Changeset f5a000d in libros
- Timestamp:
- Oct 16, 2014, 8:55:13 AM (10 years ago)
- Branches:
- revisionfinal
- Children:
- 408f320c
- Parents:
- cdde48a
- git-author:
- Dhionel Díaz <ddiaz@…> (12/10/14 00:24:21)
- git-committer:
- aaraujo <aaraujo@…> (16/10/14 08:55:13)
- Location:
- maquetacion/capitulo1
- Files:
-
- 2 edited
Legend:
- Unmodified
- Added
- Removed
-
maquetacion/capitulo1/conceptosBasicos.tex
rfae3161 rf5a000d 1 1 2 En este capítulo se pretende explicar el tema de la identidad digital (ID). Se presentan varias definiciones para colocar en contexto al lector. Inicialmente se muestran conceptos sobre la propia \textit{Identidad Digital}, luego se explican términos relevantes como el de \textit{rol, identidad parcial, manejo de la identidad}, y la \textit{protección de la identidad}, que involucran el área de la \textit{privacidad, anonimato, seudonimato, certificación y \index{firma electrónica}firma electrónica}. 2 En este capítulo se pretende explicar el tema de la identidad digital (ID) y 3 en ese sentido se presentan varias definiciones para colocar en contexto al lector.Asimismo, inicialmente se muestran conceptos sobre la propia 4 \textit{Identidad Digital}, luego se explican términos relevantes como el 5 de \textit{rol, identidad parcial, manejo de la identidad}, y la 6 \textit{protección de la identidad}, que involucran el área de la 7 \textit{privacidad, anonimato, seudonimato, certificación y 8 \index{firma electrónica}firma electrónica}. 3 9 4 10 \section{Identidad Digital ID} 5 11 \label{conceptos} 6 12 7 A continuación se presentan de manera resumida varios conceptos de Identidad Digital utilizados como base del trabajo \cite{maestriaRSumoza}: 8 13 A continuación se presentan de manera resumida varios conceptos de Identidad 14 Digital utilizados como base del trabajo \cite{maestriaRSumoza}: 15 16 \begin{comment} 9 17 %Los siguientes conceptos se utilizaron como base en el trabajo \cite{maestriaRSumoza} y se presentan de manera resumida a continuación: 18 \end{comment} 10 19 11 20 \begin{enumerate} 12 \item Es el conjunto de datos que describen y representan a un sujeto: persona, grupo de personas o cosas de manera única. Puede contener información sobre gustos, creencias, relaciones, tendencias, ideologías, y cualquier otro descriptor vinculado al sujeto. 13 \item Es la suma de toda la información disponible en formato digital de un sujeto (persona, grupo de personas, cosas). 14 \item Puede ser explicada como una percepción única o exclusiva de vida, con su integración a un grupo social, y con continuidad, la cual está acotada y formada por una sociedad. La identidad puede estar ligada a cualquier sujeto, ya sean seres humanos, personas jurídicas, y dispositivos electrónicos. 15 \item La identidad es un conjunto de atributos pertenecientes a un individuo que permiten diferenciarlo del resto de individuos que forman parte de un conjunto determinado. Por esta razón no existe una identidad única y universal, sino que pueden existir varias para un mismo individuo, según el conjunto y contexto al que se haga referencia. Incluso los valores de los atributos y los atributos mismos pueden cambiar en el tiempo. 16 \item La identidad digital denota la atribución de propiedades a una persona, los cuales son, desde el punto de vista técnico, operacionalmente accesible de forma inmediata, por su característica digital. El identificador de una identidad parcial digital puede ser una dirección de correo electrónico en un grupo de noticias o en una lista de correos. 21 \item Es el conjunto de datos que describen y representan a un sujeto: 22 persona, grupo de personas o cosas de manera única. Puede contener información 23 sobre gustos, creencias, relaciones, tendencias, ideologías, y cualquier 24 otro descriptor vinculado al sujeto. 25 \item Es la suma de toda la información disponible en formato digital de un 26 sujeto (persona, grupo de personas, cosas). 27 \item Puede ser explicada como una percepción única o exclusiva de vida, con su 28 integración a un grupo social, y con continuidad, la cual está acotada y 29 formada por una sociedad. La identidad puede estar ligada a cualquier sujeto, 30 ya sean seres humanos, personas jurídicas, y dispositivos electrónicos. 31 \item La identidad es un conjunto de atributos pertenecientes a un individuo 32 que permiten diferenciarlo del resto de individuos que forman parte de un 33 conjunto determinado. Por esta razón no existe una identidad única y universal, 34 sino que pueden existir varias para un mismo individuo, según el conjunto y 35 contexto al que se haga referencia. Incluso los valores de los atributos y 36 los atributos mismos pueden cambiar en el tiempo. 37 \item La identidad digital denota la atribución de propiedades a una persona, 38 las cuales son, desde el punto de vista técnico, operacionalmente accesibles 39 de forma inmediata, por su característica digital. El identificador de una 40 identidad parcial digital puede ser una dirección de correo electrónico en 41 un grupo de noticias o en una lista de correos. 17 42 \end{enumerate} 18 43 19 \subsection{Identidad Parcial} Una identidad parcial es un subconjunto de atributos del conjunto que compone la identidad completa, formada por la unión de todos los atributos de esta persona. Desde un punto de vista técnico, estos atributos constituyen datos. Como se mencionó anteriormente estos atributos y valores pueden variar en el tiempo. Un seudónimo puede considerarse como una identidad parcial. 44 \subsection{Identidad Parcial} Una identidad parcial es un subconjunto de 45 atributos del conjunto que compone la identidad completa, formada por la 46 unión de todos los atributos de esta persona. Desde un punto de vista 47 técnico, estos atributos constituyen datos. Como se mencionó anteriormente 48 estos atributos y valores pueden variar en el tiempo. Un seudónimo puede 49 considerarse como una identidad parcial. 50 \begin{comment} 20 51 %A pesar de que una identidad parcial no permite caracterizar a un individuo de forma única dentro de un conjunto específico, si puede, según la cantidad de a\-tri\-bu\-tos contenidos en el subconjunto, hacer posible tener varios contextos de aplicación del anonimato. 21 La identidad de cada persona está compuesta por muchas identidades parciales, las cuales representan a la persona en un contexto o rol específico. 22 52 \end{comment} 53 La identidad de cada persona está compuesta por muchas identidades parciales, 54 las cuales representan a la persona en un contexto o rol específico. 55 56 \begin{comment} 23 57 %\subsection{Sociedad Digital} 24 58 %Es un concepto moderno de sociedad progresiva que se forma como resultado de la adopción e integración de las TIC en ámbitos de hogar, de trabajo, de %educación, de recreación. Las personas interactúan a través de diversos tipos de actividades, como el pago de los diversos servicios públicos, la gestión de sus cuentas, el pago de los impuestos, el acceso a información de su interés, el registro de empresas, obtención de tarjetas de identificación, autenticación, transacciones financieras, registros médicos, situación laboral, revisión de oportunidades de empleo, etc. 59 \end{comment} 25 60 26 61 \subsection{Rol} 27 Desde el punto de vista de la Sociología un rol o rol social constituye un conjunto de acciones conectadas o relacionadas, conceptualizadas por los actores en una situación social. Es frecuente definirlo como un comportamiento esperado en un contexto individual social dado. 28 29 El Rol en Informática es un término vinculado a la Seguridad de las TICs y su significado es el de la función que un usuario tiene al utilizar un sistema. Las funciones les dan acceso a diferentes niveles de seguridad. 