La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

5th EELA TUTORIAL - USERS www.eu-eela.org E-infrastructure shared between Europe and Latin America Authentication and Authorization in gLite Christian.

Presentaciones similares


Presentación del tema: "5th EELA TUTORIAL - USERS www.eu-eela.org E-infrastructure shared between Europe and Latin America Authentication and Authorization in gLite Christian."— Transcripción de la presentación:

1 5th EELA TUTORIAL - USERS E-infrastructure shared between Europe and Latin America Authentication and Authorization in gLite Christian Grunfeld, UNLP 8th EELA Tutorial, La Plata, 11/12-12/12, 2006

2 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Descripción Glosario Encriptación –Algoritmos simétricos –Algoritmos asimétricos: PKI (infraestructura de clave pública) Certificados –Firma Digital –Certificados X509 Seguridad de la Grid –Certificados Proxy –Interfaces de línea de comandos Organizaciones Virtuales –Concepto de VO y de autorización

3 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Glosario Principal –Es cualquier entidad: un usuario, un programa o una máquina Credenciales –Son ciertos datos que dan prueba de identidad Autenticación –Verificar la identidad de un principal Autorización –Mapeo de una entidad a cierto grupo de privilegios Confidencialidad –Encriptar un mensaje para que solo el destinatario pueda entenderlo Integridad –Asegurar que un mensaje no ha sido alterado en la transmisión

4 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Es una rama de la matemática que se dedica a la seguridad de la información y sus aspectos relacionados, particularmente encriptación, autenticación y control de acceso. Simbología –Texto plano: M –Texto cifrado: C –Encriptación con clave K 1 : E K 1 (M) = C –Desencriptación con clave K 2 : D K 2 (C) = M Algoritmos –Simétrico –Simétrico: K 1 = K 2 –Asimétrico –Asimétrico: K 1 K 2 Criptografía K2K2 K1K1 Encriptación Desencriptación MCM Pablo Juan

5 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, La misma clave es usada para encriptar y desencriptar Ventajas: –Rapidez Desventajas: –Cómo distribuir las claves? Ejemplos: –DES –3DES –Rijndael (AES) –Blowfish –Kerberos MaríaPedro hola 3$r hola MaríaPedro hola 3$r hola 3$r Algoritmos simétricos

6 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Cada usuario tiene dos claves: una privada y una pública: –es imposible deducir la clave privada a partir de la pública; –un mensaje encriptado por una clave puede ser solo desencriptado por la otra. No se necesita el intercambio de claves: –el que envía encripta usando la clave pública del receptor; –el receptor desencripta usando su clave privada; Ejemplos: –Diffie-Helmann (1977) –RSA (1978) Claves de Juan pública privada Claves de Pablo públicaprivada PabloJuan hola 3$r hola PabloJuan hola cy7 hola 3$r cy7 Algoritmos de clave pública

7 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Pablo calcula el h hh hash del mensaje. Pablo encripta el hash usando su clave p pp privada: el hash encriptado es la f ff firma digital. Pablo envía el mensaje firmado a Juan. Juan calcula el hash del mensaje y lo v vv verifica con A, desencriptado con la c cc clave pública de Pablo. Si los hashes son iguales: el mensaje no fue modificado; Pablo no puede repudiarlo. Juan mensaje Firma Digital Pablo mensaje Firma Digital mensaje Firma Digital Hash(A) Claves de Pablo públicaprivada Hash(B) Hash(A) = ? Firma Digital

8 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, La Firma digital de Pablo es segura si: 1. La clave privada de Pablo no está comprometida. 2. Juan conoce la clave pública de Pablo. Cómo puede Juan estar seguro que la clave pública de Pablo es realmente la clave pública de Pablo y no de alguien más? –Una tercera entidad garantiza la correspondencia entre claves publicas y la identidad del dueño. –Pablo y Juan deben confiar en esta tercera entidad. Certificados Digitales

9 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Autoridad de Certificación Autoridad de Certificación La tercera entidad se llama Autoridad de Certificación (CA). Certificados Digitales (Emite Certificados Digitales (conteniendo la clave pública y la identidad del dueño) para usuarios, programas y maquinas; firmados por la CA. Chequea la identidad y los datos personales de los solicitantes –Autoridades de Registración (RA): hacen la validación propiamente dicha.

