resumen de los capitulos 1 y 3

Resumen del capitulo I: criptografia

En un modelo formal de comunicación sobre un canal no seguro el emisor debe codificar los datos a partir de ahora los llamares texto claro mediante un método de cifrado usando para ello una clave dispuesta a tal electo. En el destino, el receptor de la información transmitida aplica un método de descifrado usando la clave adecuada tal vez posiblemente la misma que el emisor, aunque no necesariamente para recuperar los datos originales.

Entre los objetivos de una comunicación segura, además de la ya supuesta confidencialidad de datos, se encuentran la autentificación, el control de accesos, su integridad y el no repudio sobre los mismos^.

Para poder llevarlos a cabo los criptógrafos desarrollan algoritmos cifradores, que los criptoanalistas intentan romper. Ambas actividades se denominan globalmente criptologia y sus seguidores, criptólogos.

Tradicionalmente los más grandes precursores de los avances en técnicas criptográficas han sido, a lo largo de la historia, tanto el cuerpo militar —especialmente inteligencia y contra inteligencia militar- como sus respectivos gobiernos. Hasta !a llegada de los ordenadores la criptografía se reducía a transformaciones, probablemente llevadas a cabo en circunstancias extremas (por ejemplo en campos de batalla), efectuadas por personal entrenado para tal tarea.

Para poder realizar un análisis con probabilidad de éxito, el criptoanalista deberá conocer el hecho de estar enfrentándose a un cifrado por transposición. El análisis se basa en emparejar, tentativamente, columnas y probar si forma digramas¹⁵ estadísticamente congruentes con las características del lenguaje que se le supone al texto normal. Una ve? seleccionado el par más probable, se combina con el resto de las columnas restantes, para formar trigramas. Así, poco a poco, se puede conseguir deducir el orden y cantidad de las columnas inicialmente elegidas (la clave).Parece que hasta ahora los criptoanalistas tienen todos los ases en su mano. Los algoritmos dados hasta ahora parecen ser muy sensibles a sus ataques, sobre todo si nos ayudamos de un ordenador.

Las funciones hash no son algoritmos cripiográficos, en el sentido formal del término, pero si son extensivamente usadas en multitud de áreas de la informatica y en la criptografía en particular. La razón de situar este tema en este punto es exclusivamente pedagógico, ya que considero que desde el punto de vista de su complejidad, las funciones hash deben situarse antes de los métodos de criptografía de clave privada.

Conceptualmente, las funciones hash convierten entradas de datos de longitud arbitraria en salidas de longitud fija. las propiedades de una función hash son:

• Cada bit del resultante de la función sufre la influencia de cada bit de la entrada de la misma

• Si se modifica cualquier bit de la entrada de la función, cada bit de salida tiene como mínimo un 50% de posibilidades de cambiar.
• Dada una entrada y su valor hash calculado, no debe ser factible computacionalmente encontrar otra que genere el mismo valor. En caso de existir, se dice que ambas entradas colisionan.

Se puede distinguir entre las funciones que aceptan solamente un parámetro y las que aceptan un segundo. Las primeras son conocidas como funciones hash criptográficas o funciones hash a secas.

el hecho de que una función hash sea unidireccional, no implica que sea difícil encontrar dos entradas que colisionen . A las características que hereda de las OW1H' hay que añadir otra: debe ser difícil encontrar dos entradas distintas que ofrezcan el mismo resultado^.

FUNCIÓN HASH UNIDIRECCIONAL UNIVERSAL (UOWHF): La entrada se complementa con un segundo parámetro, s. público; esto obliga a elegir un valor determinado de dicho parámetro, lo cual no ayuda precisamente a un hipotético atacante.

Históricamente las funciones hash más importantes desde el punto de vista de su uso práctico son:

MT)2 (Message Digesl 2) creado por R. Rivest en 1990. Resultado de 128 bits. Muy segura, pero lenta de calcular y orientada a aritmética de 8 bits.

MIM también de R. Rivest intentó ser una evolución de MD2, pero se demostró insegura. Resultado de 128 bits y aritmética de 32 bits.

MD5, otra vez el mismo autor, mejoró aparentemente la seguridad de MD4, pero en 1996 se encontraron errores que han ocasionado que se abandone progresivamente". En [7] tenemos una buena descripción de la función.

SHA (Secare Hash Algorilhm) creado por la NSA para OSS (estándar de firmas digitales del N1ST) on 1993. Se considera inseguro si no se lleva a cabo un pequeño cambio. Su salida ocupa 160 bits. En [7] tenemos una somera explicación de su funcionamiento.