62 Desde el punto de vista de la Sociología un rol o rol social constituye un 63 conjunto de acciones conectadas o relacionadas, conceptualizadas por los 64 actores en una situación social. Es frecuente definirlo como un comportamiento 65 esperado en un contexto individual social dado. 66 67 El Rol en Informática es un término vinculado a la Seguridad de las Tecnologías 68 de Información y Comunicación (TIC) y su significado es el de la función que 69 un usuario tiene al utilizar un sistema. Las funciones les dan acceso a 70 diferentes niveles de seguridad. 30 71 31 72 \subsection{Manejo de la ID} 73 \begin{comment} 32 74 %En identidad digital se logra distinguir entre dos instancias de los sujetos (personas, grupos de personas o cosas), la primera es la definición de sí mismo (autodefinición interior y personal), y la segunda que los define en un contexto social con sus respectivos atributos, y que se mantiene para dar la posibilidad del acceso a la comunicación y que los ata de cierta manera a un control y un grado de consistencia con respecto al resto. 33 34 En Identidad Digital se logran distinguir dos instancias de los sujetos (personas, grupos de personas o cosas): la primera es la definición de sí mismo (autodefinición interior y personal), y la segunda es la que los define en un contexto social con sus respectivos atributos, que se mantienen para dar la posibilidad de acceso a la comunicación y que los ata de cierta manera a un control y un grado de consistencia con respecto al resto. 35 36 37 El manejo de la ID implica la gestión de varias identidades parciales (usualmente denotadas por seudónimos) de un individuo. Establecer la reputación es posible cuando un individuo reutiliza las identidades parciales. Un prerrequisito para la selección de una identidad parcial es el de conocer el contexto en el que la persona está actuando. 75 \end{comment} 76 77 En Identidad Digital se logran distinguir dos instancias de los sujetos 78 (personas, grupos de personas o cosas): la primera es la definición de sí 79 mismo (autodefinición interior y personal), y la segunda es la que los 80 define en un contexto social con sus respectivos atributos, que se mantienen 81 para dar la posibilidad de acceso a la comunicación y que los ata de cierta 82 manera a un control y un grado de consistencia con respecto al resto. 83 84 85 El manejo de la ID implica la gestión de varias identidades parciales 86 (usualmente denotadas por seudónimos) de un individuo. Establecer la reputación 87 es posible cuando un individuo reutiliza las identidades parciales. Un 88 prerrequisito para la selección de una identidad parcial es el de conocer 89 el contexto en el que la persona está actuando. 38 90 39 91 \subsubsection{Sistema de manejo de la identidad}\hfill\\ 40 Se refiere a la administración y diseño de los atributos de las identidades. Se puede distinguir entre un sistema de manejo de identidad y una aplicación para el manejo de la identidad: La primera puede ser entendida como una infraestructura, y la segunda como un conjunto de componentes coordinados entre sí. Las aplicaciones para el manejo de la identidad son herramientas para manejar individualmente sus comunicaciones relevantes, las cuales pueden ser configuradas y operadas en el lado de los usuarios o en el lado de los servidores. El manejo de la identidad, soportado técnicamente, tiene que autorizar a los usuarios para reconocer diferentes tipos de comunicaciones o situaciones sociales, y acceder a ellas con respecto a su relevancia, funcionalidad y al nivel de riesgo de la privacidad y seguridad en función de hacer y asumir roles de forma adecuada. 41 42 En general, las aplicaciones para el manejo de la identidad, específicamente en cuanto al manejo de las identidades parciales, representan los diferentes seudónimos con su respectivos datos de acuerdo a los diferentes roles que el usuario ha asumido y de acuerdo a los diferentes patrones de comunicación. En los casos donde se hace explícito el flujo de los datos personales, donde se le permite al usuario tener un mayor grado de control, la guía principal es la de “reconocer y escoger” su propia identidad, y se procura minimizar la cantidad de los datos utilizados. En una situación y contexto específico, tal sistema le da soporte al usuario en la selección de seudónimos que representen a sus identidades parciales. 92 Se refiere a la administración y diseño de los atributos de las identidades. 93 Se puede distinguir entre un sistema de manejo de identidad y una aplicación 94 para el manejo de la identidad: La primera puede ser entendida como una 95 infraestructura, y la segunda como un conjunto de componentes coordinados 96 entre sí. Las aplicaciones para el manejo de la identidad son herramientas 97 para manejar individualmente sus comunicaciones relevantes, las cuales pueden 98 ser configuradas y operadas en el lado de los usuarios o en el lado de los 99 servidores. El manejo de la identidad, soportado técnicamente, tiene que 100 autorizar a los usuarios para reconocer diferentes tipos de comunicaciones 101 o situaciones sociales, y acceder a ellas con respecto a su relevancia, 102 funcionalidad y al nivel de riesgo de la privacidad y seguridad en función 103 de hacer y asumir roles de forma adecuada. 104 105 En general, las aplicaciones para el manejo de la identidad, específicamente 106 en cuanto al manejo de las identidades parciales, representan los diferentes 107 seudónimos con sus respectivos datos de acuerdo a los diferentes roles que el 108 usuario ha asumido y de acuerdo a los diferentes patrones de comunicación. En 109 los casos donde se hace explícito el flujo de los datos personales, donde se 110 le permite al usuario tener un mayor grado de control, la guía principal es la 111 de “reconocer y escoger” su propia identidad y se procura minimizar la cantidad 112 de los datos utilizados. En una situación y contexto específico, tal sistema 113 le da soporte al usuario en la selección de seudónimos que representen a sus 114 identidades parciales. 43 115 44 116 \section{Protección de la ID} 45 117 46 Ya establecido el contexto terminológico, es importante mencionar que la gestión o manejo de la ID depende de las tecnologías de información y comunicación (TIC), las cuales involucran niveles de riesgos, vulnerabilidades, etc. que aumentan el uso y desarrollo de técnicas, protocolos, mecanismos, etc enfocados en su protección. 118 Ya establecido el contexto terminológico, es importante mencionar que la 119 gestión o manejo de la ID depende de las tecnologías de información y 120 comunicación, las cuales involucran niveles de riesgos, vulnerabilidades, 121 etc. que aumentan el uso y desarrollo de técnicas, protocolos, mecanismos 122 y demás elementos enfocados en su protección. 