EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Authorization and Authentication Riccardo.

Slides:



Advertisements
Presentazioni simili
Prof: Stefano Bistarelli
Advertisements

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
Microsoft Visual Basic MVP
Configuring Network Access
Public Key Infrastructure
La sicurezza nelle Griglie
Prof. Zambetti -Majorana © 2008
Analisi e sperimentazione di una Certification Authority
PKI e loro implementazione Corso di Sisitemi Informativi Teledidattico A.A. 2006/07
1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.
Layered Grid Architecture. Application Fabric “Controlling elements locally”: Access to, & control of, resources Connectivity “Talking to Grid elements”:
Tecnologie di Sicurezza in Internet APPLICAZIONI Public Key Infrastructures AA Ingegneria Informatica e dell’Automazione.
Introduzione ai servizi Grid e relativa sicurezza Università di Catania – Fac. Di Ingegneria Emilio Mastriani– Consorzio COMETA
FESR Trinacria Grid Virtual Laboratory Esercitazione sulla Security Dario Russo INFN Catania Catania, 14 Marzo 2006.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
Overview del middleware gLite Guido Cuscela INFN-Bari II Corso di formazione INFN su aspetti pratici dell'integrazione.
FESR Trinacria Grid Virtual Laboratory La sicurezza dei dati in ambiente Trigrid Giordano Scuderi.
FESR Trinacria Grid Virtual Laboratory Sicurezza nelle griglie Fabio Scibilia INFN - Catania Tutorial ITIS Acireale Acireale,
INFN-AAI per il Servizio Sistema Informativo Dael Maselli Frascati, 10/07/2012 Riunione plenaria del Servizio Sistema Informativo.
Università degli Studi di Perugia, LS in Informatica Seminario per il corso di Sicurezza Informatica (Prof. S. Bistarelli) Valentina Franzoni I nuovi paradigmi.
ENIGMAIL CIFRARE LE PROPRIE MAIL CON GPG GnuPG. ARGOMENTI ● Cosa è GnuPG ● Cifratura a chiave pubblica e a chiave segreta ● Utilizzo e gestione del portachiavi.
Mag La Firma Digitale Sommaruga Andrea Guido Collegio dei Geometri e Geometri Laureati della Provincia di Lodi.
Introduzione alla Sicurezza Informatica ISIS ”C. Facchinetti” - Castellanza ( VA) 7 Maggio 2012.
Sicurezza e crittografia asimmetrica ● Info su redsh.wordpress.com/corso-linux ●
Cryptographic Hash Functions by Paolo Bernardi. Cosa sono? y = h(x) N → numero di possibili input M → numero di possibili output N >> M (di solito almeno.
Bitcoin “What is a Bitcoin?”. What is a Bitcoin? Bitcoin The 4th most common research on Google in 2014.
Apache + SSL Rendiamo sicure le nostre connessioni ● Principi (molto) base di crittografia ● Certificati digitali ● Formato dei certificati X509 ● Certificate.
Firma digitale Tecnologie Normativa Utilizzo e Organizzazione Emanuele Tonelli Marzo 2005.
La sicurezza dei sistemi informatici Sistemi di Autenticazione e Directory Giuseppe Guerrasio “Sapere dove.
VO-Neural Project e GRID Giovanni d’Angelo Dipartimento di Scienze Fisiche Università degli Studi di Napoli Federico II Martina Franca 12 – 23 Novembre.
Protocolli per la sicurezza. Le tre AAA Ai livelli più bassi del protocollo ISO/OSI i meccanismi di sicurezza garantiscono le tre AAA Autenticazione Autorità.
Virtual Private Networks
Archivi in Digitale: Firma Digitale
NAT, Firewall, Proxy Processi applicativi.
SCoPE - Stato dei Lavori
Conformità agli standard ufficiali
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
App-to-Cloud Security
Procedure per la richiesta di certificazione e per l'autenticazione
Come accedere ai servizi di Trigrid
Riunione INFN – Bologna, 17 January 2013
Pronto.
Authentication and Authorization in gLite
Accesso all’infrastruttura del Consorzio COMETA
CRITTOGRAFIA Per crittografia si intende la protezione delle informazioni mediante l'utilizzo di codici e cifre. La crittografia è un componente fondamentale.
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
Virtual Organizations e Security
Sicurezza e Grid Computing
GridFlex: gestione di software
Come accedere ai servizi Trigrid e ottenere Supporto
Come entrare in GILDA Riccardo Bruno INFN – Sez. CT
Metriche SE monitoring G.Donvito G.Cuscela INFN Bari
How to install your certificates
Authorization and Authentication in gLite
Credential gateway for WNODES.
Giordano Scuderi Unico SRL Catania
Giordano Scuderi Unico SRL - Messina,
Job Application Monitoring (JAM)
INFN-AAI Autenticazione e Autorizzazione
Crittografia e sicurezza
PROGRAMMAZIONE BASH – ISTRUZIONE IF
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
Organizzazione di una rete Windows 2000
Dael Maselli Tutorial INFN-AAI
Marcello Iacono-Manno Catania, 6 maggio 2010
Introduzione alle griglie computazionali
INFN-AAI Autenticazione e Autorizzazione
SAGE – Un sistema per l’accounting dello storage in gLite
IT SECURITY Controllo di accesso
CLOUD.
Transcript della presentazione:

