1 primeras jornadas sobre tecnologÍa y mercados de valores madrid, 8 a 12 de mayo de 2000 cifrado y...
TRANSCRIPT
1
PRIMERAS JORNADAS SOBRE TECNOLOGÍA Y MERCADOS DE VALORES
Madrid, 8 a 12 de mayo de 2000
Cifrado y firma electrónica: La implantación en España.
CIFRADOC/CNMV una aplicación práctica de cifrado y firma electrónica.
Enrique García MayordomoSubdirector Sistemas de InformaciónCNMV. Españ[email protected]
2
CIFRADOC/CNMVUna aplicación práctica de cifrado y firma
electrónica.
1- La oportunidad2- El procedimiento3- La herramienta4- El soporte jurídico5- Grado de utilización6- El futuro7- Referencias
8- DEMOSTRACION
3
• Durante el desarrollo del servidor web de la CNMV (1995 - 1996).
• Internet es un gran medio de comunicación pero no es un medio seguro. La criptografía proporciona seguridad.
• Búsqueda de un sistema eficiente y eficaz para mejorar el envío de información a la CNMV.
CIFRADOC/CNMV
La oportunidad
4
• Dos “tipos” de entidades envían información a la CNMV:– “Fuertemente” supervisadas: Instituciones de
Inversión Colectiva y Empresas de Servicios de Inversión. Alrededor de 350, envían datos mensualmente en disquetes (1000 disquetes/mes)
– “Débilmente” supervisadas: Entidades emisoras de valores. Envían información en formato papel
CIFRADOC/CNMV
La oportunidad
5
CIFRADOC/CNMV
La oportunidad
•Disquetes generados por aplicaciones de la CNMV.
•Emplean un método elemental pero eficaz para asegurar la integridad (no manipulación) de la información y la autenticación de la persona responsable de esta: Una vez grabado el disco, se pone la pestaña de lectura/escritura en sólo lectura y se tapa con una etiqueta, que es firmada “ a mano” .
6
CIFRADOC/CNMV
La oportunidad
•Ni un solo problema en nueve años
SOCIEDAD DE VALORES Y BOLSA, S.A.
000 XXXX/91 FIRMA
7
CIFRADOC/CNMV
La oportunidad
http://www.aimc.es/
8
CIFRADOC/CNMV
La oportunidad
El objetivo a alcanzar:•Utilizar la línea telemática (Internet, BBS) como medio de comunicación
• Con completas garantías seguridad (Real Decreto 263/1996, artículo 4).
•Eliminación de los disquetes y papeles.
•Sistema eficiente y eficaz. Grupo cerrado de usuarios
9
Requerimientos:• Confidencialidad: La información sólo la puede leer el
destinatario del mensaje.• Integridad: La información no se modifica durante la
transmisión. • Autenticación: El destinatario puede asegurar la
identidad del emisor. • No repudio: El emisor de la información no puede
negar su autoría.La criptografía nos da las técnicas para alcanzar los
requerimientos
CIFRADOC/CNMV
El procedimiento
10
Texto en claro
Cripto-grama
Texto en claro
Cripto-grama
Algoritmo de cifrado
Algoritmo de descifrado
Clave de cifrado
Clave de descifrado
Medio detransmisión
CIFRADOC/CNMV
El procedimiento
Sistema criptográfico
11
Documento
Algoritmo+
clave
Cifrado.
Algoritmo+
clave
DescifradoDocumento
CIFRADOC/CNMV
El procedimiento
Algoritmo simétrico
12
Documento
clave públicadel receptor
DescifradoDocumento
clave privadadel emisor
clave públicadel emisor
E R
R
clave privadadel receptor
E
CIFRADOC/CNMV
El procedimiento
Algoritmo asimétrico o de clave públicaCifrado
13
Cifrado con clave privada Función resumen
Resumen
Documento
Firma electrónica
Firmar:
Verificar firma:
Firma electrónica
Descifrado con clave pública
Resumen
Documento
Función resumenResumen
Los dos resúmenes deben coincidir si eldocumento permaneceinalterado.
Podemos obtenerel resumen con laclave pública.
?
