¿Cómo se comunican y comparten datos sectores sensibles como las aerolíneas comerciales, la sanidad o el transporte? ¿Cómo transfieren datos estructurados B2B de forma segura y fiable a través de redes de riesgo como Internet? La respuesta es el protocolo AS2.
¿Qué es AS2?
La Applicability Statement 2 (AS2) es un tipo de mecanismo de transferencia de archivos basado en HTTPS (Hypertext Transport Protocol Secure) y S/MIME. AS2 puede utilizarse para transferir cualquier archivo, pero se suele utilizar para documentos EDI (Electronic Data Interchange) en entornos B2B.
Como protocolo, AS2 define un procedimiento seguro para establecer una conexión punto a punto entre un cliente AS2 y un servidor AS2 en cualquier tipo de red, incluidas las redes públicas como Internet. AS2 utiliza certificados digitales y encriptación para proporcionar seguridad en la transferencia de información sensible, como los documentos EDI, a través de redes de riesgo.
Antecedentes
AS2 fue creado por el Grupo de Trabajo de Ingeniería de Internet (IETF) en 2002 y se especifica en el RFC 4130. AS2 es un protocolo de segunda generación que pretende sustituir a la Declaración de Aplicabilidad 1 (AS1), creada en los años 90 y basada en protocolos de correo electrónico. AS2 se diseñó sobre la base de AS1, con el mismo cifrado y algunas convenciones de notificación de disposición de mensajes (MDN).
Walmart, el gigante minorista estadounidense, fue uno de los primeros en adoptar AS2 para sus comunicaciones EDI. Exigió a todos sus proveedores y vendedores que utilizaran también el mismo protocolo para intercambiar información relacionada con los bienes de consumo. Después de que Walmart adoptara AS2, otros gigantes como Target, Amazon, Lowe’s y muchos más también le siguieron.
Hoy en día, más industrias están empezando a utilizar el protocolo AS2, especialmente para sus transacciones EDI. AS2 está muy extendido en el sector de la sanidad, ya que cumple con la HIPAA.
Las ventajas de utilizar AS2
AS2 puede ser una solución fantástica para las transferencias de datos seguras, rápidas y de gran tamaño. Gracias a sus mecanismos de seguridad y no repudio, el protocolo AS2 puede incluso exigir algunas transferencias de documentos EDI B2B.
Algunos de sus beneficios
- Uso como alternativa a las costosas VAN AS2 se está utilizando como opción alternativa a las costosas redes de valor añadido (VAN). Cuando se intercambian documentos EDI, las VAN de terceros requieren una suscripción al servicio que suele tener un precio basado en el volumen de datos. El AS2, en cambio, sólo requiere un software basado en AS2 e Internet.
- Tener un mayor alcance Desde que grandes empresas minoristas con sede en Estados Unidos, como Walmart y Lowe’s, empezaron a utilizar el AS2 para compartir documentos EDI, el protocolo se está convirtiendo casi en un estándar de facto en una amplia gama de proveedores y socios. La posibilidad de utilizar el EDI con Internet y el abaratamiento de los costes permiten que más organizaciones se interconecten. AS2 funciona siempre que las organizaciones se pongan de acuerdo y utilicen AS2 para transferir datos a través de Internet.
- El AS2 interoperable es independiente de la carga útil. Puede utilizarse para transferir cualquier archivo o documento, incluidos los formatos estandarizados como EDIFACT, X12 y XML. Tanto el emisor como el receptor de AS2 necesitan operar con AS2. Pero, afortunadamente, la lista de socios transaccionales que soportan AS2 está creciendo exponencialmente, especialmente en el sector minorista.