SIIA-1 se supone más seguro que su predecesor, al cual sólo añade cambios menores. Produce una salida de 160 bits.

La criptografía moderna se basa en los mismos principios básicos de sustitución y transposición, pero desde otro punto de vista. Antes se buscaban algoritmos sencillos y claves largas, hoy en día es al contrario: buscamos claves cortas y algoritmos tan complejos que el criptoanalista no sea capaz de entenderlo aunque tenga texto cifrado de su elección.

La criptografía simétrica usa fa misma clave en ambos extremos de la operación, en la encriptación y en la desencriptación. Dado que hemos partido del supuesto de que el algoritmo es público, lo que aquí debe ocultarse a terceros es la clave, lis obvio, por tanto. que el destinatario del mensaje cifrado debe conocer la clave secreta: este detalle implica uno de los problemas más serios de este sistema: el problema de distribución (gestión) de las claves .

Los algoritmos de cifrado de bloques pueden ser aplicados de diversos modos. podemos consultar los detalles de estas configuraciones:

electronic Codebook (ECB); cada bloque de entrada se encripta de forma independiente al resto. Idénticos bloques de entrada producen idénticos bloques de salida. Es el más tapido y fácil de implementar. Sin embargo es el menos seguro.

Cipher block chaining (GBC): cada bloque de entrada es previamente encadenado (operación XOK) con el resultado cifrado del bloque anterior, para después ser codificado. El primer bloque se opera con uno inicial (VI, vector de inicialización) conocido por ambos, emisor y receptor.

Cipher feedback (CFB): usado para el cifrado byte a byte. Es adecuado cuando no se puede esperar a llenar un bloque para su transmisión codificada.

Outuui feedback (OFB): casi idéntico a CFB, excepto por la modificación que permite que este esquema sea más robusto a errores de transmisión dentro de un bloque. El error de un bit en el bloque cifrado de entrada sólo afecta a un bit en el bloque decodificado de salida.

Resumen del capitulo 3: comercio electrónico

El término dinero designa un medio que puede ser usado para certificar el valor de los bienes o servicios intercambiados usando un sistema de referencia común a todas las partes participantes. En sus inicios el dinero tenía una naturaleza materialista, con una determinada composición, peso y dimensiones. Hoy en día el soporte material es independiente de su valor.

Una unidad monetaria es un símbolo que mide la capacidad adquisición legalmente instaurada y socialmente aceptada en una determinada  región geográfica.  Este símbolo debe satisfacer las siguientes condiciones:

 

• Debe ser divisible para poder soportar compras de bienes o servicios de diferente importe.
• Debe ser convenible a otras unidades de pago.
• Debe ser reconocida por una comunidad de usuarios.
• Debe ser respaldada por el poder del estado.

El dinero escriturado es emitido por bancos o instituciones de crédito, las cuales ponen en disposición de los agentes no financieros instrumentos de pago a cambio de intereses proporcionales al riesgo y a la duración de la operación, el valor de este tipo de dinero reside en la confianza de la que disfruta la entidad emisora y en las garantías que el sistema posea.

Los instrumentos de pago más corrientes son:

El efectivo constituye el dinero fiduciario que el banco central y el tesoro público emiten en forma de billetes y monedas. Este medio es el preferido en el comercio cara a cara. Dado que es posible fabricar dinero en efectivo falso, la seguridad de este medio recae en la confianza que se tengan las partes entre si: la seguridad tiene un precio.

Los cheques son el medio de pago más caro, ya que el procesamiento de cada cheque individual cuesta entre 20 céntimos y SI americano.

Las trasferencias a crédito son movimientos de dinero entre cuentas, siendo el deudor quien inicia el traspaso. Este medio requiere que el deudor conozca el banco y las cuentas del beneficiario.

Los cargos a cuenta son ampliamente usados en el cobro periódico de servicios como el consumo de agua, electricidad, etc. Normalmente este medio requiere que el deudor firme un documento aceptando futuros cargos.

Las letras de cambio son medios usados principalmente en el ámbito profesional. Con ellos el deudor o el beneficiario pueden tomar la iniciativa del proceso; el segundo puede descontar inmediatamente las letras de cambio, obteniendo su valor en moneda, o esperar a su vencimiento.

Por último las tarjetas de pago pueden ofrecer servicios muy distintos: desde la retirada en efectivo al crédito inmediato, pasando por tarjetas de crédito financieras, tarjetas de fidelidad o las que permiten un uso corporativo privado, en general su uso está aumentando en los países analizados.

