Criptografía Seguridad y Tendencias en la Autopista de la Información Financiera Marcelo Gaggino Subgerente de Informática CNV 7 de Julio de 2005 marcelo@cnv.gov.ar http://www.cnv.gov.ar

Agenda Conceptos de Criptografía. La Autoridad Certificante de la CNV (CNV-CA). La Autopista de la Información Financiera (AIF). Claves/tendencias en el desarrollo de la AIF. Conclusiones.

Definición de Criptografía Es una rama de las Matemáticas que se encarga de transformar un Documento Claro (legible) en un Documento Encriptado (ilegible), a través de un algoritmo matemático Conocido y una Clave Secreta.

Tipos de Algoritmos Algoritmo de Clave Simétrica: Utilizan una única clave para encriptar y para desencriptar el Mensaje. Algoritmos de Clave Asimétrica: Utilizan un par de Claves, a una de ellas se la denomina “pública” y a la otra “privada”. Lo que se encripta con una Clave se desencripta con la otra y viceversa.

Ejemplo de Algoritmo de Clave Simétrica Documento Claro: “VII Jornadas” Formato Binaria: 111111000000 Clave Secreta: “Paradigma” Formato Binario: 101010101010 Algoritmo matemático (Conocido): Or Exclusivo (Suma Binaria dígito a dígito) El emisor encripta el Documento : Documento Claro: 111111000000 Paradigma: 101010101010 Doc. Encriptado: 010101101010

Ejemplo de Algoritmo de Clave Simétrica Eventualmente si alguien escucha el mensaje 010101101010 no podrá interpretarlo ya que No conocen la Clave. El Destinatario Recibe el Documento Encriptado y lo Desencripta utilizando la Clave Documento Encriptado: 010101101010 Clave (Paradigma): 101010101010 Documento Claro: 111111000000 Puede leer el mensaje: “VII Jornadas”

Características de la Firma Ológrafa Conceptualmente, una Firma Ológrafa o Manuscrita es una transformación que el firmante efectúa a un Documento, indicando su autoría y conformidad.

Firma Digital y Algoritmos de Clave Simétrica ¿Es Posible utilizar Algoritmos Simétricos para implementar Firma Digital en sustitución de Firma ológrafa?.

Firma Digital y Algoritmos de Clave Simétrica “NO”: Para que el Sistema criptográfico funcione se requiere que tanto el Emisor como el receptor conozcan la Clave Secreta.  al menos 2 personas podrían firmar en forma indistinguible”.

Algoritmos de Clave Asimétrica En el año 1977, tres matemáticos del MIT, Rivest, Shamir, Adelman, desarrollaron el 1er.algorítmo asimétrico (RSA).

Firma Digital - Concepto Desde el punto de vista conceptual, ¿Que es una Firma Digital?.

Firma Digital - Concepto “La Firma Digital es la Encripción de un Documento con la Clave Privada del Firmante”.

Digesto de Mensaje (DM) Es una función matemática que se aplica a un Documento Digital (DD), para obtener un “extracto” de longitud fija. Si cambia al menos un BIT del DD  cambia el DM. Si DD1 es diferente de DD2  DM(DD1) es diferente del DM(DD2).

? Firma Digital y Verificación de FD – Esquema Firma Digital: Documento Función DM Encripta clave privada DM DM Encriptado (Firma Digital) Verificar Firma: Desencripta clave pública Podemos obtener el DM con la clave pública. Firma electrónica E DM ? Documento Los dos Digesto Mensaje deben coincidir si el documento permanece inalterado. Función DM DM

Autoridad Certificante - Concepto La utilización de Firma Digital en reemplazo de Firma Ológrafa, requiere: Asociar una Clave Pública con una Persona Física. Alternativas: Un individuo genera un par de claves y hace conocida ( o distribuye) su clave pública de manera fehaciente. Esta es una solución adecuada para un grupo reducido de participantes. Una 3era. parte llamada Autoridad Certificante emite un Certificado de Clave Pública que asocia una Clave Pública con una Persona. Principio de No Repudio de la Información.

