Infraestructura de clave pública
A lo largo del presente artículo se expondrán los fundamentos técnicos de algo que empieza a ocupar las agendas de tareas pendientes de todo responsable de e-business: la infraestructura de clave pública o PKI. Los aspectos tecnológicos que fundamentan este nuevo término serán expuestos junto a consideraciones más de tipo de negocio y de implantación de cara a situar el concepto en un plano de negocio, además del meramente informático.
Lo que va a centrar el tema de este artículo tiene que ver con uno de los eternos problemas o escollos que nos hemos venido encontrando en el mundo de Internet y no es otro que el problema de la seguridad en las transacciones, barrera y obstáculo siempre enunciado por las empresas y los consumidores a la hora de justificar su escasa o nula presencia en Internet.
Y hablar de seguridad en las transacciones es hablar de tecnologías que se implantan en los entornos de Internet para evitar, fundamentalmente, cuatro cosas que a ninguno de nosotros nos gustaría que pasasen al protagonizar una transacción en Internet como puede ser la compra de un libro o, algo mucho más comprometido, la compraventa de valores a través de cualquiera de los muchos brokers online existentes.
El primer aspecto es la integridad de la transacción, es decir, asegurar que la comunicación no está alterada y que si decidimos la compra de 100 acciones de Amazon no acaben siendo 1000 cuando el mensaje llegue al broker online. Eso es integridad, preservar el contenido del mensaje o transacción sin alteraciones en su contenido, voluntarias o involuntarias.
Después de la integridad, el segundo aspecto que hay que asegurar es la confidencialidad del mensaje, es decir, que nadie pueda tener acceso al mismo y leer de forma clara su contenido.
Los dos últimos aspectos van ligados y tienen mucho que ver entre ellos. Se trata de la autentificación y el no repudio. Mediante el primero, la autentificación, se identificarán de forma inequívoca tanto el emisor como el receptor de la transacción, o cualquier otra tercera parte que formase parte de la misma. En definitiva, asegurar que todos los que intervienen son quienes dicen ser, sin suplantación alguna de identidades. ¿Acaso a alguno de nosotros nos haría gracia estar mandando nuestras órdenes de compraventa de valores a un chiringito que creíamos que era el broker de nuestro banco de toda la vida?
Finalmente, el no repudio consiste en el no rechazo por parte de cualquier parte interviniente de alguna de las operaciones que ha sido responsabilidad suya. De lo que se trata es de que cuando realmente alguien haya comprado un libro en Amazon, no pueda repudiar la operación y decirle al banco que anule el cargo en su cuenta.
Es claro que cualquiera de los cuatros aspectos comentados, integridad, confidencialidad, autentificación y no repudio, son absolutamente básicos y necesarios para el buen y normal funcionamiento de cualquier sistema transaccional donde se efectúen operaciones de compra y venta, sea o no Internet. La cuestión es si han sido tratados convenientemente hasta el momento en el entorno de Internet y si, de así serlo, han sido convenientemente informados y comunicados a todas las partes. A las empresas para que se animen a entrar en la Red y a los consumidores para que pierdan de una vez por todas el miedo a teclear el número de su tarjeta de crédito en un formulario HTML.
Porque una cosa es la seguridad y otra muy distinta la percepción de seguridad. Una cosa es disponer de mil dispositivos orientados a garantizar la seguridad en cualquier entorno, como un hotel, nuestra casa, un aeropuerto o un banco, y otra muy distinta que la existencia de esos dispositivos sea percibida y asimilada por el individuo. Una cosa es asegurar, y otra muy distinta transmitir seguridad, y más que seguridad, transmitir confianza, es decir, tranquilidad en las acciones.
La realidad es que hasta el momento, sólo los aspectos de integridad y la confidencialidad han sido tratados con rigor mediante protocolos de seguridad como SSL.
Cuestión de confianza
Perfecto, integridad y confidencialidad aseguradas mediante SSL ¿y la autentificación? ¿cómo aseguramos la autentificación? Bien, echemos primero un vistazo a cómo se asegura y se ha venido asegurando en cualquier entorno transaccional hasta el momento. De lo que se trata es de poder identificar de forma inequívoca a cualquier parte independiente y eso, en el mundo tradicional se hace con nuestro documento nacional de identidad, cuyo propósito no es otro que ese mismo, identificar a una persona.
Si cogemos ahora mismo nuestro documento nacional de identidad y lo estudiamos con un poco de detenimiento, vemos que existen diferentes elementos que realmente nos identifican. Por un lado, hay elementos descriptivos de información, como nuestro nombre y apellidos, el lugar de nacimiento, la fecha, el nombre de los padres, el sexo y el domicilio. Existe un número que es único y nos identifica de forma unívoca entre todos los españoles y existe un elemento que es con el que se establece la correspondencia con toda la información anterior y realmente nuestra persona: nuestra foto, pues sin ella no sería posible ligarnos a todo lo anterior. Si nos fijamos un poco más, veremos que también existe una fecha, una fecha que marca el fin de la validez del documento. Sobre este concepto volveremos más tarde cuando veamos cómo se implementan estos mecanismos en el entorno de Internet.
