Guía de encriptación para SPAZIO MFT

COE Architecture & Platform

Banco de Crédito BCP
27/01/2022
Uso de OpenSSL – Manual de configuración

Tabla de contenido

Historial de versiones ...................................................................................................................... 3

Glosario de Términos ...................................................................................................................... 3
Acerca del documento ..................................................................................................................... 3
1. Uso de OpenSSL ..................................................................................................................... 4
1.1. Consideraciones para él envió del certificado OpenSSL a BCP .................................. 4
1.2. Instalador OpenSSL............................................................................................................. 5
1.3. Encriptación con OpenSSL................................................................................................. 5
1.4. Desencriptación con OpenSSL .......................................................................................... 6
2. Uso de PGP/GPG .................................................................................................................... 7
2.1. Consideraciones para el envió de la llave PGP/GPG a BCP ........................................ 7
2.2. Encriptación con GPG/PGP................................................................................................ 8
2.3. Desencriptación con GPG/PGP ......................................................................................... 8

Página 2 de 8
Uso de OpenSSL – Manual de configuración

Historial de versiones
La siguiente tabla describe la historia de modificación del documento para propósitos de
seguimiento. Únicamente los cambios que produzcan una nueva versión deberán ser
mostrados en esta tabla.

Versión Fecha Modificaciones Autor

(V.X) yyyy-mm-dd

V.1 2022-01-27 Creación del documento Renato Amapanqui O.

Glosario de Términos
Termino Definición
BCP Banco de Crédito del Perú
OpenSSL Software Criptográfico
Estándar de encriptación de archivos en BCP.
GPG/PGP Software Criptográfico
Estándar de encriptación de archivos en BCP.
DER Codificación binaria para certificados
PEM Codificación ASCII para archivos del tipo X.509v3
AES256 Advanced Encryption Standard con bloques de longitud de 256 bits

Acerca del documento

Las instrucciones detalladas en el presente documento buscan servir de guía a las empresas
para poder utilizar la encriptación en Spazio.

Página 3 de 8
Uso de OpenSSL – Manual de configuración

1. Uso de OpenSSL

1.1. Consideraciones para él envió del certificado OpenSSL a BCP

Nota: Las llaves públicas, privadas y certificados se deben generar usando las versiones de
OpenSSL indicadas en el manual (la versión 1.0.2j actualmente es la estándar de BCP),
otra versión diferente esta fuera de soporte de BCP.

Para la generación de las llaves de encriptación OpenSSL la empresa debe realizar lo

siguiente:

• Generación de par de llaves pública y privada en codificación PEM, de longitud 2048

y con vigencia de dos años. La llave privada generada deberá ser almacenada en un
repositorio seguro. Tener en cuenta que solo será posible desencriptar los archivos
con esta llave. El comando a utilizar es el siguiente:

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 730 -out
certificate.pem

• Exportar la llave publica en un certificado con codificación DER, el certificado

resultante debe ser proporcionado al BCP. El comando a utilizar es el siguiente:

openssl x509 -in certificate.pem -outform DER -out certificate.der

• Una vez se tenga listo el certificado, enviar el certificado con extensión .der solo al
buzón de Seguridad – Analisis de Aplicaciones seganaplicacion@bcp.com.pe,
considerando lo siguiente:

▪ Asunto: SPZO – Nombre de la Empresa

▪ Formato .zip
▪ Enviar en otro correo la clave del zip.
▪ Enviar la evidencia del tiempo de vigencia de certificado.

• La empresa tiene la responsabilidad de alertar al BCP con 2 meses de anticipación

previamente a que la llave caduque, en la notificación se debe indicar el contacto de
TI y seguridad TI del cliente con el cual se debe coordinar para realizar la renovación
en conjunto.

Página 4 de 8
Uso de OpenSSL – Manual de configuración

1.2. Instalador OpenSSL

NOTA: Este punto solo aplica si la empresa tiene un servidor Windows, en caso de un
servidor AIX y/o Linux OpenSSL comuníquese con el administrador de su servidor para que
configure el software.

Tipo de Comentario
Link de descarga Versión
sistema BCP

64 bits https://1drv.ms/u/s!AuKmkQVeyJrejnbmxkWz_6toNwxw?e=RCrMLK 1.0.2j Uso estandar

Nota: A fin de que el proceso de encriptación y desencriptación funcione correctamente. Por favor
generar crear la carpeta C:\OpenSSL y copiar el archivo openssl.cnf, tal como se puede ver en la
imagen siguiente.

