Seguretat de les comunicacions d'Internet II: Autenticació

Leturia Azkarate, Igor

Informatikaria eta ikertzailea

Elhuyar Hizkuntza eta Teknologia

En l'article anterior relatiu a la seguretat de les comunicacions en Internet vam veure que existeix una manera de garantir la confidencialitat (perquè un missatge o comunicació que enviem a un destinatari no pugui ser interceptat per tercers). Així, si tercers no poden interceptar el missatge, una manera d'obtenir informació és fer-nos creure que són destinataris. En aquest article parlem de l'autenticació.
interneteko-komunikazioen-segurtasuna-ii-autentifi
Ed. © Bruce Rolff/350RF

Per a fer una analogia amb el món real, podem considerar el cas del pagament amb targeta en una botiga o restaurant. El que vam veure en l'article anterior seria la necessitat d'ocultar les dades de la targeta i el codi que teclegem de les mirades dels altres i la manera de fer-ho; en aquesta ocasió, ens referirem a la necessitat i la manera de fer que el servidor, botiga, etc. siguin fiables.

I és que en Internet també hi ha el mateix problema: quan estem comprant en una botiga online, com sabem que aquesta botiga és el que diu i que no és un lladre que ha muntat una web amb la mateixa aparença que la veritable botiga per a obtenir les nostres dades? Aquest és l'estafa del phishing: es fa un lloc web molt semblant a un banc o botiga, amb una URL molt similar, a la que s'atreuen els usuaris, normalment a través d'un correu electrònic, on les dades de les contrasenyes o targetes que introduïm queden en poder de l'estafador. Hi ha antivirus que tenen detectors de phishing però no són 100% assegurances. El millor és revisar bé la URL buscant pistes sospitoses. Però no sempre és fàcil detectar fraus. Existeix algun mecanisme d'Internet que garanteixi que és el que diu una web, és a dir, autenticació de la web?

Autenticació de webs mitjançant HTTPS

Ho garanteix el protocol HTTPS esmentat en l'article anterior. Com vam veure, el protocol HTTPS utilitza la criptografia amb clau pública, és a dir, el missatge es xifra amb la clau pública del destinatari, però el missatge no pot desxifrar-se amb aquesta clau pública que coneix qualsevol persona, sinó amb la clau privada que només coneix el destinatari, garantint així que només el destinatari pugui llegir el nostre missatge. Això garanteix que les nostres dades seran encriptades i no podran ser capturats per tercers. Però l'autenticació es garanteix gràcies a una altra característica del protocol HTTPS: els certificats digitals de clau pública.

Els certificats digitals són documents digitals que garanteixen la vinculació entre una entitat digital i la seva clau pública, emesos per terceres persones fiables (emissores de certificats). Així, les botigues on line han d'obtenir prèviament un certificat de posada en marxa d'un servidor HTTPS amb un o diversos emissors. I quan un navegador ha d'iniciar una connexió HTTPS, el primer que fa és connectar-se amb els certificats emissors i sol·licitar el certificat digital d'aquesta web per a assegurar-se que la clau pública és la de l'empresa que realment ho diu i que la clau pública és correcta.

Si tot és correcte amb el certificat digital, podem veure les dades del certificat punxant en la icona del cadenat que apareix en la barra de direccions. Si no és així, el navegador ens mostra un avís que segurament hauràs vist en més d'una ocasió, un policia amb una icona que apareix sol·licitant documentació. Sempre que aparegui això no significa que estiguem davant una web fraudulenta: pot ser que el nostre navegador no tingui constància d'aquest emissor de certificats (per exemple, perquè està obsolet), o que la web sigui exclusiva per a un grup reduït (per exemple, l'extranet d'una empresa) i que no hagi sol·licitat certificats; si estem segurs que la web és segura, el navegador ens permet avançar.

Per tant, si hem d'introduir alguna dada privada (contrasenya, document confidencial, dades de targeta de crèdit, etc.) en alguna web, si veiem el cadenat corresponent al protocol HTTPS i el navegador no ens fa cap observació, podem fer-lo amb tranquil·litat, ja que estem segurs que el destinatari és el que diu i ningú podrà ser captat.

Autenticació del remitent del missatge de correu

Una altra via per a fer fraus és el correu electrònic. En nom d'algú que coneixem pot arribar un correu sol·licitant informació o donant unes instruccions, i si ho diu ens poden robar dades, ja que és fàcil enviar un correu electrònic a nom d'un altre. És possible autenticar al remitent? Sí, mitjançant signatura digital.

La signatura digital és, bàsicament, un ús especial de la criptografia amb clau pública. El remitent encripta una còpia del missatge amb clau privada i el destinatari, per al seu desencriptación, utilitzarà la clau pública del remitent obtinguda d'un emissor de certificats; si el desencriptat és igual al missatge original, significa que el missatge és necessàriament enviat pel presumpte remitent, ja que només ell té la seva clau privada.

Els programes de correu electrònic (Outlook, Thunderbird...) tenen la possibilitat de signar digitalment missatges, uns propis i uns altres amb la instal·lació del programa PGP (Pretty Good Privacy) o GPG (GNU Privacy Guard) de la seva versió lliure. Sobre aquest tipus de programes també us comentem en l'article anterior dient que utilitzen la criptografia amb clau pública per a encriptar el missatge i que només els destinataris poden desencriptar. Però no és l'única cosa que fan aquest tipus de programes: implementen també la signatura digital per a autenticar al remitent. No obstant això, amb el correu web (Gmail, Hotmail, Yahoo...) no és possible signar digitalment. Això exigiria que la nostra clau privada passés a les mans del proveïdor, i això no es pot fer perquè perquè la criptografia de clau pública és fiable només ha de guardar la clau privada un mateix. L'única opció és utilitzar un plugin per al navegador, que realitzarà l'encriptació en el seu ordinador.

En resum, en navegar per les webs que utilitzen el protocol HTTPS i a través de la signatura digital per PGP, GPG o una altra via, podem estar segurs que no sols ningú captarà les dades, sinó també que és el nostre interlocutor.

Babesleak
Eusko Jaurlaritzako Industria, Merkataritza eta Turismo Saila