47 123 48 124 \subsection{Certificación Electrónica} \hfill\\ 49 125 50 126 Uno de los mecanismos comunes para establecer identidades digitales es a través 51 de la certificación electrónica, esta comprende la gestión de procesos en los que127 de la certificación electrónica, ésta comprende la gestión de procesos en los que 52 128 se emplean elementos como software, dispositivos y documentación de políticas 53 que permiten establecer identidad digitales a individuos o dispositivos. La129 que permiten establecer identidades digitales a individuos o dispositivos. La 54 130 certificación electrónica se usa en organizaciones privadas o públicas, 55 131 dentro de los países y a nivel mundial. 56 132 57 133 Los elementos que se gestionan en los procesos de la certificación electrónica 58 se describen con mayor detalle en la sección \ref{subsection:tecnicasDeVerificacionDeIdentidad}. 134 se describen con mayor detalle en la sección 135 \ref{subsection:tecnicasDeVerificacionDeIdentidad}. 59 136 En los capítulos \ref{capitulo5} y \ref{capitulo6} de la segunda parte de 60 137 este libro, se presentan aportes concretos de la Fundación CENDITEL sobre … … 63 140 \subsection{Firma Electrónica}\hfill\\ 64 141 65 Similar a la firma autógrafa de un ser humano, la \index{firma electrónica}firma electrónica es un mecanismo 66 para establecer la voluntad de aceptación del contenido de un documento en formato 67 electrónico y por lo tanto establece una herramienta muy útil para la gestión de la 68 ID. Se apoya en los procesos y elementos empleados en la certificación 69 electrónica para permitir que un individuo o dispositivo pueda firmar 70 electrónicamente cualquier documento, archivo o cadena de bytes. 142 Similar a la firma autógrafa de un ser humano, la \index{firma electrónica} 143 firma electrónica es un mecanismo para establecer la voluntad de aceptación 144 del contenido de un documento en formato electrónico y por lo tanto establece 145 una herramienta muy útil para la gestión de la ID. Se apoya en los procesos 146 y elementos empleados en la certificación electrónica para permitir que un 147 individuo o dispositivo pueda firmar electrónicamente cualquier documento, 148 archivo o cadena de bytes. 71 149 72 150 En la sección \ref{subsection:tecnicasDeVerificacionDeIdentidad} se presenta con 73 151 mayor detalle la noción de firma electrónica. En el capítulo \ref{capitulo6} 74 152 de la segunda parte de este libro, se presenta un aporte de la Fundación CENDITEL 75 sobre el uso de firmas electrónicas avanzadas en la gestión de procesos organizacionales. 153 sobre el uso de firmas electrónicas avanzadas en la gestión de procesos 154 organizacionales. 76 155 77 156 \subsection{Registro del comportamiento} \hfill\\ … … 79 158 \subsubsection{Análisis de Tráfico} \hfill\\ 80 159 81 Tal como se menciona en \cite{traffic_analysis} el Análisis de Tráfico tuvo sus orígenes durante la Segunda Guerra Mundial, incluyendo su relación con el ataque que se hizo sobre Pearl Harbour. Actualmente Google utiliza los enlaces de incidencia para evaluar la importancia de las páginas web, las compañías de tarjetas de crédito examinan las transacciones para descubrir patrones de gastos fraudulentos. La idea de fondo de esta técnica radica en que durante el tráfico de datos se pueden registrar el tiempo y la duración de la comunicación, y se examina esta información para determinar la forma detallada del flujo de datos, las identidades de las partes que se comunican, 82 y lo que puede ser establecido sobre su ubicación. Incluso los datos pueden ser poco precisos o estar incompletos, y simplemente a través del conocimiento de patrones típicos de comunicación se podría inferir sobre una comunicación en particular que se esté observando. 160 Tal como se menciona en \cite{traffic_analysis} el Análisis de Tráfico tuvo 161 sus orígenes durante la Segunda Guerra Mundial, incluyendo su relación con el 162 ataque que se hizo sobre Pearl Harbour. Actualmente Google utiliza los 163 enlaces de incidencia para evaluar la importancia de las páginas web, las 164 compañías de tarjetas de crédito examinan las transacciones para descubrir 165 patrones de gastos fraudulentos. La idea de fondo de esta técnica radica en 166 que durante el tráfico de datos se pueden registrar el tiempo y la duración 167 de la comunicación, y se examina esta información para determinar la forma 168 detallada del flujo de datos, las identidades de las partes que se comunican, 169 y lo que puede ser establecido sobre su ubicación. Incluso los datos pueden 170 ser poco precisos o estar incompletos, y simplemente a través del conocimiento 171 de patrones típicos de comunicación se podría inferir sobre una comunicación 172 en particular que se esté observando. 83 173 84 Esta técnica a pesar de que obtiene información de menor calidad en comparación a la obtenida con las técnicas del criptoanálisis, es mucho más fácil, barata y viable en cuanto a la extracción y procesamiento del tráfico de datos. El Análisis de Tráfico ha inspirado a otras técnicas utilizadas para la protección de sistemas, y para la construcción de sistemas de confianza. En cuanto al Análisis de Tráfico del protocolo de seguridad SSH (cónsola de comandos segura, o SSH por sus siglas en inglés), a pesar de que ofrece comunicaciones seguras para acceder a terminales remotos a través de un proceso de autenticación que utiliza mecanismos de clave pública, y que luego de este proceso toda la información viaja cifrada garantizando su confidencialidad e integridad, en \cite{timing_ssh} se muestra que aun existe gran cantidad de información que se deja pasar sin ocultarse. En su modo interactivo, el protocolo SSH transmite cada pulsación de tecla como un paquete distinto y de esta forma la longitud de la clave puede 85 ser trivialmente descubierta. Además, dado que la distribución de los 86 teclados no es aleatoria, y que las claves con frecuencia están basadas en palabras reales, el tiempo exacto de las pulsaciones de teclas está relacionado a qué tan rápido un carácter particular puede ser tipeado después de otro. Esto implica que al haber una suficiente variabilidad entre los patrones de tipeo de las personas entonces existe la posibilidad de identificarlos, particularmente después de observar una secuencia larga. 174 Esta técnica a pesar de que obtiene información de menor calidad en comparación 175 a la obtenida con las técnicas del criptoanálisis, es mucho más fácil, barata y 176 viable en cuanto a la extracción y procesamiento del tráfico de datos. El 177 Análisis de Tráfico ha inspirado a otras técnicas utilizadas para la protección 178 de sistemas y para la construcción de sistemas de confianza. En cuanto al 179 Análisis de Tráfico del protocolo de seguridad SSH (cónsola de comandos segura, 180 o SSH por sus siglas en inglés), a pesar de que ofrece comunicaciones seguras 181 para acceder a terminales remotos a través de un proceso de autenticación que 182 utiliza mecanismos de clave pública, y que luego de este proceso toda la 183 información viaja cifrada garantizando su confidencialidad e integridad, 184 en \cite{timing_ssh} se muestra que aun existe gran cantidad de información 185 que se deja pasar sin ocultarse. En su modo interactivo, el protocolo SSH 186 transmite cada pulsación de tecla como un paquete distinto y de esta forma 187 la longitud de la clave puede ser trivialmente descubierta. Además, dado que 188 la distribución de los teclados no es aleatoria, y que las claves con frecuencia 189 están basadas en palabras reales, el tiempo exacto de las pulsaciones de teclas 190 está relacionado a qué tan rápido un carácter particular puede ser tipeado 191 después de otro. Esto implica que al haber una suficiente variabilidad entre 192 los patrones de tipeo de las personas entonces existe la posibilidad de 193 identificarlos, particularmente después de observar una secuencia larga. 