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Authorization and Authentication Riccardo Gargana INFN – Roma Tre Rome, April 2006

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Overview Security –Il problema della Sicurezza in Grid –Accessi e sicurezza Crittografia –Algoritmi Simmetrici –Algoritmi Asimmetrici: PKI Certificati –Firma digitale –Certificati X509 Grid Security –Infrastruttura di sicurezza in Grid –Certificati Proxy –Interfaccia da linea di comando Organizzazioni Virtuali –Concetto di VO e autorizzazione –VOMS, LCAS, LCMAPS

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Overview Security –Il problema della Sicurezza in Grid –Accessi e sicurezza Crittografia –Algoritmi Simmetrici –Algoritmi Asimmetrici: PKI Certificati –Firma digitale –Certificati X509 Grid Security –Infrastruttura di sicurezza in Grid –Certificati Proxy –Interfaccia da linea di comando Organizzazioni Virtuali –Concetto di VO e autorizzazione –VOMS, LCAS, LCMAPS

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Il problema della sicurezza in Grid Le risorse sono presenti su domini amministrativi multipli e distinti (“siti”). Ogni sito ha i propri preesistenti requisiti, politiche, e meccanismi di sicurezza. Una singola applicazione può usare risorse di più siti.

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Il problema della sicurezza in Grid (2) Le Virtual Organization (VO) hanno le loro proprie politiche e specifiche di sicurezza. Un singolo utente o risorsa può far parte di più VO Gli insiemi di utenti, risorse, e siti in una VO può essere grande, dinamico, e variabile. E’ spesso difficile stabilire relazioni fiduciarie tra siti.

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Popolazione ampia e dinamica Differenti accounts in differenti siti Dati personali e confidenziali Privilegi eterogenei (ruoli) Single Sign-On (login con un solo passo) Utenti Dati di “gruppo” Patterns di accesso Membership “Gruppi” Siti Risorse eterogenee Patterns di accesso Politiche locali Membership Grid GRID Security: gli attori

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Accessi e sicurezza Autenticazione –Verificare l’identità delle entità (user, macchine, programmi) Autorizzazione –Mappa un’entita ad un insieme di privilegi Revoca dei diritti Confidenzialità –Cripta il messaggio in modo che solo il destinatario lo possa comprendere Integrità –Assicura che il messaggio non sia stato alterato durante la trasmissione Non-repudiabilità –Impossibilità di negare l’autenticità di una firma digitale

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Autenticazione Verifica dell’identità Alcuni meccanismi esistono: – Username/password – Biometrica – Kerberos – Meccanismi a Chiave Pubblica

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April A utorizzazione Verifica dei diritti di uso Molti meccanismi esistono per la specifica applicazione: – Offerti dai Sist. Operativi (es., permessi sui file Unix) – Offerti dalle applicazioni (e.g., permessi in un DBMS)

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Revoca dei diritti Invalidare una credenziale di autenticazione o rimuovere una autorizzazione. Meccanismi di Revoca dipendono dai corrispondenti meccanismi di autenticazione/autorizzazione. Problema principale: quanto tempo è necessario perchè una revoca abbia effetto?

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Confidenzialità e Protezione dei messaggi Integrità – Autenticare il messaggio – Verificare che il messaggio ricevuto sia lo stesso messaggio inviato. – Una firma è un meccanismo di verifica dell’integrità anche se il mittente è offline. Riservatezza: – Assicurare che nessuno tranne il mittente e il destinatario possano leggere il messaggio.

