Universidad Politcnica de Nicaragua Sirviendo a la comunidad

Escuela de ingeniera

Mdulo: Seguridad de la informacin y continuidad del negocio.

Resumen ejecutivo sobre SSL y SET

Autores

Mara Auxiliadora Castillo Lpez Tania Judith Lpez Orozco Fabio Joseph Cardoza Fredman Daniel Prez

Facilitador Lic. Bismarck Rostran Urbina.

Managua, Julio 2011

SSL (SECURE SOCKETS LAYER)

El SSL (Secure Sockets Layer) es un mtodo de encriptacin basado en el cifrado de datos, en este caso de orden de pago, que se realiza de forma automtica por el navegador antes de que sea enviada al comercio. Fue diseado y propuesto en 1994 por Netscape Communications Corporation junto con su primera versin del Navigator. En la actual, proporciona cifrado de datos, autenticacin de servidores, integridad de mensajes y, opcionalmente, autenticacin de cliente para conexiones TCP/IP.

Funcionamiento de SSL
Funciona sencillamente encriptando los datos que se envan mediante el sistema de cifrado RSA cuando est ubicado en una zona segura de un navegador. El navegador Netscape o Explorer, colaborando con el servidor seguro, encripta los datos de forma si algn individuo en el proceso de transmisin consigue apropiarse de stos, no podr leerlos ya que no dispone de la clave necesaria. Durante el protocolo SSL, el cliente y el servidor intercambian una serie de mensajes para negociar las mejoras de seguridad. Este protocolo sigue las siguientes fases: 1. La fase Hola, usada para ponerse de acuerdo sobre el conjunto de algoritmos para mantener la intimidad y para la autenticacin. El navegador le informa al servidor de los algoritmos que posee disponibles. 2. La fase de autenticacin, en la que el servidor enva al navegador su certificado x.509v3 que contiene su clave pblica y solicita a su vez al cliente su certificado X.509v3. 3. La fase de creacin de clave de sesin, en la que el cliente enva al servidor una clave maestra a partir de la cual se generar la clave de sesin para cifrar los datos intercambiados posteriormente haciendo uso del algoritmo de cifrado simtrico acordado en la fase 1. El navegador enva cifrada esta clave maestra usando la clave pblica del servidor que extrajo de su certificado en la fase 2. Posteriormente, ambos generarn idnticas claves de sesin a partir de la clave maestra generada por el navegador. 4. La fase Fin, en la que se verifica mutuamente la autenticidad de las partes implicadas y que el canal seguro ha sido correctamente establecido. Una vez finalizada esta fase, ya se puede comenzar la sesin segura.

Configurar SSL
1. Si no lo ha hecho, en el Centro de Cambio de la consola de administracin, haga clic en Lock & Edicin. 2. En el panel izquierdo de la consola, expanda Entorno y seleccione Servidores.

3. Haga clic en el nombre del servidor para el que desea configurar SSL. 4. Seleccione Configuracin> SSL pgina, y elegir la ubicacin de la identidad (certificado y clave privada) y la confianza (CA de confianza) para el servidor WebLogic. 5. Establecer los atributos de SSL para el alias de la clave privada y una contrasea. En la parte inferior de la pgina, haga clic en Opciones avanzadas. a. Seleccione si desea utilizar el equipo por defecto el nombre de verificador, configurar un verificador de nombres de host personalizado, o desactivar la verificacin de nombres de host. b. Indique el nmero de veces que el servidor WebLogic puede utilizar una clave exportable entre un servidor y un cliente interno exportable antes de generar una nueva clave. c. Opcionalmente, permite dos vas SSL. d. Especificar la entrada y salida mtodos de validacin de certificados SSL. 6. Haga clic en Guardar. 7. Para activar estos cambios, en el Centro de Cambio de la consola de administracin, haga clic en activar los cambios. No todos los cambios tienen efecto inmediato, algunos requieren un reinicio.

SET (SECURE ELECTRONIC TRANSACTION)

Transacciones Electrnicas Seguras (Secure Electronic Transaction o SET) es un protocolo estandarizado y respaldado por la industria, diseado para salvaguardar las compras pagadas con tarjeta a travs de redes abiertas, incluyendo Internet. El estndar SET fue desarrollado en 1995 por Visa y MasterCard, con la colaboracin de otras compaas lderes en el mercado de las tecnologas de la informacin, como Microsoft, IBM, Netscape, RSA, VeriSign y otras.

Servicios de SET
1. Autenticacin: todas las partes implicadas en la transaccin econmica pueden autenticarse mutuamente mediante certificados digitales. 2. Confidencialidad: la informacin de pago se cifra para que no pueda ser espiada. Es decir, solamente el nmero de tarjeta de crdito es cifrado por SET, de manera que ni siquiera el comerciante llegar a verlo, para prevenir fraudes. 3. Integridad: garantiza que la informacin intercambiada, como nmero de tarjeta, no podr ser alterada de manera accidental o maliciosa mientras viaja a travs de la red. Para lograrlo se utilizan algoritmos de firma digital. 4. Gestin del pago: SET gestiona tareas asociadas a la actividad comercial de gran importancia como registr del titular y del comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc.

Funcionamiento de SET
Una transaccin SET tpica funciona de forma muy parecida a una transaccin convencional con tarjeta de crdito y consta de los siguientes pasos:

1. Decisin de compra del cliente. El cliente est navegando por el sitio web del comerciante y decide comprar un artculo. 2. Arranque del monedero. El servidor del comerciante enva una descripcin del pedido que despierta a la aplicacin monedero del cliente. 3. El cliente comprueba el pedido y transmite una orden de pago de vuelta al comerciante. 4. El comerciante enva la peticin de pago a su banco. El software SET en el servidor del comerciante crea una peticin de autorizacin que enva a la pasarela de pagos, incluyendo el importe a ser autorizado, el identificador de la transaccin y otra informacin relevante acerca de la misma, todo ello convenientemente cifrado y firmado. 5. El banco adquiriente valida al cliente y al comerciante y obtiene una autorizacin del banco emisor del cliente. El banco del comerciante descifra y verifica la peticin de autorizacin. 6. El emisor autoriza el pago. El banco emisor verifica todos los datos de la peticin y si todo est en orden y el titular de la tarjeta posee crdito, autoriza la transaccin. 7. El adquiriente enva al comerciante un testigo de transferencia de fondos. 8. El comerciante enva un recibo al monedero del cliente. Cuando el comerciante recibe la respuesta de autorizacin de su banco, verifica las firmas digitales y la informacin para asegurarse de que todo est en orden. 9. Ms adelante, el comerciante usa el testigo de transferencia de fondos para cobrar el importe de la transaccin. 10. A su debido tiempo, el dinero se descuenta de la cuenta del cliente (cargo).

SSL vs SET
SSL es un "nivel de transporte" de comunicaciones de red de uso genrico, mientras que SET es una "aplicacin" de uso especfico. En la prctica, actualmente el comercio electrnico seguro se est realizando sobre SSL en el nivel de transporte de red, mientras que las aplicaciones de comercio electrnico estn implementadas sobre SET.

En que se parecen SET y SSL?

SET y SSL se parecen en los servicios de seguridad que proporcionan como: 1. 2. 3. 4. 5. Bibliografa: http://www.savagerun.com/SSLSET.htm http://www.cecarm.com/servlet/s.Sl?METHOD=DETALLENOTICIA&sit=c,732,m,2638& id=19735 Autenticidad Confidencialidad Integridad Tambin son parecidos en el uso de tcnicas criptogrficas para lograrlo Certificados