Bases de Comercio Electrnico - PowerPoint PPT Presentation

1 / 48
About This Presentation
Title:

Bases de Comercio Electrnico

Description:

Funciones de Hash. Pemite obtener un Valor de Integridad sobre un objeto de informaci n ... mediante la combinaci n de una Funci n de Hashing y un Algoritmo Asim trico ... – PowerPoint PPT presentation

Number of Views:42
Avg rating:3.0/5.0
Slides: 49
Provided by: marcoant
Category:

less

Transcript and Presenter's Notes

Title: Bases de Comercio Electrnico


1
Bases de Comercio Electrónico
  • Elementos de Seguridad en CE
  • Marco Antonio Zúñiga Yáñez
  • ma_zuniga_at_yahoo.com

2
Introducción
  • Elementos de Motivación

3
La confianza en los negocios electrónicos
  • Seguridad y Confianza forman parte del entorno
    natural de los negocios
  • En un contexto de Globalización y Convergencia,
    las organizaciones requieren resguardar aún más
    sus activos esenciales y su relación con el
    ambiente
  • Actores principales
  • Empleados y Personas Naturales
  • Proveedores
  • Business Partners

4
Por qué la Seguridad?
  • La seguridad por sí sola no ofrece Valor Agregado
    a un proceso, pero ...
  • Previene la ocurrencia de eventos extraordinarios
    que afectan al proceso.
  • La decisión de incorporarla depende de un
    análisis costo/beneficio.

Cuánto pierdo si ocurre un evento no
contemplado Cuánto debo invertir para prevenir
dicho evento
5
Riesgos dentro de la organización
  • Robo de información confidencial
  • espionaje
  • Modificación no autorizada de información
  • Sabotaje
  • que afecta las operaciones de apoyo al negocio
  • Errores de procesamiento
  • mal diseño
  • fallas de hardware, software
  • situaciones de excepción no contempladas
  • Daño o muerte personal

6
Riesgos entre organizaciones
  • Surgen al incorporar Tecnologías de Información
    de apoyo al Comercio Electrónico (e-business)
  • Algunos riesgos frecuentes
  • Lectura de Mensajes por personas y/o procesos no
    autorizados
  • Modificaciones al contenido
  • Pérdida, reemplazo o reenvío de Información
  • Suplantación de Origen o Destino
  • Negación de la responsabilidad en una
    transferencia
  • Interrupción o retardo de servicios
  • Alteración de sistemas de control
  • Fraudes coordinados entre el personal
  • Errores de transferencia y procesamiento

7
Pilares de la ConfianzaLas principales
preocupaciones
  • Una mirada desde la óptica de negocios
  • Integridad
  • Autenticación
  • No Repudiación
  • Confidencialidad
  • Acceso Controlado
  • Disponibilidad

8
Areas de Seguridad
  • Disponibilidad de servicios
  • Auditoría y control
  • Control de acceso
  • --gtSeguridad de datos lt--
  • Aspectos legales

9
Disponibilidad de Servicios
  • Considera fortalecer la Continuidad Operacional
    de una organización, servicio o proceso
  • Por ejemplo, el Denial of Service (DOS) es un
    ataque limpio, basado exclusivamente en la
    variabilidad de las condiciones de entorno
  • Técnicas para impedir la interrupción de
    servicios
  • Arquitecturas alternativas de Hardware, Software
    y Enlaces de Comunicaciones
  • Respaldo
  • Físico
  • De Datos y Software
  • Humano
  • Revisión de dependencias físicas
  • Definición de procedimientos de contingencia
  • Control de proveedores

10
Auditoría y Control
  • Permiten anticipar en forma sistemática los
    eventos extraordinarios
  • El Control (o procedimiento de seguridad) puede
    ser de tres tipos
  • Preventivo
  • Detectivo
  • Correctivo

11
Técnicas de Auditoría y Control
  • Definición y certificación de Medios de Prueba
  • Técnicas CAAT (Computer Asisted Auditing
    Techniques)
  • Rastreo de información (tracking)
  • Time stamping
  • Archiving
  • Método de los 4 ojos
  • Estancos de seguridad

12
Control de Acceso
  • Regulan el acceso a recursos de un sistema
  • Impiden la suplantación de personas y/o procesos
    en un ambiente de interconexión o procesamiento
    distribuido
  • NOTA El uso del esquema tradicional usuario y
    clave secreta hoy es de alto riesgo
  • Tendencias Actuales
  • Jerarquías de Acceso
  • Control de Acceso para Usuarios mediante
    dispositivos físicos y biometría
  • Modelos Challenge/Response
  • Sistemas Portales para ambientes Cliente/Servidor

13
Seguridad de Datos
  • Protege la información que se almacena, procesa,
    envía y/o recibe
  • Se implementa principalmente mediante el uso de
    técnicas criptográficas
  • Existen múltiples alternativas de implementación
  • Herramientas disponibles
  • Algoritmos Simétricos
  • Algoritmos Asimétricos
  • One Way Functions