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Delegation Delegation è l’atto di fornire tutti o alcuni dei propri diritti ad un’altra entità. Ad esempio, un utente può eseguire un processo su un host remoto che richieda l’acceso a risorse su un terzo host.

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Auditing e Accounting Auditing – Chi ha fatto che cosa su questa risorsa? – Richiede autenticazione Accounting – Chi ha usato e per quanto questa risorsa? – Politiche di costi

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Non Ripudio Problema: come verificare un messaggio firmato quando la credenziale usata per firmarlo non è più valida? – La credenziale potrebbe essere stata revocata – La credenziale potrebbe essere scaduta – Il meccanismo di autenticazione usato nella firma potrebbe essere stato manomesso. Servizi di non ripudio sono servizi di terze parti che certificano e marcano temporalmente un messaggio firmato.

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Overview Security –Il problema della Sicurezza in Grid –Accessi e sicurezza Crittografia –Algoritmi Simmetrici –Algoritmi Asimmetrici: PKI Certificati –Firma digitale –Certificati X509 Grid Security –Infrastruttura di sicurezza in Grid –Certificati Proxy –Interfaccia da linea di comando Organizzazioni Virtuali –Concetto di VO e autorizzazione –VOMS, LCAS, LCMAPS

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Algoritmi matematici che forniscono i blocchi base per l’implementazione di un’infrastruttura di sicurezza Simbologia –Testo in chiaro (Plaintext): M –Testo criptato (Cyphertext): C –Criptaggio (Encryption) con chiave K1 : E K1(M) = C –Decriptaggio (Decryption) con chiave K2 : D K2(C) = M Algoritmi –Simmetrici –Simmetrici: K1 = K2 –Asimmetrici –Asimmetrici: K1 ≠ K2 K2K2 K1K1 Encryption Decryption MCM Crittografia

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Algoritmi Simmetrici La stessa chiave è utilizzata per le operazioni di encryption and decryption Vantaggi: –Veloce Svantaggi: –Come distribuire le chiavi? –Il numero delle chiavi è O(n2) Esempi: –DES –3DES –Rijndael (AES) –Blowfish –Kerberos AliceBob ciao3$rciao AliceBob ciao3$rciao3$r

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Algoritmi a chiave pubblica Ogni utente ha due chiavi: una privata e l’altra publica: –È impossibile ricavare la chiave privata da quella publica; –un messaggio criptato da una chiave può essere decriptato solo dall’altra chiave. Non è necessario uno scambio di “segreti” –Il mittente cripta utilizzando la chiave publica del destinatario; –Il destinatario decripta utilizzando la sua chiave privata; –Il numero di chiavi è O(n). Esempi: –Diffie-Helmann (1977) –RSA (1978) John keys public private Paul keys publicprivate PaulJohn ciao3$rciao PaulJohn ciaocy7ciao 3$r cy7

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Overview Security –Il problema della Sicurezza in Grid –Accessi e sicurezza Crittografia –Algoritmi Simmetrici –Algoritmi Asimmetrici: PKI Certificati –Firma digitale –Certificati X509 Grid Security –Infrastruttura di sicurezza in Grid –Certificati Proxy –Interfaccia da linea di comando Organizzazioni Virtuali –Concetto di VO e autorizzazione –VOMS, LCAS, LCMAPS

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April One-Way Hash Functions Funzioni (H) che dato come input un messaggio (M) di lunghezza variabile producono come output una stringa di lunghezza fissa (h) –la lunghezza di h deve essere almeno di 128 bits (per evitare birthday attacks) 1.dato M, deve essere semplice calcolare H(M) = h 2.dato h, deve essere complesso calcolare M = H -1 (h) 3.dato M, deve essere complesso trovare M’ tale che H(M) = H(M’) Esempi: –SNEFRU: hash di 128 o 256 bits; –MD4/MD5: hash di 128 bits; –SHA (Standard FIPS): hash di 160 bits.

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Firma digitale hashPaul calcola l’hash del messaggio privata firma digitalePaul cripta l’hash utilizzando la sua chiave privata: l’hash criptato è la firma digitale. Paul invia il messaggio firmato a John. verifica pubblicaJohn calcola l’hash del messaggio e lo verifica con A, decriptato con la chiave pubblica di Paul. Se i 2 hash sono uguali: il messaggio non è stato modificato; Paul non può ripudiarlo. John messaggio Firma digitale Paul messaggio Firma Digitale messaggio Firma Digitale Hash(A) Chiavi di Paul pubblicaprivata Hash(B) Hash(A) = ?