El documento nacional de identidad nos identifica de forma definitiva, nos transmite seguridad, confianza, frente a la frialdad de un HTML servido por un servidor que ni sabemos cómo d
Lo que va a centrar el tema de este artículo tiene que ver con uno de los eternos problemas o escollos que nos hemos venido encontrando en el mundo de Internet y no es otro que el problema de la seguridad en las transacciones, barrera y obstáculo siempre enunciado por las empresas y los consumidores a la hora de justificar su escasa o nula presencia en Internet.
Y hablar de seguridad en las transacciones es hablar de tecnologías que se implantan en los entornos de Internet para evitar, fundamentalmente, cuatro cosas que a ninguno de nosotros nos gustaría que pasasen al protagonizar una transacción en Internet como puede ser la compra de un libro o, algo mucho más comprometido, la compraventa de valores a través de cualquiera de los muchos brokers online existentes.
El primer aspecto es la integridad de la transacción, es decir, asegurar que la comunicación no está alterada y que si decidimos la compra de 100 acciones de Amazon no acaben siendo 1000 cuando el mensaje llegue al broker online. Eso es integridad, preservar el contenido del mensaje o transacción sin alteraciones en su contenido, voluntarias o involuntarias.
Después de la integridad, el segundo aspecto que hay que asegurar es la confidencialidad del mensaje, es decir, que nadie pueda tener acceso al mismo y leer de forma clara su contenido.
Los dos últimos aspectos van ligados y tienen mucho que ver entre ellos. Se trata de la autentificación y el no repudio. Mediante el primero, la autentificación, se identificarán de forma inequívoca tanto el emisor como el receptor de la transacción, o cualquier otra tercera parte que formase parte de la misma. En definitiva, asegurar que todos los que intervienen son quienes dicen ser, sin suplantación alguna de identidades. ¿Acaso a alguno de nosotros nos haría gracia estar mandando nuestras órdenes de compraventa de valores a un chiringito que creíamos que era el broker de nuestro banco de toda la vida?
Finalmente, el no repudio consiste en el no rechazo por parte de cualquier parte interviniente de alguna de las operaciones que ha sido responsabilidad suya. De lo que se trata es de que cuando realmente alguien haya comprado un libro en Amazon, no pueda repudiar la operación y decirle al banco que anule el cargo en su cuenta.
Es claro que cualquiera de los cuatros aspectos comentados, integridad, confidencialidad, autentificación y no repudio, son absolutamente básicos y necesarios para el buen y normal funcionamiento de cualquier sistema transaccional donde se efectúen operaciones de compra y venta, sea o no Internet. La cuestión es si han sido tratados convenientemente hasta el momento en el entorno de Internet y si, de así serlo, han sido convenientemente informados y comunicados a todas las partes. A las empresas para que se animen a entrar en la Red y a los consumidores para que pierdan de una vez por todas el miedo a teclear el número de su tarjeta de crédito en un formulario HTML.
Porque una cosa es la seguridad y otra muy distinta la percepción de seguridad. Una cosa es disponer de mil dispositivos orientados a garantizar la seguridad en cualquier entorno, como un hotel, nuestra casa, un aeropuerto o un banco, y otra muy distinta que la existencia de esos dispositivos sea percibida y asimilada por el individuo. Una cosa es asegurar, y otra muy distinta transmitir seguridad, y más que seguridad, transmitir confianza, es decir, tranquilidad en las acciones.
La realidad es que hasta el momento, sólo los aspectos de integridad y la confidencialidad han sido tratados con rigor mediante protocolos de seguridad como SSL.
Cuestión de confianza
Perfecto, integridad y confidencialidad aseguradas mediante SSL ¿y la autentificación? ¿cómo aseguramos la autentificación? Bien, echemos primero un vistazo a cómo se asegura y se ha venido asegurando en cualquier entorno transaccional hasta el momento. De lo que se trata es de poder identificar de forma inequívoca a cualquier parte independiente y eso, en el mundo tradicional se hace con nuestro documento nacional de identidad, cuyo propósito no es otro que ese mismo, identificar a una persona.
Si cogemos ahora mismo nuestro documento nacional de identidad y lo estudiamos con un poco de detenimiento, vemos que existen diferentes elementos que realmente nos identifican. Por un lado, hay elementos descriptivos de información, como nuestro nombre y apellidos, el lugar de nacimiento, la fecha, el nombre de los padres, el sexo y el domicilio. Existe un número que es único y nos identifica de forma unívoca entre todos los españoles y existe un elemento que es con el que se establece la correspondencia con toda la información anterior y realmente nuestra persona: nuestra foto, pues sin ella no sería posible ligarnos a todo lo anterior. Si nos fijamos un poco más, veremos que también existe una fecha, una fecha que marca el fin de la validez del documento. Sobre este concepto volveremos más tarde cuando veamos cómo se implementan estos mecanismos en el entorno de Internet.
El documento nacional de identidad nos identifica de forma definitiva, nos transmite seguridad, confianza, frente a la frialdad de un HTML servido por un servidor que ni sabemos cómo d
