White Paper REALSEC / ST&T CONFIDENCIAL INFORMACION CONFIDENCIAL PROPIEDAD DE SOLUCIONES T Y T SA DE CV,

Transcripción

1 REALSEC / White Paper 1

2 Introducción El uso de las actuales tecnologías de criptografía es una necesidad real, sobre todo para las Instituciones Financieras, a efectos de proteger y preservar cualquier información sensible de las instituciones y de los clientes, frente a accesos no autorizados. Esta necesidad cobra especial importancia en el proceso de tránsito de la información financiera, a través de las redes de comunicación. En el mundo financiero, las Entidades Bancarias se ven obligadas a aplicar estas técnicas de manera especial en el entorno de los Medios de Pago por requerimientos de las autoridades locales (BM y CNBV) y de los reguladores del mercado (EVM), algunas de las aplicaciones más comunes son: Transmisión de datos de transacciones financieras, Clearing Diálogo con Cajeros Diálogos con TPVs e Interredes Tarjetas de Crédito con chip criptográfico TAGs de Telepeaje en Autopistas. Conexiones Home-banking Carga remota de llaves en ATMs y TPVs Etc. Al día de hoy, no son admisibles los sistemas que realizan los procesos de cifrado y/o generación de claves mediante software residente en ordenadores de uso general; ya que este trato rompe la cadena de seguridad, al comprometer ésta bajo la única garantía de la confianza en las personas que tienen acceso al Sistema. Se exige que, tanto la custodia de las claves, como su generación, como los cálculos que se realizan con ellas, sean ejecutados en el interior de un dispositivo blindado; dicho blindaje incluye medidas pasivas (hermético) y activas (tamper responsive) frente a cualquier intento de ataque. 2

3 Un Módulo de Seguridad por Hardware (HSM), ofrece también la ventaja de contar con una arquitectura (procesadores, coprocesadores, memorias, comunicaciones) diseñada expresamente para la realización de este tipo de cálculos, obteniéndose rendimientos mucho más altos. Son, por tanto, 3 los objetivos que cubre un HSM: Seguridad (Generación, custodia y encriptamiento) Aceleración de cálculos Librería de funciones probadas y depuradas Las instituciones financiera, conscientes de esta necesidad, han decidido dotarse de servidores criptográficos que, colocados bajo un paralelismo resistente a fallos, dé, el adecuado servicio a su infraestructura. Objeto El objeto del presente documento es proveer a los usuarios, de la información que les permita comprender el valor de un entorno de seguridad a través de un HSM para la toma acertada de decisiones para su institución, en base a una solución criptográfica, para la protección de sus datos sensibles. Tecnología Ofrecida REALSEC cuenta con una certificación FIPS level 3. Dicho certificado implica un reconocimiento de los niveles de seguridad ofrecidos, por los gobiernos de EEUU y Canadá. Este nivel de certificación para HSM sólo lo comparten 2 firmas más en Europa y 7 en el Mundo. El HSM CryptoSec ha sido diseñado de principio a fin por REALSEC: la placa base, la elección de componentes electrónicos, la programación de éstos, la librería firmware de funciones criptográficas, los detectores de intrusión, las comunicaciones externas, etc. 3

4 Además, CryptoSec ofrece velocidades de operación muy superiores a la mayoría de los productos del mercado. Características Técnicas CryptoSec es un sistema de criptografía por hardware (HSM) sensible y activo frente a ataques (Tamper Responsive Security Module o TRSM). Formato: Básicamente, está constituido por una placa conectable a bus PCI, más unos controladores software que la comunican con el exterior (red LAN), todo ello montado sobre un servidor en rack. Aspecto: Los componentes electrónicos están protegidos por un relleno de resina epoxy en ambas caras de la placa. Sobre esta resina unas carcasas metálicas cierran herméticamente el conjunto. Un sistema sensor detecta cualquier intento de ataque, y reacciona borrando las memorias de las claves. De esta forma se asegura un completo blindaje que imposibilita la violación de la placa. Comunicaciones: Además del bus PCI, la placa dispone, en su parte trasera, de un puerto Serie que permite: Conexión de un Terminal Asíncrono (tipo VT100) para carga manual de claves por componentes (custodios) Conexión a impresora matricial para escritura en sobres ciegos. Conexión a un lector/grabador de smart/cards para import/export de claves. Conexión a otros dispositivos externos. Funciones criptográficas generales: DES/3DES RSA HASH Etc. Funciones Prácticas: Generación e Impresión Componentes Custodios 4

