SUCED- Procedimiento Interactivo Para Procesos Criptograficos-DCV
Embed Size (px)
description
Transcript of SUCED- Procedimiento Interactivo Para Procesos Criptograficos-DCV
-
Banco de la Repblica
Bogot D. C., Colombia
Direccin General de Tecnologa
Departamento de Gestin Informtica
PROCEDIMIENTO INTERACTIVO PARA
PROCESOS CRIPTOGRAFICOS
SUCED Sistema Unificado de Certificacin Digital
Septiembre 9 de 2014
Versin 1.0
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
2
CONTENIDO
1 INTRODUCCIN .......................................................................................................... 3 1.1 OBJETO ......................................................................................................................... 3
1.2 ALCANCE DEL DOCUMENTO .......................................................................................... 3 1.3 AUDIENCIA ................................................................................................................... 3 2 PRERREQUISITOS ............................................................................................................. 4 2.1 DESCARGA SUCED-GUI ............................................................................................. 4
2.2 ACCESOS REQUERIDOS ................................................................................................. 5 3 SOLICITUD DE CERTIFICADO ............................................................................................ 5
4 PROCESOS CRIPTOGRFICOS ............................................................................................ 7 4.1 OPERACIONES DE FIRMA DIGITAL ................................................................................ 7 4.2 OPERACIONES DE CIFRADO ........................................................................................ 13
4.3 OPERACIONES DE FIRMA Y CIFRADO .......................................................................... 18 4.4 OPERACIONES DE VERIFICACIN Y DESCIFRADO ........................................................ 19 4.5 PROCESOS CRIPTOGRFICOS SOBRE CARPETAS .......................................................... 22
4.6 CREACIN DE GRUPOS DE DESTINATARIOS DE CIFRADO ............................................. 26
4.7 OPTIMIZACIN DE PASOS SUCED-GUI ...................................................................... 31 5 GTA - MANUAL DE USO. ............................................................................................. 37 6 COSTOS ......................................................................................................................... 37
7 CONTROL DE CAMBIOS .................................................................................................. 37
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
3
1 INTRODUCCIN
1.1 OBJETO
El presente documento tiene como fin establecer el procedimiento para el uso del cliente
Suced-GUI, con el cual se realiza las operaciones interactivas de procesos criptogrficos
(Firma digital, cifrado, verificacin y descifrado) de archivos por las entidades financieras,
tales archivos son trasmitidos al Banco de la Repblica a travs de los canales dedicados
y/o Internet. La definicin del canal de comunicacin a ser usado depender de la
definicin propia del sistema de informacin con el que se est realizando la integracin.
1.2 ALCANCE DEL DOCUMENTO
Este documento define el procedimiento, polticas, costos y dems reglas para el uso del
servicio interactivo para realizar procesos criptogrficos de archivos.
1.3 AUDIENCIA
Este documento est dirigido a las entidades financieras que desean utilizar un modelo
interactivo para los procesos criptogrficos de archivos.
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
4
2 PRERREQUISITOS
Para la implementacin de procesos criptogrficos en modo interactivo siendo usuario de
wsebra, se deben tener en cuenta los siguientes prerrequisitos:
2.1 DESCARGA SUCED-GUI
La descarga del SUCED_GUI se debe realizar a travs del portal
https://caribe.banrep.gov.co/emisor
Ingresar en Descargas SUCED
Descargar el manual de instalacin 4. SUCED-ENTR-43 Manual de Instalacin y Uso SUCEDGUI.pdf
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
5
Una vez descargado el Manual, se deben seguir las instrucciones de instalacin descritas en
la seccin 3 (Instalacion) del manual 4. SUCED-ENTR-43 Manual de Instalacin y Uso SUCEDGUI.pdf.
Para realizar las operaciones criptogrficas de firma, cifrado, descifrado y verificacin se
requiere del uso de un certificado digital. Ver seccin 3 de este documento.
