Upload
genoveva-caro
View
3
Download
0
Embed Size (px)
Citation preview
1
Criptografía Seguridad y Tendencias en la Autopista de
la Información Financiera
Marcelo GagginoSubgerente de Informática CNV
7 de Julio de [email protected]
http://www.cnv.gov.ar
2
Agenda
Conceptos de Criptografía. La Autoridad Certificante de la
CNV (CNV-CA). La Autopista de la Información
Financiera (AIF). Claves/tendencias en el
desarrollo de la AIF. Conclusiones.
3
Definición de Criptografía
Es una rama de las Matemáticas que se encarga de transformar un Documento Claro (legible) en un Documento Encriptado (ilegible), a través de un algoritmo matemático Conocido y una Clave Secreta.
4
Tipos de Algoritmos
Algoritmo de Clave Simétrica: Utilizan una única clave para encriptar y
para desencriptar el Mensaje.
Algoritmos de Clave Asimétrica: Utilizan un par de Claves, a una de ellas
se la denomina “pública” y a la otra “privada”. Lo que se encripta con una Clave se desencripta con la otra y viceversa.
5
Ejemplo de Algoritmo de Clave Simétrica
Documento Claro: “VII Jornadas”Formato Binaria: 111111000000
Clave Secreta: “Paradigma”Formato Binario: 101010101010
Algoritmo matemático (Conocido): Or Exclusivo (Suma Binaria dígito a dígito)
El emisor encripta el Documento : Documento Claro: 111111000000
Paradigma: 101010101010
Doc. Encriptado: 010101101010
6
Ejemplo de Algoritmo de Clave Simétrica
Eventualmente si alguien escucha el mensaje010101101010 no podrá interpretarlo ya que No conocen la Clave.
El Destinatario Recibe el Documento Encriptado y lo Desencripta utilizando la Clave
Documento Encriptado: 010101101010Clave (Paradigma): 101010101010Documento Claro: 111111000000
Puede leer el mensaje: “VII Jornadas”
7
Características de la Firma Ológrafa
Conceptualmente, una Firma Ológrafa o Manuscrita es una transformación que el firmante efectúa a un Documento, indicando su autoría y conformidad.
8
Firma Digital y Algoritmos de Clave Simétrica
¿Es Posible utilizar Algoritmos Simétricos para implementar Firma Digital en sustitución de Firma ológrafa?.
9
Firma Digital y Algoritmos de Clave Simétrica
“NO”: Para que el Sistema criptográfico funcione se requiere que tanto el Emisor como el receptor conozcan la Clave Secreta. al menos 2 personas podrían firmar en forma indistinguible”.
10
Algoritmos de Clave Asimétrica
En el año 1977, tres matemáticos del MIT, Rivest, Shamir, Adelman, desarrollaron el 1er.algorítmo asimétrico (RSA).
11
Firma Digital - Concepto
Desde el punto de vista conceptual, ¿Que es una Firma Digital?.
12
Firma Digital - Concepto
“La Firma Digital es la Encripción de un Documento con la Clave Privada del Firmante”.
13
Digesto de Mensaje (DM)
Es una función matemática que se aplica a un Documento Digital (DD), para obtener un “extracto” de longitud fija. Si cambia al menos un BIT del DD
cambia el DM. Si DD1 es diferente de DD2 DM(DD1) es
diferente del DM(DD2).
14
Encripta clave privada Función DM
DM
Documento
Firma electrónica
Verificar Firma:
DM Encriptado (Firma Digital)
Desencripta clave pública
DM
Documento
Función DM
DM
Los dos Digesto Mensaje deben coincidir si eldocumento permaneceinalterado.
Podemos obtenerel DM con laclave pública.
?
E
Firma Digital:
Firma Digital y Verificación de FD – Esquema
15
Autoridad Certificante - Concepto
La utilización de Firma Digital en reemplazo de Firma Ológrafa, requiere: Asociar una Clave Pública con una Persona Física.
Alternativas: Un individuo genera un par de claves y hace
conocida ( o distribuye) su clave pública de manera fehaciente. Esta es una solución adecuada para un grupo reducido de participantes.
Una 3era. parte llamada Autoridad Certificante emite un Certificado de Clave Pública que asocia una Clave Pública con una Persona.