Podemos definir el comercio electrónico (e-commerce) como la actividad comercial consistente en la entrega de bienes, o servicios, a compradores que usan sistemas de pagos electrónicos (EPS).

Los problemas de los sistemas de pagos tradicionales son bien conocidos: el dinero puede ser falsificado, las firmas olvidadas, los cheques pueden ser rechazados, etc.

De la misma manera, los EPS tienen sus propios problemas, entre otros:

 

•  Los documentos digitales pueden ser copiados con exactitud y frecuencia.
• Las firmas digitales pueden ser generadas por cualquiera que conozca la clave privada.
• La identidad  del  pagador   puede  ser  asociada   con   cada transacción que realice.

A partir de ello podemos inferir los requerimientos de seguridad de los EPS: autentificación, integridad, autorización y confidencialidad.

Los sistemas de pago electrónico (EPS) tienen sus propias propiedades principales:

Medios offline vs online: en un sistema offline tanto el comprador como el comerciante están en contacto durante la transacción, pero estos no tienen conexión con sus respectivos bancos. En este escenario el beneficiario no tienen forma de confirmar con el banco emisor, el del cliente, si realmente va a recibir el pago. De la misma manera un sistema offline no puede verificar si el pagador ha agotado su saldo.

Medios basados en el débito vs los basados en crédito: en los sistemas de crédito, el pagador retrasa, acumulando, los pagos; los cuales le serán cargados en su cuenta en una o más veces, fraccionando o financiando el total acumulado.

Macro vs micro transacciones: los micropagos son transacciones que implican un pequeño gasto; por debajo de los 6 £, por ejemplo. Frente a estos los macropagos implican un montante sin un máximo definido, arbitrariamente alto o bajo.

Actualmente, mediante una red de comunicaciones, un cliente puede acceder a una plataforma B2C y llevar a cabo su compra usando su tarjeta de crédito.

En 1994 First Virtual (FV) fue la primera empresa en ofrecer servicios de compra de información digital a través de Internet, esta empresa representa un caso especial desde un punto de vista técnico como histórico, ya que no usaban criptografía.

Los protocolos iKP (IKP. 2KP. 3KP) forman una familia de arquitecturas de pago seguro propuesto por IBM. Estos protocolos usan criptografía de clave pública (PKC) y son compatibles con las infraestructuras de pago actuales. La diferencia entre ellos hace mención al número de participantes en la transacción que poseen una pareja de claves: pública y privada (PK, SK). El uso comercial de estos protocolos va desde el IKP hasta el 3KP.

Protocolo 1KP: En este caso sólo la pasarela de pago (PG) posee un par (PK., SK) y un certificado firmado por una autoridad certificadora. Este es el protocolo más simple, dado que usa PG como la entidad que concentra iodos los intercambios entre el comprador y el comerciante. Ambos encriptan sus mensajes usando la clave pública de PG.

Protocolo 2KP: En este caso ambos, PG y el comerciante, poseen cada uno de ellos una pareja de claves (PK, SK), así como su propio certificado (CERTm, CERT_G) que los autentifica. Este servicio ofrece no repudio por parte del comerciante.

Protocolo 3KP: En último lugar los tres participantes poseen una pareja (PK, SK) y sus propios certificados, Este caso, el más comercial, ofrecen no repudio tanto del comerciante como del comprador.

CYBERCASH: Este esquema permite el uso de tarjetas de crédito convencionales a través de redes públicas de conmutación de paquetes.

AGORA: Este protocolo se basa en otro IITTP^|U   para permitir transacciones seguras usando tarjetas bancarias.

Una innovación ofrecida por el protocolo SLT es el método de la firma dual. Mediante este sistema el emisor puede enviar dos mensajes a diferentes destinatarios usando a uno de ellos como intermediario- y poder comprobar la firma de los mensajes sin conocer su contenido.

Si hablarnos de comercio vecinal nos referimos al comercio cara a  cara donde  el comprador y vendedor  establecen  contacto directo y de transacciones habitualmente formadas por pequeñas cantidades de dinero.

En su versión digital, la que nos ocupa, este tipo de comercio se basa en el uso de tárjetas inteligentes y de dinero electrónico con el objetivo de implementar los monederos electrónicos.

La terminología le otorga el nombre de micropagos a este tipo de transacciones.

CHIPPER: Se trata del monedero electrónico emitido por el operador Holandés KFN con el respaldo de la institución financiera Postbank. El nombre comercial es CyberChipper y también permite el pago a través de Internet.

El dinero electrónico puede ser definido como "un valor monetario medido en unidades fiduciarias que está almacenado en dispositivos electrónicos propiedad, o en disponibilidad, del cliente”.