FESR www.trigrid.it Trinacria Grid Virtual Laboratory La sicurezza dei dati in ambiente Trigrid Giordano Scuderi.

Slides:



Advertisements
Presentazioni simili
VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
Advertisements

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Microsoft Visual Basic MVP
Public Key Infrastructure
Corso aggiornamento ASUR10
Sicurezza II Prof. Dario Catalano Errori di Implementazione.
RSA Monica Bianchini Dipartimento di Ingegneria dellInformazione Università di Siena.
Per crittografia si intende la protezione
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
Testo consigliato Crittografia, P. Ferragina e F. Luccio, Ed. Bollati Boringhieri, € 16.
Secure Shell Giulia Carboni
IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.
Prof. Zambetti -Majorana © 2008
La facility nazionale Egrid: stato dell'arte Egrid-Team Trieste, 9 ottobre 2004.
Ecdl modulo 7.
INTRODUZIONE l sistema operativo è il primo software che lutente utilizza quando accende il computer; 1)Viene caricato nella memoria RAM con loperazione.
Ottobre 2006 – Pag. 1
Acer Mnemonick presentazione commerciale
LA CRITTOGRAFIA QUANTISTICA
I-Memo è un prodotto completamente nuovo progettato per risolvere i seguenti problemi: Memorizzare password e codici molto complessi, senza il problema.
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
DAGLI ARCHIVI AI DATABASE
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Stefano Di Giovannantonio ECM Consulting Solution Expert
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Servizi Grid ed agenti mobili : un ambiente di sviluppo e delivering
INFORMATICA MATTEO CRISTANI. INDICE CICLO DELLE LEZIONI LEZ. 1 INTRODUZIONE AL CORSO LEZ. 2 I CALCOLATORI ELETTRONICI LEZ. 3 ELEMENTI DI TEORIA DELL INFORMAZIONE.
Un problema importante
Il processo per generare una Firma Digitale
Sicurezza aziendale informatica. Protezione Regolamenti – Normative - Informazione Spear phishing (una pagina esplicativa qui)qui.
FESR Trinacria Grid Virtual Laboratory ADAT (Archivi Digitali Antico Testo) Salvatore Scifo TRIGRID Second TriGrid Checkpoint Meeting Catania,
Crittografia MITTENTE DESTINATARIO messaggio messaggio chiave-1
Analisi e sperimentazione di una Certification Authority
La sicurezza dei sistemi informatici. Il sistema deve soddisfare i seguenti requisiti di sicurezza (CIANA)  Confidenzialità (Riservatezza)  Integrità.
UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010 Sicurezza e frodi informatiche in Internet: la Firma Digitale come garanzia di autenticità e.
La Crittografia nell’ambito del protocollo HTTP Classe: V istituto professionale (gestione aziendale) Obiettivo 1: Generazione di competenze e preparazione.
Sicurezza informatica
PKI e loro implementazione Corso di Sisitemi Informativi Teledidattico A.A. 2006/07
Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.
Reti di calcolatori e sicurezza “Configurare il web-server Apache” a cura di Luca Sozio.
DES e RSA a confronto: crittografia al servizio della sicurezza.
1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.
DES e RSA a confronto: crittografia al servizio della sicurezza Università degli studi di Camerino Marconi Marika.
Layered Grid Architecture. Application Fabric “Controlling elements locally”: Access to, & control of, resources Connectivity “Talking to Grid elements”:
Informatica Lezione 10 Psicologia dello sviluppo e dell'educazione (laurea magistrale) Anno accademico:
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
La firma digitale. Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10.
Le basi di dati.
Istituto Tecnico Industriale Don Orione Fano
Crittografia. Introduzione  La rete può essere utilizzata per diversi scopi: informazione, scambio dati, scambio messaggi, trasferimento denaro.  Nel.
Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.
Il nuovo sito della CSN1 Salvatore Costa (Catania) Andrea Ventura (Lecce) Roma - Riunione di CSN gennaio 2016.
FESR Trinacria Grid Virtual Laboratory Rosanna Catania Rita Ricceri INFN Catania 25 Luglio 2006 Grid Monitoring: GridICE – bacct - lsload.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
FESR Trinacria Grid Virtual Laboratory Porous Fluid Dynamics Analyzer Supporter : Salvatore Scifo Affiliation : TRIGRID Second TriGrid Checkpoint.
FESR Trinacria Grid Virtual Laboratory PROGETTO “MAMMO” Sviluppo e ottimizzazione di algoritmi adattativi, specificatamente di Artificial.
Overview del middleware gLite Guido Cuscela INFN-Bari II Corso di formazione INFN su aspetti pratici dell'integrazione.
FESR Trinacria Grid Virtual Laboratory La sicurezza dei dati in ambiente Trigrid Giordano Scuderi.
Un sistema di sicurezza dei dati.  La crittografia, il cui termine indica "nascosto", è la branca della crittologia che tratta delle "scritture nascoste",
Crittografia e crittoanalisi Crittografia: tecnica che consente di rendere visibili o utilizzabili le informazioni solo alle persone a cui sono destinate.
Sicurezza dei Sistemi Informatici L.S. in Ingegneria Informatica Docente: Prof. Giuseppe Mastronardi CRITTOGRAFIA E CRITTOANALISI ATTACCHI AI SISTEMI DI.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
FESR Trinacria Grid Virtual Laboratory Workload Management System (WMS) Muoio Annamaria INFN - Catania Primo Workshop TriGrid VL Catania,
CNAF. storage Siamo in una fase di tuning con lo storage, che al momento sembra essere un collo di bottiglia 1.~10 giorni fa vista saturazione GPFS.
FESR Trinacria Grid Virtual Laboratory AMGA Web Interface Salvatore Scifo TRIGRID Second TriGrid Checkpoint Meeting Catania,
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
Riunione INFN – Bologna, 17 January 2013
Giordano Scuderi Unico SRL Catania
Giordano Scuderi Unico SRL - Messina,
Transcript della presentazione:

FESR Trinacria Grid Virtual Laboratory La sicurezza dei dati in ambiente Trigrid Giordano Scuderi

Catania, 2nd Trigrid CheckPoint Meeting, AGENDA Scenario Informazioni: File e Metadati Dati in gLite Problema –Segretezza dei dati –Privacy –Insider Abuse Principi di Crittografia Algoritmi di encryption Il problema del Key management Soluzioni –Hardware –Software Soluzioni proposte

Catania, 2nd Trigrid CheckPoint Meeting, Scenario In ambiente GRID le risorse di calcolo e di storage sono distribuite geograficamente –Le informazioni vengono scambiate tra i siti attraverso la rete –Le informazioni saranno conservate anche nei dispositivi di storage di altri siti Middleware gLite –Implementa i servizi necessari per l’utilizzo della griglia da parte di utenti e applicazioni Problemi di sicurezza –Dati scambiati tra siti della GRID –Dati archiviati nei dispositivi di storage

Catania, 2nd Trigrid CheckPoint Meeting, Scenario Scambio di informazioni: –Ottimo livello di sicurezza Sicurezza dei dati nei dispositivi di storage –Livello di sicurezza non sempre sufficiente per i dati aziendali I dati di un’azienda potrebbero risiedere in un’elemento di storage di un’azienda concorrente!

Catania, 2nd Trigrid CheckPoint Meeting, Informazioni: File e Metadati I dati su GRID possono essere conservati su File o come Metadati associati a un file I file sono comuni all’esperienza di ognuno di noi –Esempio: documento di testo (.txt ) Metadati sono dati che descrivono dati –Un’esempio banale di uso comune – ID3 Tag su file mp3:

Catania, 2nd Trigrid CheckPoint Meeting, Dati in gLite In gLite l’elemento che fornisce i servizi per la gestione e l’archiviazione dei file è lo Storage Element I metadati vengono invece gestiti da un’altro elemento del middleware, AMGA (ARDA Metadata Grid Application) Si utilizzano delle Access Control List per determinare i diritti di accesso ai dati –File negli SE –Metadati su AMGA Da notare che i dati saranno presenti “IN CHIARO” sugli Storage Element e su AMGA