87 194 88 El Análisis de Tráfico de los protocolos introducidos para proveer accesos web privados (Secure Sockets Layer o SSL y el Transport Layer Security o TLS), se basa en estudiar la información que aun deja escapar este protocolo cuando se establece una comunicación web hacia un servidor. Los navegadores solicitan recursos, que son normalmente páginas HTML, y éstas a su vez están asociadas a otras recursos adicionales como imágenes, tablas, etc., las cuales pueden ser descargadas a través de enlaces cifrados, pero su tamaño aun puede ser determinado por el observador, quien puede inferir cuáles páginas están siendo accedidas (por ejemplo podrá inferir cuáles reportes de una compañía están siendo descargados). Incluso, estudiando el comportamiento de los sistemas de almacenamiento local de las páginas visitadas en la web (web cache) puede inferirse cuáles sitios web se han accedido con sólo reconocer el patrón de almacenamiento en los cache de cada uno. 195 El Análisis de Tráfico de los protocolos introducidos para proveer accesos 196 web privados (Secure Sockets Layer o SSL y el Transport Layer Security o TLS), 197 se basa en estudiar la información que aún deja escapar este protocolo cuando 198 se establece una comunicación web hacia un servidor. Los navegadores solicitan 199 recursos, que son normalmente páginas HTML, y éstas a su vez están asociadas 200 a otros recursos adicionales como imágenes, tablas, etc., los cuales pueden ser 201 descargados a través de enlaces cifrados, pero su tamaño aún puede ser 202 determinado por el observador, quien puede inferir cuáles páginas están siendo 203 accedidas (por ejemplo podrá inferir cuáles reportes de una compañía están 204 siendo descargados). Incluso, estudiando el comportamiento de los sistemas de 205 almacenamiento local de las páginas visitadas en la web (web cache) puede 206 inferirse cuáles sitios web se han accedido con sólo reconocer el patrón de 207 almacenamiento en los cache de cada uno. 89 208 90 Se puede determinar la identificación de los dispositivos en la red sólo con estudiar el comportamiento y las características particulares de los cambios del reloj en cada dispositivo. 209 También se puede determinar la identificación de los dispositivos en la red 210 sólo con estudiar el comportamiento y las características particulares de los 211 cambios del reloj en cada dispositivo. 91 212 92 213 \subsection{Privacidad vinculada a la ID} 93 214 \label{privacidad} 94 La privacidad está vinculada a la información proveniente de cualquier fuente que se relacione a un individuo y que éste desea que no se divulgue públicamente. Esta información puede estar contenida en los perfiles que se tienen del individuo. Estos perfiles son conjuntos de atributos que se consideran identidades parciales de las personas. Cuando terceros (atacantes) crean a través de ataques como el Análisis de Tráfico, sin autorización, estos perfiles de las personas para realizar hechos negativos (no deseados) contra los mismos, se considera que existe una vulnerabilidad que debe ser protegida. Es por eso que en el contexto de la Idenidad Digital, y su protección, están involucradas las técnicas y procedimientos para proteger la Privacidad, y puntualmente se puede hablar de Anonimato al procurar evitar la creación de dichos perfiles sin autorización. 215 La privacidad está vinculada a la información proveniente de cualquier fuente 216 que se relacione a un individuo y que éste desea que no se divulgue públicamente. 217 Esta información puede estar contenida en los perfiles que se tienen del 218 individuo, los cuales son conjuntos de atributos que se consideran identidades 219 parciales de las personas. Cuando terceros (atacantes) crean estos perfiles de 220 las personas para realizar hechos negativos (no deseados) contra ellas, a través 221 de ataques como el Análisis de Tráfico sin autorización, se considera que 222 existe una vulnerabilidad que debe ser protegida. Es por eso que en el contexto 223 de la Idenidad Digital, y su protección, están involucradas las técnicas 224 y procedimientos para proteger la Privacidad, y puntualmente se puede hablar 225 de Anonimato al procurar evitar la creación de dichos perfiles sin autorización. 95 226 96 227 \subsubsection{Anonimato} \hfill\\ 97 228 \label{anonimato} 98 Se vincula a los usuarios (sujetos) que utilizan un sistema de comunicación, y que en general puede decirse que un sujeto es anónimo cuando no puede ser identificado dentro de un conjunto de sujetos, denominado el conjunto anónimo. Este conjunto está conformado por todos los posibles sujetos que pueden causar (o estar relacionados con) una acción. "No ser identificado" significa que ese sujeto no puede ser caracterizado de forma única o particular dentro de ese conjunto. Un sujeto actúa anónimamente cuando, desde el punto de vista del adversario, su acción no puede relacionarse con su identidad, dado que hay un conjunto de sujetos que podrían ser los causantes potenciales de la acción (y el adversario no puede distinguir a su verdadero causante). El anonimato debe permitirle a un sujeto utilizar un recurso o servicio sin revelar su identidad, esto implica que el anonimato por si mismo no procura proteger la identidad de un usuario en un ámbito general, lo que pretende es evitar que otros usuarios o sujetos 99 no puedan determinar la identidad de un usuario cuando éste genera una acción u operación en particular. 229 Se vincula a los usuarios (sujetos) que utilizan un sistema de comunicación, y 230 que en general puede decirse que un sujeto es anónimo cuando no puede ser 231 identificado dentro de un conjunto de sujetos, denominado el conjunto anónimo. 232 Este conjunto está conformado por todos los posibles sujetos que pueden causar 233 (o estar relacionados con) una acción. "No ser identificado" significa que ese 234 sujeto no puede ser caracterizado de forma única o particular dentro de ese 235 conjunto. Un sujeto actúa anónimamente cuando, desde el punto de vista del 236 adversario, su acción no puede relacionarse con su identidad, dado que hay 237 un conjunto de sujetos que podrían ser los causantes potenciales de la acción 238 (y el adversario no puede distinguir a su verdadero causante). El anonimato 239 debe permitirle a un sujeto utilizar un recurso o servicio sin revelar su 240 identidad, esto implica que el anonimato por si mismo no procura proteger la 241 identidad de un usuario en un ámbito general, lo que pretende es evitar que 242 otros usuarios o sujetos puedan determinar la identidad de un usuario cuando 243 éste genera una acción u operación en particular. 