10 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Perfil Clasico de una CA Cómo obtener un certificado: El certificado es emitido por la CA El certificado es usado como llave de acceso a la grid Se efectúa la solicitud de un certificado La identidad del usuario es confirmada por la RA

11 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Un Certificado X.509 contiene: –c–clave pública del dueño –i–identidad del dueño –i–información de la CA –t–tiempo de validez –n–número de serie –f–firma digital de la CA Clave Pública Subject:C=CH, O=CERN, OU=GRID, CN=Andrea Sciaba 8968 Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CA Expiration date: Aug 26 08:08: GMT Serial number: 625 (0x271) Firma Digital de la CA Estructura de un certificado X.509 Certificado X.509

12 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Cada usuario/host/servicio tiene un certificado X.509; Los certificados son firmados por las CAs; Cada transacción en la Grid es mutuamente autenticada: 1. John envia su certificado. 2. Paul verifica la firma en el certificado de John. 3. Paul envia a John un número aleatório. 4. John lo encripta usando su clave privada. 5. John envia el número encriptado a Paul 6. Paul usa la clave pública de John para desencriptar el número. 7. Paul compara el número desencriptado con el original. 8. Si son iguales, Paul verifica la identidad de John. John Paul Certificado de John Verifica la firma de la CA Número aleatorio Encripta con su clave privada Número encriptado Desencripta con la clave pública de John Compara con el número original Basada en X.509 PKI: Infraestructura de seguridad de Grid (GSI)

13 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Renovación La máxima duración de un certificado es 1 año + 1 mes. La idea es que al final del año (12 avo mes) un nuevo certificado sea emitido. Los usuarios deberían ser advertidos de la expiración y la necesidad de renovar. No revocar un certificado para nueva emisión a menos que el certificado haya estado comprometido o que el usuario haya cesado la actividad que dio lugar al pedido del certificado.

14 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Renovación Para la renovación no es necesario que el usuario pase por el proceso de identificación: –Esta es una gran ventaja tanto para el usuario como para la RA. –Sin embargo un máximo número de renovaciones sin identificación es recomendable (por ejemplo: cada dos años el EE debe pasar a través de la identificación nuevamente). Para no pasar por el proceso de identificación, la solicitud de renovación debe estar firmada con el certificado del usuario, por ejemplo: – firmado con el certificado del usuario. –A través de una interface Web de la CA/RA que pueda identificar el certificado del usuario. Si el certificado del usuario expira antes de la renovación, se debe seguir el procedimiento para solicitar un nuevo certificado.

15 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Dónde solicitar un Certificado para usar en EELA Si usted es Italiano: –https://security.fi.infn.it/CA/en/RA/https://security.fi.infn.it/CA/en/RA/ Si usted es Portugues: –http://ca.lip.pt/http://ca.lip.pt/ Si usted es Español: –http://www.irisgrid.es/pki/http://www.irisgrid.es/pki/ Si usted no es ninguno de los anteriores: –http://igc.services.cnrs.fr/GRID- FR/?lang=en&cmd=certificates&type=usercerthttp://igc.services.cnrs.fr/GRID- FR/?lang=en&cmd=certificates&type=usercert Hay ahora 4 nuevas Autoridades de Certificación en América Latina.

16 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Manejo de Certificados Para importar el certificado en su navegador: –Si usted recivió un certificado.pem necesita convertirlo a PKCS12 –Use el comando openssl (disponible en cada UI) openssl pkcs12 –export –in usercert.pem –inkey userkey.pem –out my_cert.p12 –name My Name GILDA (y otras VOs dentro de EELA): –Usted recibirá un certificado PKCS12 (puede importarlo directamente en el navegador web). –Para su uso futuro, usted necesitará usercert.pem y userkey.pem en el directorio ~/.globus en su UI. –Exporte el certificado PKCS12 a un directorio local en la UI y use nuevamente openssl: openssl pkcs12 -nocerts -in my_cert.p12 -out userkey.pem openssl pkcs12 -clcerts -nokeys -in my_cert.p12 -out usercert.pem

