1

Criptografía Seguridad y Tendencias en la Autopista de

la Información Financiera

Marcelo GagginoSubgerente de Informática CNV

7 de Julio de 2005marcelo@cnv.gov.ar

http://www.cnv.gov.ar

2

Agenda

Conceptos de Criptografía. La Autoridad Certificante de la

CNV (CNV-CA). La Autopista de la Información

Financiera (AIF). Claves/tendencias en el

desarrollo de la AIF. Conclusiones.

3

Definición de Criptografía

Es una rama de las Matemáticas que se encarga de transformar un Documento Claro (legible) en un Documento Encriptado (ilegible), a través de un algoritmo matemático Conocido y una Clave Secreta.

4

Tipos de Algoritmos

Algoritmo de Clave Simétrica: Utilizan una única clave para encriptar y

para desencriptar el Mensaje.

Algoritmos de Clave Asimétrica: Utilizan un par de Claves, a una de ellas

se la denomina “pública” y a la otra “privada”. Lo que se encripta con una Clave se desencripta con la otra y viceversa.

5

Ejemplo de Algoritmo de Clave Simétrica

Documento Claro: “VII Jornadas”Formato Binaria: 111111000000

Clave Secreta: “Paradigma”Formato Binario: 101010101010

Algoritmo matemático (Conocido): Or Exclusivo (Suma Binaria dígito a dígito)

El emisor encripta el Documento : Documento Claro: 111111000000

Paradigma: 101010101010

Doc. Encriptado: 010101101010

6

Ejemplo de Algoritmo de Clave Simétrica

Eventualmente si alguien escucha el mensaje010101101010 no podrá interpretarlo ya que No conocen la Clave.

El Destinatario Recibe el Documento Encriptado y lo Desencripta utilizando la Clave

Documento Encriptado: 010101101010Clave (Paradigma): 101010101010Documento Claro: 111111000000

Puede leer el mensaje: “VII Jornadas”

7

Características de la Firma Ológrafa

Conceptualmente, una Firma Ológrafa o Manuscrita es una transformación que el firmante efectúa a un Documento, indicando su autoría y conformidad.

8

Firma Digital y Algoritmos de Clave Simétrica

¿Es Posible utilizar Algoritmos Simétricos para implementar Firma Digital en sustitución de Firma ológrafa?.

9

Firma Digital y Algoritmos de Clave Simétrica

“NO”: Para que el Sistema criptográfico funcione se requiere que tanto el Emisor como el receptor conozcan la Clave Secreta. al menos 2 personas podrían firmar en forma indistinguible”.

10

Algoritmos de Clave Asimétrica

En el año 1977, tres matemáticos del MIT, Rivest, Shamir, Adelman, desarrollaron el 1er.algorítmo asimétrico (RSA).

11

Firma Digital - Concepto

Desde el punto de vista conceptual, ¿Que es una Firma Digital?.

12

Firma Digital - Concepto

“La Firma Digital es la Encripción de un Documento con la Clave Privada del Firmante”.

13

Digesto de Mensaje (DM)

Es una función matemática que se aplica a un Documento Digital (DD), para obtener un “extracto” de longitud fija. Si cambia al menos un BIT del DD

cambia el DM. Si DD1 es diferente de DD2 DM(DD1) es

diferente del DM(DD2).

14

Encripta clave privada Función DM

DM

Documento

Firma electrónica

Verificar Firma:

DM Encriptado (Firma Digital)

Desencripta clave pública

DM

Documento

Función DM

DM

Los dos Digesto Mensaje deben coincidir si eldocumento permaneceinalterado.

Podemos obtenerel DM con laclave pública.

?

E

Firma Digital:

Firma Digital y Verificación de FD – Esquema

15

Autoridad Certificante - Concepto

La utilización de Firma Digital en reemplazo de Firma Ológrafa, requiere: Asociar una Clave Pública con una Persona Física.

Alternativas: Un individuo genera un par de claves y hace

conocida ( o distribuye) su clave pública de manera fehaciente. Esta es una solución adecuada para un grupo reducido de participantes.

Una 3era. parte llamada Autoridad Certificante emite un Certificado de Clave Pública que asocia una Clave Pública con una Persona.

Principio de No Repudio de la Información.