100 244 101 245 \subsubsection{Seudonimato} \hfill\\ 102 La palabra seudónimo proviene del griego \textit{pseudonumon} la cual significa “nombre falso”, es decir, un nombre distinto al “nombre real”. Sin embargo, como el “nombre real” tiene también un origen arbitrario, el nombre de seudónimo puede ser extendido a todos los identificadores o cualquier otra cadena de bits que identifique a un sujeto. Tal como se expresa en \cite{rlsm:terminology}, los seudónimos son identificadores (nombres u otras cadenas de bits) de sujetos. Para el caso que se está tratando, son los identificadores de los emisores y receptores de mensajes. Es posible que en algunos casos convenga agrupar los nombre reales en un conjunto distinto al de los “nombres falsos” (no considerados reales), pero en otros casos un “nombre real” puede ser considerado como un seudónimo que resulta de una selección inicial, para la identificación de un sujeto. Incluso, en gran parte de la literatura excluyen la fracción que le da el nombre de “falso” (“pseudo”), y sólo utilizan, para referirse a nombres de 103 seudónimos, la palabra \textit{nyms}. Desde un punto de vista más básico (fundamental), un seudónimo puede ser considerado como un tipo de atributo del sujeto, que puede ser controlado por el diseñador de sistemas o por 104 el mismo usuario. 105 106 Se pueden generalizar los seudónimos como identificadores de sujetos particulares o conjuntos de sujetos que son sus contenedores. En las configuraciones tradicionales se asume que cada seudónimo se refiere a un solo contenedor, invariante sobre el tiempo, el cual no puede ser transferido a otros contenedores. Algunos tipos especiales de seudónimos pueden ser solamente extendidos y transferidos a otros contenedores, por ejemplo, un seudónimo de grupo se refiere a un conjunto de contenedores, y un seudónimo transferible puede ser transferido de un contenedor a otro. Utilizando la noción de seudónimo de grupo, se podría inducir el conjunto anónimo: Utilizando la información provista por el seudónimo solamente, un atacante no podría decidir si una acción fue ejecutada por una persona específica dentro del conjunto. 107 108 En resumen, utilizando un criterio formal, un seudónimo se puede considerar como el estado de utilizar un “nombre falso” como identificación (ID), y seudonimato se puede definir como el proceso donde se utilizan los seudónimos como identificadores. El seudonimato tiene como uno de sus principales objetivos el permitirle a un usuario utilizar un recurso o servicio sin tener que revelar su verdadera identidad, y sin quitarle la responsabilidad sobre el uso del mismo. 109 110 Es evidente, por definición, que el anonimato y la responsabilidad son extremos opuestos con respecto a la relacionabilidad de los sujetos, sin embargo, a través del uso del seudonimato se procura establecer un punto intermedio para cumplir con ambas partes: Responsabilizar a los usuarios (sujetos) de sus acciones y evitar que se revele su identidad. Incluso utilizando el mismo seudónimo, le puede permitir al sujeto tener cierto nivel de reputación (esto suponiendo que existen los mecanismos adecuados para poder autenticar los mensajes enviados por el contenedor del seudónimo). Además, existen configuraciones de sistemas anónimos que permiten evitar el abuso en su utilización, pudiendo revelarse, en ciertos casos, la identidad del usuario que haya incurrido en cualquier tipo de acciones no permitidas (esto en el supuesto que sólo determinadas autoridades certificadas pueden revelar esta identidad). 111 112 El seudonimato del emisor se define como el uso de seudónimos por parte del emisor, y el seudonimato del receptor se define como el uso de seudónimos del receptor. En la figura \ref{seudonimato} se representa esta noción de seudonimato (extraida de \cite{rlsm:terminology}). 113 114 Cuando se utilizan “nombres falsos” como etiquetas que identifican a un sujeto, es conveniente considerar cómo se trata o maneja la responsabilidad y la autorización. Es decir, los seudónimos digitales pueden ser utilizados para autenticar los mensajes, ya que un seudónimo digital es una cadena de bits que dentro de este contexto es un único ID del sujeto, el cual puede ser utilizado para autenticar el ítem de interés o IDI del contenedor relativo a su seudónimo, esto implica que la responsabilidad puede ser manejada a través del uso de seudónimos. Sin embargo, puede no ser suficiente para alcanzar este tipo de gestión de la responsabilidad, por tal motivo en algunos casos prácticos, es necesario acompañar al seudónimo con otro tipo de pruebas de validez (tales como firmas digitales), y/o utilizar terceras partes (autoridades de certificación digital) que le den validez a los seudónimos. 246 La palabra seudónimo proviene del griego \textit{pseudonumon} la cual significa 247 “nombre falso”, es decir, un nombre distinto al “nombre real”. Sin embargo, 248 como el “nombre real” tiene también un origen arbitrario, el nombre de 249 seudónimo puede ser extendido a todos los identificadores o cualquier otra 250 cadena de bits que identifique a un sujeto. Tal como se expresa en 251 \cite{rlsm:terminology}, los seudónimos son identificadores (nombres u otras 252 cadenas de bits) de sujetos. Para el caso que se está tratando, son los 253 identificadores de los emisores y receptores de mensajes. Es posible que en 254 algunos casos convenga agrupar los nombre reales en un conjunto distinto al de 255 los “nombres falsos” (no considerados reales), pero en otros casos un 256 “nombre real” puede ser considerado como un seudónimo que resulta de una 257 selección inicial, para la identificación de un sujeto. Incluso, en gran parte 258 de la literatura excluyen la fracción que le da el nombre de “falso” 259 (“pseudo”), y sólo utilizan, para referirse a nombres de seudónimos, la palabra 260 \textit{nyms}. Desde un punto de vista más básico (fundamental), un seudónimo 261 puede ser considerado como un tipo de atributo del sujeto, que puede ser 262 controlado por el diseñador de sistemas o por el mismo usuario. 263 264 Se pueden generalizar los seudónimos como identificadores de sujetos particulares 265 o conjuntos de sujetos que son sus contenedores. En las configuraciones 266 tradicionales se asume que cada seudónimo se refiere a un solo contenedor, 267 invariante sobre el tiempo, el cual no puede ser transferido a otros contenedores. 268 Algunos tipos especiales de seudónimos pueden ser solamente extendidos y 269 transferidos a otros contenedores, por ejemplo, un seudónimo de grupo se refiere 270 a un conjunto de contenedores, y un seudónimo transferible puede ser transferido 271 de un contenedor a otro. Utilizando la noción de seudónimo de grupo, se podría 272 inducir el conjunto anónimo: Utilizando la información provista por el seudónimo 273 solamente, un atacante no podría decidir si una acción fue ejecutada por una 274 persona específica dentro del conjunto. 275 276 En resumen, utilizando un criterio formal, un seudónimo se puede considerar como 277 el estado de utilizar un “nombre falso” como identificación (ID), y seudonimato 278 se puede definir como el proceso donde se utilizan los seudónimos como 279 identificadores. El seudonimato tiene como uno de sus principales objetivos el 280 permitirle a un usuario utilizar un recurso o servicio sin tener que revelar 281 su verdadera identidad, y sin quitarle la responsabilidad sobre el uso del mismo. 