SUCED- Procedimiento Interactivo Para Procesos Criptograficos-DCV

of 37 /37
Banco de la República Bogotá D. C., Colombia Dirección General de Tecnología Departamento de Gestión Informática PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS SUCED Sistema Unificado de Certificación Digital Septiembre 9 de 2014 Versión 1.0

Embed Size (px)

description

procedimientos para la criptografia

Transcript of SUCED- Procedimiento Interactivo Para Procesos Criptograficos-DCV

  • Banco de la Repblica

    Bogot D. C., Colombia

    Direccin General de Tecnologa

    Departamento de Gestin Informtica

    PROCEDIMIENTO INTERACTIVO PARA

    PROCESOS CRIPTOGRAFICOS

    SUCED Sistema Unificado de Certificacin Digital

    Septiembre 9 de 2014

    Versin 1.0

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    2

    CONTENIDO

    1 INTRODUCCIN .......................................................................................................... 3 1.1 OBJETO ......................................................................................................................... 3

    1.2 ALCANCE DEL DOCUMENTO .......................................................................................... 3 1.3 AUDIENCIA ................................................................................................................... 3 2 PRERREQUISITOS ............................................................................................................. 4 2.1 DESCARGA SUCED-GUI ............................................................................................. 4

    2.2 ACCESOS REQUERIDOS ................................................................................................. 5 3 SOLICITUD DE CERTIFICADO ............................................................................................ 5

    4 PROCESOS CRIPTOGRFICOS ............................................................................................ 7 4.1 OPERACIONES DE FIRMA DIGITAL ................................................................................ 7 4.2 OPERACIONES DE CIFRADO ........................................................................................ 13

    4.3 OPERACIONES DE FIRMA Y CIFRADO .......................................................................... 18 4.4 OPERACIONES DE VERIFICACIN Y DESCIFRADO ........................................................ 19 4.5 PROCESOS CRIPTOGRFICOS SOBRE CARPETAS .......................................................... 22

    4.6 CREACIN DE GRUPOS DE DESTINATARIOS DE CIFRADO ............................................. 26

    4.7 OPTIMIZACIN DE PASOS SUCED-GUI ...................................................................... 31 5 GTA - MANUAL DE USO. ............................................................................................. 37 6 COSTOS ......................................................................................................................... 37

    7 CONTROL DE CAMBIOS .................................................................................................. 37

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    3

    1 INTRODUCCIN

    1.1 OBJETO

    El presente documento tiene como fin establecer el procedimiento para el uso del cliente

    Suced-GUI, con el cual se realiza las operaciones interactivas de procesos criptogrficos

    (Firma digital, cifrado, verificacin y descifrado) de archivos por las entidades financieras,

    tales archivos son trasmitidos al Banco de la Repblica a travs de los canales dedicados

    y/o Internet. La definicin del canal de comunicacin a ser usado depender de la

    definicin propia del sistema de informacin con el que se est realizando la integracin.

    1.2 ALCANCE DEL DOCUMENTO

    Este documento define el procedimiento, polticas, costos y dems reglas para el uso del

    servicio interactivo para realizar procesos criptogrficos de archivos.

    1.3 AUDIENCIA

    Este documento est dirigido a las entidades financieras que desean utilizar un modelo

    interactivo para los procesos criptogrficos de archivos.

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    4

    2 PRERREQUISITOS

    Para la implementacin de procesos criptogrficos en modo interactivo siendo usuario de

    wsebra, se deben tener en cuenta los siguientes prerrequisitos:

    2.1 DESCARGA SUCED-GUI

    La descarga del SUCED_GUI se debe realizar a travs del portal

    https://caribe.banrep.gov.co/emisor

    Ingresar en Descargas SUCED

    Descargar el manual de instalacin 4. SUCED-ENTR-43 Manual de Instalacin y Uso SUCEDGUI.pdf

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    5

    Una vez descargado el Manual, se deben seguir las instrucciones de instalacin descritas en

    la seccin 3 (Instalacion) del manual 4. SUCED-ENTR-43 Manual de Instalacin y Uso SUCEDGUI.pdf.

    Para realizar las operaciones criptogrficas de firma, cifrado, descifrado y verificacin se

    requiere del uso de un certificado digital. Ver seccin 3 de este documento.

