¿Qué es Encriptación?
Toda encriptación se encuentra basada en un Algoritmo, la función de este Algoritmo es básicamente codificar la información para que sea indescifrable a simple vista , de manera que una letra "A" pueda equivaler a :"5x5mBwE" o bien a "xQE9fq", el trabajo del algoritmo es precisamente determinar como será transformada la información de su estado original a otro que sea muy difícil de descifrar.
Una vez que la información arrive a su destino final, se aplica el algoritmo al contenido codificado "5x5mBwE" o bien a "xQE9fq" y resulta en la letra "A" o según sea el caso, en otra letra. Hoy en día los algoritmos de encriptación son ampliamente conocidos,es por esto que para prevenir a otro usuario "no autorizado" descifrar información encriptada, el algoritmo utiliza lo que es denominado llave ("key") para controlar la encriptación y decriptación de información. Algunos algoritmos son DES (algoritmo simétrico) AES que posiblemente suplantará a DES y uno de los más conocidos RSA (algoritmo asimétrico)
Que función tiene la llave ("key") ?
Existen dos tipos de llaves ("key's") , pero la de mayor uso en Internet es denominada "public key" o algoritmo asimétrico. El nombre "public" proviene de su funcionamiento: existe una llave pública que es dada a conocer a cualquier persona que así lo desee (todo Internet), esta llave pública es utilizada por los emisores de mensajes para encriptar información , sin embargo, existe otra llave ( su pareja por llamarla de alguna manera) única que es conocida exclusivamentepor el destinatario del mensaje, y es mediante esta llave única | secreta que el destinatario descifra ("decripta") los mensajes encriptados por el emisor.
Firmas Digitales ("Digital Signatures")
Una firma digital utiliza el mismo funcionamiento del "public key" o algoritmo asimétrico mencionado anteriormente.
Como se mencionó, existe una "llave pública" y una "llave secreta", en el caso defirmas digitales la llave pública que es ampliamente conocida es capaz de identificar si la información proviene de una fuente fidedigna.En otras palabras, la llave pública será capaz de reconocer si la información realmente proviene de la "llave secreta" en cuestión.Ejemplo:
Como se mencionó, existe una "llave pública" y una "llave secreta", en el caso defirmas digitales la llave pública que es ampliamente conocida es capaz de identificar si la información proviene de una fuente fidedigna.En otras palabras, la llave pública será capaz de reconocer si la información realmente proviene de la "llave secreta" en cuestión.Ejemplo:
El departamento de compras posee las llaves públicas de todos los empleados de la compañía, si llega un pedimento con la dirección de email del Director de Finanzas, Cómo puede asegurarse el departamento de compras que en realidad esta persona realizó el pedimento y no alguna otra que sobrepuso el email ?. Lallave secreta del director de finanzas debe de encontrarse solo en su computadora, por lo tanto al enviar el mensaje electrónico esta llave pública se añadió al email,y por lo tanto las llave publicas determinarán si la llave secretacoincide con la del director.
Firmas Digitales en Internet
En el caso anterior de un Intranet, todas las llaves públicas provienen de una fuente fidedigna, esto es, las llaves "publicas" que posee el departamento de compras son autenticas ya que TODAS pertenecen sólo a empleados dentro de la compañía , la única posibilidad de fraude que existe,es si alguien trata de forjar la "llave secreta" de un empleado para hacerse pasar por otro.
Pero que sucede cuando este departamento de compras empiece a realizar transacciones en Internet ?
Ellos anuncian su "llave publica" para todos los usuarios de Internet, y como solo ellos poseen la "llave secreta" sólo ellos podrán descifrar("decriptar") la información. Pero ahora, surge la siguiente pregunta: Quien le garantiza a los usuarios de Internet que esta "llave publica" REALMENTE proviene de este departamento de compras ?
Para esto existen los certificados digitales que son emitidos por "agencias autorizadas" como Thawte oVerisign las cuales dan el VoBo("Visto Bueno") sobre la "llave publica".
Existen pocas compañías que realizan este servicio,pero debido a la naturaleza de las "llaves publicas" siempre debe de existir una agencia central que sea capaz de decir "Si, esta llave publica proviene del departamento de compras" eso es todo su servicio, esto garantiza a los usuarios finales de "Internet" que la "llave publica" ha sido reconocida por una autoridad confiable Thawte o Verisign
La secuencia de eventos es la siguiente:
1. Se adquiere un "Certificado Digital" de Thawte o Verisign ( Costo aprox:$100-$350 Dlls U.S Anuales,variación depende de su uso)
2. Se coloca este certificado digital ("llave publica") en el servidor de páginas y se configura para que éste envíe información encriptada según sea necesario.
3. Cuando un usuario en Internet solicite información encriptada de nuestro sitio se envía esta "llave publica" para que pueda encriptar la información y enviarla de una manera segura al sitio.
4. Al recibir la "llave publica" el navegador ("Netscape" o "Explorer") del usuario final corrobora que en realidad esta "llave publica" proviene de quien dice, en este caso, la "llave publica" dice: "Soy la llave publica de
osmosislatina.com y fui emitida por Verisign mi serie es:u7767DbXs4br342Dbnn6".5. El navegador corrobora con Verisign (en este caso) y continua o avisa al usuario final el estado de la "llave publica".
No hay comentarios:
Publicar un comentario