16

Certificado de Clave Pública

Un Certificado de Clave Pública es un archivo que en forma codificada (x509) contiene la siguiente información:

“El Sr. Marcelo Gaggino; DNI 1111111; Quetrabaja en la CNV tiene la siguiente ClavePública , desde 1/1/2004 con vigencia hasta1/1/2010.

Firmado Autoridad Certificante xxxxx”.

17

Conceptos más importantes relativos a la Criptografía y a la Firma Digital.

¿Por qué es importante mantener Secretas las Claves (privadas) de un sistema Criptográfico?

¿Porqué es importante la longitud de las Clave Criptográficas ?

¿ Es posible implementar “Firma Digital” con Criptografía de Clave Simétrica, y con Clave Asimétrica ?

¿Que es conceptualmente una Firma Digital? La FD de un Documento ¿Impide que este sea

alterado? ¿Que Función Cumple una Autoridad Certificante? ¿Es posible implementar un Sistema Seguro de FD

sin Autoridad Certificante ?

18

Autoridad Certificante de la CNV (CNV-CA) - Arquitectura

La CNV-CA es una Autoridad Certificante Jerárquica.

RootCNV-CA: AC-Operadores.

Certificados de Operadores de la AIF. AC-Firmantes:

Certificados de Firmantes de la AIF. AC-Agentes de la CNV:

Certificados de Agentes de la CNV.

19

Autoridad Certificante de la CNV (CNV-CA) - Arquitectura

Autoridad Certificante On_Line: Permite Gestionar Solicitudes de Certificados

de Clave Pública (SCCP). Permite consultar el Estado de Avance de

Trámite.

Autoridad Certificante Off-Line: Permite firmar las SCCP que se transforman

en Certificados de Clave Pública (CCP).

Módulo de Interfase AC-OnLine y AC-Offline: Permite copiar las SCCP desde AC-OnLine a

AC-Offline, y los CCP en sentido inverso en formato XML.

20

Autoridad Certificante de la CNV (CNV-CA) - Seguridad

Se definió un procedimiento formal documentado para la Creación y Operación de la CNV-CA

La CNV-CA (off-line), se ejecuta en un Servidor ubicado dentro del Área de Servidores, dedicado exclusivamente a dicha función y desconectado de la Red.

Las Claves Privadas de las AC intermedias de la CNV, se guardan (CDROM) en caja de seguridad, encriptadas con Triple DES.

Las Claves Privadas son activadas con las contraseñas concatenadas de 2 o más oficiales Certificadores. pertenecientes a las Subgerencias de Asesoramiento Legal e Informática.

“National Institute of Standards and Technology” URLhttp://csrc.nist.gov/publications/fips/ sobre el FIPS 140/3 (Security Requirements for Cryptographic Modules)

21

Autoridad Certificante de la CNV (CNV-CA) – Seguridad FIPS 140-3

“National Institute of Standards and Technology” URLhttp://csrc.nist.gov/publications/fips/ sobre el FIPS 140/3 (Security Requirements for Cryptographic Modules)

Efectuar una obra civil para aumentar la seguridad de acceso físico al área de la CNVCA, y dotarla con un Sistema de control de acceso.

Adquirir dispositivos de hardware para generar y almacenar la Clave Privada de la CNVCA.

Generar nuevamente las Claves de la CNVCA Raíz, y de las Autoridades Certificantes subordinadas de Operadores y Firmantes.

Revocar todos los Certificados ya emitidos de Firmantes y Operadores.

Adecuar el software de la CNVCA a la nueva tecnología. Redefinir los procedimientos de Emisión de Certificados de la

CNVCA. Emitir los nuevos Certificados usando la Clave Privada

generada y almacenada según el estándar FIP 140 Nivel 3.

22

Autopista de la Información Financiera (AIF) - Objetivo

La AIF es una aplicación Web que utiliza Criptografía, y su objetivo es: Reemplazar los Documentos y

Formularios en Soporte Papel con Firma Ológrafa por Documentos Electrónicos Firmados Digitalmente.

Publicar la información recibida en el Web para beneficio del público inversor y de las propias entidades.

Elaborar una Base de Datos que permita efectuar el seguimiento y control de las Entidades que participan del Mercado de Capitales.