Certificado de Clave Pública Un Certificado de Clave Pública es un archivo que en forma codificada (x509) contiene la siguiente información: “El Sr. Marcelo Gaggino; DNI 1111111; Que trabaja en la CNV tiene la siguiente Clave Pública , desde 1/1/2004 con vigencia hasta 1/1/2010. Firmado Autoridad Certificante xxxxx”.

Conceptos más importantes relativos a la Criptografía y a la Firma Digital. ¿Por qué es importante mantener Secretas las Claves (privadas) de un sistema Criptográfico? ¿Porqué es importante la longitud de las Clave Criptográficas ? ¿ Es posible implementar “Firma Digital” con Criptografía de Clave Simétrica, y con Clave Asimétrica ? ¿Que es conceptualmente una Firma Digital? La FD de un Documento ¿Impide que este sea alterado? ¿Que Función Cumple una Autoridad Certificante? ¿Es posible implementar un Sistema Seguro de FD sin Autoridad Certificante ?

Autoridad Certificante de la CNV (CNV-CA) - Arquitectura La CNV-CA es una Autoridad Certificante Jerárquica. RootCNV-CA: AC-Operadores. Certificados de Operadores de la AIF. AC-Firmantes: Certificados de Firmantes de la AIF. AC-Agentes de la CNV: Certificados de Agentes de la CNV.

Autoridad Certificante de la CNV (CNV-CA) - Arquitectura Autoridad Certificante On_Line: Permite Gestionar Solicitudes de Certificados de Clave Pública (SCCP). Permite consultar el Estado de Avance de Trámite. Autoridad Certificante Off-Line: Permite firmar las SCCP que se transforman en Certificados de Clave Pública (CCP). Módulo de Interfase AC-OnLine y AC-Offline: Permite copiar las SCCP desde AC-OnLine a AC-Offline, y los CCP en sentido inverso en formato XML.

Autoridad Certificante de la CNV (CNV-CA) - Seguridad Se definió un procedimiento formal documentado para la Creación y Operación de la CNV-CA La CNV-CA (off-line), se ejecuta en un Servidor ubicado dentro del Área de Servidores, dedicado exclusivamente a dicha función y desconectado de la Red. Las Claves Privadas de las AC intermedias de la CNV, se guardan (CDROM) en caja de seguridad, encriptadas con Triple DES. Las Claves Privadas son activadas con las contraseñas concatenadas de 2 o más oficiales Certificadores. pertenecientes a las Subgerencias de Asesoramiento Legal e Informática. “National Institute of Standards and Technology” URLhttp://csrc.nist.gov/publications/fips/ sobre el FIPS 140/3 (Security Requirements for Cryptographic Modules)

Autoridad Certificante de la CNV (CNV-CA) – Seguridad FIPS 140-3 “National Institute of Standards and Technology” URLhttp://csrc.nist.gov/publications/fips/ sobre el FIPS 140/3 (Security Requirements for Cryptographic Modules) Efectuar una obra civil para aumentar la seguridad de acceso físico al área de la CNVCA, y dotarla con un Sistema de control de acceso. Adquirir dispositivos de hardware para generar y almacenar la Clave Privada de la CNVCA. Generar nuevamente las Claves de la CNVCA Raíz, y de las Autoridades Certificantes subordinadas de Operadores y Firmantes. Revocar todos los Certificados ya emitidos de Firmantes y Operadores. Adecuar el software de la CNVCA a la nueva tecnología. Redefinir los procedimientos de Emisión de Certificados de la CNVCA. Emitir los nuevos Certificados usando la Clave Privada generada y almacenada según el estándar FIP 140 Nivel 3.

Autopista de la Información Financiera (AIF) - Objetivo La AIF es una aplicación Web que utiliza Criptografía, y su objetivo es: Reemplazar los Documentos y Formularios en Soporte Papel con Firma Ológrafa por Documentos Electrónicos Firmados Digitalmente. Publicar la información recibida en el Web para beneficio del público inversor y de las propias entidades. Elaborar una Base de Datos que permita efectuar el seguimiento y control de las Entidades que participan del Mercado de Capitales.

