De la Seguridad de Documentos Fiscales Mexicanos
Vladimir González García1, Francisco Rodríguez Henríquez2 and Nareli Cruz Cortés3
1 National Laboratory on Advanced Informatics, LANIA A.C. e–mail: vlasland2@hotmail.com
2 Computer Science Department, CINVESTAV–IPN e–mail: francisco@cs.cinvestav.mx
3 Center for Computing Research (CIC) National Polytechnic Institute (IPN), México e–mail: nareli@cic.ipn.mx
]]> Article received on March 31, 2008
Abstract
In January 2005, the Mexican Tributary Administration System (SAT) introduced an official norm that stipulates how to generate electronic invoices that were termed by SAT, Comprobante Fiscal Digital (CFD). Supporting the CFD service implies the exchange of confidential information over Internet and other communication channels that are intrinsically highly vulnerable. Therefore, it becomes indispensable to incorporate to this service reliable and sound information security mechanisms. In the case of SAT's CFD, its security guarantees depend on customary cryptographic mechanisms such as, digital signatures, hash functions, etc. In this paper we point out several security flaws in the procedure specified by SAT for generating such electronic invoices. Furthermore, we provide recommendations for avoiding the security problems detected, which include the usage of more robust cryptographic mechanisms, alternative authentication protocols, time stamps authorities and a safe storage system.
Keywords: Information Security, Digital Certificates, Digital Notary, Mexican Tributary Administration System.
Resumen
En enero de 2005, el Gobierno mexicano a través del Servicio de Administración Tributaria (SAT), presentó una norma oficial que estipula cómo generar facturas electrónicas, las cuales recibieron el nombre oficial de Comprobante Fiscal Digital (CFD). El hecho de ofrecer el servicio de CFD implica el intercambio de información confidencial que debe viajar por Internet y otros canales de comunicación que son intrínsecamente altamente vulnerables. Por lo tanto, es indispensable incorporar a dicho servicio, herramientas de seguridad confiables y técnicamente sólidas. En el caso de los comprobantes fiscales digitales del SAT, su seguridad depende de mecanismos criptográficos tradicionales tales como, firmas digitales, funciones picadillo, etc. En este artículo se señalan fallas de seguridad en el procedimiento especificado por el SAT para la generación de sus facturas electrónicas. Aunado a esto, en este trabajo se dan algunas recomendaciones para eliminar los problemas de seguridad detectados, lo cual incluye, el uso de mecanismos criptográficos más robustos, protocolos de autentificación alternativos, autoridades que emitan estampillas de tiempo y un sistema de almacenamiento a largo plazo seguro.
Palabras clave: Seguridad informática, certificados digitales, notaría digital, servicio de administración tributaria.
]]>DESCARGAR ARTÍCULO EN FORMATO PDF
Acknowledgments
The second author acknowledges support from CONACYT under grant 45306. The third author acknowledges support from CIC–IPN.
References
1. Acuerdo Gobierno Mexicano, "Acuerdo que tiene por objeto crear en forma permanente la comisión intersecretarial para el desarrollo del gobierno electrónico" (in Spanish). In Diario Oficial de la Federación, December, 9 2005. [ Links ]
2. Adams C., Cain P., Pinkas D., and Zuccherato R., "Internet X.509 Public Key Infrastructure Time–Stamp Protocol (TSP)". RFC 3161, IETF, August 2001. Available at: http://www.ietf.org/rfc/rfc3161.txt. [ Links ]
3. Anexo 20 SHCP Secretaría de Hacienda y Crédito Público, "Anexo 20 de la resolución miscelánea fiscal para 2006" (in Spanish). Diario Oficial de la Federación de México, September 1st 2006. Available at: http://www.sat.gob.mx/nuevo.html. [ Links ]
4. Artículo 29 Cámara de Diputados del H. Congreso de la Unión, "Artículo 29 del Código Fiscal de la Federación". In El Diario Oficial de la Federación, Gobierno de México. (in Spanish), December 2006. [ Links ]
5. Artículo 30 Cámara de Diputados del H. Congreso de la Unión, "Artículo 30 del Código Fiscal de la Federación". In El Diario Oficial de la Federación, Gobierno de México. (in Spanish), December 2006. [ Links ]
6. Dubuisson O., "ASN.1 Communication Between Heterogeneous Systems". Morgan Kaufmann Publishers, 2000. http://asn1.elibel.tm.fr/en/book/. [ Links ]
7. Gabillon A. and Byun J., "A two–level time–stamping system". In Sec '01: Proceedings of the 16th international conference on Information security: Trusted information, pages 139–149, 2001. [ Links ]
8. González–García V., "Diseño y desarrollo de un prototipo de notaría digital" (in Spanish). Master's thesis, Laboratorio Nacional de Informática Avanzada LANIA, August 2007. [ Links ]