282 283 Es evidente, por definición, que el anonimato y la responsabilidad son extremos 284 opuestos con respecto a la relacionabilidad de los sujetos, sin embargo, a 285 través del uso del seudonimato se procura establecer un punto intermedio 286 para cumplir con ambas partes: Responsabilizar a los usuarios (sujetos) de sus 287 acciones y evitar que se revele su identidad. Incluso utilizando el mismo 288 seudónimo, le puede permitir al sujeto tener cierto nivel de reputación 289 (esto suponiendo que existen los mecanismos adecuados para poder autenticar 290 los mensajes enviados por el contenedor del seudónimo). Además, existen 291 configuraciones de sistemas anónimos que permiten evitar el abuso en su 292 utilización, pudiendo revelarse, en ciertos casos, la identidad del usuario 293 que haya incurrido en cualquier tipo de acciones no permitidas (esto en el 294 supuesto que sólo determinadas autoridades certificadas pueden revelar esta 295 identidad). 296 \begin{comment} 297 Aqui cabe mencionar que un sistema como éste realmente no tiene anonimato alguno 298 por cuanto una vez que existe alguna manera de revelar la identidad ese 299 supuesto anonimato ya no existe. Además, no parece ser posible garantizar 300 que el acceso a ese mecanismo de develación de identidad no pueda ser 301 comprometido. 302 \end{comment} 303 304 El seudonimato del emisor se define como el uso de seudónimos por parte 305 del emisor, y el seudonimato del receptor se define como el uso de seudónimos 306 del receptor. En la figura \ref{seudonimato} se representa esta noción de 307 seudonimato (extraida de \cite{rlsm:terminology}). 308 309 Cuando se utilizan “nombres falsos” como etiquetas que identifican a un 310 sujeto, es conveniente considerar cómo se trata o maneja la responsabilidad 311 y la autorización. Es decir, los seudónimos digitales pueden ser utilizados 312 para autenticar los mensajes, ya que un seudónimo digital es una cadena de 313 bits que dentro de este contexto es un ID único del sujeto, el cual puede ser 314 utilizado para autenticar el ítem de interés o IDI del contenedor relativo 315 a su seudónimo, esto implica que la responsabilidad puede ser manejada a 316 través del uso de seudónimos. Sin embargo, ello puede no ser suficiente para 317 alcanzar este tipo de gestión de la responsabilidad, por tal motivo en 318 algunos casos prácticos es necesario acompañar al seudónimo con otro tipo 319 de pruebas de validez (tales como firmas digitales), y/o utilizar 320 terceras partes (autoridades de certificación digital) que le den validez 321 a los seudónimos. 115 322 116 323 … … 124 331 125 332 126 Se pueden considerar las siguientes definiciones del seudonimato con respecto al anonimato: 333 Se pueden considerar las siguientes definiciones del seudonimato con respecto 334 al anonimato: 127 335 128 336 \begin{description} 129 \item[Seudónimo público:] La relación entre un seudónimo y su contenedor puede ser de conocimiento público, por ejemplo podría estar en una lista o directorio público. 130 \item[Seudónimo no público:] La relación inicial del seudónimo y su contenedor puede ser conocida por ciertas partes (entidades de control o administración centralizada o descentralizada), pero no son del conocimiento público. 337 \item[Seudónimo público:] La relación entre un seudónimo y su contenedor puede 338 ser de conocimiento público, por ejemplo podría estar en una lista o directorio 339 público. 340 \item[Seudónimo no público:] La relación inicial del seudónimo y su contenedor 341 puede ser conocida por ciertas partes (entidades de control o administración 342 centralizada o descentralizada), pero no son del conocimiento público. 343 \begin{comment} 131 344 %\item[Seudónimo no relacionado inicialmente:] La relación inicial entre un seudónimo y su contenedor es, al menos en el inicio, desconocida para cualquiera, con la posible excepción del contenedor mismo. 345 \end{comment} 132 346 \end{description} 133 347 348 \begin{comment} 134 349 %Los seudónimos públicos y los seudónimos no relacionados inicialmente son los extremos que pudiesen ser análogos con la responsabilidad y el anonimato mencionados anteriormente, es decir, el anonimato es más fuerte mientras menos se relacione al contenedor con su seudónimo, decrece en caso contrario. Esto quiere decir, que el nivel de anonimato dependerá de la relación relativa que el atacante le de al seudónimo con respecto a su contenedor. 350 \end{comment} 135 351 136 352 También se pueden considerar otros tipos de seudónimos: 137 353 138 354 \begin{description} 139 \item[Seudónimo personal:] Es un subtítulo para el nombre del contenedor el cual está relacionado con su identidad civil por ejemplo el número de la cédula de identidad o pasaporte. 140 \item[Seudónimo por rol:] Está limitado a roles específicos, es decir, su asignación está relacionada a los roles que desempeña el contenedor. Por ejemplo, los seudónimos que comúnmente se utilizan bajo el rol de “usuario de Internet” son denominados “nombre de usuarios”. 141 %\item[Seudónimo por relación:] Diferentes seudónimos pueden ser utilizados para establecer las asociaciones en pares dependiendo de los pares conformados para las comunicaciones. 142 %\item[Seudónimo por relación y por rol:] Son seudónimos asignados se\-gún el rol que desempeña cada par que se comunica. Es decir, que un mismo contenedor puede utilizar varios seudónimos, dependiendo del rol que desempeñe tanto él como su homólogo en la comunicación. 143 \item[Seudónimo por transacción:] Un mismo contenedor podría tener un seudónimo por cada transacción que realice. 355 \item[Seudónimo personal:] Es un subtítulo para el nombre del contenedor 356 el cual está relacionado con su identidad civil por ejemplo el número de 357 la cédula de identidad o pasaporte. 358 \item[Seudónimo por rol:] Está limitado a roles específicos, es decir, 359 su asignación está relacionada a los roles que desempeña el contenedor. 360 Por ejemplo, los seudónimos que comúnmente se utilizan bajo el rol de 361 “usuario de Internet” son denominados “nombre de usuarios”. 362 \begin{comment} 363 %\item[Seudónimo por relación:] Diferentes seudónimos pueden ser utilizados 364 para establecer las asociaciones en pares dependiendo de los pares conformados 365 para las comunicaciones. 366 %\item[Seudónimo por relación y por rol:] Son seudónimos asignados se\-gún 367 el rol que desempeña cada par que se comunica. Es decir, que un mismo contenedor 368 puede utilizar varios seudónimos, dependiendo del rol que desempeñe tanto él como 369 su homólogo en la comunicación. 370 \end{comment} 371 \item[Seudónimo por transacción:] Un mismo contenedor podría tener un seudónimo 372 por cada transacción que realice. 144 373 \end{description} 145 374 146 El nivel de anonimato en relación al tipo de estrategia de utilización de seudónimos se representa en la figura \ref{seudonimato-anonimato}. 375 El nivel de anonimato en relación al tipo de estrategia de utilización 376 de seudónimos se representa en la figura \ref{seudonimato-anonimato}. 