14
Tendencias
  • Implementación a nivel de las Aplicaciones
  • Permeabilidad entre capas de protocolo
  • Técnicas combinadas de Hardware y Software
  • La Firma Digital se impone a nivel mundial como
    un medio de prueba irrevocable
  • La FD depende tanto del usuario que firma como
    del archivo/documento/mensaje que está firmando
  • Posee un modelo de operación simple

15
Servicios de Seguridad de Datos
  • Confidencialidad
  • Impide el acceso a la información a procesos y/o
    personas no autorizados
  • Integridad
  • Permite verificar que la información no ha sido
    modificada desde su generación
  • Autenticación
  • Permite validar la identidad de un usuario
    Originador de información
  • No repudiación
  • Impide que el Originador de información
    desconozca su responsabilidad

16
Criptografía
  • La Criptografía permite intercambiar información
    sensitiva entre dos partes mediante la
    Encriptación
  • Encriptar información es modificarla de modo que
    sólo el receptor adecuado puede recuperar la
    información original mediante la desencriptación

17
Técnicas Básicas de Criptografía
  • Funciones de Hash
  • Algoritmos Simétricos
  • Algoritmos Asimétricos

18
Seguridad de DatosFunciones de Hash
  • Pemite obtener un Valor de Integridad sobre un
    objeto de información
  • Ejemplos de Valores de Integridad CheckSums,
    Digitos Verificadores, Restos
  • Aplicaciones Verificación de consistencia y no
    modificación de objetos de información

Texto Claro Texto Claro Texto Claro Texto Claro
Texto Claro Texto Claro
Valor Numérico o String de Hash
19
Seguridad de DatosAlgoritmos de Encriptación
  • Procedimientos para codificar información en
    forma privada, para prevenir la lectura por
    aquellos no autorizados (personas y/o procesos).

Clave
Encriptación
(/JHGKJHVY87658765)(/kjygf)(/kjhg)
(/oi
Texto Claro Texto Claro Texto Claro Texto Claro
Texto Claro Texto Claro
Desencriptación
20
Encriptación Simétrica
  • Encriptación basada en una clave secreta,
    compartida entre ambas partes
  • Una clave se utiliza tanto para encriptar como
    para desencriptar
  • Se denomina clave de encriptación simétrica (la
    misma en ambas puntas)
  • Requiere un canal seguro para el primer
    intercambio de claves

21
Algoritmos Simétricos (Esquema)
Originador
Clave K
(/JHGKJHVY87658765)(/kjygf)(/
Texto Claro Texto Claro Texto Claro Texto Claro
Ejemplo DES Uso ATM, POS, Defensa
Texto Claro Texto Claro Texto Claro Texto Claro
(/JHGKJHVY87658765)(/kjygf)(/
Receptor
Clave K
22
Análisis Encriptación Simétrica
  • Fortalezas
  • Alto desempeño (rápida)
  • Adecuada para grandes volúmenes de información
  • Modelo intuitivo
  • Permite incorporar Firma Electrónica mediante
    un MAC
  • Debilidades
  • Proceso de transferencia de clave por un canal
    externo asegurado
  • Número de claves se vuelve inmanejable aún para
    una comunidad pequeña de usuarios
  • No puede utilizarse para firma digital
  • Si se compromete la clave, se compromete la
    Autenticación y la Confidencialidad

23
Encriptación Asimétrica
  • Encriptación basada en una pareja de claves,
    distribuidas entre ambas partes
  • Una se denomina llave pública, la cual se pone
    a disposición pública
  • La otra de denomina llave privada, mantenida en
    secreto por sólo uno de los participantes
  • Características
  • Una clave para encriptar, otra para desencriptar
    (el proceso conmuta)
  • No requiere un canal asegurado para el primer
    intercambio de claves

24
Algoritmos Asimétricos (Esquema)
Originador
Clave K1
(/JHGKJHVY87658765)(/kjygf)(/
Texto Claro Texto Claro Texto Claro Texto Claro
Ejemplo RSA Uso Firma Digital, VPNs
Texto Claro Texto Claro Texto Claro Texto Claro
(/JHGKJHVY87658765)(/kjygf)(/
Receptor
Clave K2
Llave Pública / Llave Privada
25
Análisis Encriptación Asimétrica
  • Fortalezas
  • Permite sistemas de administración de claves
  • Puede ser utilizada para encriptar y para firma
    digital
  • Debilidades
  • Modelo poco intuitivo
  • Algoritmos pesados, poco adecuados para grandes
    volúmenes de información

26
Comparación entre Encriptación Simétrica y
Asimétrica
27
Firma Digital
  • Técnica que permite enviar documentos
    electrónicos asegurados, que se implementa
    mediante la combinación de una Función de Hashing
    y un Algoritmo Asimétrico