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Certificati Digitali La firma digitale di Paul è sicura se: 1. La chiave privata di Paul non è compromessa 2. John conosce la chiave pubblica di Paul John come può essere sicuro che la chiave pubblica di Paul è realmente la chiave pubblica di Paul e non di qualcun altro? –Una terza parte garantisce la corrispondenza tra la chiave pubblica e l’identità del proprietario. –Sia A che B devono fidarsi di questa parte Due modelli: –X.509: organizzazione gerarchica; –PGP: “web of trust”, distribuita.

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April PGP “web of trust” A B C D E F F conosce D ed E, il quale conosce A e C, il quale conosce A e B. F è ragionevolmente sicuro che la chiave di A è realmente di A.

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April X.509 Autorità di Certificazione La “terza parte” è chiamata Autorità di Certificazione (CA). Certificati DigitaliFornisce Certificati Digitali per utenti, programmi e macchine Controlla l’identità e i dati personali del richiedente –Registration Authorities (RAs) effettuano la validazione dei dati CA pubblicano periodicamente la lista di certificati compromessi –Certificate Revocation Lists (CRL): contengono tutti i certificati revocati non ancora scaduti I certificati delle CA sono self-signed (autocertificazione)

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Certificati X.509 Un Certificato X.509 contiene: –chiave pubblica del proprietario; –Identità del proprietario; –info sulla CA; –tempo di validità; –numero di seriale; –firma digitale della CA Public key Subject:C=CH, O=CERN, OU=GRID, CN=Andrea Sciaba 8968 Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CA Expiration date: Aug 26 08:08: GMT Serial number: 625 (0x271) CA Digital signature Struttura di un certificato X.509

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Overview Security –Il problema della Sicurezza in Grid –Accessi e sicurezza Crittografia –Algoritmi Simmetrici –Algoritmi Asimmetrici: PKI Certificati –Firma digitale –Certificati X509 Grid Security –Infrastruttura di sicurezza in Grid –Certificati Proxy –Interfaccia da linea di comando Organizzazioni Virtuali –Concetto di VO e autorizzazione –VOMS, LCAS, LCMAPS

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April L’infrastruttura di sicurezza di Grid (GSI) ogni utente/host/servizio ha un certificato X.509; I certificati sono firmati da CA fidate (trusted per il sito locale); Ogni transazione Grid è mutuamente autenticata: 1. John invia il suo certificato; 2. Paul verifica la firma nel certificato di John; 3. Paul invia a John una stringa casuale; 4. John cripta la stringa con la sua chiave privata; 5. John invia la stringa criptata a Paul 6. Paul utilizza la chiave pubblica di John per decriptare la stringa. 7. Paul confronta la stringa decriptata con l’originale 8. Se corrispondono, Paul ha verificato l’identità di John e John non può ripudiarlo. John Paul Certificato di John Verificare la firma della CA Stringa random Criptato con la chiave privata di J. Frase criptata Decriptato con chiave pubblica di J. Confrontata con la stringa originale Basato su X.509 PKI: MOLTO IMPORTANTE Le chiavi private Le chiavi private devono essere memorizzate solo: protetti in posti protettiE criptata in forma criptata

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Richiesta certificato… maggiori dettagli Formato delle Credenziali: Certificati X.509 Un dato set di CA sono riconosciute: – Le modalità di richiesta del certificato dipendono dalla CA (EU Grid PMA) Per GILDA sono disponibili dei Video Tutorials: – (Flash) – (Real)

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Richiesta Certificato… un esempio chiave privata criptata sul disco locale Cert Request Public Key ID Cert L’utente genera una coppia di chiavi pubblica/privata. L’utente invia la chiave pubblica alla CA assieme a una prova di identità. La CA conferma l’identità, firma il certificato e lo invia indietro all’utente.

