Criptología en Internet
¿ Por qué es importante la criptografía
en Internet ? Pues porque básicamente toda la estructura
del comercio electrónico dependerá de ella. Recordemos
que aunque actualmente los volúmenes de las transacciones
en línea no supera los 500 millones de dólares por
año las perspectivas más modestas apuestan a que esa
cifra suba hasta los 22.000 millones de dólares para el final
del milenio. Nicholas Negroponte, uno de los más reconocidos
gurús de Internet, considera montos por cien mil millones
de dólares. Pero si, como todos sabemos Internet nació
hace más de veinte años como una red militar, ¿por
qué es insegura para transacciones comerciales ? La razón,
como la explican los mexicanos Daniel Germán y Alejandro
López Ortiz en su artículo ¿ Es la red lo suficientemente
confiable ?, es que “desde sus inicios se decidió que la
seguridad de la información que se transmitía no era
una prioridad, lo más valioso en ese momento era interconectar
computadoras de forma tal que pudiera resistir fallas severas, posiblemente
resultado de un ataque nuclear contra los Estados Unidos”.
El protocolo principal por el cual se transmite la información
que viaja por la red (TCP/IP, Transfer Control Protocol/Internet
Protocol) no ha variado en su esencia desde la creación de
Internet. Esta información se divide en paquetes más
pequeños a los cuales se llama datagramas. Estos datagramas
son enviados por la red sin ningún orden específico.
Así cuando enviamos un mensaje que contenga, por ejemplo,
las letras ABCD, éste se dividirá en cuatro datagramas,
cada uno con una letra. Estos datagramas vijarán de modo
independiente, para luego recomponerse en la computadora de destino,
sin que el receptor final pueda saber qué ruta tomó
cada uno de ellos. Sin embargo, ninguno de estos datagramas está
encriptado y cualquiera que los tome en su recorrido puede leerlos
sin problema.
Y aquí es donde entra la criptografía como aliada
del comercio en línea. La idea es encontrar un sistema en
donde los datos comerciales y financieros puedan viajar de un modo
seguro por la red. A ese sistema se le ha llamado SET (Secure Electronic
Transaction, Transacciones Electrónicas Seguras en español).
SET es un sistema de criptografía basado en el mecanismo
de llave pública y en el cual participan las más importantes
compañías de tarjetas de crédito a nivel mundial
(Visa, Master Card y American Express) y varios colosos de la informática
(Microsoft, IBM, Netscape, entre otros). SET cubre los tres principios
básicos para asegurar el crecimiento del comercio en línea:
- Que la infomación transmitida sea confidencial.
- Transacciones que se lleven a cabo con total integridad, es
decir sin pérdida de datos.
- Autentificar a los habientes y a los comerciantes.
En el SET participan cinco actores, cada uno con sus funciones
bien definidas:
- El emisor, que en este caso es la institución que entrega
la llamada tarjeta de crédito electrónica. Suele
ser un banco.
- El habiente, es la persona que dispone de la tarjeta electrónica
para realizar transacciones
- El comerciante, es el que dispone de un sitio Web para realizar
ventas en línea. d) el pagador, es una institución
que recibe del comerciante el certificado de pago (voucher) que
certifica la transacción entre el comprador y el vendedor
- La cámara de compensación o gateway, es una institución
que se encarga de procesar el pago al comerciante y
- La autoridad cetificadora, que son instituciones encargadas
de generar las llaves públicas y privadas de cada uno de
los miembros del sistema.
Para realizar una transacción en línea se requiere
del siguiente proceso:
- Que el comprador tenga una tarjeta electrónica debidamente
certificada por el banco emisor. Esta tarjeta contiene la identidad
del usuario, su llave pública e información sobre
su cuenta. Todos estos datos están encriptados en forma
de un certificado que es único por cada tarjetahabiente.
- Cuando decide realizar una compra, llena el formulario y lo
firma usando su llave privada. A este pedido le adjunta su certificado.
Luego genera una llave DES al azar con la que encripta todos estos
datos. Luego necesita ubicar la llave pública del comerciante,
que le servirá para encriptar la llave DES.
- Así, el comerciante recibe dos mensajes encriptados:
uno de una llave DES que él podrá descifrar pues
fue generado con su llave pública y otro que contiene los
datos del pedido, que decodificará usando la llave DES
que desencriptó con su llave pública.
- Posteriormente se sigue el mismo proceso, pero entre el comerciante
y la cámara de compensación para completar la transacción.
Volver a Seguridad
Miguel A. Ruz
miguelruz@delitosinformaticos.com
|