1

PRIMERAS JORNADAS SOBRE TECNOLOGÍA Y MERCADOS DE VALORES

Madrid, 8 a 12 de mayo de 2000

Cifrado y firma electrónica: La implantación en España.

CIFRADOC/CNMV una aplicación práctica de cifrado y firma electrónica.

Enrique García MayordomoSubdirector Sistemas de InformaciónCNMV. Españagarcia@cnmv.es

2

CIFRADOC/CNMVUna aplicación práctica de cifrado y firma

electrónica.

1- La oportunidad2- El procedimiento3- La herramienta4- El soporte jurídico5- Grado de utilización6- El futuro7- Referencias

8- DEMOSTRACION

3

• Durante el desarrollo del servidor web de la CNMV (1995 - 1996).

• Internet es un gran medio de comunicación pero no es un medio seguro. La criptografía proporciona seguridad.

• Búsqueda de un sistema eficiente y eficaz para mejorar el envío de información a la CNMV.

CIFRADOC/CNMV

La oportunidad

4

• Dos “tipos” de entidades envían información a la CNMV:– “Fuertemente” supervisadas: Instituciones de

Inversión Colectiva y Empresas de Servicios de Inversión. Alrededor de 350, envían datos mensualmente en disquetes (1000 disquetes/mes)

– “Débilmente” supervisadas: Entidades emisoras de valores. Envían información en formato papel

CIFRADOC/CNMV

La oportunidad

5

CIFRADOC/CNMV

La oportunidad

•Disquetes generados por aplicaciones de la CNMV.

•Emplean un método elemental pero eficaz para asegurar la integridad (no manipulación) de la información y la autenticación de la persona responsable de esta: Una vez grabado el disco, se pone la pestaña de lectura/escritura en sólo lectura y se tapa con una etiqueta, que es firmada “ a mano” .

6

CIFRADOC/CNMV

La oportunidad

•Ni un solo problema en nueve años

SOCIEDAD DE VALORES Y BOLSA, S.A.

000 XXXX/91 FIRMA

7

CIFRADOC/CNMV

La oportunidad

http://www.aimc.es/

8

CIFRADOC/CNMV

La oportunidad

El objetivo a alcanzar:•Utilizar la línea telemática (Internet, BBS) como medio de comunicación

• Con completas garantías seguridad (Real Decreto 263/1996, artículo 4).

•Eliminación de los disquetes y papeles.

•Sistema eficiente y eficaz. Grupo cerrado de usuarios

9

Requerimientos:• Confidencialidad: La información sólo la puede leer el

destinatario del mensaje.• Integridad: La información no se modifica durante la

transmisión. • Autenticación: El destinatario puede asegurar la

identidad del emisor. • No repudio: El emisor de la información no puede

negar su autoría.La criptografía nos da las técnicas para alcanzar los

requerimientos

CIFRADOC/CNMV

El procedimiento

10

Texto en claro

Cripto-grama

Texto en claro

Cripto-grama

Algoritmo de cifrado

Algoritmo de descifrado

Clave de cifrado

Clave de descifrado

Medio detransmisión

CIFRADOC/CNMV

El procedimiento

Sistema criptográfico

11

Documento

Algoritmo+

clave

Cifrado.

Algoritmo+

clave

DescifradoDocumento

CIFRADOC/CNMV

El procedimiento

Algoritmo simétrico

12

Documento

clave públicadel receptor

DescifradoDocumento

clave privadadel emisor

clave públicadel emisor

E R

R

clave privadadel receptor

E

CIFRADOC/CNMV

El procedimiento

Algoritmo asimétrico o de clave públicaCifrado

13

Cifrado con clave privada Función resumen

Resumen

Documento

Firma electrónica

Firmar:

Verificar firma:

Firma electrónica

Descifrado con clave pública

Resumen

Documento

Función resumenResumen

Los dos resúmenes deben coincidir si eldocumento permaneceinalterado.

Podemos obtenerel resumen con laclave pública.

?