1.3. Encriptación con OpenSSL

NOTA: Este punto solo aplica si la empresa enviara información encriptada al BCP.

Para encriptar (se utiliza el certificado de BCP enviado por nuestro equipo de seguridad)
Para realizar la encriptación se debe ejecutar el siguiente comando (considerar la extensión
en los nombres del archivo):

openssl smime -encrypt -binary -aes-256-cbc -in archivo_entrada.pdf -out

archivo_salida.pdf -outform DER spaziocifrado.cer

Donde:

• archivo_entrada.pdf : Es el archivo que se desea encriptar

• archivo_salida.pdf : Es el archivo resultado de la encriptación.
• spaziocifrado.cer : Archivo que se utilizará para la encriptación (proporcionado
por el BCP).

Nota: Para que un archivo se encripte debe estar dentro de la carpeta OpenSSL\bin.

Página 5 de 8
Uso de OpenSSL – Manual de configuración

1.4. Desencriptación con OpenSSL

NOTA: Este punto solo aplica si la empresa recibirá información encriptado del BCP.

Para desencriptar deben asegurarse de que cuente con su llave privada (“key.pem”) (ver
punto 1.1 del presente manual), una vez validado eso se debe ejecutar el siguiente
comando:

openssl smime -decrypt -aes-256-cbc -in archivo_encriptado.txt -inform DER -

out archive_plano.txt -inkey key.pem

NOTA: Considerar que los archivos a desencriptar tienen que ser archivos encriptados
previamente por la llave publica que la empresa cliente mandó. Esto ya lo ha realizado
SPAZIO al momento de transferir.

Nota: Para que un archivo se desencripte debe estar dentro de la carpeta OpenSSL\bin.

Página 6 de 8
Uso de OpenSSL – Manual de configuración

2. Uso de PGP/GPG

NOTA: Para el uso de GPG/PGP deben comunicarse con el administrador de su sistema o

plataforma a fin de que pueda ayudarles con la generación de la llave.

2.1. Consideraciones para el envió de la llave PGP/GPG a BCP

Para la generación de la llave de encriptación el cliente debe realizar lo siguiente:

• Generación de una llave pública en el anillo de llaves de GPG/PGP del cliente, el

formato debe ser RSA (vigencia máxima de 2 años). Tener en cuenta que solo el BCP
podrá desencriptar los archivos con esta llave.
• Exportar la llave pública en un certificado con extensión .pub, el certificado resultante
debe ser proporcionado al BCP.
• Una vez se tenga listo el certificado, enviar el certificado con extensión .pub solo al
buzón de Seguridad – Análisis de Aplicaciones seganaplicacion@bcp.com.pe
considerando lo siguiente:

o Asunto: SPZO – Nombre de la Empresa

o Formato .zip
o Enviar en otro correo la clave del zip.
o Enviar la evidencia del tiempo de vigencia de certificado.

• La empresa tiene la responsabilidad de alertar al BCP con 2 meses de anticipación

previamente a que la llave de PGP caduque, en la notificación se debe indicar el
contacto de TI y seguridad TI del cliente con el cual se debe coordinar para realizar la
renovación en conjunto.

Tener en cuenta:

1. El BCP proporcionara a la empresa la clave pública del BCP para que puedan enviarles
los archivos respectivamente encriptados y sea únicamente BCP quien pueda
descifrarlos, es responsabilidad del cliente cargar la clave pública del BCP a su plataforma
(sistema) para el flujo donde BCP encripta con la llave privada propia del banco.
2. Los archivos que se envían al BCP deben mantener su extensión .txt, no debe tener una
extensión diferente (.pgp, .gpg, etc.) y tampoco doble extensión (txt.pgp, txt.gpg, etc.).
3. Los archivos que reciben de BCP mantendrán su extensión .txt, no tendrán una extensión
diferente (.pgp, .gpg, etc.) y tampoco doble extensión (txt.pgp, txt.gpg, etc.).

Página 7 de 8
Uso de OpenSSL – Manual de configuración

2.2. Encriptación con GPG/PGP

Los comandos de encriptación dependen del sistema o plataforma en el que utilice el anillo
de llaves.

2.3. Desencriptación con GPG/PGP

Los comandos de desencriptación dependen del sistema o plataforma en el que utilice el
anillo de llaves.

Página 8 de 8