E
E
CIFRADOC/CNMV
El procedimiento
Firma electrónica
14
Cifrado con clave privadaFunción resumen
DocumentoFirma electrónica
Resumen
Documento
Cifrado con clave simétrica aleatoria
Cifrado con clave pública
Al receptor
1
2
3
Firma electrónica
+
+
E
R
CIFRADOC/CNMV
El procedimiento
Sistema híbrido.Cifrado
15
1 Descifrado con clave privada
2 Descifrado con clave simétrica
Documento
Función resumen
Resumen
Documento
3
Firma electrónica
+
Firma digital
Descifrado con clave pública
Resumen
=
Confidencialidad: Solo puede leer el mensaje el receptor poseedor de la clave privada
Integridad: Si el resumen de la firma coincide con el obtenido directamente del documento, este no ha sido alterado
No repudio y autenticación: La firma sólo puede haber sido cifrada por el propietario de la clave privada
R
E
CIFRADOC/CNMV
El procedimientoSistema híbrido. Descifrado
16
CIFRADOC/CNMV
El procedimiento
DocumentoDocumentooriginaloriginal
DocumentoDocumentooriginaloriginal
Firmaelectrónica
de la entidad
Documentooriginal
Documentooriginal
Firma electrónica
CNMV
Firma electrónica
CNMV
3. Transmisión a laCNMV del documento
7. Transmisión a laentidad del Acusede Recibo
Documentooriginal Documento
original
Documentooriginal
ENTIDAD
CNMV
2. Cifrado con clave simétrica y pública de laCNMV
Documentooriginal
1. Firma deldocumento conla clave privadade la entidad
4. Descifrado del mensaje recibido conclave privada de la CNMV y simétrica
5. Extracción deldocumento y verificación de la firma con clave pública de la entidad
6. Firma deldocumento recibidocon la clave privadade la CNMV
8. Verificación de lafirma con clave pública de la CNMV
Firmaelectrónica
de la entidad
Firmaelectrónica
de la entidadFirma
electrónicade la entidad
Firma electrónica
CNMV
Firma electrónica
CNMV
17
CIFRADOC/CNMV
El procedimiento
Acuse de recibo:
•Confirma que la CNMV ha recibido el documento
•Permite verificar que el documento recibido en la CNMV es exactamente el que se quiso enviar
•Demuestra ante terceros que se ha realizado la comunicación a la CNMV (Impresión autorizada)
18
CIFRADOC/CNMV
El procedimiento
Acuse de recibo
19
CIFRADOC/CNMV
El procedimiento
Par de claves pública/privada generadas por la entidad. Problema: El intercambio de las claves públicas de forma segura.En 1996 no existían autoridades de certificación fuera de Estados Unidos. No estaba extendido el uso de certificados digitales (X509)
Solución: La clave pública de la CNMV se entrega en mano (en un disquete) a la entidad junto con un código secreto de usuario (PIN). La entidad envía la clave pública junto con el PIN para evitar suplantación.
20
CIFRADOC/CNMV
La herramienta
•Se utilizan la rutinas criptográficas del PGP versión 2.6.3.i, muy estable y con código fuente disponible en Internet. Se eliminan las funciones que no son necesarias.
Al producto resultante se le denomina Módulo de Cifrado de la CNMV (MCC). Algoritmos usados: IDEA, RSA y MD5El MCC se envuelve en una interfaz gráfica de usuario que implementa el procedimiento definido.
•Se opta por el correo electrónico como medio de transporte.
•Las claves privada y pública de la entidad y pública de la CNMV se almacenan en un disquete
21
CIFRADOC/CNMV
La herramienta
ARQUITECTURA DEL SISTEMA en Entidad (cliente)
Aplicación
Módulode cifrado
(MCC)
Interfaz de usuario
Módulo de
comunicaciones
22
CIFRADOC/CNMV
La herramientaARQUITECTURA DEL SISTEMA en CNMV (Servidor)
Captura automática del mensaje
Extracción yverificación del
documento
Módulo de Cifrado (MCC)
Generación y envío de Acuse de Recibo
Aplicación
Carga automatizadaen base de datos
Base de datos de laaplicación de destino
del documento
Registro de Entrada/Salida de
documentos electrónicos
Registro de Entidades autorizadas
23
CIFRADOC/CNMV
Soporte jurídico
Al amparo del artículo 45 de la Ley 30/1992 del Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común
En cumplimiento del artículo 9 del Real Decreto 263/1996:•Informe técnico favorable de la Comisión Permanente de Tecnologías de la Información y las Comunicaciones.•Acuerdo de 11 de Marzo de 1998 (BOE del 27 de marzo de 1998) del Consejo de la CNMV para la implantación del sistema
Pago de licencias por el uso de IDEA a Ascom AG
24
CIFRADOC/CNMV
Soporte jurídico
Solicitud de incorporación al sistema
Verificación de la identidad de la entidad y usuarios
Clave pública + identificadorcifrado con clave pública CNMV
Aplicación, Clave pública de la CNMVe identificador secreto
Registro deentidades y
usuarios autorizados
CNMV
ID
U
U
U
ID
CNMV U
Procedimiento de autorización
Documento de aceptación
25
CIFRADOC/CNMV
Grado de utilización
TIPO %
Comercializadora de IIC extranjeras 4,7%
Emisoras de Pagarés 30,8%
Emisoras de Valores del IBEX 35 34,3%
Gestoras de Carteras 10,2%
Gestoras de IIC ( ) 24,8%
Grupos consolidables de SAV 32,0%
Gestoras de Titulizacion 28,6%
Rectoras de los mercados 20,0%
Sociedades y Agencias de valores 29,0%
SIM y SIMCAV autogestionadas 28,6%
Total 24,1%
( ) OBJETOS GESTIONADOS POR GIIC 55,3%
Además se utiliza con el mercado AIAF en la transmisión diaria de la contratación y en el procedimiento de supervisión de la admisión de nuevas emisiones.