E

E

CIFRADOC/CNMV

El procedimiento

Firma electrónica

14

Cifrado con clave privadaFunción resumen

DocumentoFirma electrónica

Resumen

Documento

Cifrado con clave simétrica aleatoria

Cifrado con clave pública

Al receptor

1

2

3

Firma electrónica

+

+

E

R

CIFRADOC/CNMV

El procedimiento

Sistema híbrido.Cifrado

15

1 Descifrado con clave privada

2 Descifrado con clave simétrica

Documento

Función resumen

Resumen

Documento

3

Firma electrónica

+

Firma digital

Descifrado con clave pública

Resumen

=

Confidencialidad: Solo puede leer el mensaje el receptor poseedor de la clave privada

Integridad: Si el resumen de la firma coincide con el obtenido directamente del documento, este no ha sido alterado

No repudio y autenticación: La firma sólo puede haber sido cifrada por el propietario de la clave privada

R

E

CIFRADOC/CNMV

El procedimientoSistema híbrido. Descifrado

16

CIFRADOC/CNMV

El procedimiento

DocumentoDocumentooriginaloriginal

DocumentoDocumentooriginaloriginal

Firmaelectrónica

de la entidad

Documentooriginal

Documentooriginal

Firma electrónica

CNMV

Firma electrónica

CNMV

3. Transmisión a laCNMV del documento

7. Transmisión a laentidad del Acusede Recibo

Documentooriginal Documento

original

Documentooriginal

ENTIDAD

CNMV

2. Cifrado con clave simétrica y pública de laCNMV

Documentooriginal

1. Firma deldocumento conla clave privadade la entidad

4. Descifrado del mensaje recibido conclave privada de la CNMV y simétrica

5. Extracción deldocumento y verificación de la firma con clave pública de la entidad

6. Firma deldocumento recibidocon la clave privadade la CNMV

8. Verificación de lafirma con clave pública de la CNMV

Firmaelectrónica

de la entidad

Firmaelectrónica

de la entidadFirma

electrónicade la entidad

Firma electrónica

CNMV

Firma electrónica

CNMV

17

CIFRADOC/CNMV

El procedimiento

Acuse de recibo:

•Confirma que la CNMV ha recibido el documento

•Permite verificar que el documento recibido en la CNMV es exactamente el que se quiso enviar

•Demuestra ante terceros que se ha realizado la comunicación a la CNMV (Impresión autorizada)

18

CIFRADOC/CNMV

El procedimiento

Acuse de recibo

19

CIFRADOC/CNMV

El procedimiento

Par de claves pública/privada generadas por la entidad. Problema: El intercambio de las claves públicas de forma segura.En 1996 no existían autoridades de certificación fuera de Estados Unidos. No estaba extendido el uso de certificados digitales (X509)

Solución: La clave pública de la CNMV se entrega en mano (en un disquete) a la entidad junto con un código secreto de usuario (PIN). La entidad envía la clave pública junto con el PIN para evitar suplantación.

20

CIFRADOC/CNMV

La herramienta

•Se utilizan la rutinas criptográficas del PGP versión 2.6.3.i, muy estable y con código fuente disponible en Internet. Se eliminan las funciones que no son necesarias.

Al producto resultante se le denomina Módulo de Cifrado de la CNMV (MCC). Algoritmos usados: IDEA, RSA y MD5El MCC se envuelve en una interfaz gráfica de usuario que implementa el procedimiento definido.

•Se opta por el correo electrónico como medio de transporte.

•Las claves privada y pública de la entidad y pública de la CNMV se almacenan en un disquete

21

CIFRADOC/CNMV

La herramienta

ARQUITECTURA DEL SISTEMA en Entidad (cliente)

Aplicación

Módulode cifrado

(MCC)

Interfaz de usuario

Módulo de

comunicaciones

22

CIFRADOC/CNMV

La herramientaARQUITECTURA DEL SISTEMA en CNMV (Servidor)

Captura automática del mensaje

Extracción yverificación del

documento

Módulo de Cifrado (MCC)

Generación y envío de Acuse de Recibo

Aplicación

Carga automatizadaen base de datos

Base de datos de laaplicación de destino

del documento

Registro de Entrada/Salida de

documentos electrónicos

Registro de Entidades autorizadas

23

CIFRADOC/CNMV

Soporte jurídico

Al amparo del artículo 45 de la Ley 30/1992 del Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común

En cumplimiento del artículo 9 del Real Decreto 263/1996:•Informe técnico favorable de la Comisión Permanente de Tecnologías de la Información y las Comunicaciones.•Acuerdo de 11 de Marzo de 1998 (BOE del 27 de marzo de 1998) del Consejo de la CNMV para la implantación del sistema