Principio de No Repudio de la Información.
16
Certificado de Clave Pública
Un Certificado de Clave Pública es un archivo que en forma codificada (x509) contiene la siguiente información:
“El Sr. Marcelo Gaggino; DNI 1111111; Quetrabaja en la CNV tiene la siguiente ClavePública , desde 1/1/2004 con vigencia hasta1/1/2010.
Firmado Autoridad Certificante xxxxx”.
17
Conceptos más importantes relativos a la Criptografía y a la Firma Digital.
¿Por qué es importante mantener Secretas las Claves (privadas) de un sistema Criptográfico?
¿Porqué es importante la longitud de las Clave Criptográficas ?
¿ Es posible implementar “Firma Digital” con Criptografía de Clave Simétrica, y con Clave Asimétrica ?
¿Que es conceptualmente una Firma Digital? La FD de un Documento ¿Impide que este sea
alterado? ¿Que Función Cumple una Autoridad Certificante? ¿Es posible implementar un Sistema Seguro de FD
sin Autoridad Certificante ?
18
Autoridad Certificante de la CNV (CNV-CA) - Arquitectura
La CNV-CA es una Autoridad Certificante Jerárquica.
RootCNV-CA: AC-Operadores.
Certificados de Operadores de la AIF. AC-Firmantes:
Certificados de Firmantes de la AIF. AC-Agentes de la CNV:
Certificados de Agentes de la CNV.
19
Autoridad Certificante de la CNV (CNV-CA) - Arquitectura
Autoridad Certificante On_Line: Permite Gestionar Solicitudes de Certificados
de Clave Pública (SCCP). Permite consultar el Estado de Avance de
Trámite.
Autoridad Certificante Off-Line: Permite firmar las SCCP que se transforman
en Certificados de Clave Pública (CCP).
Módulo de Interfase AC-OnLine y AC-Offline: Permite copiar las SCCP desde AC-OnLine a
AC-Offline, y los CCP en sentido inverso en formato XML.
20
Autoridad Certificante de la CNV (CNV-CA) - Seguridad
Se definió un procedimiento formal documentado para la Creación y Operación de la CNV-CA
La CNV-CA (off-line), se ejecuta en un Servidor ubicado dentro del Área de Servidores, dedicado exclusivamente a dicha función y desconectado de la Red.
Las Claves Privadas de las AC intermedias de la CNV, se guardan (CDROM) en caja de seguridad, encriptadas con Triple DES.
Las Claves Privadas son activadas con las contraseñas concatenadas de 2 o más oficiales Certificadores. pertenecientes a las Subgerencias de Asesoramiento Legal e Informática.
“National Institute of Standards and Technology” URLhttp://csrc.nist.gov/publications/fips/ sobre el FIPS 140/3 (Security Requirements for Cryptographic Modules)
21
Autoridad Certificante de la CNV (CNV-CA) – Seguridad FIPS 140-3
“National Institute of Standards and Technology” URLhttp://csrc.nist.gov/publications/fips/ sobre el FIPS 140/3 (Security Requirements for Cryptographic Modules)
Efectuar una obra civil para aumentar la seguridad de acceso físico al área de la CNVCA, y dotarla con un Sistema de control de acceso.
Adquirir dispositivos de hardware para generar y almacenar la Clave Privada de la CNVCA.
Generar nuevamente las Claves de la CNVCA Raíz, y de las Autoridades Certificantes subordinadas de Operadores y Firmantes.
Revocar todos los Certificados ya emitidos de Firmantes y Operadores.
Adecuar el software de la CNVCA a la nueva tecnología. Redefinir los procedimientos de Emisión de Certificados de la
CNVCA. Emitir los nuevos Certificados usando la Clave Privada
generada y almacenada según el estándar FIP 140 Nivel 3.
22
Autopista de la Información Financiera (AIF) - Objetivo
La AIF es una aplicación Web que utiliza Criptografía, y su objetivo es: Reemplazar los Documentos y
Formularios en Soporte Papel con Firma Ológrafa por Documentos Electrónicos Firmados Digitalmente.
Publicar la información recibida en el Web para beneficio del público inversor y de las propias entidades.
Elaborar una Base de Datos que permita efectuar el seguimiento y control de las Entidades que participan del Mercado de Capitales.
