Criptografía (IV)
por Luciano Moreno, del departamento de diseño web de BJS Software.

Comunicación segura.-

En la sociedad actual que nos ha tocado vivir la presencia de los computadores se ha extendido a todos los medios personales, laborales, comerciales, bancarios, etc. Esta presencia ha requerido la aparición y el uso cada vez mayor de los documentos electrónicos, ya sean documentos de texto, hojas de cálculo, ficheros de bases de datos o páginas web seguras.Y en todos los casos ha sido necesaria la implementación de medios seguros de transferencia de estos documentos, lo que se ha conseguido generalmente con el uso de sistemas basados en la criptografía.

Varios son los aspectos que hay que manejar en el proceso de transferencia de un documento electrónico y que definen una comunicación segura:

1. Autenticidad: consiste en la seguridad de que las personas que intervienen en el proceso de comunicación son las que dicen ser. Imaginemos que B recibe un documento procedente de A. ¿Cómo está seguro B de que en verdad es A el que se lo ha enviado y no otra persona?.
   
   Como caso extremo, imagina que te conectas con el sitio web de tu banco par ver el estado de tus cuentas y te aparece la página de entrada de claves de acceso. Esta página tiene el logotipo del banco y un contenido textual en el que se afirma que pertenece a tu banco, pero...¿y si es una imitación de la página real del banco que te ha enviado un servidor pirata para hacerse con tus claves?.
   
   El método más usado para proporcionar autenticidad es la firma digital, basada, cómo no, en la criptografía.
   
   
2. Confidencialidad: se trata de la seguridad de que los datos que contiene el documento permanecen ocultos a los ojos de terceras personas durante su viaje por el medio desde A a B. Y aquí no entra en juego sólo el papel que realiza la criptografía ocultando los datos, si no también qué se hace con dichos datos una vez han llegado al destinatario de los mismos.
   
   Ataques posibles a la Confidencialidad pueden ser entonces la captura del documento en su viaje de A a B y el uso indebido de los datos del documento o la mala gestión y almacenamiento de estos datos por parte de B.
   
   La confidencialidad se consigue generalmente mediante métodos criptográficos.
   
   
3. Integridad: consiste en la seguridad de que los datos del documento no sufren modificación a lo largo de su viaje por el medio inseguro desde A a B.
   
   Un ataque posible a este punto podría ser que una tercera persona capturara el documento en el camino, por ejemplo los datos de un formulario de compra en una tienda virtual, y que los modificara cambiando tu dirección de entrega de los productos por una por él elegida. El banco te haría el cargo de la compra a tí, pero los artículos que has comprado le llegarían al pirata.
   
   La comprobación de la integridad se suele realizar mediante firmas electrónicas, generalmente basadas en funciones hash.
   
   La Autenticidad es condición suficiente para la Integridad, por lo que si un documento es auténtico es integro, pero no al revés.
   
   
4. No repudio: se trata de que una vez enviado un documento por A, éste no pueda negar haber sido el autor de dicho envío.
   
   Imagina que realizas un pedido a una tienda virtual, das tu número de tarjeta de crédito y te cobran los artículos, pero estos no te llegan. Y cuando reclamas a la tienda ésta te dice que ellos jamás han recibido tu pedido. O que la tienda te envía los artículos pedidos y eres tú el que dice luego que no has hecho ningún pedido.
   
   El No repudio es condición sufiente para la Autenticidad, por lo que si un documento es no repudiable es auténtico, pero no al revés.
   
   

Cualquier sistema de transferencia segura basado en criptografía debería abarcar estos cuatro aspectos, pero no suelen hacerlo en su totalidad. Así, lo sistemas de clave simétrica ofrecen confidencialidad, pero ninguno de los otros factores, mientras que los sistemas de clave pública ofrecen autenticidad, integridad, confidencialidad en el envío (pero no en las fases posteriores) y no repudio si van asociados a una firma digital.

Otro aspecto a tener en cuenta en lo que se refiere a seguridad en la comuniciones, aunque se salga del campo de la criptografía, es el de los Servicios de Autorización, que proporciona al usuario acceso sólamente a los recursos a los que está autorizado. Esta funcionalidad se suele implementar mediante servidores especiales al efecto, que administran bases de datos con los documentos a los que tiene permitido el acceso cada uno de los usuarios del sistema.