Catania, 2nd Trigrid CheckPoint Meeting, Problema: Segretezza dei dati I dati potrebbero contenere informazioni sensibili o segreti industriali –Devono essere accessibili solo agli utenti che sono autorizzati –Devono essere accessibili solo alle applicazioni autorizzate

Catania, 2nd Trigrid CheckPoint Meeting, Problema: privacy Può essere necessario rendere confidenziali le informazioni che associano i dati alle persone cui appartengono (es: immagini di diagnostica medica) In questo caso non è richiesta la protezione dei dati, ma dei soli Metadati ad essi associati

Catania, 2nd Trigrid CheckPoint Meeting, Problema: insider abuse Non possiamo basarci sull’ipotesi che gli amministratori dei siti siano persone fidate –E’ necessario comprendere che gli Amministratori possono sempre accedere ai dati presenti nelle loro macchine (Storage Element…) Anche se essi hanno accesso ai dati, è necessario garantire che le informazioni non siano per loro comprensibili (Encryption)

Catania, 2nd Trigrid CheckPoint Meeting, Principi di crittografia Crittografia raggruppa le tecniche per occultare informazioni riservate: –Un’algoritmo per crittografare i messaggi e uno per decrittografarli –Chiave Gli algoritmi possono essere resi pubblici, la confidenzialità del messaggio è legata soltanto alla chiave di cifratura Due famiglie di algoritmi –A chiave asimmetrica, o pubblica (RSA, Diffie Hellman)  Coppia di chiavi pubblica/privata (la prima viene distribuita, la seconda rimane strettamente confidenziale) –A chiave simmetrica, o privata (DES, 3DES, AES, Blowfish)  Unica chiave (La sicurezza dipende fortemente da come essa viene distribuita ai soggetti autorizzati!)

Catania, 2nd Trigrid CheckPoint Meeting, Algoritmi di encryption Per l’encryption di grosse quantità di dati è necessario utilizzare gli algoritmi “Simmetrici” (velocità di encryption e decryption): –DES (Data Encryption Standard)  Ormai non più utilizzato poiché è considerato poco sicuro –3DES (Triple DES)  Più robusto del DES, esso è “teoricamente” insicuro –Blowfish  Robusto se implementato con una dimensione dei blocchi maggiore di 64 bit  Ma non sono disponibili studi di crittoanalisi di questo algoritmo –AES (Advanced Encryption Standard)  Scelto come successore del DES  Utilizzato dalla NSA per i documenti TOP SECRET (key = 256 bit)  5 anni di studi hanno dimostrato che è un’algoritmo robusto

Catania, 2nd Trigrid CheckPoint Meeting, Il problema del Key management AES (Advanced Encryption Standard) –Viene utilizzata la stessa “chiave” segreta per Encryption e Decryption –Chiunque è in possesso di questa chiave può fare il decrypt del dato!! Una chiave a 128 bit produce combinazioni diverse –Uno dei migliori attacchi a forza bruta è stato svolto dal progetto distributed.net su una chiave a 64 bit utilizzando l'algoritmo RC5; l'attacco ha impiegato quasi 5 anni, utilizzando il tempo "libero" di migliaia di CPU di volontari sparsi per la rete Chi può eventualmente entrare in possesso e abusare di questa chiave?: –Altri utenti –Amministratori dei siti –Eventuali aggressori E’ necessario un componente per la gestione e la distribuzione delle chiavi ai soli soggetti autorizzati ( Keystore )

Catania, 2nd Trigrid CheckPoint Meeting, Soluzioni Hardware Esistono delle soluzioni commerciali (Hardware appliance): –Decru DataFort –NeoScale CryptoStor Questi appliance consentono di effettuare l’encryption dei dati in modo trasparente Key Management in hardware Non sono pensati per l’utilizzo su GRID (attualmente..) –Es: Non gestiscono l’autenticazione “delegata” tramite certificati proxy

Catania, 2nd Trigrid CheckPoint Meeting, Soluzioni Software: AMGA UI SE VOMS AMGA DB gLibrary : Chiave conservata come metadato associato al File (in chiaro) Catalog