23
Seguridad en la AIF
Autenticado: De Cliente: Certificados (x509) de
1024 bits y “Usuario/Contraseña”.
De Servidor: Certificados (x509) de 1024 bits.
24
Seguridad en la AIF
Privacidad: Encriptado “fuerte” del enlace
utilizando SSLv3 (algoritmo de clave simétrica de 128 bits).
Encriptado de los Documentos utilizando RSA 1024 bits.
25
Seguridad en la AIF
Autoría e inalterabilidad de los Documentos: Múltiples Firma Digital utilizando Claves de 1024 bits.
26
Firma Digital de Documento/Formulario
27
Claves y Tendencias en el Desarrollo de la AIF
Uso extensivo de Criptografía “fuerte” (link). Gestión de Certificados sin Presencia física
del Solicitantes (link). Instalación Automática del Software y
Mantenimiento de Versiones (link). Reemplazo de Controles ActiveX por páginas
ASP (aplicación “liviana”) (link). Firma Digitales múltiples y asincrónicas
(link). Desarrollo de “Form Engine” para definir
Formularios (link)
28
Claves – Uso extensivo de Criptografía “fuerte”.
Reemplazo de la criptografía nativa de Windows por “OpenSource” OpenSSL: toolkit que implementa Protocolo sslv3 y todas las funciones criptográficas, sin limitaciones en la longitud de claves.
Se desarrolló una DLL en Visual Basic que encapsula la funcionalidad criptográfica de OpenSLL.
» Back
29
Gestión del Certificados sin Presencia Física - Solicitud
30
Gestión del Certificados sin presencia Física - Seguimiento
31
Solicitud de Firmante
32
Gestión de Certificados - Certificación Escribano
33
Gestión de Certificados - Certificación Escribano
34
Instalación Automática del Software y Mantenimiento de Versiones.
Objetivo: Facilitar la instalación y mantenimiento de los componentes de la AIF
Funcionalidad: “Chequear” que la PC cliente se ajusta a los
requerimiento de Harware y Software requeridos por la AIF.
Verificar que componentes de la AIF tiene instalado el cliente.
Compara la versión instalada con la última versión registrada en la Base de datos.
Instala los componentes que corresponda, firmados digitalmente por la CNV.
35
Instalación Automática del Software y Mantenimiento de Versiones.
36
Reemplazo de Controles ActiveX por páginas ASP (aplicación “liviana”).
37
Firma Digitales múltiples y asincrónicas
38
Desarrollo de “Form Engine” para definir Formularios
Objetivo: Generar Pantallas ASP para el ingreso de Formularios, según parámetros definidos en la BD.
Funcionalidad: Definición Tipo y Subtipo de Formularios:
Vigencia. Fecha de entrega. Tabla donde se guardaran los datos ingresados en
el formulario. SubFormularios Recursivos. Definición de Datos:
Formato. Descripción. Orden en la Pantalla. Etc.
39
Desarrollo de “Form Engine” para definir Formularios
Objetivo: Generar Pantallas ASP para el ingreso de Formularios, según parámetros definidos en la BD.
Funcionalidad: Despliegue de la Pantalla. Ingreso de la Información. Armado de archivo XML con los Datos
ingresados en el Formulario. Firma Digital y Envío del archivo XML Verificación de las Firmas Digitales, y
desglose del Archivo XML en las tablas correspondientes.
40
“Form Engine” – Tipos de Formularios
41
“Form Engine” – Pantallas para ingreso de Datos
42
Conclusiones
Estamos viviendo un tiempo de transición Cultural:
Sociedad Material. Sociedad Virtual (Información).
Este cambio se manifiesta en la aparición y consolidación de nuevas tecnologías: Internet, Documento Electrónico, Firma Digital, etc..
Todos los OR estamos ingresando en la etapa de “Administración Electrónica” u “Oficina sin Papeles”.
Su implementación exitosa requiere la decisión política de avanzar, y el esfuerzo interdisciplinario (técnico/legal) para adecuar la tecnología al marco cultural y legal existente.
43
Preguntas/Debate
44
Autenticado de Servidor
45
Autenticado de Operador Certificado X 509
46
Autenticado de Operador Usuario/Password
47
Solicitud Credencial Firmante
48
Seguimiento Credencial Firmante