Soluciones Avanzadas No. 32, 15 de Abril 96

 

SET: La Tarjeta de Crédito Electrónica

Alejandro López-Ortiz y Daniel M. Germán
El mes anterior describimos algunas aplicaciones de la criptografía de llave pública, entre ellas las firmas digitales y la autenticación de corresponsales. En esta ocasión describiremos como estos conceptos se aplicarán para realizar transacciones con tarjeta de crédito en Internet.

MasterCard, Visa y American Express son las compañías más grandes de tarjetas de crédito en el mundo. En un principio Visa y Microsoft se aliaron para desarrollar un estándar para transferencias electrónicas de fondos en Internet; al mismo tiempo, MasterCard, Netscape e IBM formaron una alianza similar. En febrero de este año ambos grupos decidieron unir esfuerzos para crear un estándar único. A finales del mismo mes, American Express anunció su participación en el proyecto. Casi simultáneamente se publica el primer borrador del protocolo, llamado Secure Electronic Transaction(SET), abierto a escrutinio y comentarios del público; sus creadores, esperan tenerlo funcionando para finales de este año. De acuerdo con Forrester Research Inc. se espera que para el final del milenio el volumen de las ventas en línea alcance los 22 mil millones de dólares, lo cual justifica el interés de parte de las compañías de crédito.

Los objetivos de SET son:
asegurar confidencialidad de la información
asegurar integridad en las transacciones
autenticar a los tarjetahabiente y comerciantes

Antes de describir el protocolo definiremos algunos conceptos. Comercio electrónico es aquel que se realiza en Internet, a diferencia del comercio tradicional persona a persona, a través de servicio postal o telefónico. Se llama emisor a la institución que otorga la tarjeta de crédito electrónica, normalmente un banco. El tarjetahabiente y el comerciante, tienen ambos sus acepciones tradicionales. El pagador es la institución financiera que recibe del comerciante el pagaré (voucher) que certifica la transacción entre tarjetahabiente y comerciante. El gateway(cámara de compensación) es el dispositivo operado por un pagador o tercero, previamente certificado, para procesar el pago al comerciante. Los certificados de tarjetahabiente son el equivalente electrónico de la tarjeta de crédito, contienen la identidad del tarjetahabiente, información sobre su cuenta, y su llave pública; todo esto encriptado utilizando la llave privada de una autorid ad certificadora.

En el mundo real, el mecanismo de autenticación es un proceso que se lleva a cabo en tres pasos: 1) al emitir la tarjeta, el banco verifica la identidad del tarjetahabiente y registra su firma; 2) al momento de pagar el comerciante verifica la autenticidad de la tarjeta y la firma del tarjetahabiente en el pagaré 3) cuando el banco recibe el pagaré verifica los datos del cliente y del comerciante, previo a la transferencia de fondos.

En el comercio electrónico a través de SET también se da una autenticación en tres pasos equivalentes: 1) la autoridad certificadora (emisor) otorga al tarjetahabiente un certificado de identidad (incluso con el equivalente electrónico del holograma certificador); 2) el comerciante usa esta certificado de identidad para verificar la firma electrónica emitida por el tarjetahabiente; 3) la cámara de compensación verifica la identidad del tarjetahabiente y del comerciante, previo a la transferencia electrónica de fondos

Antes de que se pueda realizar transacción alguna, cada una de las partes debe tener su propia pareja de llaves publica y privada. Estos pares son emitidos por alguna de las autoridades certificadoras.

Las autoridades certificadoras forman una jerarquía. Cada tarjeta de crédito está certificada por el emisor, a su vez, el emisor está certificado por una autoridad geopolítica la cual está certificada por las sociedades emisoras de tarjeta de crédito quienes a su vez son certificadas por una asociación central que agrupa a las tarjetas de crédito miembros de SET. Un sistema semejante se aplica al comerciante.

Un certificado contiene información sobre su dueño (nombre, número de cuenta, fecha de vencimiento, etc.) y su llave pública, toda esta información firmada con la llave privada de la autoridad certificadora.

Cuando un tarjetahabiente decide realizar una compra:

  1. llena la forma de pedido y la firma electrónicamente (utilizando su llave privada) y le adjunta su certificado;
  2. genera aleatoriamente una llave de DES, con la que se encripta toda esta información;
  3. el tarjetahabiente extrae del certificado del comerciante su llave pública, la cual utiliza para encriptar la llave de DES;
  4. finalmente, el tarjetahabiente envía la información encriptada con DES, y la llave de DES encriptada.

El comerciante decodifica la llave DES y la utiliza para descifrar el pedido y el certificado. Verifica que el certificado es auténtico (que fue firmado por la autoridad y que por lo tanto autentica al tarjetahabiente); utiliza entonces la llave pública del tarjetahabiente para verificar la autenticidad del pedido, con lo cual se completa la transacción. Una ventaja adicional de este sistema es que el comprador puede autenticar al comerciante. Un proceso similar se lleva a cabo entre el comerciante y el gateway para transferir el monto de la compra al comerciante.

SET permite que, con un solo sistema, se puedan utilizar diversas tarjetas de crédito. Además, asegura confidencialidad de la información transmitida, pues el protocolo incluye un mecanismo opcional a través del cual el banco no se entera de lo que el tarjetahabiente compra ni el comerciante de información financiera del tarjetahabiente.

A pesar de que SET utiliza criptografía de llave pública, el gobierno de los Estados Unidos no restringe su exportación, debido a las siguiente razones: 1) que los datos encriptados son de naturaleza financiera, 2) el contenido de los datos está bien definido, 3) la cantidad de datos es limitada, y 4) esta aplicación de la criptografía no puede ser utilizada para otros propósitos.

No podemos terminar sin mencionar a MONDEX, una asociación mundial de bancos que utilizando conceptos similares está desarrollando la versión electrónica de dinero en efectivo. La principal diferencia es que la transferencia es de dinero, y no utiliza línea de crédito, por lo que no es necesaria la intervención de instituciones bancarias.

Para mayor información sobre SET visite http://www.visa.com, y sobre MONDEX visite http://www.mondex.com.