Grid Computing. Clase 2: glite Security. Francisco García Eijó y Alejandro Soba. Laboratorio de Sistemas Complejos Universidad de Buenos Aires

Transcripción

1 : glite Security Francisco García Eijó y Alejandro Soba Laboratorio de Sistemas Complejos Universidad de Buenos Aires

2 Agenda Encriptación. Autoridades Certificantes. Seguridad Grid. Organizaciones Virtuales. Práctica.

3 Glosario de Términos Principal: Una entidad básica de seguridad: Usuario, Programa, PC. Credenciales: Cualquier información que pruebe o demuestre una identidad. Autenticación: Verificación de la identidad del Principal. Autorización: Mapeo de la entidad a un set de privilegios. Confidenciabilidad: Encriptar un mensaje para que solo el receptor lo entienda. Integridad: Asegurar que el mensaje no sea alterado durante la transmisión. No Repudiación: Es la posibilidad de comprobar que el remitente y el destinatario son efectivamente las partes que afirman haber enviado o recibido respectivamente el mensaje.

4 Criptografía Cryptography K 1 K 2 Encryption Decryption M C M To implement the security infrastructure, cryptography uses mathematical algorithms that provide important building blocks. Algoritmos matemáticos que proveen importantes módulos para Plaintext: implementación M de una infraestructura de seguridad. Simbología Cyphertext: C Encryption with key K 1 : E Texto Plano (Mensaje): M (M) = C K 1 Decryption with key K 2 : D Texto Cifrado: C (C) = M K 2 Encriptación con al llave K1 : E K1(M) = C Symmetric: Desencriptación K 1 = con K 2 la llave K2 : D K2(C) = M Algoritmos Asymmetric: K 1 K 2 Simétricos: K1 = K2 Asimétricos: K1 K2 Corresponding definitions for the above symbols: Algorithms Buenos Aires (Argentina), User and Sys-Admin Tutorial,

5 Algoritmos Simétricos Symmetric Algorithms La misma llave es usada The same key is used for para laencryption encriptación and y decryption (no public key, only secret desencriptación. keys available.) Ventajas: Advantages: John Peter Rápidos. Fast Hi! 3$r 3$r Hi! Disadvantages: Desventajas: Exchange of secret keys Cómo needed: distribuir las llaves? how to distribute the keys? John Peter the number of keys is Número de claves. O(n 2 Hi! 3$r 3$r Hi! ) Ejemplos: Examples: DES DES 3DES 3DES AES RC5 Blowfish Buenos Aires (Argentina), User and Sys-Admin Tutorial,

6 Algoritmos Asimétricos Public Key Algorithms (Asymmetric) Cada usuario tiene dos llaves (Privada Every y Pública) user has two keys: one Esprivate(secret) imposible derivar and una one public: John Peter llave it privada is impossible a partir to de derive the Hi! 3$r 3$r Hi! una pública. private key from the public one; Un mensaje a message encriptado encrypted by one por una key llave can be sólo decrypted solo only by the other one. John Peter puede No exchange ser desencriptado of private key is Hi! cy7 cy7 Hi! por needed. la otra llave. the sender cyphers using No es necesario the public el key of the receiver; intercambio secreto: the receiver decrypts using El emisor his own encripta privateusando key; the number of keys is O(n). la llave pública del Examples: receptor. RSA (1978) John keys public private Peterkeys public private El receptor desencripta usando su llave privada. Buenos Aires (Argentina), User and Sys-Admin Tutorial,

7 Funciones Hash de una vía Dada una función (H) que tiene como entrada un mensaje (M) de longitud variable es posible obtener una cadena de longitud constante o hash (h) Dado M, debe de ser fácil calcular H(M) = h Dado h, debe de ser difícil calcular M = H 1 (h) Dado M, debe de ser difícil encontrar M sabiendo que H(M) = H(M ) Ejemplos SNEFRU: hash of 128 or 256 bits; MD4/MD5: hash of 128 bits; SHA (Standard FIPS): hash of 160 bits.

