ESTRUCTURA PKI

1. Tecnología de seguridad TIC aplicables al CE.

2. Políticas de seguridad

3. Tecnología de seguridad utilizada en el CE.

4. Protocolos de seguridad aplicables al CE.

5. Criptografía aplicable al CE.

6. Certificados digitales y firma digital

7. Aspectos jurídicos aplicables al CE.

8. Ejemplo

9. Conclusiones y Recomendaciones.

TEMARIO

TECNOLOGÍA DE SEGURIDAD TIC APLICABLES AL CE

(PUBLIC KEY INFRASTRUCTURE)

Es una combinación de hardware y software, políticas y procedimientos de seguridad que

permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma

digital o el no repudio de transacciones electrónicas.

Usos de la tecnología PKI

Autenticación de usuarios y sistemas

(login)

Identificación del interlocutor

Cifrado de datos digitales

Firmado digital de datos

(documentos, software, etc.)

Asegurar las comunicaciones

Garantía de no repudio (negar que

cierta transacción tuvo lugar)

Fuente: http://www.monografias.com/trabajos15/comercio-electronico/comercio-electronico.shtml#ixzz2g6p5eFNu

"Business to business" (entre empresas)

"Business to consumers" (Entre empresa y consumidor)

"Consumers to consumers" (Entre consumidor y consumidor)

"Consumers to administrations" (Entre consumidor y administración)

"Business to administrations" (Entre empresa y administración)

NEGOCIOS DE COMERCIO ELECTRÓNICO A LOS QUE SE

APLICA LA TECNOLOGÍA PKI

COMPONENTES PKI

Autoridad de

Certificación

Emite y revoca certificados.

Brinda legitimidad a la relación entre

una clave pública y la identidad de un

usuario o servicio.

Autoridad de

Registro

Verifica el enlace entre los

certificados y la identidad de

sus titulares.

Repositorios

Almacenan la información

relativa a las PKI.

Autoridad de

Validación

Comprueba la validez de los

certificados digitales.Autoridad de

Sellado de tiempo

Firma documentos para probar

que existían antes de un

determinado instante de tiempo.

MAPA CONCEPTUAL

La seguridad en la infraestructura PKI depende en parte de cómo se guarden las claves

privadas.

Controles de seguridad de información en los repositorios.

Conjunto de reglas que se aplican a cada uno de los certificados según su nivel de

usuario.

Políticas de Seguridad a Nivel de Comunicaciones. Mejor Tecnología que respalde nuestra

seguridad. Reforzar y garantizar el uso de dispositivos móviles

Políticas de Calidad que validen la ejecución de procesos, principalmente garantía de no

repudio.

Criptografía de clave privada o simétricos yƒ Criptografía de clave pública o asimétricos.

POLITICAS DE SEGURIDAD

TECNOLOGÍA DE SEGURIDAD UTILIZADA EN EL CE.

Existen dispositivos especiales denominados tokens de seguridad IPASS

(asociada a Cisco) para facilitar la seguridad de la clave privada.

Tarjetas Ekey de Coordenadas, muy utilizada actualmente en los Bancos.

Incorporar medidas biométricas, como la verificación de huella dactilar, que

permiten aumentar la confiabilidad.

POLÍTICAS DE SEGURIDAD: MAPA CONCEPTUAL

PROTOCOLOS DE SEGURIDAD APLICABLES AL CE.

PKIX (IETF).

PKCS (RSA).

Secure Socket Layer (SSL) & Transport Layer Security

(TLS).

Secure Electronic Transactions (SET).

X509, X500

IPSec.

MIME Security

La criptografía abarca el uso de mensajes encubiertos, códigos y cifras. Mediante el uso de

Métodos, y combinaciones propias conforme a sistemas predeterminados.

CRIPTOGRAFÍA APLICABLE AL CE

CRIPTOGRAFIA PKI

Simétrica Asimétrica

.

1 Clave compartida2 Claves

Clave Pública y Clave

Privada.

CERTIFICADOS DIGITALES Y FIRMA DIGITAL

Existen diferentes tipos de certificado digital, en función de la información que contiene cada uno

y a nombre de quién se emite el certificado:

Certificado personal, que acredita la identidad del titular.

Certificado de pertenencia a empresa, que además de la identidad del titular acredita su

vinculación con la entidad para la que trabaja.

Certificado de representante, que además de la pertenencia a empresa acredita también los

poderes de representación que el titular tiene sobre la misma.

Certificado de persona jurídica, que identifica una empresa o sociedad como tal a la hora de

realizar trámites ante las administraciones o instituciones.

Certificado de atributo, el cual permite identificar una cualidad, estado o situación. Este tipo de

certificado va asociado al certificado personal. (p.ej. Médico, Director, Casado, Apoderado de...,

etc.).

Además, existen otros tipos de certificado digital utilizados en entornos más técnicos:

Certificado de servidor seguro, utilizado en los servidores web que quieren proteger ante

terceros el intercambio de información con los usuarios.

Certificado de firma de código, para garantizar la autoría y la no modificación del código de

aplicaciones informáticas.

Estructura Certificado

Integración Certificados y

Protocolos de PKI

FLUJO DE CRIPTOGRAFIA Y CERTIFICADOS EN EL CE

Aspectos jurídicos aplicables al CE.

Ley de Telecomunicaciones

Ley sobre Mensajes de Datos y Firmas Electrónicas

Ley especial contra los delitos informáticos

Ley General de Bancos y otras Instituciones Financieras

Ley de Cajas de Valores

Ley de Licitaciones

Ley Orgánica de Ciencia y Tecnología

Ejemplo

Sector Público: Sistema

Quipux, Administración de

Documentos, Autorizaciones

de compras y gestión

Otro Ejemplo seria Correo del

Ecuador

Sector Privado:

Bancos, gestión de

Compra, Venta, y Pago

de Servicios

CONCLUSIONES Y RECOMENDACIONES.

El Comercio Electrónico nace como una alternativa de reducción de costos y un mejor

desempeño empresarial.

Garantiza una disponibilidad las 24 horas del día, desde cualquier parte del mundo

Todo certificado válido, ha de ser emitido por una Autoridad de certificación reconocida, que

garantiza la validez de la asociación entre el tenedor del certificado y el certificado en sí.

Las comunicaciones con seguridad PKI no requieren del intercambio de ningún tipo de clave

secreta para su establecimiento, por lo que se consideran muy seguras si se siguen las

políticas de seguridad pertinentes

Se necesitan crear entidades que validad, renuevan y revocan, certificados digitales a nivel

local

Desventajas:

Elimina el contacto directo y por ende el conocimiento de la empresa y el cliente; así como

también crea desconfianza en cuanto a la seguridad del sistema.

Aun las transacciones tienen un alto porcentaje de riesgo, fraude o alteración de datos

personales.