    2.2 ACCESOS REQUERIDOS

    Para la correcta operacin del cliente Interactivo SUCED-GUI para los procesos

    criptogrficos de archivos, se hace necesario que las mquinas de la entidad financiera

    tengan los siguientes accesos:

    Canal IP Nombre servicio Descripcin

    SEBRA

    Dedicado

    192.168.61.17 nukak.banrep.gov.co

    (Pruebas)

    TCP/443 Acceso a Bus de Servicios (OSB)

    del ambiente de

    pruebas

    192.168.X.X awa.banrep.gov.co

    (Produccin)

    TCP/443 Acceso a Bus de Servicios (OSB)

    del ambiente de

    Produccin

    Internet X.X.X.X cuza.banrep.gov.co TCP/443 Acceso a Bus de Servicios (OSB)

    del ambiente de

    pruebas

    X.X.X.X Nemcatacoa.banrep.gov.co TCP/443 Acceso a Bus de Servicios (OSB)

    del ambiente de

    Produccin.

    IMPORTANTE: Cada entidad financiera ser responsable de configurar el enrutamiento y

    permisos de conexin a las direcciones anteriormente referenciadas, tanto en las redes

    internas de la entidad, como de solicitarlo y probarlo con el respectivo proveedor del canal

    dedicado.

    3 SOLICITUD DE CERTIFICADO

    Un certificado para realizar procesos interactivos, hace referencia a un certificado emitido

    a nombre de una persona y debe ser de uso exclusivo por l (este role se denomina

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    6

    Suscriptor). El certificado deber ser solicitado por el Delegado con Responsabilidad

    Administrativa segn lo mencionado en el formulario BR-3-598-0.xls, el cual est

    publicado en el sitio web del Banco (http://www.banrep.gov.co/es/pki-formatos-

    administrativos.)

    El uso correcto del certificado estar a cargo y bajo responsabilidad del Suscriptor y del

    Delegado con Responsabilidad Administrativa de la Entidad. (Ver Documento

    Declaracin de Prcticas de Certificacin para la CA Banrep, ubicado en http://www.banrep.gov.co/es/contenidos/page/declaraci-n-pr-cticas-certificaci-n-ca-banrep

    ).

    El Certificado del suscriptor para realizar los procesos criptogrficos interactivos estar en

    formato PKCS11 (Token Criptografico) y tendr la siguiente nomenclatura en la

    composicin de su CN (Common Name). El DN para los Suscriptores de las Entidades

    Usuarias est formado de la siguiente manera:

    Componente de Dominio:

    dc=co

    dc=gov

    dc=banrep

    Unidad Organizacional:

    ou=CA Banrep

    ou=NIT de la entidad incluyendo digito de verificacin (solo los caracteres numricos)

    Nombre comn:

    cn=Nombre completo del Suscriptor.

    Ejemplo:

    DN: cn=Pedro Perez, ou=8030130231,ou=CA Banrep, dc=Banrep, dc=gov, dc=co

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    7

    El Certificado del suscriptor tendr una vigencia de dos (3) aos, el Banco de la Repblica

    informar va correo electrnico (Que este registrado en la solicitud BR-3-598-0.xls) los

    prximos certificados a expirar y a fecha de expiracin del certificado, as:

    El primer da calendario del mes se informaran los certificados a expirar en los siguientes

    60 das.

    Todos los das se informaran los certificados a expirar dentro de los siguientes 15 das.

    La Entidad Financiera mediante el Delegado con Responsabilidad Administrativa ser

    responsable de solicitar la creacin del nuevo certificado. Para revisar los trminos y

    condiciones del servicio de creacin de certificados. (Ver Documento de Declaracin de

    Practicas de Certificacin para la CA Banrep en ubicado en

    http://www.banrep.gov.co/es/contenidos/page/declaraci-n-pr-cticas-certificaci-n-ca-banrep

    ).

    4 PROCESOS CRIPTOGRFICOS

    Una vez cumplidos los prerrequisitos mencionados en la seccin 2, por favor dirigirse al

    escritorio y ejecutar SUCED.exe.

    *Importante: Si se desea obtener detalles tcnicos sobre el funcionamiento de Suced-GUI,

    por favor observar el manual 4. SUCED-ENTR-43 Manual de Instalacin y Uso SUCEDGUI.pdf, disponible en https://caribe.banrep.gov.co/emisor

    4.1 OPERACIONES DE FIRMA DIGITAL

    Para operaciones de Firma Digital, seleccionar firmar,

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    8

    En la opcin Explorar, seleccionar el archivo que se desea firmar.