8 Firma Digital 1 John calcula el hash del mensaje. John calculates the hash of the message (with a one-way 2 John encripta el hash hash function) usando su llave privada: hash encriptado his privatees la Firma Digital John encrypts the hash using private key: the encrypted hash is the digital signature. John sends the signed message to Peter. Peter calculates the hash of the message and verifies it with A, decyphered with 3 John envía el mensaje firmado a Peter. 4 Peter calcula Peter s el public hashkey. del mensaje y verifica contra A, desencriptado repudiate con it. la clave pública de John. If two hashes equal: message wasn t modified; John cannot 5 Si los hash son iguales: el mensaje NO fue alterado. John This is some message Peter John keys Hash(A) Digital Signature This is some message Digital Signature This is some message Digital Signature Buenos Aires (Argentina), User and Sys-Admin Tutorial, public private Digital Signature Hash(A) Hash(B) =?

9 Certificados Digitales La firma digital de John es segura sí: 1 La llave privada de John no es comprometida 2 Peter solo conoce la llave pública de John Cómo puede Peter estar seguro de que la llave pública de John es realmente la llave pública de John y no de cualquier otro? Una tercera persona debe garantizar la correspondencia entre las llaves públicas y las identidades de sus dueños. John y Peter deben confiar en esa tercera persona. 2 Modelos más difundidos: X.509: Organizaciones Jerárquicas. PGP: Web of Trust.

10 PGP: Web of trust PGP: web of trust B D F C E A F conoce F conoce a D y a E, D quien y a E, a quien su vez a su conoce vez conoce a A y a C, A yquien a C, a quien su vez a conoce sua vez A y conoce B. a A y B. F, por Flo por tanto lo es tanto razonable es razonable que esté que seguro esté seguro que que la llave la llave de Aes realmente realmente de A. de A.

11 X.509 La tercera persona es llamada Certification Authority (CA). Emite Certificados Digitales para usuarios, programas y máquinas. Chequea la identidad y los datos personales del solicitante. Registration Authorities (RAs) realizan la validación Las CA s periódicamente publican un listado con los certificados comprometidos. Certificate Revocation Lists (CRL): contienen los certificados revocados y los expirados Los certificados de la CA son auto-firmados.

12 glite - Servicios de Seguridad X.509 Autenticación Cómo obtener un certificado? Solicitar el certificado a la CA correspondiente La identidad del usuario es confirmada por la RA El certificado es emitido por la CA El certificado es usado para acceder al grid. Buenos Aires, EELA-2 Tutorial,

13 Certificados X.509 Un Certificado X.509 La estructura de un Certificado X.509: contiene: Llave pública del dueño; Identidad del dueño; info del CA; Tiempo de validez; Número de Serie; Firma digital del CA Certificados X.509 Structure of a X.509 certificate Public key Subject:C=CU, O=CITMAGRID, OU=GRID, CN=Maikel Dominguez Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CA Expiration date: Aug 26 08:08: GMT Serial number: 625 (0x271) CA Digital signature 1er Tutorial Nacional de Tecnología GRID Nov. 2009, CUBAENERGIA. C. Habana, Cuba.

14 Gestión de Certificados Importar un certificado al explorador web Si el certificado está en formato.pem se necesita convertirlo a PKCS12 Usar comando openssl. openssl pkcs12 -export -in usercert.pem -inkey userkey.pem -out my_cert.p12 -name My Name El certificado se recibe en formato PKCS12 (puede ser importado directamente al explorador web) Para usarlo para accedes a la grid, se necesita la pareja usercert.pem y userkey.pem en el directorio /.globus en el /home/username del UI Exportar el cert PKCS12 a un dir local en el UI usar openssl openssl pkcs12 -nocerts -in my_cert.p12 -out userkey.pem openssl pkcs12 -clcerts -nokeys -in my_cert.p12 -out usercert.pem

15 Certificados Proxy X.509 Son una extensión del GSI que usan identidades basadas en Certificados X.509. Firmados por un certificado normal de una entidad. Permite un acceso simple. Tiene tiempo ĺımite (para minimizar el riesgo de comprometer las credenciales). Se crean con el comando: voms-proxy-init --voms VOName