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Gestione del certificato Importa il tuo certificato nel tuo browser –Se hai ricevuto un certificato.pem devi convertirlo in PKCS12 –Utilizza openssl command line (disponibile in ogni UI)  openssl pkcs12 –export –in usercert.pem –inkey userkey.pem –out my_cert.p12 –name ’My Name’ GILDA, ATLAS ed altre VO: –Riceverai direttamente un certificato PKCS12 (puoi importarlo direttamente nel web browser) –Per usi futuri hai bisogno di usercert.pem e userkey.pem in una directory ~/.globus della tua UI –Esporta il cert PKCS12 in una dir locale sulla UI ed utilizza ancora openssl:  openssl pkcs12 -nocerts -in my_cert.p12 -out userkey.pem  openssl pkcs12 -clcerts -nokeys -in my_cert.p12 -out usercert.pem

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Certificati X.509 Proxy Estensione GSI ai Certificati d’Identità X.509 –firmati dall’utente finale (o da un altro proxy). Consente il “single sign-on” Supporta alcune importanti features –Delega –Mutua autenticazione Ha un tempo di vita limitato (per minimizzare il rischio di “credenziali compromesse”) E’ creato dal commando grid-proxy-init: % grid-proxy-init Enter PEM pass phrase: ****** –Opzioni per grid-proxy-init:  -hours  -bits  -help

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April grid-proxy-init L’utente introduce la pass phrase che è utilizzata per decriptare la chiave privata. La chiave privata è utilizzata per firmare un certificato proxy con la propria nuova coppia di chiavi pubblica/privata. –La chiave privata dell’utente non è “esposta” dopo che il proxy è stato firmato User certificate file Private Key (Encrypted) Pass Phrase User Proxy certificate file Il Proxy è memorizzato in /tmp –la chiave privata del Proxy non è criptata: –salvato in un file locale: deve essere leggibile solo dal proprietario; –Il tempo di vita del proxy è breve (tipicamente 12 h) per minimizzare rischi di sicurezza. NOTA: Assenza di traffico di rete!

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April /tmp/x BEGIN CERTIFICATE----- MIIC9jCCAd6gAwIBAgICCA4wDQYJKoZIhvcNAQ MQ0wCwYDVQQKEwRJTkZOMR0wGwYDVQQLE 9w0BCQEWG2RhbmllbGUuY2VzaW5pQGNuYWYua NTVaFw0wNTAyMTgwNDU2NTVaMIGfMQswCQY TjEdMBsGA1UECxMUUGVyc29uYWwgQ2VydGlm FzAVBgNVBAMTDkRhbmllbGUgQ2VzaW5pMSowK -----END CERTIFICATE BEGIN RSA PRIVATE KEY----- MIIBOwIBAAJBALbIP+zBmt9FDv+inwtA/2Bv2rIZrQQ Pri2OhMarWRBzU62Xs1Cqk6UPKU8wgFl8R8CAwgfj ZfcBJSx5aJ0qkUOIPu3+GnWJwGKdSfj94ZwQX35wVrM 9HECIQDzmxMZVeMIh0P2DnwzENKsHVOLKKqzsS/z7 ZcO00cTgCAuabOiXEY0ciOwTeaghvOvpAiBE0GyfvoxIr aksifGk+zUHVpwIgLHDs8CSF8lFOskAUxKM82UpqZk aLxajQFUe1XJRcEdf/nw6aNFCcMx2jDUWUpXvk0+4Q== -----END RSA PRIVATE KEY BEGIN CERTIFICATE----- LmluZm4uaXQwPQYDVR0SBDYwNIESaW5mbi1jYU c2VjdXJpdHkuZmkuaW5mbi5pdC9DQS8wEQYJYIZIAY SAGG+EIBDQRKFkhJc3N1ZWQgdW5kZXIgSU5GTiB IGh0dHA6Ly9zZWN1cml0eS5maS5pbmZuLml0L0NBL0 BB0WG2h0dHA6Ly9zZWN1cml0eS5maS5pbmZuLml0L Y2dpLWJpbi9jaGVjay1yZXYucGw/MCYGCWCGSAG ZWNrLXJlbmV3LnBsPzA4BglghkgBhvhCAQgEKxYpaH LmluZm4uaXQvQ0EvcG9saWN5Lmh0bWwwDQYJKoZI 3oN9UepwLajqinSglAadf3uqxBCMguIsvX0qEFGkY5706 mmSbI+YP4q4c9aQ8Cv10q2fiLbfGoUn1PnXKMaoDIw5C wPzjpMbI7toDDOmd4cmBWbC3uoLZATVjcdSJS549nIEiT EXDAupNKuGjcMIB1rmRANY2hA3ZmjdgEYA/WxbsLQ idKQ0h5DUmjdQj9jjd2piGuI4NyIjMbZ9o0uOIy/1Oq+qFU gtknZFInvkah4jE= -----END CERTIFICATE----- Proxy certificate grid-proxy-init + passphrase grid-proxy-init