    Dar click en Aceptar, el sistema nos mostrar una pantalla como la siguiente:

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    9

    En esta seccin, si NO se han seguido los pasos mencionados en la seccin 4.7 Optimizacin de pasos SUCED GUI se debe seleccionar la opcin Configuracin Manual, y la opcin MS-CAPI (Entrust). De lo contrario usar configuracin predeterminada.

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    10

    Procedemos a seleccionar la Opcin Buscar, si se tienen varios Tokens conectados y/o credenciales, el sistema permitir escoger la credencial que se desea usar.

    Una vez seleccionada la credencial se procede a dar clic en el botn Aceptar, de forma que el certificado quede elegido:

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    11

    Seleccionar de acuerdo al formato de salida esperada Entrust para generar formato .ent o PKCS#7 para generar formato .p7z, segn sea el caso.

    Seleccionar Aceptar.

    Es posible que para continuar, el sistema solicite la contrasea del Token:

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    12

    Introducir el Password del Dispositivo y hacer clic en Ok.

    El sistema realizar el proceso de firma del archivo, y ubicara el resultante en la misma

    direccin del archivo de origen:

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    13

    4.2 OPERACIONES DE CIFRADO

    Seleccionamos la opcin de cifrar:

    Si NO se han seguido los pasos mencionados en la seccin 4.7 Optimizacin de pasos SUCED GUI, debemos elegir configuracin manual y posteriormente MS-CAPI (Entrust), de lo contrario podemos usar la opcin Configuracin Predeterminada:

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    14

    Se debe hacer clic en el botn Buscar, se presentarn los certificados que estn disponibles para ejecutar la operacin (antes debe haberse conectado el Token):

    Se selecciona el certificado a usar y se hace clic en el botn Aceptar, el sistema seleccionara el certificado:

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    15

    De acuerdo al formato de salida que se desee seleccionamos el formato de salida Entrust para generar formato .ent o PKCS#7 para generar formato .enc.

    En este punto se pueden seleccionar los destinatarios favoritos previamente creados (el

    procedimiento de creacin de favoritos se explicar ms adelante), ingresando al botn

    respectivo llamado Adicionar destinatarios tal como podemos ver:

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    16

    Y en campo llamado Ingrese nombre de la persona escribimos las primeras letras del nombre y va a presentarse el listado correspondiente tal como podemos ver a continuacin:

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    17

    Con las flechas respectivas adicionamos los destinatarios (hacia el panel izquierdo) tanto

    grupos (G) como individuos adicionales (P):

    Seleccionamos aceptar y siguiente el sistema valida la informacin del certificado:

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    18

    Al final del log, va a aparecer si el archivo qued cifrado correctamente:

    En donde el archivo generado queda en el mismo directorio del archivo original y

    seleccionamos aceptar.

    4.3 OPERACIONES DE FIRMA Y CIFRADO

    Para los procesos de firma y cifrado de archivos, se deben seguir los pasos descritos en los

    numerales 4.2 Operaciones de Cifrado, con la salvedad que en la opcin a ejecutar se debe

    seleccionar la opcin Firmar y la opcin Cifrar al mismo tiempo.

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    19

    4.4 OPERACIONES DE VERIFICACIN Y DESCIFRADO

    Dentro de la ventana principal de Suced, seleccionamos el botn de verificar archivo y

    seleccionamos el archivo para verificar en el botn explorar:

    Si NO se han seguido los pasos mencionados en la seccin 4.7 Optimizacin de pasos SUCED GUI, seleccionamos Configuracin manual y la opcin MS-CAPI(Entrust), de lo contrario usamos la configuracin Predeterminada:

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    20

    Hacemos click en el botn Buscar, el sistema desplegar los certificados disponibles de los cuales debemos seleccionar uno y hacer click en el botn Buscar: Al hacer esto, el sistema seleccionar el certificado, damos clic en el botn Aceptar:

    Es posible que a este punto se solicite la clave del dispositivo:

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    21

    Se ingresa la clave y se da clic en el botn OK y el proceso iniciar:

    Y aparece el mensaje de confirmacin:

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    22

    4.5 PROCESOS CRIPTOGRFICOS SOBRE CARPETAS

    En esta seccin se describen los pasos necesarios para firmar y/o cifrar varios archivos

    dentro de una misma ejecucin, dado que generalmente tenemos que firmar y cifrar grandes

    cantidades de archivos, la nica opcin es crear una carpeta y ubicar los archivos deseados

    en la misma.

