Comencé a trabajar en el tema en el año ‘99, muy tempranamente, y posteriormente en el 2000 tuve la suerte de trabajar en varios proyectos directamente relacionados con el tema, a través de la empresa Valicert Inc., donde me desempeñé como gerente de pre y post venta para LA.
Allí tuve el privilegio de participar del proyecto de Sistema de Pagamento en Brasil, donde se profundizó en varios de los temas relacionados con PKI. Con la complejidad adicional de la cantidad de transacciones diarias que hacía de éste sistema, uno d de los mas grandes a nivel mundial.
Algunos Conceptos
La seguridad electrónica, se basa en soluciones que pueden cubrir ciertas características, tales como:
| Identificación |
| Es el proceso de reconocer a la persona o parte dentro de una transacción. |
| Autenticación |
| Es cualquier proceso donde se comprueba cierta información que asegura la identidad. |
| Autorización |
| Permite determinar que está permitido y que no para ésta parte. |
| Integridad |
| Es el proceso de garantizar que la información no cambie. |
| Confidencialidad |
| También llamado privacidad, es mantener la información en secreto para las partes involucradas. |
| Aceptación o No Repudio |
| Este punto, sumamente importante, determina que una parte NO puede negar algo que hizo. |
cuando hablamos de PKI, podemos definirla según Wikipedia de la forma:
“Una infraestructura de clave publica (o, en inglés, PKI, Public Key Infrastructure) es una combinación de hardware y software, políticas y procedimientos de seguridad, que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas”
Por lo que queda claro que no solo se trata de software y hardware, sino, fundamentalmente de Procedimientos de Seguridad. Esto es así, porque en rigor, no existe una solución segura, si no está acompañada por un conjunto de procedimientos y políticas de seguridad que cubran todos los aspectos que quedan fuera de la tecnología.
Cuando hablamos de Certificado Digital, estamos hablando, entre otras cosas, de un conjunto de claves, una pública (la conoce todo el que quiera), y otra privada (la conoce solo el dueño del certificado). Con la clave privada, a la que solo tiene acceso el dueño del certificado, podemos firmar digitalmente y encriptar cualquier tipo de información. Con esto estamos asegurando varios de los puntos antes mencionados. Debido a que un certificado, es entregado por una Autoridad de Certificación, por carácter transitivo, ésta da fe que el portador de ese certificado es quien dice ser.
Por último volver a enfatizar este punto: el tener un certificado digital, o el firmar y/o encriptar cierta información, no nos asegura la inviolabilidad del sistema. Para que podamos hablar de PKI, ésta solución se debe complementar con los procedimientos de seguridad de acuerdo a la operación que se de sea asegurar.
BioPKI
Este concepto será desarrollado en próximos artículos, pero pueden encontrar una introducción al mismo en un artículo de mi blog personal.
A través de productos de BiometriKa, es factible implementar soluciones de BioPKI. Este y otros puntos serán desarrollados mas adelantes en este mismo espacio.
Imágenes by Flickr