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Ancora proxy … grid-proxy-init ≡ “login alla Grid” Per effettuare il “logout” devi distruggere il tuo proxy: – grid-proxy-destroy –Questo NON distrugge i proxy che sono stati delegati da questo proxy. –Non è possibile revocare un proxy remoto –Solitamente crea proxy con un tempo di vita breve Per visionare informazioni relative al tuo proxy: – grid-proxy-info –Opzioni per stampare informazioni sul proxy -subject-issuer -type -timeleft -strength-help

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Delega = creazione remota di un proxy (di secondo livello) –Una nuova coppia di chiavi è generata remotamente sul server –Il client firma il proxy cert e lo restituisce Consente i processi remoti ad autenticarsi al posto dell’utente –Il processo remoto “impersona” l’utente Delega

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Proxy ha un tempo di vita breve (il default è 12 h) –Avere proxy con un lungo tempo di vita è una cattiva idea Comunque, un grid task potrebbe necessitare di utilizzare un proxy per un tempo più lungo –Esistono job che hanno un tempo di esecuzione nell’ordine di alcuni giorni myproxy server: –consente di creare e memorizzare un certificato proxy a lungo termine: –myproxy-init --voms -s  -s: specifica il nome dell’host del myproxy server –myproxy-info  Fornisce informazioni sul proxy a lungo termine memorizzato –myproxy-get-delegation  Fornisce un nuovo proxy dal MyProxy server –myproxy-destroy –controlla myproxy-xxx - - help option Un servizio dedicato sul RB può rinnovare automaticamente il proxy File transfer services in gLite valida le richieste dell’utente e, se necessario, rinnova il proxy –contattando il myproxy server Proxy a lungo termine

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April UI Local WS MyProxy Server GENIUS Server (UI) myproxy-init any grid service myproxy-get-delegation output the Grid execution WEB Browser Autenticazione Grid con MyProxy

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Client MyProxyServer Firma il proxy Invia la catena di certificati Il client firma il certificato proxy ed invia la catena di certificati al server. Genera una coppia di chiavi Invia una richiesta di proxy Il Server genera una coppia di chiavi e invia un nuovo certificato proxy (solo la chiave pubblica!) al client. Instaurano un canale TLS autenticato e protetto. Il client stabilisce una connessione TCP col server e inizia il TLS handshake protocol. Il client e il server stabiliscono un canale TLS privato (criptato) per incapsulare il protocollo applicativo di MyProxy. MyProxy delegation protocol

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Overview Security –Il problema della Sicurezza in Grid –Accessi e sicurezza Crittografia –Algoritmi Simmetrici –Algoritmi Asimmetrici: PKI Certificati –Firma digitale –Certificati X509 Grid Security –Infrastruttura di sicurezza in Grid –Certificati Proxy –Interfaccia da linea di comando Organizzazioni Virtuali –Concetto di VO e autorizzazione –VOMS, LCAS, LCMAPS

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Organizzazioni Virtuali (VO) e autorizzazione Gli utenti Grid DEVONO appartenere ad una organizzazione virtuale –Precedentemente chiamato “gruppo” –Insieme di utenti che collaborano –L’utente deve firmare le linea guida della VO –Dovete essere registrati in un server VO-LDAP (aspettate la notifica!) –Lista di VO supportate:  Le VO mantengono una lista dei loro membri su un LDAP Server –La lista è scaricata dalle macchine grid per mappare i subject dei certificati utenti ad un “pool” di accounts locali. –I siti decidono quale VO accettare "/C=CH/O=CERN/OU=GRID/CN=Simone Campana 7461".dteam "/C=CH/O=CERN/OU=GRID/CN=Andrea Sciaba 8968".cms "/C=CH/O=CERN/OU=GRID/CN=Patricia Mendez Lorenzo-ALICE".alice