2.2 ACCESOS REQUERIDOS
Para la correcta operacin del cliente Interactivo SUCED-GUI para los procesos
criptogrficos de archivos, se hace necesario que las mquinas de la entidad financiera
tengan los siguientes accesos:
Canal IP Nombre servicio Descripcin
SEBRA
Dedicado
192.168.61.17 nukak.banrep.gov.co
(Pruebas)
TCP/443 Acceso a Bus de Servicios (OSB)
del ambiente de
pruebas
192.168.X.X awa.banrep.gov.co
(Produccin)
TCP/443 Acceso a Bus de Servicios (OSB)
del ambiente de
Produccin
Internet X.X.X.X cuza.banrep.gov.co TCP/443 Acceso a Bus de Servicios (OSB)
del ambiente de
pruebas
X.X.X.X Nemcatacoa.banrep.gov.co TCP/443 Acceso a Bus de Servicios (OSB)
del ambiente de
Produccin.
IMPORTANTE: Cada entidad financiera ser responsable de configurar el enrutamiento y
permisos de conexin a las direcciones anteriormente referenciadas, tanto en las redes
internas de la entidad, como de solicitarlo y probarlo con el respectivo proveedor del canal
dedicado.
3 SOLICITUD DE CERTIFICADO
Un certificado para realizar procesos interactivos, hace referencia a un certificado emitido
a nombre de una persona y debe ser de uso exclusivo por l (este role se denomina
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
6
Suscriptor). El certificado deber ser solicitado por el Delegado con Responsabilidad
Administrativa segn lo mencionado en el formulario BR-3-598-0.xls, el cual est
publicado en el sitio web del Banco (http://www.banrep.gov.co/es/pki-formatos-
administrativos.)
El uso correcto del certificado estar a cargo y bajo responsabilidad del Suscriptor y del
Delegado con Responsabilidad Administrativa de la Entidad. (Ver Documento
Declaracin de Prcticas de Certificacin para la CA Banrep, ubicado en http://www.banrep.gov.co/es/contenidos/page/declaraci-n-pr-cticas-certificaci-n-ca-banrep
).
El Certificado del suscriptor para realizar los procesos criptogrficos interactivos estar en
formato PKCS11 (Token Criptografico) y tendr la siguiente nomenclatura en la
composicin de su CN (Common Name). El DN para los Suscriptores de las Entidades
Usuarias est formado de la siguiente manera:
Componente de Dominio:
dc=co
dc=gov
dc=banrep
Unidad Organizacional:
ou=CA Banrep
ou=NIT de la entidad incluyendo digito de verificacin (solo los caracteres numricos)
Nombre comn:
cn=Nombre completo del Suscriptor.
Ejemplo:
DN: cn=Pedro Perez, ou=8030130231,ou=CA Banrep, dc=Banrep, dc=gov, dc=co
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
7
El Certificado del suscriptor tendr una vigencia de dos (3) aos, el Banco de la Repblica
informar va correo electrnico (Que este registrado en la solicitud BR-3-598-0.xls) los
prximos certificados a expirar y a fecha de expiracin del certificado, as:
El primer da calendario del mes se informaran los certificados a expirar en los siguientes
60 das.
Todos los das se informaran los certificados a expirar dentro de los siguientes 15 das.
La Entidad Financiera mediante el Delegado con Responsabilidad Administrativa ser
responsable de solicitar la creacin del nuevo certificado. Para revisar los trminos y
condiciones del servicio de creacin de certificados. (Ver Documento de Declaracin de
Practicas de Certificacin para la CA Banrep en ubicado en
http://www.banrep.gov.co/es/contenidos/page/declaraci-n-pr-cticas-certificaci-n-ca-banrep
).
4 PROCESOS CRIPTOGRFICOS
Una vez cumplidos los prerrequisitos mencionados en la seccin 2, por favor dirigirse al
escritorio y ejecutar SUCED.exe.
*Importante: Si se desea obtener detalles tcnicos sobre el funcionamiento de Suced-GUI,
por favor observar el manual 4. SUCED-ENTR-43 Manual de Instalacin y Uso SUCEDGUI.pdf, disponible en https://caribe.banrep.gov.co/emisor
4.1 OPERACIONES DE FIRMA DIGITAL
Para operaciones de Firma Digital, seleccionar firmar,
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
8
En la opcin Explorar, seleccionar el archivo que se desea firmar.
Dar click en Aceptar, el sistema nos mostrar una pantalla como la siguiente:
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
9
En esta seccin, si NO se han seguido los pasos mencionados en la seccin 4.7 Optimizacin de pasos SUCED GUI se debe seleccionar la opcin Configuracin Manual, y la opcin MS-CAPI (Entrust). De lo contrario usar configuracin predeterminada.