147 377 148 378 … … 156 386 157 387 158 En general, el anonimato del seudónimo por rol, y del seudónimo por relación es más fuerte que el anonimato debido al uso de seudónimos personales. La fortaleza del anonimato se incrementa con la aplicación de seu\-dó\-ni\-mos por rol y relación. El ultimo nivel de fortaleza se consigue utilizando los seudónimos por transacción dado que no existe información sobre la relación entre cada una de las transacciones. En ocasiones, se utiliza el nombre de seu\-dó\-ni\-mo de un solo uso para denotar los seudónimos por transacción. La fortaleza del anonimato antes mencionada se refiere a que desde un punto de partida se define que el mayor nivel (fortaleza) de anonimato se logra cuando no se proporciona información sobre la identidad en absoluto. En otras palabras, el anonimato es más fuerte mientras menos datos personales del contenedor puedan ser relacionados al seudónimo, y mientras los seudónimos sean utilizados con menor frecuencia (estos es cuando un mismo contenedor utiliza un mayor número de seudónimos). 159 160 Un seudónimo digital se puede conformar con el uso de algún mecanismo de clave pública utilizado para probar las firmas digitales, donde los contenedores del seudónimo pueden probar que son los verdaderos “dueños” del seudónimo solamente cons\-tru\-yen\-do una firma digital creada con su clave privada. En la mayoría de los casos los seudónimos digitales son las mismas claves públicas generadas por los propios usuarios. 161 162 Un certificado de clave pública contiene una firma digital de una determinada autoridad de certificación que provee algún tipo de seguridad cuando un mismo sujeto utiliza la clave pública para otro de sus seudónimos. En el caso de que el seudónimo provenga del nombre real de un sujeto, se le llama certificado de identidad. Un certificado de atributo es un certificado digital que contiene más cantidad de información (atributos) y claramente se refiere a un certificado específico de clave pública. Independientemente de los certificados, los atributos también pueden ser utilizados como identificadores de conjuntos de sujetos, no sólo de sujetos particulares. 388 En general, el anonimato del seudónimo por rol, y del seudónimo por relación 389 es más fuerte que el anonimato debido al uso de seudónimos personales. 390 La fortaleza del anonimato se incrementa con la aplicación de seu\-dó\-ni\-mos 391 por rol y relación. El ultimo nivel de fortaleza se consigue utilizando 392 los seudónimos por transacción dado que no existe información sobre la 393 relación entre cada una de las transacciones. En ocasiones, se utiliza el 394 nombre de seu\-dó\-ni\-mo de un solo uso para denotar los seudónimos por 395 transacción. La fortaleza del anonimato antes mencionada se refiere a que 396 desde un punto de partida se define que el mayor nivel (fortaleza) de anonimato 397 se logra cuando no se proporciona información sobre la identidad en absoluto. 398 En otras palabras, el anonimato es más fuerte mientras menos datos personales 399 del contenedor puedan ser relacionados al seudónimo, y mientras los seudónimos 400 sean utilizados con menor frecuencia (estos es cuando un mismo contenedor 401 utiliza un mayor número de seudónimos). 402 403 Un seudónimo digital se puede conformar con el uso de algún mecanismo de clave 404 pública utilizado para probar las firmas digitales, donde los contenedores del 405 seudónimo pueden probar que son los verdaderos “dueños” del seudónimo solamente 406 cons\-tru\-yen\-do una firma digital creada con su clave privada. En la mayoría 407 de los casos los seudónimos digitales son las mismas claves públicas generadas 408 por los propios usuarios. 409 410 Un certificado de clave pública contiene una firma digital de una determinada 411 autoridad de certificación que provee algún tipo de seguridad cuando un mismo 412 sujeto utiliza la clave pública para otro de sus seudónimos. En el caso de que 413 el seudónimo provenga del nombre real de un sujeto, se le llama certificado de 414 identidad. Un certificado de atributo es un certificado digital que contiene 415 más cantidad de información (atributos) y claramente se refiere a un 416 certificado específico de clave pública. Independientemente de los certificados, 417 los atributos también pueden ser utilizados como identificadores de conjuntos 418 de sujetos, no sólo de sujetos particulares. 163 419 164 420 \subsubsection{No relacionabilidad}\hfill\\ 165 La no relacionabilidad sólo tiene sentido práctico si previamente se han definido las propiedades del anonimato, seudonimato y no-observabilidad de dichos sistemas, y se han caracterizado las entidades o ítems de interés que se desean relacionar (por parte del atacante). En \cite{rlsm:terminology} se menciona que las entidades o ítems de interés (IDI) son sujetos, mensajes, eventos, acciones, etc. La relacionabilidad se considera a la información que se tiene sobre la relación real que existe entre los IDIs, es decir, que en todos los casos reales existirá cierta relación entre ellos y la relacionabilidad es la información respecto a ésta. Por ende, la no relacionabilidad, desde la perspectiva del adversario, significa que la información obtenida después de un ataque es la misma información que se tenía antes del mismo, es decir, los IDIs no están ni más ni menos relacionados comparando el periodo anterior y posterior al ataque. Desde la perspectiva probabilística, la no relacionabilidad significa que la 166 probabilidad de que dos o más ítems de interés están relacionados (desde la perspectiva del atacante) es la misma antes y después del ataque. 167 168 La no relacionabilidad debe implicar que el usuario puede hacer múltiples usos de un recurso o servicio sin que esto conlleve a que el adversario pueda establecer una relación entre estos usos, es decir, requiere que los usuarios y/o los sujetos no tengan la disponibilidad de determinar que cierto usuario fue el causante de cierta acción en el sistema. 169 170 Si se considera que el envío y recepción de mensajes son los IDIs, el anonimato puede ser definido como la no relacionabilidad de uno de ellos con cualquier identificador de un sujeto (en este caso un emisor o un receptor). Específicamente, el anonimato de un IDI es la no relación con cualquier sujeto y el anonimato de un sujeto es su no relación con cualquier de ellos. De esta manera se puede considerar anonimato del emisor como las propiedades que hacen que un emisor no pueda ser relacionado a cualquier mensaje, y que un mensaje no pueda ser relacionado a un emisor. 171 172 De igual forma, el anonimato del receptor significa que un mensaje no puede ser relacionado a cualquier receptor, y un receptor no puede ser relacionado a cualquier mensaje. La relación de anonimato es la imposibilidad de determinar quién se comunica con quién, es decir, el emisor y el receptor son no relacionables. 173 174 La no relacionabilidad es una condición suficiente para el anonimato, pero no es una condición necesaria. Incluso en algunos casos se puede considerar que aun fallando la propiedad de la no relacionabilidad se puede conseguir un nivel de anonimato alto. Esto si se hace referencia a la definición estricta del anonimato: no poder ser identificado dentro de un conjunto de sujetos. 