5 Importación segura de claves Exportación segura de claves Importación de claves por Componentes Generación de claves RSA (hasta 2048 bits) Cálculo KCV Cálculo y diversificación de CMMs Firma Digital (generación y verificación) Verificación CVV Autorización de Transacciones EMV Verificación de ARQC y/ o Generación ARPC Tratamientos de los Scripts Funciones de PIN (cálculo y verificación) Etc. Componentes del Sistema Cada una de las unidades de Servidor Criptográfico ofrecido, consta de los siguientes elementos técnicos: Una placa hardware instalada en el Servidor a través del bus PCI/PCIX. Un driver que mantiene el diálogo con el firmware del HSM. Una capa lógica de software que actúa como responder TCP/IP, gestionando peticiones y respuestas, manteniendo el control de los puertos lógicos por los que se produce el flujo de éste diálogo. Un servidor instalado en rack, de arquitectura industrial altamente resistente, 1U, con dos conexiones a red local, on/off mediante llave de seguridad, totalmente pre instalado. El conjunto constituye un modelo abierto y transparente con el mismo esquema de arquitectura en el que actúan la mayoría de los servidores criptográficos. 5

6 Ventajas Competitivas Mayor velocidad de proceso. Supera, con mucho, las velocidades de cálculo criptográfico de la mayoría de los productos importados existentes. A título de ejemplo, Cryptosec alcanza, en verificación de PIN, las / tps. (con/sin comprobación de KCV; prueba realizada con bucle ejecutado en local, sin considerar comunicaciones de/hacia el host). Auténtica Garantía de Seguridad. Algunos productos fabricados por grandes empresas multinacionales informan a sus productos como designed to comply al referirse al FIPS, ya que no han sido jamás sometidos a pruebas por los laboratorios homologados. Otros mencionan el FIPS 140-1, obsoleto desde mayo-2001, y sustituido por FIPS 140-2, mucho más exigente en materia de Seguridad. Ya se ha empezado a redactar el FIPS 140-3, que tardará varios años en publicarse. CryptoSec cuenta con certificación FIPS level 3 para todas las funciones criptográficas, tal y como recomiendan Visa y MasterCard. Auditorías Visa y Mastercard. Varios clientes nuestros han cumplido con éxito las Auditorías de Visa o MasterCard. Funcionalidad Completa. El firmware del HSM CryptoSec contiene todas las funciones criptográficas habituales que pueda necesitar el Cliente (DES, 3DES, RSA, HASH, etc.) Facilidad de Actualización. La actualización del firmware la puede realizar el propio Administrador mediante un procedimiento seguro de carga con un código de activación exclusivo por módulo/firmware. Ese firmware puede ser remitido desde el fabricante, incluso por correo electrónico; de este modo, cualquier modificación o corrección se realiza inmediatamente. Soporte. Es un producto íntegramente diseñado y construido en español, el soporte ofrecido es del máximo nivel; el equipo técnico que da soporte es el mismo que participa en el diseño y programación del producto. 6

7 Disponibilidad de Aplicaciones Software. REALSEC ofrece, sobre la base de CryptoSec, productos software como: Generación de tarjetas EMV Firma digital de documentos Cifrado de archivos Securización de Work-flow con firmas Control de telepeaje y OBEs en Autopistas,Etc. Referencias Los HSMs CryptoSec están siendo utilizados, entre otras, por las siguientes Empresas: SERMEPA EURO 6000 G&D Ibérica G&D México Banco Itaú (Chile) Intaremit Microelectrónica Española Indra Atos Origin Grupo Santander Caixa Penedés Ibercaja Caja Duero CAJA Laietana Caja de Arquitectos Cajamar Unicaja Grupo Dragados (Telepeajes Autopistas Chile) GRUPO EURO 6000 (las 8 entidades usuarias de Thales migraron a CB) PROSA EGLOBAL 7

8 Propuesta Económica Las propuestas económicas dependen de las aplicaciones que se deseen. Condiciones Generales Precios por productos entregados en las oficinas del cliente. Facturación: a la entrega Producto, Instalación y Garantías REALSEC garantiza el producto contra cualquier vicio oculto, error de funcionamiento, o avería, por un plazo de 12 meses. Dicha garantía cubre la sustitución del componente del posible error detectado. Conclusiones En conclusión, al margen de cumplir plenamente con las funcionalidades requeridas por la industria financiera, nuestros clientes nos prefieren por nuestra mejor capacidad, mayor velocidad, mejor relación precio beneficio y mejor servicio. 8