Edukira salto egin | Salto egin nabigazioara

Tresna pertsonalak

Eibarko peoria, San Blasa baino hobia
Hemen zaude: Hasiera / Blogak / e-gorblog / Interneteko komunikazioen segurtasuna II: Autentifikazioa

Interneteko komunikazioen segurtasuna II: Autentifikazioa

e-gor 2013/05/11 10:25
Interneteko komunikazioen segurtasunari buruzko aurreko artikuluan ikusi genuen badagoela modua konfidentzialtasuna bermatzeko (guk jasotzaile bati bidalitako mezu edo komunikazio bat hirugarrenek ez atzeman ahal izateko). Hala, hirugarrenek ezin badute mezua atzeman, guri jasotzailea direla sinetsaraztea da informazioa lortzeko modu bat. Hori ekiditeaz arituko gara artikulu honetan, autentifikazioaz hain zuzen ere.
(Elhuyar aldizkariko 2013ko apirileko zenbakian argitaratutako artikuluaren jatorrizko extended bertsioa)

Mundu errealarekin analogia bat egite aldera, denda edo jatetxe batean txartelaren bidez ordaintzearen kasua har dezakegu kontuan. Aurreko artikuluan ikusi genuena izango litzateke txartelaren datuak eta tekleatzen dugun kodea besteen begiradetatik ezkutatu beharra eta hori egiteko modua; oraingoan, berriz, zerbitzaria, denda edo dena delakoa fidatzekoak direla ziurtatu beharraz eta hori egiteko moduaz arituko gara.

Izan ere, Interneten ere arazo bera dago: on line denda batean erosten ari garela, nola dakigu denda hori berak dioena dela, eta ez dela gure datuak lortzeko benetako dendaren itxura bereko webgunea muntatu duen lapur bat? Hori baita phishing delako iruzurra: banku edo denda baten antz handia duen webgune bat egiten da, URLa ere oso antzekoa duena, eta erabiltzaileak bertara erakartzen dira, normalean posta elektronikozko mezu baten bidez; han sartzen ditugun pasahitz edo txartelen datuak iruzurgilearen esku gelditzen dira. Antibirus batzuek badituzte phishing detektagailuak, baina ez dira % 100 seguruak. Onena URLa ongi begiratzea da, arrasto susmagarrien bila. Baina beti ez da erraza izaten iruzurrak atzematea. Ba al dago, bada, Interneten mekanismorik webgune bat esaten duena dela bermatzeko, hau da, webgunea autentifikatzeko?

Webguneen autentifikazioa, HTTPS bidez

Aurreko artikuluan aipatutako HTTPS protokoloak bermatzen du hori. Han ikusi genuenez, HTTPS protokoloak gako publiko bidezko kriptografia erabiltzen du, hau da, mezua zifratzen da jasotzailearen gako publikoa erabiliz, baina mezua ezin da deszifratu edozeinek ezagutzen duen gako publiko horren bidez, baizik eta jasotzaileak soilik ezagutzen duen gako pribatuaren bidez; horrela bermatzen da jasotzaileak soilik irakurriko duela gure mezua. Horrek, berez, ziurtatzen du gure datuak enkriptatuko direla eta ezingo dituela beste inork atzeman. Baina autentifikazioa HTTPS protokoloaren beste ezaugarri bati esker bermatzen da: gako publikoaren ziurtagiri digitalak.

Ziurtagiri digitalak entitate digital baten eta haren gako publikoaren arteko lotura bermatzen duten dokumentu digitalak dira, hirugarren pertsona fidagarri batzuek (ziurtagiri-jaulkitzaileek) jaulkitakoak. Hala, on line dendek HTTPS zerbitzari bat martxan jartzeko ziurtagiri bat lortu behar dute aurretik jaulkitzaile batekin (edo gehiagorekin). Eta nabigatzaile batek HTTPS konexio bat hasi behar duenean, egiten duen lehenengo gauza da ziurtagiri jaulkitzaileekin konektatu eta webgune horren ziurtagiri digitala eskatu, ziurtatzeko benetan esaten duen enpresarena dela eta gako publikoa zuzena dela.

Ziurtagiri digitalarekin dena ongi badago, ziurtagiriaren datuak ikus ditzakegu helbide-barran agertzen den giltzarrapoaren ikonoan klik eginda. Hala ez bada, ziurrenik behin baino gehiagotan ikusiko zenuen ohar bat erakusten digu nabigatzaileak, polizia bat dokumentazioa eskatzen agertzen den ikono batekin. Hori agertzen den guztietan ez du esan nahi iruzurrezko webgune baten aurrean gaudenik: baliteke gure nabigatzaileak ez izatea ziurtagiri-jaulkitzaile horren berri (zaharkitua dagoelako, esaterako), edo webgunea talde murriztu batentzat soilik izatea (enpresa bateko estraneta, adibidez) eta ziurtagiririk ez eskatu izana; ziur bagaude webgunea segurua dela, aurrera egiteko aukera ere ematen digu nabigatzaileak.