16 voms-proxy-init voms-proxy proxy-ini El usuario ingresa el pass-phrase, que es usado para El usuario entre el pass-phrase, que es usado para desencriptar la llave privada. desencriptar la llave privada. La llave privada es usada para firmar el certificado del proxy La llave privada es usada para firmar el certificado del proxy con su propia, con su par propio, nuevo par de llaves nuevo publica/privada. de llaves publica/privada. La llave privada del usuario no es expuesta despues de firmar el La llave privada del usuario no es expuesta despues de firmar el certificado del proxy. certificado del proxy. Pass Phrase User certificate file Private Key (Encrypted) User Proxy certificate file El Proxy se almacena en /tmp El Proxy se almacena en /tmp La llave La llave privada privada del Proxy del Proxy no se no encripta: se encripta: Almacenada Almacenada un en fichero un fichero local local es solo es solo leída leída por por el dueño; el dueño; Un Proxy Un Proxy tiene tiene un tiempo un tiempo de vida de vida corto corto (default (default 12 h) 12para hs) minimizar para riesgos minimizar de seguridad. riesgos de seguridad. NOTA: Los proxies no generan trafico de red!

17 voms-proxy-destroy voms-proxy-init = Login a la Grid Para hacer un logout es necesario destruir el proxy: voms-proxy-destroy Para obtener información sobre un proxy: voms-proxy-info

18 Autorización: Organizaciones Virtuales Los usuarios del Grid deben pertenecer a un VO Llamados inicialmente groups. Set de usuarios en estrecha colaboración. Los usuarios deben solicitar pertenecer a una VO. Deben registrarse en un server VO-LDAP (esperar por la notificación de aceptación o denegación). Las Vos mantienen una lista de sus miembros. Las PCs de la Grid bajan la lista de subjects de los certificados de los usuarios y las mapean a cuentas locales del sistema.... "/C=CH/O=CERN/OU=GRID/CN=Simone Campana 7461".dteam "/C=CH/O=CERN/OU=GRID/CN=Andrea Sciaba 8968".cms "/C=CH/O=CERN/OU=GRID/CN=Patricia Mendez Lorenzo-ALICE".alice... Los sitios Grid deciden a que VOs dar soporte.

19 VOMS: Conceptos Virtual Organization Membership Service Provee a los proxies con información como VO membership, grupos, roles. Compatible con Globus Toolkit. Cada VO tienen una DB que contiene la info de los usuarios, grupos, roles y capacidades. Los usuarios contactan a los VOMS para solicitar información de autorización. Los servidores envían la información de autorización a los clientes incluyéndola en los proxies. [franeijo@glite-tutor ~]$ voms-proxy-init --voms gilda Enter GRID pass phrase: Your identity: /C=IT/O=GILDA/OU=Personal Certificate/L=Universidad de Buenos Aires/CN=Juan Francisco Garcia Eijo Creating temporary proxy... Done Contacting voms.ct.infn.it:15001 [/C=IT/O=INFN/OU=Host/L=Catania/ CN=voms.ct.infn.it] "gilda" Done Creating proxy... Done Your proxy is valid until Mon May 2 12:45:

20 Grupos El número de usuarios en una VO puede ser muy alto. Ejemplo el experimento ATLAS tiene más de 2000 miembros. Hace a la VO más manejable al permitir englobar usuarios en Grupos. Los grupos tienen una estructura jerárquica con profundidad indefinida.

21 Roles Los Roles permiten distinguir a determinados usuarios del resto de sus compañeros en un Grupo. Software Manager. VO-Admin Diferencias entre Roles y Grupos: Los Roles no tienen una estructura jerárquica, no hay sub-roles Los Roles no son usados durante operaciones normales. No son adicionados por defecto cuando ejecutamos voms-proxy-init Pero para operaciones especiales si pueden ser agregados al proxy cuando corremos voms-proxy-init

22 Recordar Ud. Necesita un Certificado Digital y ser miembro de una VO si quiere hacer uso del Grid. IMPORTANTE Mantener la llave privada segura!!

23 Preguntas