421 La no relacionabilidad sólo tiene sentido práctico si previamente se han 422 definido las propiedades del anonimato, seudonimato y no-observabilidad de 423 dichos sistemas, y se han caracterizado las entidades o ítems de interés que se 424 desean relacionar (por parte del atacante). En \cite{rlsm:terminology} se 425 menciona que las entidades o ítems de interés (IDI) son sujetos, mensajes, 426 eventos, acciones, etc. La relacionabilidad se considera a la información 427 que se tiene sobre la relación real que existe entre los IDIs, es decir, que 428 en todos los casos reales existirá cierta relación entre ellos y la 429 relacionabilidad es la información respecto a ésta. Por ende, la no 430 relacionabilidad, desde la perspectiva del adversario, significa que la 431 información obtenida después de un ataque es la misma información que se tenía 432 antes del mismo, es decir, los IDIs no están ni más ni menos relacionados 433 comparando el periodo anterior y posterior al ataque. Desde la perspectiva 434 probabilística, la no relacionabilidad significa que la 435 probabilidad de que dos o más ítems de interés están relacionados 436 (desde la perspectiva del atacante) es la misma antes y después del ataque. 437 438 La no relacionabilidad debe implicar que el usuario puede hacer múltiples 439 usos de un recurso o servicio sin que esto conlleve a que el adversario pueda 440 establecer una relación entre estos usos, es decir, requiere que los usuarios 441 y/o los sujetos no tengan la disponibilidad de determinar que cierto usuario 442 fue el causante de cierta acción en el sistema. 443 444 Si se considera que el envío y recepción de mensajes son los IDIs, el 445 anonimato puede ser definido como la no relacionabilidad de uno de ellos 446 con cualquier identificador de un sujeto (en este caso un emisor o un 447 receptor). Específicamente, el anonimato de un IDI es la no relación con 448 cualquier sujeto y el anonimato de un sujeto es su no relación con cualquiera 449 de ellos. De esta manera se puede considerar anonimato del emisor como las 450 propiedades que hacen que un emisor no pueda ser relacionado con ningún 451 mensaje, y que un mensaje no pueda ser relacionado con ningún emisor. 452 453 De igual forma, el anonimato del receptor significa que un mensaje no puede 454 ser relacionado con ningún receptor, y un receptor no puede ser relacionado 455 con ningún mensaje. La relación de anonimato es la imposibilidad de determinar 456 quién se comunica con quién, es decir, el emisor y el receptor son no 457 relacionables. 458 459 La no relacionabilidad es una condición suficiente para el anonimato, pero 460 no es una condición necesaria. Incluso en algunos casos se puede considerar 461 que aun fallando la propiedad de la no relacionabilidad se puede conseguir 462 un nivel de anonimato alto. Esto si se hace referencia a la definición 463 estricta del anonimato: no poder ser identificado dentro de un conjunto 464 de sujetos. 175 465 176 466 \subsubsection{No observabilidad}\hfill\\ 177 En contraste con la definición de anonimato, y la de no relacionabilidad, donde se considera la protección de la relación del IDIs con respecto a los sujetos o a otros IDIs, la no observabilidad considera la protección de los IDIs en sí mismos, ya que se define como el estado de que un IDI sea indistinguible entre un conjunto de IDIs del mismo tipo (el “tipo” lo definen las características de interés en cada caso, por ejemplo, considerar la emisión de mensajes como un IDI, tiene su características propias, que hacen que se pueda diferenciar de otro tipo de IDI). Por ejemplo, se podría decir que al ser no observable, no es posible distinguir entre un mensaje y el ruido aleatorio. 178 179 Semejante al caso del anonimato, también se tienen conjuntos de sujetos no observables con respecto a esta propiedad, es decir, el conjunto de emisores no observables tiene la propiedad de que cada emisor no puede ser distinguido del resto, el conjunto de receptores no observables tiene la propiedad de no poderse distinguir, desde el punto de vista del atacante, a un receptor del resto de los receptores de ese conjunto. La relación de no observabilidad de esta forma significa que no es posible distinguir entre un emisor y un receptor que intercambian un mensaje, es decir, si se considera un mensaje en particular entonces el conjunto de la relación de no observabilidad está compuesto por todos los posibles pares emisor-receptor, entre los cuales no se podría diferenciar o determinar que existe una relación de envío-recepción. En la figura \ref{conjuntos_no_observables} se puede observar gráficamente la configuración de dichos conjuntos. 180 181 Desde una perspectiva de usuario, la no observabilidad se podría definir como la propiedad de que un usuario pueda utilizar un recurso o servicio sin que otros (terceras partes) tenga la posibilidad de determinar que el recurso o servicio está siendo utilizado. 467 En contraste con la definición de anonimato, y la de no relacionabilidad, 468 donde se considera la protección de la relación del IDIs con respecto a 469 los sujetos o a otros IDIs, la no observabilidad considera la protección 470 de los IDIs en sí mismos, ya que se define como el estado de que un IDI 471 sea indistinguible entre un conjunto de IDIs del mismo tipo (el “tipo” lo 472 definen las características de interés en cada caso, por ejemplo, considerar 473 la emisión de mensajes como un IDI, tiene su características propias, que 474 hacen que se pueda diferenciar de otro tipo de IDI). Por ejemplo, se podría 475 decir que al ser no observable, no es posible distinguir entre un mensaje y 476 el ruido aleatorio. 477 478 Semejante al caso del anonimato, también se tienen conjuntos de sujetos 479 no observables con respecto a esta propiedad. Es decir, el conjunto de 480 emisores no observables tiene la propiedad de que cada emisor no puede 481 ser distinguido del resto y el conjunto de receptores no observables tiene 482 la propiedad de no poderse distinguir, desde el punto de vista del atacante, 483 de un receptor en el resto de los receptores de ese conjunto. La 484 relación de no observabilidad de esta forma significa que no es posible 485 distinguir entre un emisor y un receptor que intercambian un mensaje, es 486 decir, si se considera un mensaje en particular entonces el conjunto de la 487 relación de no observabilidad está compuesto por todos los posibles pares 488 emisor-receptor, entre los cuales no se podría diferenciar o determinar que 489 existe una relación de envío-recepción. En la figura 490 \ref{conjuntos_no_observables} se puede observar gráficamente 491 la configuración de dichos conjuntos. 492 493 Desde una perspectiva de usuario, la no observabilidad se podría definir 494 como la propiedad de que un usuario pueda utilizar un recurso o servicio 495 sin que otros (terceras partes) tenga la posibilidad de determinar que el 496 recurso o servicio está siendo utilizado. 182 497 183 498 … … 194 509 195 510 196 511 \begin{comment} 197 512 %\section{Legislación vinculada a la ID} 198 199 200 201 202 203 513 \end{comment} 514 515 516 517 518 -
maquetacion/capitulo1/tecnicasDeIdentificacionYAutenticacion.tex
r9ec9411 rf5a000d 19 19 investigación sobre mecanismos para establecer lo que una 20 20 entidad puede hacer luego de demostrar su identidad digital en sistemas 21 informáticos, esta corresponde con los sistemas de autorización.21 informáticos, ésta corresponde con los sistemas de autorización. 22 22 23 23 La verificación de la Identidad Digital de un usuario luego de ejecutada una
Note: See TracChangeset
for help on using the changeset viewer.