Beraz, datu pribaturen bat (pasahitz bat, dokumentu konfidentzial bat, kreditu-txartelaren datuak...) sartu behar badugu webguneren batean, HTTPS protokoloari dagokion giltzarrapoa ikusten badugu eta nabigatzaileak ez badigu oharrik egiten, lasai egin dezakegu, ziur egon baikaitezke jasotzailea esaten duena dela eta beste inork ezingo duela atzeman.

Posta-mezua bidaltzen duenaren autentifikazioa

Iruzurrak egiteko beste bide bat posta elektronikoa da. Ezagutzen dugun norbaiten izenean mezu bat irits dakiguke informazio bat eskatuz edo jarraibide batzuk emanez, eta dioena eginez gero datuak lapurtu diezazkigukete; izan ere, erraza da posta elektronikozko mezu bat beste norbaiten izenean bidaltzea. Ba al dago modurik, beraz, bidaltzailea autentifikatzeko? Bai, sinadura digitalaren bidez.

Sinadura digitala, funtsean, gako publiko bidezko kriptografiaren erabilera berezi bat da. Bidaltzaileak mezuaren kopia bat gako pribatua erabiliz enkriptatzen du eta jasotzaileak, desenkriptatzeko, bidaltzailearen gako publikoa erabiliko du, ziurtagiri-jaulkitzaile batengandik lortua; desenkriptatutakoa jatorrizko mezuaren berdina bada, horrek esan nahi du mezua ustezko bidaltzaileak bidalitakoa dela nahitaez, berak soilik baitu haren gako pribatua.

Posta elektronikoko programek (Outlook, Thunderbird...) izaten dute mezuak digitalki sinatzeko aukera, batzuek berezkoa eta beste batzuek PGP programa (Pretty Good Privacy) edo GPG (GNU Privacy Guard) haren bertsio librea instalatuta. Halako programei buruz ere aurreko artikuluan hitz egin genizuen, esanez gako publiko bidezko kriptografia erabiltzen dutela mezua enkriptatzeko eta jasotzaileak soilik desenkriptatu ahal izateko. Baina ez da hori halako programek egiten duten gauza bakarra: sinadura digitala ere inplementatzen dute bidaltzailea autentifikatzeko. Web bidezko postarekin (Gmail, Hotmail, Yahoo...), aldiz, ez da aukerarik digitalki sinatzeko. Izan ere, horrek eskatuko luke gure gako pribatua hornitzailearen esku uztea, eta hori ezin da egin, gako publiko bidezko kriptografia fidagarria izateko gako pribatua norberak soilik gorde behar baitu. Aukera bakarra izan daiteke nabigatzailearentzako plugin bat erabiltzea, enkriptazioa norberaren ordenagailuan egingo duena (Mailvelope adibidez).

Laburtuz, nabigatzean HTTPS protokoloa darabilten webguneetan ibilita eta postan PGP, GPG edo beste moduren baten bidezko sinadura digitala erabilita, ziur egon gaitezke ez soilik datuak beste inork ez dituela atzemango, baizik eta baita gure solaskidea berak dioena dela ere.

Segurtasunaren, konfidentzialtasunaren eta kriptografiaren gaia interesatzen bazaizu, informazio gehiago aurkituko duzu Elhuyar Fundazioak euskaraz argitaratu duen Simon Singh-en Kodeen liburua interesgarrian.

Iruzkina gehitu

Erantzuna formulario hau betez utzi dezakezu. Formatua testu arruntarena da. Web eta e-posta helbideak automatikoki klikagarri agertuko dira.

Galdera: Idatzi zortzi zenbakiak erabiliz
Erantzuna:
e-gorblog

Egunez, Igor Leturia Azkarate pertsona arrunta da. Errenterian bizi den arrasatearra, 8etatik 17etara Elhuyarren lan egiten du eta arratsaldeak neskalagunarekin eta bere bi umeekin pasatzen ditu.

Baina gaua iritsi eta umeak lotara joaten direnean, e-gor bihurtzen da, interneteko bere alter-egoa, ziberespazioko informatikaririk komikizaleena eta komikizalerik informatikariena! Bere superbotereekin (interneteko kable-konexioa, bloglines, informatika aldizkariak, gadget-ak, komiki-bilduma, Errenteriko liburutegiko komikien atala eta batez ere bere jakinmin aseezina) eta bere superlaguntzaileak ondoan dituela (Patxi Lurra, DabilenHarria...), euskaldunon teknofobiaren eta komikiei buruzko aurreiritzien aurka burrukatzen du etengabe! Hemen duzu bere bloga: e-gorblog!

Bai, hor goiko aurkezpena superheroi batena da (ezin aproposagoa honelako blog batentzat, ezta?). Superheroia banintz zein izango nintzatekeen jakiteko the Superhero Personality Test egin nuen eta hona emaitzak:

You are Spider-Man
You are intelligent, witty, a bit geeky and have great power and responsibility.

