uso de la red Internet ha dirigido la atención del mundo entero a un problema crucial La privacidad. Hasta el momento, no ha existido una protección real que garantice que los mensajes que se envían o reciben no sean interceptados, leídos o incluso alterados por algún desconocido, ya que nadie en realidad dirige o controla la red Internet.

En el mundo del ciberespacio el potencial para que exista el fraude y la estafa es mucho mayor. La capacidad de tener acceso a información las 24 horas del día, desde cualquier lugar del mundo, es para muchos un beneficio que brinda Internet. Sin embargo, esto plantea algunos inconvenientes prácticos.

Cuando una persona es sólo un reflejo en la pantalla, ¿ Cómo se sabe si una persona tiene efectivamente una cuenta válida ? ¿ Cómo se sabe si se puede confiar en un comerciante al que nunca se ha visto ?.

Para que la privacidad y seguridad cobre un verdadero auge en la red Internet, cada una de las entidades necesita contar con una manera de verificar la identidad de la otra y establecer un nivel de confianza.

II

No obstante, lo anterior, el interés y la demanda por Internet crece y crece y el uso de servicios como World Wide Web (www), Internet Mail, Telnet y el File Transfer Protocol (FTP) es cada vez más popular.

El presente trabajo piensa dar una visión global acerca de los problemas de seguridad generados por la popularización de Internet, como las transacciones comerciales y financieras seguras, el ataque externo a redes privadas, etc.

Se tratarán temas como el uso de Certificados y Firmas digitales, algunas de las Autoridades Certificadoras y de los Protocolos utilizados para la transacción de información de manera segura.

III

C E R T I F I C A D O S Y F I R M A S D I G I T A L E S

• Certificados digitales o redes de confianza

Los certificados digitales representan el punto más importantes en las transacciones electrónicas seguras. Estos brindan una forma conveniente y fácil de asegurar que los participantes en una transacción electrónica puedan confiar el uno en el otro. Esta confianza se establece a través de un tercero llamado Autoridades Certificadoras.

Para poder explicar el funcionamiento de los certificados se expone el siguiente ejemplo:

• Blanca quiere poder mandar mensajes a Noé y que éste sepa que ella es ciertamente la emisora del mismo. Para ello, consigue un certificado de una Autoridad Certificadora. Es decir, la Autoridad Certificadora va a entregar a Blanca un Certificado digital personalizado que le va a permitir identificarse ante terceros. Dicho certificado debe guardarlo en lugar seguro, es el símil al Documento Nacional de Identidad.

• Blanca genera su mensaje enviándolo a Noé junto con la copia pública de su certificado.

• Noé recibe el mensaje de Blanca junto con su certificado, quien considera “ Autentificado” el autor tras comprobar que viene acompañado por una Autoridad Certificadora reconocida por él.

¿ Pero, que son exactamente los Certificados Digitales ?. En pocas palabras, los certificados digitales garantizan que dos computadoras que se comunican entre sí puedan efectuar transacciones electrónicas con éxito. La base de esta tecnología reside en los códigos secretos o en la“encriptación”. La encriptación garantiza la confidencialidad, la integridad y la autenticidad de la información que se desea transmitir y que tiene vital importancia para la persona o empresa.

4

El procedimiento de encriptación es sencillo. Un mensaje puede pasar por un proceso de conversión o de encripción, que lo transforma en código usando una “ clave “,es decir, un medio de traducir los signos de un mensaje a otro sistema de signos cuya lectura no tenga ningún sentido para un desconocido que los intercepte. Esto se conoce como el proceso de “encripción” de un mensaje. Un ejemplo sencillo de una clave puede ser el reemplazar cada letra con la próxima letra del alfabeto. Así la Palabra VISA se convertiría en WJTB. Para descifrar el mensaje o revertir la encripción el que lo recibe necesita conocer la clave secreta ( o sea el certificado digital).

Los tipos de certificados digitales que existen actualmente son:

• Certificados de Servidor (SSL : Capa de zócalos seguro)

• Microsoft Server Gated Cryptography Certificates (Certificados de CGC-una extensión del protocolo SSL- ofrecida por Microsoft).

• Certificados Canalizadores.

• Certificados de Correo Electrónico.

• Certificados de Valoración de páginas WEB.

• Certificados de Sello, Fecha y Hora

Encripción de Clave Secreta

La codificación o encripción de clave secreta resulta útil en muchos casos, aunque tiene limitaciones significativas. Todas las partes deben conocerse y confiar totalmente la uno y en la otra. Cada una de ellas debe poseer una copia de la clave, una copia que haya sido protegida y mantenida fuera del alcance de los demás.

5

Por sí solo, este tipo de encripción no es suficiente para desarrollar el pleno potencial de las transacciones electrónicas. De un lado, resulta poco práctico que una gran corporación intercambie claves con miles o incluso millones de personas o, peor todavía, con aquellas con las que nunca a tratado.

Encripción de Clave Pública

La solución a la seguridad en toda red abierta es una forma de codificación más novedosa y sofisticada, desarrollada por los matemáticos de MIT en los Años 70, y conocida como “Clave Pública”. En este tipo de enfoque cada participante crea dos claves o “Llaves” únicas. Por ejemplo, se dispone de una

...