Anexo C. Sistema de criptografía en Onesait Editran

En la aplicación existen un modo de funcionamiento criptográfico, correspondiente con la Versión Criptográfica 3.0 y 4.0. Esta modalidad utiliza claves criptográficas que no son intercambiadas por Editran. Las claves se intercambiarán entre los usuarios. Las alternativas posibles son:

• Claves simétricas DES, intercambiadas externamente por los usuarios, que permiten cifrado triple DES (TD3C) de los datos.

• Claves públicas y privadas mediante algoritmo RSA, intercambiadas externamente, que soportan firma electrónica de trasmisiones y:

  • cifrado triple DES (TD3C) de los datos. Versión Criptográfica 3.0.

  • cifrado AES de los datos, con clave simple, doble o triple (para versión 5.2 ó superior). Versión Criptográfica 4.0.

Parametrización del sistema criptográfico

Los lábeles o etiquetas son proporcionados por una Interfaz de Claves o bien se referencian directamente en el Perfil de la sesión. El algoritmo de autenticación puede ser DES o RSA.

• Con esta parametrización se cifran los datos en tiempo de carga (Batch) con Claves de Intercambio obtenidas de forma externa a Editran y con algoritmo de cifrado de datos triple DES, los parámetros a codificar serían los siguientes:

• Con esta parametrización se cifran los datos en tiempo de carga (Batch) con Claves RSA, que proporciona la interfaz de Editran, y con algoritmo de cifrado de datos triple DES, los parámetros a codificar serían los siguientes:

• Con esta parametrización se cifran los datos en tiempo de carga (Batch) con algoritmo de cifrado de datos AES y claves RSA, que proporciona la interfaz de Editran, los parámetros a codificar serían los siguientes:

Errores de cifrado

Cuando se produce un Error Criptográfico, La aplicación da una información local del error producido y envía al remoto una petición de liberación con el Motivo del error, liberando posteriormente la conexión.

En el extremo donde se produce el error se informa del Código de Retorno devuelto por el producto que proporciona los servicios criptográficos (ICSF), por lo que, de producirse, habría que consultar las referencias del Return‑Code y/o Reason‑Code en el manual del producto: ICSF "z/OS. Cryptographic Services. Integrated Cryptographic Service Facility. Application Programmer's Guide".

Asimismo, los módulos Editran que acceden al ICSF agrupan estos Errores Criptográficos de la siguiente forma:

Los Motivos Editran de los Errores Criptográficos que pueden ocurrir son los siguientes.

Errores de Criptografía v3.0/ v4.0 RSA o DES

• (1): Se produjo un error al obtener la clave local, bien porque no se suministró en Perfiles o bien por un error en la Interfaz de Claves.

• (2): Al intentar enviar una petición de asociación o una respuesta se produce un error al generar la incertidumbre o la firma. Si el algoritmo empleado es DES el error se encuentra en la clave local. Si es RSA el error es de la clave local cuando se genera firma, o de la clave remota cuando se genera incertidumbre.

• (3): Error al intentar generar clave de la sesión. Si el algoritmo empleado es DES el error concierne a la clave local. Si es RSA la clave errónea es la remota.

• (4): Se produjo un error al obtener la clave remota, bien porque no se suministró en Perfiles o bien porque se produjo un error en la Interfaz de Claves.

• (5): Al procesar una petición o una respuesta del remoto se produce error al intentar descifrar la incertidumbre o la firma. Si se utiliza algoritmo DES la clave errónea es la clave remota. Si se emplea RSA el error es de la clave remota al descifrar firma, o de la clave local al descifrar incertidumbre.

• (6): Al procesar una petición o una respuesta del remoto se produce un error al descifrar la clave de sesión. Si el algoritmo es DES, el error es de la clave remota. Si es RSA, la clave en error es la local.

• (7): El extremo que va a enviar un dato de usuario o Mensaje de Operador, ha tenido un error en el cifrado "on-line".

• (8): El extremo que recibe un dato de usuario o Mensaje de Operador del Remoto ha tenido un error en el descifrado "on-line".

• (9): Al procesar una petición o una respuesta se consigue descifrar la clave de la sesión y la firma, pero o bien no coincide la incertidumbre o bien no coincide la firma (este caso sólo en RSA).

El error se produce porque las claves de intercambio no coinciden en ambos extremos.

Si se utilizó una Interfaz de Claves, el mensaje debe acompañar los 8 últimos bytes del label empleado.

Si el algoritmo utilizado es DES la clave errónea es la clave local del extremo que genera el mensaje. Si es RSA la clave errónea es la clave local (si se produce error al validar la incertidumbre) o la remota (si se produce error al verificar la firma).