17 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Certificado Proxy X.509 Es peligroso transferir su certificado personal a través de la Grid Certificados Proxy: –firmados por la entidad certificadora (o por otro proxy). –Poseen algunas características importantes Delegación –Tienen un tiempo de vida limitado (mínimo riesgo de credenciales comprometidas) Los certificados Proxy son creados por el comando grid-proxy-init: $ grid-proxy-init –Options for grid-proxy-init: -hours -bits -help

18 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, El usuario entra su clave pem, la cual es usada para desencriptar su clave privada. La clave privada es usada para firmar el certificado proxy con su propio nuevo par de claves publica/privada. –De esta manera la clave privada del usuario no queda expuesta despues de que el proxy ha sido firmado. Certificado del usuario Clave Privada (Encriptada) Clave pem Certificado Proxy del usuario Proxy –Guardado en un archivo local: debe tener atributos de lectura solo para el dueño. –El tiempo de vida es corto (tipicamente 12h) para minimizar riesgos de seguridad. grid-proxy-init

19 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Proxy … grid-proxy-init es el login a la Grid Para hacer un logout se debe destruir el proxy: – grid-proxy-destroy Para tener información de su proxy: – grid-proxy-info –Opciones para mostrar información del proxy -subject-issuer -type-timeleft -strength-help

20 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Delegación = creación remota (segundo nivel) de un certificado proxy. –Un nuevo par de claves se generan remotamente en el servidor –El cliente firma el certificado proxy y lo retorna Permite a procesos remotos autenticarse en nombre del usuario –El proceso remoto se personifica como el usuario Delegación

21 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Proxy a largo plazo Los certificados proxy tienen un tiempo de vida (por defecto es de 12 h) –Es mala idea tener certificados proxy más largos Sin embargo, una tarea en la grid podría necesitar usar un proxy por mucho más tiempo –Por ejemplo una tarea de análisis de datos en HEP puede durar varios dias Servidor MyProxy: –Permite crear y guardar un certificado proxy de largo plazo: – myproxy-init -s -s: especifica el nombre de host del servidor MyProxy – myproxy-info Obtiene información acerca de los proxy de largo plazo almacenados – myproxy-get-delegation Obtiene un nuevo proxy del servidor MyProxy – myproxy-destroy Destruye el proxy del servidor MyProxy El servicio de transferencia de archivos en gLite valida las solicitudes de los usuarios y eventualmente renueva los proxies

22 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Los usuarios de la Grid DEBEN pertenecer a una organización virtual –Grupo de usuarios que pertenecen a una colaboración –Los usuarios deben conocer las pautas de uso para su VO Las VOs mantienen una lista de sus miembros en un servidor LDAP –La lista es descargada por las máquinas de la grid para mapear a los usuarios a cuentas locales... "/C=CH/O=CERN/OU=GRID/CN=Simone Campana 7461".dteam "/C=CH/O=CERN/OU=GRID/CN=Andrea Sciaba 8968".cms "/C=CH/O=CERN/OU=GRID/CN=Patricia Mendez Lorenzo-ALICE".alice... VOs y autorización

23 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, Servicio de Miembros de Organización Virtual –Extienden la información de los proxy miembros de la VO, grupos, roles. –Totalmente compatibles con Globus Toolkit. –Cada VO tiene una base de datos conteniendo información de los miembros del grupo, roles y capacidades de cada usuario. –Los usuarios contactan al voms server solicitando su informacion de autorización. –El servidor envia la información de autorización al cliente, el cual la incluye en un certificado proxy. – $voms-proxy-init –-voms gilda Crea un certificado proxy y lo extiende con la informacion del voms server. – $voms-proxy-info –all Muestra la informacion del certificado junto con la extensión del voms. VOMS

24 E-infrastructure shared between Europe and Latin America 5th EELA TUTORIAL - USERS - Santiago, 06/09-07/09, GridGrid –LCG Security: –EELA VOMS Registration: https://voms.lip.pt:8443/voms/EELA/webui/request/user/create https://voms.lip.pt:8443/voms/EELA/webui/request/user/create –EELA ROC: –Globus Security Infrastructure: –VOMS: –CA: BackgroundBackground –GGF Security: –IETF PKIX charter: –PKCS: Referencias


Descargar ppt "5th EELA TUTORIAL - USERS www.eu-eela.org E-infrastructure shared between Europe and Latin America Authentication and Authorization in gLite Christian."

Presentaciones similares


Anuncios Google