Catania, 2nd Trigrid CheckPoint Meeting, Soluzioni attuali: Hydra Questo sistema utilizza un set di Keystore, la chiave è suddivisa in 3 parti ed ogni parte è conservata su un keystore differente –La chiave viene così protetta, dato che servono almeno due parti per poterla ricostruire Non soddisfa tutti i nostri requisiti: –Non risolve completamente il problema dell’Insider Abuse –Basato su gLite I/O e FireMan (non più presenti su gLite 3.0)

Catania, 2nd Trigrid CheckPoint Meeting, Panoramica soluzioni proposte Soluzione 1: –Encryption dei dati con chiave simmetrica (key) –Chiave simmetrica (key) criptata con la chiave pubblica dell’utente (certificato di Trigrid) –Store delle chiavi simmetriche (key) in chiaro durante l’elaborazione di job Soluzione 2: –Utilizzo di 2 tipi keystore: default (GRID) e locale (user) –Encryption dei dati con chiave simmetrica (key) –Protezione della chiave simmetrica (key) tramite split della chiave (Shamir’s Secret Scheme)

Catania, 2nd Trigrid CheckPoint Meeting, Soluzione 1: Encryption e Store 1)Genera “Key” casuale simmetrica 2)Encrypt “File” con Key 3)Encrypt “Key” con KPub 4)Store ed UI Keystore Cert. Trigrid SE

Catania, 2nd Trigrid CheckPoint Meeting, Soluzione 1: Retrieve e Decryption 1)Retrieve ed 2)Decrypt di “Key” con Kpriv 3)Decrypt di “File” con Key UI Keystore Cert. Trigrid SE

Catania, 2nd Trigrid CheckPoint Meeting, Soluzione 1: grant access to others UI Keystore Gruppo Utenti Utenti DN A B DN KPub

Catania, 2nd Trigrid CheckPoint Meeting, Soluzione 1: delegation problem 1)Il WN impersona l’utente utilizzando i certificati Proxy 2)Come fa il WN a fare il decrypt della Key? (il suo certificato è distinto da quello dell’utente) UI SE Keystore WN Job

Catania, 2nd Trigrid CheckPoint Meeting, Soluzione 1: delegation solution (in) 1)Si potrebbe ipotizzare di inserire la chiave in un set di Keystore in forma meno sicura, ma per un tempo breve UI SE Keystore WN Unencrypted Keystore Job Key splittata in tre

Catania, 2nd Trigrid CheckPoint Meeting, Soluzione 1: delegation solution (out) 1)Per salvare l’output in forma criptata si dovrebbe salvare la Key2 nel “Keystore Unencrypted” 2)Bisognerebbe poi fare l’encrypt della Key2 e andarla a salvare sul “Keystore Encrypted” UI SE WN Unencrypted Keystore Get Key2 Keystore E cosa accade quando il certificato di Trigrid scade? A me sarà assegnato dalla CA un nuovo certificato.. Conservare tutte le chiavi, e via via scegliere quella corretta per decifrare la chiave simmetrica? Realizzare un meccanismo per cui tutte le chiavi simmetriche vengono crittografate utilizzando la nuova chiave, e solo dopo sarà possibile togliere la vecchia? In teoria sono tutte soluzioni realizzabili, ma introducono una notevole complessità di gestione delle chiavi!!

Catania, 2nd Trigrid CheckPoint Meeting, Soluzione 2 Impementare un Keystore Locale nel sito dell’utente UI Local Keystore GRID Keystore Catalog Key pointer Local or GRID Keystore? GRID Keystore Local Keystore User environment

Catania, 2nd Trigrid CheckPoint Meeting, Soluzione 2 Il Keystore potrebbe essere consegnato “già pronto” all’utente Esso sarà l’unico ad avere le “chiavi” per l’accesso amministrativo –Risolve il problema di Insider Abuse E’ una soluzione flessibile UI Local Keystore

Catania, 2nd Trigrid CheckPoint Meeting, Domande… Grazie per l’attenzione!