    Se debe ubicar en una carpeta todos los archivos sobre los que se desea operar (no se har

    el proceso recursivamente sobre subcarpetas):

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    23

    Se abre SUCED GUI y se selecciona la opcin a ejecutar, para el ejemplo ser Firmar.

    Al dar clic sobre el botn Explorar se selecciona el folder:

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    24

    El sistema mostrar todos los archivos que se encuentren en la carpeta seleccionada:

    Se deben seleccionar aquellos archivos sobre los que se desea ejecutar la operacin:

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    25

    Se hace clic en el botn Aceptar y el sistema mostrar los seleccionados, se sigue el proceso normal de acuerdo al proceso a ejecutar y a la versin del Token (el detalle en las

    secciones Error! No se encuentra el origen de la referencia.Error! No se encuentra el

    origen de la referencia.Error! No se encuentra el origen de la referencia.) y se

    obtendr la finalizacin del proceso:

    En la carpeta seleccionada se crear una carpeta Procesados bajo la cual se podrn encontrar los archivos procesados.

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    26

    4.6 CREACIN DE GRUPOS DE DESTINATARIOS DE CIFRADO

    En algunos casos necesitamos cifrar archivos a las mismas personas o destinatarios, as que

    podemos automatizar la creacin de grupos de cifrado.

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    27

    Para crear grupos de destinatarios, entramos desde la ventana principal de Suced, a la

    pestaa configuracin y seleccionamos el botn Gestin de grupos de certificados tal como podemos ver:

    Y seleccionamos aceptar donde abre la ventana:

    Y escribimos el nombre del nuevo grupo que deseamos crear (ejemplo: prueba)

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    28

    Seleccionamos agregar y luego teniendo seleccionado el grupo nuevo, vamos a la pestaa

    llamada buscar en donde seleccionamos los miembros para agregar a ese grupo.

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    29

    Y agregamos los usuarios respectivos.

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    30

    Seleccionamos cerrar, y en la siguiente ventana escogemos Aplicar Cambios

    Si el sistema est en lnea, va a salir un mensaje de confirmacin como el siguiente:

    Si no est en lnea va a aparecer un mensaje donde no se pueden actualizar los certificados.

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    31

    Vale la pena recordar que para actualizar los certificados de los usuarios, el sistema debe

    estar en lnea, es decir con WSEBRA abierto y conectado.

    4.7 OPTIMIZACIN DE PASOS SUCED-GUI

    Si realizamos operaciones criptogrficas en muchas ocasiones, podemos optimizar los

    pasos para realizar operaciones criptogrficas siguiendo el siguiente consejo (solo se

    ejecuta una vez):

    Conectemos el dispositivo Token donde se almacena el certificado.

    Abrir Suced-GUI y hacer clic en la opcin Configuracin:

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    32

    Seleccionamos la opcin Ruta Bindings Preconfigurado y damos clic en Aceptar:

    Seguidamente seleccionamos la opcin Explorar y seleccionamos el Archivos

    BR_CAPI_Bindings.xml ubicado en la carpeta conf de la ruta de instalacin de SUCED-GUI.

    Damos Aceptar.

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    33

    Vamos de nuevo a la opcin Configuracion en la pantalla principal del cliente SUCED:

    Seleccionamos la opcin Propiedades Bindings

    Alli selecionamos la opcion Buscar

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    34

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    35

    Una vez seleccionada la opcin buscar, se abrir una ventana, en donde escogeremos el

    certificado a usar por defecto en nuestras operaciones.

    Seleccionamos Aceptar

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    36

    Seleccionamos Aceptar.

  • PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS

    37

    5 GTA - MANUAL DE USO.

    Consultar manual : GTA - Manual de usuario interactivo.

    6 COSTOS

    Resumen de los costos asociados a SUCED:

    Al Banco:

    Licencia ESP por mquina: COP 119.033,18 + IVA, por una nica vez a perpetuidad.

    Soporte mensual: COP 2.259,84 + IVA.

    Con el proveedor que le venda el token criptogrfico

    Costo del Token criptogrfico: COP 150.000, aproximadamente.

    Licencia SAC, por una sola vez (driver para que sea reconocido el Token en un PC: USD 10 + IVA.)

    7 CONTROL DE CAMBIOS

    31/07/2014 Carlos Ramirez - Elaboracin Documento SUCED-Procedimiento para el uso

    de Automatizacin de procesos Criptogrficos Versin 1.