- Compatibilidad con SSL y S/MIME AS2 envía datos a través de Internet utilizando el protocolo HTTPS (HTTP sobre SSL). HTTPS añade una capa de cifrado SSL para proteger el tráfico. De este modo, los mensajes AS2 se envían a través de un túnel cifrado SSL a través de Internet. AS2 también protege los datos EDI en la capa de carga útil, utilizando el protocolo S/MIME (Secure/Multipurpose Internet Mail Extensions) basado en criptografía asimétrica. El mensaje estandarizado S/MIME envuelve los datos EDI dentro de un sobre seguro para garantizar la transmisión segura de los archivos.
- Integridad de los datos AS2 también garantiza la integridad de los datos y la identidad del remitente mediante certificados digitales. El extremo receptor envía un recibo al remitente para garantizar que el mensaje se ha entregado correctamente. Estos recibos se firman utilizando el certificado digital y se devuelven junto con un valor de suma de comprobación utilizando la comprobación de integridad de los mensajes (MIC).
- No repudio AS2 utiliza un servicio de notificación de acuse de recibo conocido como Message Disposition Notification (MDN). El remitente de un mensaje AS2 puede solicitar al receptor un recibo MDN que informe de la entrega satisfactoria del mensaje. Un acuse de recibo MDN indica si la transferencia de AS2 se ha completado con éxito y el mensaje ha llegado sin cambios. AS2 tiene varias opciones, entre ellas:
- MDN puede ser síncrono si los recibos se devuelven inmediatamente.
- MDN puede ser asíncrono si los recibos se devuelven en un momento posterior. MDN asíncrono puede ser devuelto por correo electrónico.
- Puede poner que no se devuelva el MDN. El destinatario puede elegir no enviar un MDN.
- Función de conservación del nombre de archivo. El MDN puede contener el nombre de archivo del socio comercial.
Cómo funciona AS2
Como ya se ha dicho, AS2 funciona utilizando el modelo cliente/servidor. Ambas partes (emisor y receptor) tienen que soportar AS2. El AS2 especifica el procedimiento, incluyendo la compresión, la firma y el cifrado.
El contenido de los archivos transferidos por AS2 (o carga útil) no está especificado por AS2, sino por un formato estandarizado como EDIFACT, X12 o XML. Si se utiliza AS2 para el EDI, antes de enviar los documentos a través de AS2, es necesario prepararlos en el formato EDI (mapeados o traducidos).
Flujo de mensajes
- AS2 crea un sobre codificado del documento EDI utilizando el protocolo S/MIME.
- El sobre EDI (datos S/MIME) es comprimido y firmado por la plataforma AS2 del emisor. La firma es la acción de cifrar un hash utilizando una clave privada. El resultado es un dato firmado digitalmente (certificado) que se adjunta a los datos originales. Estos datos firmados ayudan al destinatario a confirmar la autenticidad del remitente (y viceversa).
- Para garantizar la integridad, el remitente del mensaje AS2 también calcula una suma de comprobación del mensaje utilizando la comprobación de integridad del mensaje (MIC), con los algoritmos de hashing MD5, SHA-1 o SHA-2. Coloca el valor MIC en el mensaje (de nuevo, utilizando la clave privada).
- Se adjunta al mensaje una solicitud de recepción (MDN).
- Cifrado. El mensaje se encripta con SSL y se transmite a través de Internet.
- El mensaje llega a la plataforma AS2 de destino. El mensaje se descifra con SSL, se descomprime y el destinatario verifica la firma digital del remitente utilizando la clave pública. También se demuestra el valor MIC.
- Se inicia la fase de no repudio de AS2. Si se solicita, se envía al remitente original un recibo MDN junto con una firma digital.
- El remitente recibe el MDN y verifica la firma digital del recibo. Una vez recibido, el remitente puede verificar la firma MDN para asegurarse de que el destinatario ha recibido el mensaje.
- El remitente AS2 procesa el MDN. El remitente valida la firma MDN del recibo. El destinatario devuelve un MDN fallido si ha habido algún problema al recibir el mensaje AS2. Además, si el remitente solicitó un MDN y no lo recibió, el remitente puede tratarlo como un fallo. El remitente también compara el MIC devuelto con el original.