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
10
Procedemos a seleccionar la Opcin Buscar, si se tienen varios Tokens conectados y/o credenciales, el sistema permitir escoger la credencial que se desea usar.
Una vez seleccionada la credencial se procede a dar clic en el botn Aceptar, de forma que el certificado quede elegido:
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
11
Seleccionar de acuerdo al formato de salida esperada Entrust para generar formato .ent o PKCS#7 para generar formato .p7z, segn sea el caso.
Seleccionar Aceptar.
Es posible que para continuar, el sistema solicite la contrasea del Token:
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
12
Introducir el Password del Dispositivo y hacer clic en Ok.
El sistema realizar el proceso de firma del archivo, y ubicara el resultante en la misma
direccin del archivo de origen:
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
13
4.2 OPERACIONES DE CIFRADO
Seleccionamos la opcin de cifrar:
Si NO se han seguido los pasos mencionados en la seccin 4.7 Optimizacin de pasos SUCED GUI, debemos elegir configuracin manual y posteriormente MS-CAPI (Entrust), de lo contrario podemos usar la opcin Configuracin Predeterminada:
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
14
Se debe hacer clic en el botn Buscar, se presentarn los certificados que estn disponibles para ejecutar la operacin (antes debe haberse conectado el Token):
Se selecciona el certificado a usar y se hace clic en el botn Aceptar, el sistema seleccionara el certificado:
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
15
De acuerdo al formato de salida que se desee seleccionamos el formato de salida Entrust para generar formato .ent o PKCS#7 para generar formato .enc.
En este punto se pueden seleccionar los destinatarios favoritos previamente creados (el
procedimiento de creacin de favoritos se explicar ms adelante), ingresando al botn
respectivo llamado Adicionar destinatarios tal como podemos ver:
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
16
Y en campo llamado Ingrese nombre de la persona escribimos las primeras letras del nombre y va a presentarse el listado correspondiente tal como podemos ver a continuacin:
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
17
Con las flechas respectivas adicionamos los destinatarios (hacia el panel izquierdo) tanto
grupos (G) como individuos adicionales (P):
Seleccionamos aceptar y siguiente el sistema valida la informacin del certificado:
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
18
Al final del log, va a aparecer si el archivo qued cifrado correctamente:
En donde el archivo generado queda en el mismo directorio del archivo original y
seleccionamos aceptar.
4.3 OPERACIONES DE FIRMA Y CIFRADO
Para los procesos de firma y cifrado de archivos, se deben seguir los pasos descritos en los
numerales 4.2 Operaciones de Cifrado, con la salvedad que en la opcin a ejecutar se debe
seleccionar la opcin Firmar y la opcin Cifrar al mismo tiempo.
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
19
4.4 OPERACIONES DE VERIFICACIN Y DESCIFRADO
Dentro de la ventana principal de Suced, seleccionamos el botn de verificar archivo y
seleccionamos el archivo para verificar en el botn explorar:
Si NO se han seguido los pasos mencionados en la seccin 4.7 Optimizacin de pasos SUCED GUI, seleccionamos Configuracin manual y la opcin MS-CAPI(Entrust), de lo contrario usamos la configuracin Predeterminada:
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
20
Hacemos click en el botn Buscar, el sistema desplegar los certificados disponibles de los cuales debemos seleccionar uno y hacer click en el botn Buscar: Al hacer esto, el sistema seleccionar el certificado, damos clic en el botn Aceptar:
Es posible que a este punto se solicite la clave del dispositivo:
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
21
Se ingresa la clave y se da clic en el botn OK y el proceso iniciar:
Y aparece el mensaje de confirmacin:
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
22
4.5 PROCESOS CRIPTOGRFICOS SOBRE CARPETAS
En esta seccin se describen los pasos necesarios para firmar y/o cifrar varios archivos
dentro de una misma ejecucin, dado que generalmente tenemos que firmar y cifrar grandes
cantidades de archivos, la nica opcin es crear una carpeta y ubicar los archivos deseados
en la misma.