28
Modelo de Firma Digital(Digital Signature)
29
Características Firma Digital
  • Permite en una operación verificar
  • Integridad
  • Autenticación
  • No repudiación
  • La FD depende tanto del documento como de quien
    firma
  • No interviene sobre el objeto de información
  • Permite múltiples firmas e implementación de
    modelos de contrato

30
Implementación de Servicios de Seguridad de Datos
  • Confidencialidad
  • Método Encriptación de contenido
  • Integridad
  • Método Uso de valores de integridad
  • Autenticación
  • Método MAC (Message Authentication Code)
    Implementado mediante una función de Hash y un
    algoritmo de encriptación simétrico
  • No repudiación de Origen
  • Método Firma Digital(Implementado medianta una
    función de Hash y un algoritmo asimétrico)

31
Tendencia actual de Encriptación
  • Modelo que combina ambos esquemas, aprovechando
    las fortalezas y resolviendo las debilidades
  • Una clave simétrica (generalmente aleatoria,
    llamada llave de sesión) para encriptación del
    contenido
  • Una pareja asimétrica para intercambio de la
    clave simétrica

32
Modelo Dual paraTransmisiones Seguras
  • Permite en una misma transmisión, incorporar
    Encriptación de Contenido y Firma Digital
  • Un par de claves asimétricas para transmisión de
    la clave de encriptación (Pareja del
    Destinatario)
  • Un par de claves asimétricas para efectos de la
    Firma Digital (Pareja del Originador)

33
Seguridad de DatosResumen de Técnicas
  • La Firma Digital depende tanto del usuario que
    firma como del archivo, documento o mensaje que
    está firmando
  • Posee un modelo de operación simple (dada una
    entidad certificadora)
  • La confidencialidad se logra con la encriptación
    de contenido
  • La encriptación y la firma digital son servicios
    complementarios, no alternativos

34
Algunas Aplicaciones
  • Correo Seguro
  • SSL
  • VPNs
  • Acceso Seguro
  • Archiving y Backups
  • TimeStamping

35
Bases de Comercio Electrónico
  • Elementos de Seguridad en CE
  • Certificación Digital
  • Marco Antonio Zúñiga Yáñez
  • ma_zuniga_at_yahoo.com

36
Definición de Certificado Digital
  • Un certificado es un documento electrónico
    utilizado para identificar un individuo, un
    servidor, una compañía o alguna otra entidad, y
    asociar esa identidad con una llave pública
  • Notas
  • Diferencia entre identidad y verificación de
    identidad
  • Analogías con el mundo papel

37
Diferencias entre la firma hológrafa, firma
electrónica, firma digital
  • Dependencia del Documento específico
  • Dependencia del Usuario específico
  • Período de Validez
  • Mecanismo de Peritaje

38
Roles en la Certificación Digital
  • Autoridad Certificadora
  • Autoridad de Registro
  • Notaría Digital

39
Funciones de la Autoridad Certificadora
  • Validación de Identidad
  • Emisión de Certificados
  • Validación de Certificados
  • Administración de las Políticas de Revocación
  • Descomposición entre Autoridad Certificadora y
    Autoridades de Registro
  • Diferencias con una Notaría Electrónica

40
Elementos de una PKI
  • Autoridad Certificadora
  • Repositorio de Claves
  • Sistema de Revocación
  • Mecanismo de Respaldo y Recuperación de Claves
  • Soporte para No-Repudiación (Notaría)
  • Actualización Automática de Claves
  • Administración del Histórico de Llaves
  • Certificación Cruzada
  • Servicios de Timestamping
  • Software lado cliente

41
Infraestructura PKI
  • Un conjunto de políticas y procedimientos para el
    intercambio de información entre partes. Incluye
    el uso de métodos criptográficos, el uso de
    firmas digitales, certificados digitales y
    autoridades certificadoras, y los sistemas para
    la administración de los procesos.

42
Jerarquías de Confianza
43
Esquema de Verificación del Certificado
44
Tipos de Certificados Digitales
  • Clientes SSL
  • Servidores SSL
  • Certificados de Usuario S/MIME
  • Certificados para Firma de Objetos (aplicaciones)
  • Certificados de Autoridad Certificadora

45
Ejemplo de Aplicación SSL
46
Usos de Certificados Digitales
  • Encriptación
  • Firma Digital
  • Control de Acceso
  • SSL
  • VPN

47
Visiones de la Certificación
  • Visión basada en el Directorio
  • PKI, VPN, e-mail, control de acceso,
    autenticación
  • Visión basada en la PKI
  • VPN, e-mail, control de acceso, Privacidad y
    Autenticación
  • Visión basada en la Empresa (aplicación)
  • Acceso a recursos, estructura de poderes

48
Modelo de negocios de la Certificación
  • Contexto Estratégico
  • Componentes fundamentales de ingreso
  • Externalidades
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Bases de Comercio Electrnico" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!