Pago de licencias por el uso de IDEA a Ascom AG

24

CIFRADOC/CNMV

Soporte jurídico

Solicitud de incorporación al sistema

Verificación de la identidad de la entidad y usuarios

Clave pública + identificadorcifrado con clave pública CNMV

Aplicación, Clave pública de la CNMVe identificador secreto

Registro deentidades y

usuarios autorizados

CNMV

ID

U

U

U

ID

CNMV U

Procedimiento de autorización

Documento de aceptación

25

CIFRADOC/CNMV

Grado de utilización

TIPO %

Comercializadora de IIC extranjeras 4,7%

Emisoras de Pagarés 30,8%

Emisoras de Valores del IBEX 35 34,3%

Gestoras de Carteras 10,2%

Gestoras de IIC ( ) 24,8%

Grupos consolidables de SAV 32,0%

Gestoras de Titulizacion 28,6%

Rectoras de los mercados 20,0%

Sociedades y Agencias de valores 29,0%

SIM y SIMCAV autogestionadas 28,6%

Total 24,1%

( ) OBJETOS GESTIONADOS POR GIIC 55,3%

Además se utiliza con el mercado AIAF en la transmisión diaria de la contratación y en el procedimiento de supervisión de la admisión de nuevas emisiones.

135 entidades autorizadas (marzo 2000):

% Sobre el totalde entidades decada tipo

26

CIFRADOC/CNMV

Grado de utilización

Problemas encontrados:• Casi ninguno de instalación o funcionamiento.• Algunos servidores de correo tienen retrasos apreciables.• 5 casos de generación indebida de nuevas claves. En 2 no tenían copia de seguridad y fue necesario revocar las claves antiguas.• Algunos problemas con los acuses de recibos. En la mayoría de los casos por verificar el acuse contra un fichero distinto. En los menos al repetir el envío funcionó.• La automatización de la incorporación a base de datos (sin intervención manual) exige programas complejos de validación.

27

CIFRADOC/CNMV

El futuro

•Adaptación al Real Decreto-Ley 14/1999, de 17 de septiembre sobre firma electrónica en lo concerniente al uso de certificados reconocidos (artículo 3). • Posibilidad de doble firma.•Conversión del MCC de ejecutable a librería dinámica (DLL) y/o componente para mayor integración con las aplicaciones generadoras de los documentos•Automatización (opcional) desde el CIFRADOC/CNMV del envío por correo electrónico. •Cambio del algoritmo IDEA por Twofish (candidato al AES)

• Promocionar un mayor grado de utilización por parte de las

entidades.

28

CIFRADOC/CNMV

Referencias· Sistema CIFRADOC/CNMV: http://www.cnmv.es/SDC/cifradoc.htm

· Criptografía.

o Boletines periódicos:§ Kriptópolis: http://www.kriptopolis.com/ (en español)§ Criptomicon: http://www.iec.csic.es/criptonomicon (en español)§ Crypto-Gram: http://www.counterpane.com (en inglés)

o Libros:§ "Applied Cryptography". Bruce Schneier.§ "Criptografía y Seguridad en Computadores". Manuel Lucena. En español y gratuito, en formato PDF, en: http://www.kriptopolis.com/cys.html§ "Handbook of Applied Cryptography". Alfred J. Menezes. En inglés, se puede obtener de forma gratuita en formato PDF en http://cacr.math.uwaterloo.ca/hac/

o FAQ (preguntas mas frecuentes): § http://www.rsasecurity.com/rsalabs/faq (inglés)

· PGP:o The International PGP Home Page: http://www.pgpi.org/ (inglés)o Páginas de PGP en la Comunidad RedIris: http://www.rediris.es/pgp/ (español)

29

CIFRADOC/CNMV

Demostración

Entidad* APLICACIÓN PREVIAMENTE INSTALADA

* GENERACION DE CLAVES PUBLICA Y PRIVADA A PARTIR DE NOMBRE Y CODIGO DE USUARIO (PIN)

* ENVIO CLAVE PUBLICA A LA CNMV

* GENERACION DE FICHERO A ENVIAR A LA CNMV

* CIFRADO Y FIRMA DEL FICHERO

* ENVIO DEL FICHERO A LA CNMV

* COMPROBACION DEL “ACUSE DE RECIBO”

* “IMPRESIÓN AUTORIZADA”

CNMV

* INCORPORACION CLAVE PUBLICA AL REGISTRO. CNMV ENVIA UN MENSAJE DE CONFORMIDAD A LA RECEPCION DE LA CLAVE PUBLICA

* CNMV CAPTA, DESCIFRA, REGISTRA, CARGA EN BASE DE DATOS, GENERA Y ENVIA “ACUSE DE RECIBO” DE MANERA AUTOMATIZADA