Spider-Man
80%
Superman
70%
Green Lantern
65%
Robin
65%
The Flash
60%
Supergirl
55%
Hulk
55%
Iron Man
45%
Wonder Woman
35%
Catwoman
25%
Batman
0%
Lizentzia

Creative Commons-en baimena
Blog honetako edukia, Igor Leturiak eta beste kolaboratzaile batzuek egiten dutena, Creative Commons Aitortu-PartekatuBerdin 3.0 Unported baimen baten mende dago (irudiak salbu).

Artxiboa
2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024
Artikulu aipagarriak

MythTV sorta
2004/11

"Pololoak" sorta
2004/11-12 - 2006/10-12 - 2007/02-03

Monoblogoa
2005/01/11

"Persepolis", xalotasunaren sakontasuna
2005/01/25

Elgetako Blogs&Beers 2005: nire inpresioa eta moblogging kontuak
2005/04/18

Firefox eta bere plugin zoragarriak
2005/05/11

"El País"-en komiki bilduma
2005/05/15

Euskarazko bi blog berri (bai, beste bi, baina hauek bereziak dira!)
2005/05/25

"Watchmen" sorta
2005/09-11 - 2006/10 - 2007/10 - 2008/07

"La cárcel de papel"-eko "Mis tebeos favoritos" saila I: 1etik 20ra
2005/11/08

"Goienkaria"-n agertu naiz
2005/12/08

Komikiak eta euskal rock-a
2005/12/14

Ruben Arozena "Ruben" komikigilea hil da
2006/01/02

Zope-rako DTML Calendar Tag produktua, euskaraz
2006/02/01

"Joyas Literarias Juveniles" bilduma, osorik eMule-n
2006/08/05

Argazkigintza eta DRM-a
2006/10/09

Paul Auster eta Euskararen Herria
2006/10/29

Angoulême sorta
2007/01-02

Gaur duela 25 urte nire bizitza aldatu zen
2007/04/23

Hergé-ren defentsan
2007/05/22

Ubuntu-ren bertsio berria, hobekuntza askorekin
2007/07/02

OLPC sorta
2007/12 - 2008/01

Guillermo Zubiaga, Marvel-eko komikilari euskalduna
2008/02/05

Asus EEE PC, ordenagailu txiki eta merkeen hurrengo sorta
2008/03/11

Agur, Ipurbeltz, agur... :-(
2008/08/04

"Café Budapest", gizatasuna eta bizikidetzaren aldeko aldarria
2008/08/25

"Arturo Erregea" serie mitikoa, Euskal Encodings-en! (beste askorekin batera)
2008/09/17

"Gazteak", beste serie mitiko bat euskaraz eskuragai!
2008/10/14

Pottokiek 50 urte!
2008/10/22

Europan ere OLPC-ren XO ordenagailuak erosteko aukera!
2008/11/12

Microsoft-en web zerbitzuetako gehienak, euskaraz!
2008/12/04

"Heroes"-en 2. denboraldia: ETB kirtenkeria errepikatzera, eta Euskal Encodings konpontzera
2009/01/23

I. Euskal OLPC Party-a, apirilaren 23an Donostiako Doka kafe antzokian
2009/04/16

Elkarrizketa egin didate 7K-n
2009/06/03

Azpiriren Spectrum-entzako jokoen azalak liburu batean
2009/10/06

Asterix, heroi garaitua
2009/10/29

"Ihes ederra", euskarazko komikigintzaren heldutasunaren konfirmazioa
2009/11/13

Pololoak 3: The making of
2009/11/22

5 urte 5!
2009/12/15

Nobela grafikoa, komikien prestigiorako ala mespretxurako?
2009/12/20

"Pololoak 3 - Atxeritoko balada", trilogiaren amaiera borobila
2010/01/13

Sinclair ZX Spectrum bat oparitu didate!
2010/01/19

Zergatik ez dudan liburu elektronikorik erosiko (gauzak aldatzen ez diren artean)
2010/01/27

Errealitate areagotua: munduaren pertzepzioa aberasten
2010/02/09

e-gorblog, "Nick dut nik" telebista saioan
2010/05/20

Sarearen neutraltasunari erasoak: Interneten izaera arriskuan
2010/06/02

"Avatar, azken aire maisua" osoa eta "Heroiak"-en lehen bi denboraldiak, Euskal Encodings-en
2010/07/22

Sistema eragileen guda berria
2010/12/14

Anubis 3.0 albumarentzat 3D animazio ederra
2010/12/27

Telebistaren benetako iraultza hemen da, eta ez da LTDa
2011/01/10

"Asterix galiarra" eta "Urrezko igitaia" berrargitaratu ditu Salvatek
2011/01/13

Euskarazko komikigintza digitalizazioaren aurrean
2011/01/27

"Ihes ederra"ren gaztelaniazko eta katalanezko bertsioak eta "Alokairuan", kalean
2011/02/20

Star Wars jatorrizko trilogia, euskaraz
2011/03/21

Sare sozialetan preso
2011/04/06

Zer dudan Steve Jobsen, edo Appleren, aurka
2011/10/14

Gaur 100 urte Adèle Blanc-Sec-en abenturak hasi zirela
2011/11/04

Euskarazko 8 komiki berri
2011/12/02

Social networks killed the RSS star?
2012/06/10