Seguridad en la AIF Autenticado: De Cliente: Certificados (x509) de 1024 bits y “Usuario/Contraseña”. De Servidor: Certificados (x509) de 1024 bits.

Seguridad en la AIF Privacidad: Encriptado “fuerte” del enlace utilizando SSLv3 (algoritmo de clave simétrica de 128 bits). Encriptado de los Documentos utilizando RSA 1024 bits.

Seguridad en la AIF Autoría e inalterabilidad de los Documentos: Múltiples Firma Digital utilizando Claves de 1024 bits.

Firma Digital de Documento/Formulario

Claves y Tendencias en el Desarrollo de la AIF Uso extensivo de Criptografía “fuerte” (link). Gestión de Certificados sin Presencia física del Solicitantes (link). Instalación Automática del Software y Mantenimiento de Versiones (link). Reemplazo de Controles ActiveX por páginas ASP (aplicación “liviana”) (link). Firma Digitales múltiples y asincrónicas (link). Desarrollo de “Form Engine” para definir Formularios (link)

Claves – Uso extensivo de Criptografía “fuerte”. Reemplazo de la criptografía nativa de Windows por “OpenSource” OpenSSL: toolkit que implementa Protocolo sslv3 y todas las funciones criptográficas, sin limitaciones en la longitud de claves. Se desarrolló una DLL en Visual Basic que encapsula la funcionalidad criptográfica de OpenSLL. Back

Gestión del Certificados sin Presencia Física - Solicitud

Gestión del Certificados sin presencia Física - Seguimiento

Solicitud de Firmante

Gestión de Certificados - Certificación Escribano

Gestión de Certificados - Certificación Escribano

Instalación Automática del Software y Mantenimiento de Versiones. Objetivo: Facilitar la instalación y mantenimiento de los componentes de la AIF Funcionalidad: “Chequear” que la PC cliente se ajusta a los requerimiento de Harware y Software requeridos por la AIF. Verificar que componentes de la AIF tiene instalado el cliente. Compara la versión instalada con la última versión registrada en la Base de datos. Instala los componentes que corresponda, firmados digitalmente por la CNV.

Instalación Automática del Software y Mantenimiento de Versiones.

Reemplazo de Controles ActiveX por páginas ASP (aplicación “liviana”).

Firma Digitales múltiples y asincrónicas

Desarrollo de “Form Engine” para definir Formularios Objetivo: Generar Pantallas ASP para el ingreso de Formularios, según parámetros definidos en la BD. Funcionalidad: Definición Tipo y Subtipo de Formularios: Vigencia. Fecha de entrega. Tabla donde se guardaran los datos ingresados en el formulario. SubFormularios Recursivos. Definición de Datos: Formato. Descripción. Orden en la Pantalla. Etc.

Desarrollo de “Form Engine” para definir Formularios Objetivo: Generar Pantallas ASP para el ingreso de Formularios, según parámetros definidos en la BD. Funcionalidad: Despliegue de la Pantalla. Ingreso de la Información. Armado de archivo XML con los Datos ingresados en el Formulario. Firma Digital y Envío del archivo XML Verificación de las Firmas Digitales, y desglose del Archivo XML en las tablas correspondientes.

“Form Engine” – Tipos de Formularios

“Form Engine” – Pantallas para ingreso de Datos

Conclusiones Estamos viviendo un tiempo de transición Cultural: Sociedad Material. Sociedad Virtual (Información). Este cambio se manifiesta en la aparición y consolidación de nuevas tecnologías: Internet, Documento Electrónico, Firma Digital, etc.. Todos los OR estamos ingresando en la etapa de “Administración Electrónica” u “Oficina sin Papeles”. Su implementación exitosa requiere la decisión política de avanzar, y el esfuerzo interdisciplinario (técnico/legal) para adecuar la tecnología al marco cultural y legal existente.

Preguntas/Debate

Autenticado de Servidor

Autenticado de Operador Certificado X 509

Autenticado de Operador Usuario/Password

Solicitud Credencial Firmante

Seguimiento Credencial Firmante