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April VOMS : concetti Virtual Organization Membership Service –Estende il proxy con info relative a VO membership, gruppi, ruoli –Pienamente compatibile con Globus Toolkit –Ogni VO ha un database contenente informazioni relative a appartenenza ad un gruppo, ruolo e capabilities per ogni utente –L’utente contatta il voms server per avere le sue info di autorizzazione –Il server invia le info di autorizzazione al client, il quale le include in un proxy –voms-proxy-init output: proxy con info su VO membership, gruppo, ruolo and capabilities (login alla Grid!) [glite-tutor] /home/giorgio > voms-proxy-init --voms gilda Cannot find file or dir: /home/giorgio/.glite/vomses Your identity: /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Emidio Enter GRID pass phrase: Your proxy is valid until Mon Jan 30 23:35: Creating temporary proxy Done Contacting voms.ct.infn.it:15001 [/C=IT/O=GILDA/OU=Host/L=INFN ] "gilda" Creating proxy Done Your proxy is valid until Mon Jan 30 23:35:

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Acronimo di Fully Qualified Attribute Name, è la struttura dati utilizzata dal VOMS per esprimere membership e le altre info di autorizzazione Appartenenza ad un gruppo, ruoli e capabilities devono essere espressi nel seguente formato /Role=[ ][/Capability= ] FQAN sono inclusi in un Attribute Certificate (AC) Attribute Certificates sono utilizzati per associare un set di attributi (come membership, ruoli, info di autorizzazione etc) con un’identità AC sono firmati digitalmente VOMS utilizza AC per includere gli attributi di un utente in un certificato proxy [glite-tutor] /home/giorgio > voms-proxy-info -fqan /gilda/Role=NULL/Capability=NULL /gilda/tutors/Role=NULL/Capability=NULL FQAN e AC

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Il server crea e firma un AC contenente il FQAN richiesto dall’utente, se applicabile (voms-proxy-init --voms gilda:/gilda/tutors) L’AC è incluso dal client in estensioni ben definite, non critiche, assicurando la compatibilità con i meccanismi di GT A livello di risorse, le info di autorizzazione sono estratte dal proxy e processate dal LCAS e dal LCMAPS /home/giorgio > voms-proxy-info -all subject : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Emidio issuer : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Emidio identity : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Emidio type : proxy strength : 512 bits path : /tmp/x509up_u513 timeleft : 11:59:52 === VO gilda extension information === VO : gilda subject : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Emidio issuer : /C=IT/O=GILDA/OU=Host/L=INFN attribute : /gilda/tutors/Role=NULL/Capability=NULL attribute : /gilda/Role=NULL/Capability=NULL timeleft : 11:59:45 VOMS e AC

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April A livello di risorsa, le info di autorizzazione sono estratte dal proxy e processata dal LCAS e LCMAPS Local Centre Authorization Service (LCAS) –Controlla se l’utente è autorizzato (attualmente utilizzando il grid- mapfile) –Controlla se all’utente è vietato l’accesso al sito –Controlla se in quel momento il sito accetta job Local Credential Mapping Service (LCMAPS) –Mappa le credenziali “grid” alle credenziali locali (eg. UNIX uid/gid, AFS tokens, etc.) –Mappa inoltre i gruppi ed i ruoli VOMS (pieno supporto di FQAN) "/VO=cms/GROUP=/cms".cms "/VO=cms/GROUP=/cms/prod".cmsprod "/VO=cms/GROUP=/cms/prod/ROLE=manager".cmsprodman LCAS & LCMAPS

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April File del certificato utente: –Certificato:X509_USER_CERT (default: $HOME/.globus/usercert.pem ) –Chiave privata: X509_USER_KEY (default: $HOME/.globus/userkey.pem ) –Proxy:X509_USER_PROXY (default: /tmp/x509up_u ) File del certificato dell’Host: –Certificato X509_HOST_CERT (default: /etc/grid- security/hostcert.pem ) –Chiave privata X509_HOST_KEY (default: /etc/grid- security/hostkey.pem ) Certificati della CA fidate (Trusted) : – X509_CERT_DIR (default: /etc/grid-security/certificates ) Chiavi pubbliche dei Voms server –X509_VOMS_DIR (default: /etc/grid-security/vomsdir ) Variabili di ambiente GSI

Enabling Grids for E-sciencE EGEE-II INFSO-RI Authorized e Authonticated, Rome, April Grid LCG Security: LCG Registration: / Globus Security: VOMS: GGF Security: IETF PKIX charter: PKCS: Ulteriori informazioni