Seguridade das comunicacións de Internet II: Autenticación
Paira facer una analogía co mundo real, podemos considerar o caso do pago con cartón nunha tenda ou restaurante. O que vimos no artigo anterior sería a necesidade de ocultar os datos do cartón e o código que tecleamos das miradas dos demais e a forma de facelo; nesta ocasión, referirémonos á necesidade e a forma de facer que o servidor, tenda, etc. sexan fiables.
E é que en Internet tamén hai o mesmo problema: cando estamos a comprar nunha tenda online, como sabemos que esa tenda é o que di e que non é un ladrón que montou una web coa mesma aparencia que a verdadeira tenda paira obter os nosos datos? Este é o timo do phishing: faise un sitio web moi parecido a un banco ou tenda, cunha URL moi similar, á que se atraen os usuarios, normalmente a través dun correo electrónico, onde os datos dos contrasinais ou cartóns que introducimos quedan en poder do estafador. Hai antivirus que teñen detectores de phishing pero non son 100% seguros. O mellor é revisar ben a URL buscando pistas sospeitosas. Pero non sempre é fácil detectar fraudes. Existe algún mecanismo de Internet que garanta que é o que di una web, é dicir, autenticación da web?
Autenticación de webs mediante HTTPS
Garánteo o protocolo HTTPS mencionado no artigo anterior. Como vimos, o protocolo HTTPS utiliza a criptografía con clave pública, é dicir, a mensaxe cífrase coa clave pública do destinatario, pero a mensaxe non pode descifrarse con esa clave pública que coñece calquera persoa, senón coa clave privada que só coñece o destinatario, garantindo así que só o destinatario poida ler a nosa mensaxe. Isto garante que os nosos datos serán encriptados e non poderán ser capturados por terceiros. Pero a autenticación garántese grazas a outra característica do protocolo HTTPS: os certificados dixitais de clave pública.
Os certificados dixitais son documentos dixitais que garanten a vinculación entre unha entidade dixital e a súa clave pública, emitidos por terceiras persoas fiables (emisoras de certificados). Así, as tendas en liña deben obter previamente un certificado de posta en marcha dun servidor HTTPS cun ou varios emisores. E cando un navegador ten que iniciar una conexión HTTPS, o primeiro que fai é conectarse cos certificados emisores e solicitar o certificado dixital desa web paira asegurarse de que a clave pública é a da empresa que realmente o di e que a clave pública é correcta.
Se todo é correcto co certificado dixital, podemos ver os datos do certificado picando na icona do cadeado que aparece na barra de direccións. Se non é así, o navegador móstranos un aviso que seguramente verías en máis dunha ocasión, un policía cunha icona que aparece solicitando documentación. Sempre que apareza isto non significa que esteamos ante unha web fraudulenta: poida que o noso navegador non teña constancia deste emisor de certificados (por exemplo, porque está obsoleto), ou que a web sexa exclusiva paira un grupo reducido (por exemplo, a extranet dunha empresa) e que non solicite certificados; se estamos seguros de que a web é segura, o navegador permítenos avanzar.
Por tanto, se temos que introducir algún dato privado (contrasinal, documento confidencial, datos de cartón de crédito, etc.) nalgunha web, se vemos o cadeado correspondente ao protocolo HTTPS e o navegador non nos fai ningunha observación, podemos facelo con tranquilidade, xa que estamos seguros de que o destinatario é o que di e ninguén poderá ser captado.
Autenticación do remitente da mensaxe de correo
Outra vía paira facer fraudes é o correo electrónico. En nome de alguén que coñecemos pode chegar un correo solicitando información ou dando unhas instrucións, e se o di pódennos roubar datos, xa que é fácil enviar un correo electrónico a nome doutro. É posible autenticar ao remitente? Si, mediante firma dixital.
A firma dixital é, basicamente, un uso especial da criptografía con clave pública. O remitente encripta una copia da mensaxe con clave privada e o destinatario, paira o seu desencriptación, utilizará a clave pública do remitente obtida dun emisor de certificados; se o desencriptado é igual á mensaxe orixinal, significa que a mensaxe é necesariamente enviado polo presunto remitente, xa que só el ten a súa clave privada.
Os programas de correo electrónico (Outlook, Thunderbird...) teñen a posibilidade de asinar dixitalmente mensaxes, uns propios e outros coa instalación do programa PGP (Pretty Good Privacy) ou GPG (GNU Privacy Guard) da súa versión libre. Sobre este tipo de programas tamén vos comentamos no artigo anterior dicindo que utilizan a criptografía con clave pública paira encriptar a mensaxe e que só os destinatarios poden desencriptar. Pero non é o único que fan este tipo de programas: implementan tamén a firma dixital paira autenticar ao remitente. Con todo, co correo web (Gmail, Hotmail, Yahoo...) non é posible asinar dixitalmente. Isto esixiría que a nosa clave privada pasase a mans do provedor, e iso non se pode facer porque para que a criptografía de clave pública sexa fiable só ten que gardar a clave privada uno mesmo. A única opción é utilizar un plugin paira o navegador, que realizará a encriptación no seu computador.
En resumo, ao navegar polas webs que utilizan o protocolo HTTPS e a través da firma dixital por PGP, GPG ou outra vía, podemos estar seguros de que non só ninguén captará os datos, senón tamén que é o noso interlocutor.
Zu idazle
Zientzia aldizkaria