Se debe ubicar en una carpeta todos los archivos sobre los que se desea operar (no se har
el proceso recursivamente sobre subcarpetas):
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
23
Se abre SUCED GUI y se selecciona la opcin a ejecutar, para el ejemplo ser Firmar.
Al dar clic sobre el botn Explorar se selecciona el folder:
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
24
El sistema mostrar todos los archivos que se encuentren en la carpeta seleccionada:
Se deben seleccionar aquellos archivos sobre los que se desea ejecutar la operacin:
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
25
Se hace clic en el botn Aceptar y el sistema mostrar los seleccionados, se sigue el proceso normal de acuerdo al proceso a ejecutar y a la versin del Token (el detalle en las
secciones Error! No se encuentra el origen de la referencia.Error! No se encuentra el
origen de la referencia.Error! No se encuentra el origen de la referencia.) y se
obtendr la finalizacin del proceso:
En la carpeta seleccionada se crear una carpeta Procesados bajo la cual se podrn encontrar los archivos procesados.
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
26
4.6 CREACIN DE GRUPOS DE DESTINATARIOS DE CIFRADO
En algunos casos necesitamos cifrar archivos a las mismas personas o destinatarios, as que
podemos automatizar la creacin de grupos de cifrado.
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
27
Para crear grupos de destinatarios, entramos desde la ventana principal de Suced, a la
pestaa configuracin y seleccionamos el botn Gestin de grupos de certificados tal como podemos ver:
Y seleccionamos aceptar donde abre la ventana:
Y escribimos el nombre del nuevo grupo que deseamos crear (ejemplo: prueba)
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
28
Seleccionamos agregar y luego teniendo seleccionado el grupo nuevo, vamos a la pestaa
llamada buscar en donde seleccionamos los miembros para agregar a ese grupo.
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
29
Y agregamos los usuarios respectivos.
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
30
Seleccionamos cerrar, y en la siguiente ventana escogemos Aplicar Cambios
Si el sistema est en lnea, va a salir un mensaje de confirmacin como el siguiente:
Si no est en lnea va a aparecer un mensaje donde no se pueden actualizar los certificados.
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
31
Vale la pena recordar que para actualizar los certificados de los usuarios, el sistema debe
estar en lnea, es decir con WSEBRA abierto y conectado.
4.7 OPTIMIZACIN DE PASOS SUCED-GUI
Si realizamos operaciones criptogrficas en muchas ocasiones, podemos optimizar los
pasos para realizar operaciones criptogrficas siguiendo el siguiente consejo (solo se
ejecuta una vez):
Conectemos el dispositivo Token donde se almacena el certificado.
Abrir Suced-GUI y hacer clic en la opcin Configuracin:
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
32
Seleccionamos la opcin Ruta Bindings Preconfigurado y damos clic en Aceptar:
Seguidamente seleccionamos la opcin Explorar y seleccionamos el Archivos
BR_CAPI_Bindings.xml ubicado en la carpeta conf de la ruta de instalacin de SUCED-GUI.
Damos Aceptar.
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
33
Vamos de nuevo a la opcin Configuracion en la pantalla principal del cliente SUCED:
Seleccionamos la opcin Propiedades Bindings
Alli selecionamos la opcion Buscar
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
34
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
35
Una vez seleccionada la opcin buscar, se abrir una ventana, en donde escogeremos el
certificado a usar por defecto en nuestras operaciones.
Seleccionamos Aceptar
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
36
Seleccionamos Aceptar.
-
PROCEDIMIENTO INTERACTIVO PARA PROCESOS CRIPTOGRAFICOS
37
5 GTA - MANUAL DE USO.
Consultar manual : GTA - Manual de usuario interactivo.
6 COSTOS
Resumen de los costos asociados a SUCED:
Al Banco:
Licencia ESP por mquina: COP 119.033,18 + IVA, por una nica vez a perpetuidad.
Soporte mensual: COP 2.259,84 + IVA.
Con el proveedor que le venda el token criptogrfico
Costo del Token criptogrfico: COP 150.000, aproximadamente.
Licencia SAC, por una sola vez (driver para que sea reconocido el Token en un PC: USD 10 + IVA.)
7 CONTROL DE CAMBIOS
31/07/2014 Carlos Ramirez - Elaboracin Documento SUCED-Procedimiento para el uso
de Automatizacin de procesos Criptogrficos Versin 1.