23

Seguridad en la AIF

Autenticado: De Cliente: Certificados (x509) de

1024 bits y “Usuario/Contraseña”.

De Servidor: Certificados (x509) de 1024 bits.

24

Seguridad en la AIF

Privacidad: Encriptado “fuerte” del enlace

utilizando SSLv3 (algoritmo de clave simétrica de 128 bits).

Encriptado de los Documentos utilizando RSA 1024 bits.

25

Seguridad en la AIF

Autoría e inalterabilidad de los Documentos: Múltiples Firma Digital utilizando Claves de 1024 bits.

26

Firma Digital de Documento/Formulario

27

Claves y Tendencias en el Desarrollo de la AIF

Uso extensivo de Criptografía “fuerte” (link). Gestión de Certificados sin Presencia física

del Solicitantes (link). Instalación Automática del Software y

Mantenimiento de Versiones (link). Reemplazo de Controles ActiveX por páginas

ASP (aplicación “liviana”) (link). Firma Digitales múltiples y asincrónicas

(link). Desarrollo de “Form Engine” para definir

Formularios (link)

28

Claves – Uso extensivo de Criptografía “fuerte”.

Reemplazo de la criptografía nativa de Windows por “OpenSource” OpenSSL: toolkit que implementa Protocolo sslv3 y todas las funciones criptográficas, sin limitaciones en la longitud de claves.

Se desarrolló una DLL en Visual Basic que encapsula la funcionalidad criptográfica de OpenSLL.

» Back

29

Gestión del Certificados sin Presencia Física - Solicitud

30

Gestión del Certificados sin presencia Física - Seguimiento

31

Solicitud de Firmante

32

Gestión de Certificados - Certificación Escribano

33

Gestión de Certificados - Certificación Escribano

34

Instalación Automática del Software y Mantenimiento de Versiones.

Objetivo: Facilitar la instalación y mantenimiento de los componentes de la AIF

Funcionalidad: “Chequear” que la PC cliente se ajusta a los

requerimiento de Harware y Software requeridos por la AIF.

Verificar que componentes de la AIF tiene instalado el cliente.

Compara la versión instalada con la última versión registrada en la Base de datos.

Instala los componentes que corresponda, firmados digitalmente por la CNV.

35

Instalación Automática del Software y Mantenimiento de Versiones.

36

Reemplazo de Controles ActiveX por páginas ASP (aplicación “liviana”).

37

Firma Digitales múltiples y asincrónicas

38

Desarrollo de “Form Engine” para definir Formularios

Objetivo: Generar Pantallas ASP para el ingreso de Formularios, según parámetros definidos en la BD.

Funcionalidad: Definición Tipo y Subtipo de Formularios:

Vigencia. Fecha de entrega. Tabla donde se guardaran los datos ingresados en

el formulario. SubFormularios Recursivos. Definición de Datos:

Formato. Descripción. Orden en la Pantalla. Etc.

39

Desarrollo de “Form Engine” para definir Formularios

Objetivo: Generar Pantallas ASP para el ingreso de Formularios, según parámetros definidos en la BD.

Funcionalidad: Despliegue de la Pantalla. Ingreso de la Información. Armado de archivo XML con los Datos

ingresados en el Formulario. Firma Digital y Envío del archivo XML Verificación de las Firmas Digitales, y

desglose del Archivo XML en las tablas correspondientes.

40

“Form Engine” – Tipos de Formularios

41

“Form Engine” – Pantallas para ingreso de Datos

42

Conclusiones

Estamos viviendo un tiempo de transición Cultural:

Sociedad Material. Sociedad Virtual (Información).

Este cambio se manifiesta en la aparición y consolidación de nuevas tecnologías: Internet, Documento Electrónico, Firma Digital, etc..

Todos los OR estamos ingresando en la etapa de “Administración Electrónica” u “Oficina sin Papeles”.

Su implementación exitosa requiere la decisión política de avanzar, y el esfuerzo interdisciplinario (técnico/legal) para adecuar la tecnología al marco cultural y legal existente.

43

Preguntas/Debate

44

Autenticado de Servidor

45

Autenticado de Operador Certificado X 509

46

Autenticado de Operador Usuario/Password

47

Solicitud Credencial Firmante

48

Seguimiento Credencial Firmante