9. Haber S. and Stornetta W. S., "How to time–stamp a digital document". In A. Menezes and S. A. Vanstone, editors, CRYPTO, volume 537 of Lecture Notes in Computer Science, pages 437–455. Springer, 1990. [ Links ]
10. Haber S. and Stornetta W. S., "How to time–stamp a digital document". J. Cryptology, 3(2):99–111, 1991. [ Links ]
11. Haber S. and Stornetta W. S., "Secure names for bit–strings". In ACM Conference on Computer and Communications Security, pages 28–35, 1997. [ Links ]
12. Hankerson D., Menezes A., and Vanstone S., "Guide to Elliptic Curve Cryptography". Springer, 2003. [ Links ]
13. Hernández–Luna F. A., "Análisis e implementación de la norma oficial mexicana NOM–151–SCFI–2002". Propuesta de Tesis de Maestría, Programa de Graduados en Ciencias Computacionales. Instituto tecnológico y de estudios superiores de Monterrey, Zona metropolitana de la Ciudad de México, December 2007. [ Links ]
14. Housley R., Ford W., Polk T., and Solo D., "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile". RFC 3280, IETF, Apr. 2002. Available at: http://www.ietf.org/rfc/rfc3280.txt. [ Links ]
15. Jerman–Blazic A., Klobucar T., and Donova–Jerman B, "Long–term trusted preservation service using service interaction protocol and evidence records". Comput. Stand. Interfaces, 29(3):398–412, 2007. [ Links ]
16. Jerman–Blazic A. and Sylvester P. "Long–Term Archive Protocol (LTAP)", draft–ietf–ltans–ltap–06. Internet Draft, August 2005. Available at: http://tools.ietf.org/html/draft–ietf–ltans–ltap–06. [ Links ]
17. Kaliski B. and Staddon J., "RFC2437: PKCS #1: RSA Encryption", October 1998. Available at: http://www.ietf.org/rfc/rfc2437.txt. [ Links ]
18. Kuhn R., Hu V., Polk T., and Chang S.–J., "Introduction to public key technology and the federal PKI infrastructure". NIST, February 2001. Available at: http://csrc.nist.gov/publications/nistpubs/800–32/sp800–32.pdf. [ Links ]
19. LTANS IETF Secretariat, "Long–Term Archive and Notary Services (LTANS)". Available at: http://www.ietf.org/html.charters/ltans–charter.html. abril, 2008. [ Links ]
20. Martínez–Silva G., Rodríguez–Henríquez F., Cruz–Cortés N., and Ertaul L, "On the generation of x.509v3 certificates with biometric information". In S. Aissi and H. R. Arabnia, editors, Security and Management, pages 52–57. CSREA Press, 2007. [ Links ]
21. Massias H., Avila X. S., and Quisquater J.–J., "Timestamps: Main issues on their use and implementation". In WETICE, pages 178–183. IEEE Computer Society, 1999. [ Links ]
22. Myers M., Ankney R., Malpani A., Galperin S., and Adams C. "X.509 Internet Public Key Infrastructure Online Certificate Status Protocol–OCSP". RFC 2560, IETF, June 1999. [ Links ]
23. NOM–151 Gobierno Mexicano, "Norma oficial mexicana NOM–151–SCFI–2002, prácticas comerciales, requisitos que deben observarse para la conservación de mensajes de datos" (in Spanish). In Diario Oficial de la Federación, June, 4 2002. [ Links ]
24. PKCS 1 RSA Laboratories, "PKCS #1 v2.1: RSA Cryptography Standard. Technical Note PKCS1", RSA Laboratories, June 2002. Available at: http://www.ietf.org/rfc/rfc3447.txt. [ Links ]
25. PKCS 7 RSA Laboratories, "PKCS #7: Cryptographic Message Syntax Standard. Technical Note PKCS7", RSA Laboratories, Nov. 1993. Available at: http://www.ietf.org/rfc/rfc2315.txt. [ Links ]
26. PKCS 8 RSA Laboratories, "PKCS #8: Private–Key Information Syntax Standard". Technical Note PKCS8, RSA Laboratories, 1993. [ Links ]
27. Regla 2.22.8 SHCP Secretaría de Hacienda y Crédito Público, "Regla 2.22.8" (in Spanish). Diario Oficial de la Federación de México, May 31th 2004. [ Links ]
28. Rodríguez–Henríquez F., Saqib N. A., Díaz–Pérez A., and Koç C. K., "Cryptographic Algorithms on Reconfigurable Hardware". Springer, First Edition, November 2006. [ Links ]
29. SAT Secretaría de Hacienda y Crédito Público. Servicio de administración tributaria. Internet WEB page. Available at: http://www.sat.gob.mx. [ Links ]
30. Schmeh K., "Cryptography and Public Key Infrastructure on the Internet". John Wiley & Sons, 2003. [ Links ]
31. Stallings W., "Cryptography and network security". Prentice Hall, 1998. [ Links ]
32. Takura A., Ono S., and Naito S., "A secure and trusted time stamping authority". In 1999 Internet Workshop, IWS 99, Osaka, Japan, pages 88–93, february 1999. [ Links ]
33. X.509 Internet Engineer Task Force, "Public–key infrastructure X.509 PKIX", 2001. Available at: http://www.ietf.org/html.charters/pkix–charter.html. [ Links ]
34. Young E. A. and Hudson T. J., "The OpenSSL Project", December 2007. Available at: http://www.openssl.org/ [ Links ] ]]>