135 entidades autorizadas (marzo 2000):
% Sobre el totalde entidades decada tipo
26
CIFRADOC/CNMV
Grado de utilización
Problemas encontrados:• Casi ninguno de instalación o funcionamiento.• Algunos servidores de correo tienen retrasos apreciables.• 5 casos de generación indebida de nuevas claves. En 2 no tenían copia de seguridad y fue necesario revocar las claves antiguas.• Algunos problemas con los acuses de recibos. En la mayoría de los casos por verificar el acuse contra un fichero distinto. En los menos al repetir el envío funcionó.• La automatización de la incorporación a base de datos (sin intervención manual) exige programas complejos de validación.
27
CIFRADOC/CNMV
El futuro
•Adaptación al Real Decreto-Ley 14/1999, de 17 de septiembre sobre firma electrónica en lo concerniente al uso de certificados reconocidos (artículo 3). • Posibilidad de doble firma.•Conversión del MCC de ejecutable a librería dinámica (DLL) y/o componente para mayor integración con las aplicaciones generadoras de los documentos•Automatización (opcional) desde el CIFRADOC/CNMV del envío por correo electrónico. •Cambio del algoritmo IDEA por Twofish (candidato al AES)
• Promocionar un mayor grado de utilización por parte de las
entidades.
28
CIFRADOC/CNMV
Referencias· Sistema CIFRADOC/CNMV: http://www.cnmv.es/SDC/cifradoc.htm
· Criptografía.
o Boletines periódicos:§ Kriptópolis: http://www.kriptopolis.com/ (en español)§ Criptomicon: http://www.iec.csic.es/criptonomicon (en español)§ Crypto-Gram: http://www.counterpane.com (en inglés)
o Libros:§ "Applied Cryptography". Bruce Schneier.§ "Criptografía y Seguridad en Computadores". Manuel Lucena. En español y gratuito, en formato PDF, en: http://www.kriptopolis.com/cys.html§ "Handbook of Applied Cryptography". Alfred J. Menezes. En inglés, se puede obtener de forma gratuita en formato PDF en http://cacr.math.uwaterloo.ca/hac/
o FAQ (preguntas mas frecuentes): § http://www.rsasecurity.com/rsalabs/faq (inglés)
· PGP:o The International PGP Home Page: http://www.pgpi.org/ (inglés)o Páginas de PGP en la Comunidad RedIris: http://www.rediris.es/pgp/ (español)
29
CIFRADOC/CNMV
Demostración
Entidad* APLICACIÓN PREVIAMENTE INSTALADA
* GENERACION DE CLAVES PUBLICA Y PRIVADA A PARTIR DE NOMBRE Y CODIGO DE USUARIO (PIN)
* ENVIO CLAVE PUBLICA A LA CNMV
* GENERACION DE FICHERO A ENVIAR A LA CNMV
* CIFRADO Y FIRMA DEL FICHERO
* ENVIO DEL FICHERO A LA CNMV
* COMPROBACION DEL “ACUSE DE RECIBO”
* “IMPRESIÓN AUTORIZADA”
CNMV
* INCORPORACION CLAVE PUBLICA AL REGISTRO. CNMV ENVIA UN MENSAJE DE CONFORMIDAD A LA RECEPCION DE LA CLAVE PUBLICA
* CNMV CAPTA, DESCIFRA, REGISTRA, CARGA EN BASE DE DATOS, GENERA Y ENVIA “ACUSE DE RECIBO” DE MANERA AUTOMATIZADA