AS2 vs. SFTP
Aunque AS2 y SFTP pueden transferir documentos EDI, son dos protocolos de transferencia de archivos bastante distintos.
Ahora que sabe qué es AS2 y cómo funciona, definamos qué es SFTP.
SFTP (FTP sobre SSH) es una alternativa FTP segura al tradicional e inseguro FTP (File Transfer Protocol). Utiliza un modelo cliente/servidor para establecer una conexión Secure Shell (SSH) y compartir datos a través de Internet o cualquier otra red. Este protocolo fue diseñado como una extensión de SSH ver 2.0 para proporcionar transferencias de archivos. SFTP va más allá de la transferencia de archivos estándar y segura, ya que también permite una serie de operaciones adicionales, como el acceso y la gestión remotos de archivos y la pausa/reanudación de la transferencia de archivos.
AS2 y las diferencias con SFTP
Codificación
- AS2: utiliza certificados digitales, cifrado y algoritmos hash. Los mensajes que se envían con AS2 están encriptados, comprimidos y firmados. AS2 también puede cifrar la propia carga útil, utilizando la tecnología criptográfica S/MIME. Y AS2 utiliza procesos de hashing para garantizar la integridad de los archivos.
- SFTP: Todas las transferencias de archivos en SFTP se ejecutan a través de un canal seguro SSH. En otras palabras, SFTP hereda todas las características de seguridad de SSH, un protocolo que soporta mecanismos de cifrado simétrico como AES o el obsoleto 3DES.
Autenticación
- AS2: AS2 puede autenticar utilizando certificados digitales. Un servidor AS2 tiene un certificado digital con una clave pública que pertenece a la clave privada del cliente. AS2 también puede autenticar transacciones utilizando un nombre de usuario y una contraseña.
- SFTP: El acceso a los archivos a través de SFTP puede protegerse con un nombre de usuario y una contraseña o una clave SSH. SFTP puede utilizarse con autenticación de doble factor para mejorar la seguridad, o una combinación de contraseña y clave SSH. Un servidor SSH utiliza la criptografía de clave pública para autenticar a los clientes que poseen una clave privada.
Non-repudiation of receipt
- AS2: utiliza el MDN de recepción para garantizar que el mensaje transferido ha sido enviado y recibido por las partes correctas. Los usuarios pueden solicitar un MDN de recepción, que se firma (con un certificado) y se devuelve cuando la otra parte ha recibido el mensaje.
- SFTP: SFTP no tiene mecanismos de no repudio.
Interoperabilidad y facilidad de uso
- AS2: Requiere mayores gastos de mantenimiento, software especial y conocimientos técnicos. Todos estos requisitos acaban incrementando el coste de implantación.
- SFTP: Es más fácil de implementar, operar y es más barato. SFTP se basa en el puerto 22 (pero se le pueden asignar otros) para establecer una conexión, solicitar la autenticación, crear un túnel, emitir comandos e intercambiar datos. SFTP es compatible con una amplia gama de software y plataformas, y se implementa fácilmente en cualquier cortafuegos.
Conclusión
El cifrado de extremo a extremo de AS2, junto con su uso de certificados digitales, son razones válidas por las que AS2 se está haciendo popular y, a veces, incluso se exige. Además, AS2 también proporciona las funcionalidades de no repudio para validar la integridad del archivo con recibos de transferencia, algo que no se conoce en los protocolos de transferencia de archivos estándar.
Si su organización pertenece al sector del comercio minorista o electrónico, probablemente AS2 sea una buena idea. Este protocolo le ayudará a cumplir con la normativa y los requisitos de muchos socios comerciales. Aun así, el protocolo AS2 no es fácil de implementar y requiere un software especial; por eso la mayoría de las empresas utilizan mecanismos de transferencia de archivos seguros como SFTP. Este protocolo es más fácil de implementar y proporciona una autenticación fuerte (incluyendo claves y contraseñas).