1 Grid Security Infrastructure Certificati X.509 Certificati Proxy Il servizio VOMS Griglie computazionali Università degli Studi di Napoli Federico II.

Slides:



Advertisements
Presentazioni simili
Le funzioni dell’ “Operatore”.
Advertisements

Introduzione al prototipo Grid-SCoPE
Prof: Stefano Bistarelli
1 t Mobilità internazionale e conversione dei voti Maria Sticchi Damiani Università della Calabria 8 febbraio 2013.
La sicurezza dei sistemi informatici
TAV.1 Foto n.1 Foto n.2 SCALINATA DI ACCESSO ALL’EREMO DI SANTA CATERINA DEL SASSO DALLA CORTE DELLE CASCINE DEL QUIQUIO Foto n.3 Foto n.4.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
Microsoft Visual Basic MVP
Configuring Network Access
Public Key Infrastructure
Laurea Magistrale in Informatica Reti 2 (2007/08)
La sicurezza nelle Griglie
Frontespizio Economia Monetaria Anno Accademico
Per crittografia si intende la protezione
1 Il servizio di prestito e fornitura documenti ILL-SBN una visione di insieme caratteristiche della procedura illustrazione delle funzionalità
1 Corso di Laurea in Biotecnologie Informatica (Programmazione) Problemi e algoritmi Anno Accademico 2009/2010.
eliana minicozzi linguaggi1a.a lezione2
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
Certification Authority Fase I : Setup e Configurazione Componenti del gruppo : Marino Pasquale Marra Maria Cristina Molaro Alfonso Rullo Esterino.
1 Novità sul protocollo TLS. Seminario di : Calabrese Luca - estensione per il Wireless. - IC.
Prof. Zambetti -Majorana © 2008
Indice Pag. 1 Presentazione La sicurezza nellazienda Banca La sicurezza informatica La catena tecnologica della sicurezza La firma digitale.
Arezzo 18 febbraio 2010 Firma Digitale per il lOrdine Ingegneri di Arezzo Firma Digitale per il lOrdine Ingegneri di Arezzo.
Ecdl modulo 7.
Protocollo di autenticazione KERBEROS
2 3 4 RISERVATEZZA INTEGRITA DISPONIBILITA 5 6.
1ROL - Richieste On Line Ente pubblico 5ROL - Richieste On Line.
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
> Remote Authentication Dial In User Service
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Ottobre 2006 – Pag. 1
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
ISOIVA (LOCALE) TO ISOIVA (WEB) RIPARTIZIONE INFORMATICA UFFICIO APPLICATIVI AMMINISTRATIVI 13/04/2011 UNIVERSITÀ DEGLI STUDI DI FERRARA 1.
Scheda Ente Ente Privato Ente Pubblico. 2ROL - Richieste On Line.
SERVIZIO EDI – Primo Accesso
“ Firma Digitale “ Informatica e Teleradiologia
CORSO DI CRITTOGRAFIA Quinto incontro PROGETTO LAUREE SCIENTIFICHE
Bando Arti Sceniche. Per poter procedere è indispensabile aprire il testo del Bando 2ROL - Richieste On Line.
Secure Socket Layer (SSL) Transport Layer Security (TLS)
Il Comune di Pavia è tra i pochi comuni italiani a svolgere direttamente funzioni di Registration Authority.
“La firma elettronica per Pavia Digitale”
FIRMA DIGITALE, AUTENTICAZIONE E GESTIONE DEL DOCUMENTO ELETTRONICO
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Servizi Grid ed agenti mobili : un ambiente di sviluppo e delivering
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
Un problema importante
Bando di Residenza Cap Scheda ENTE 3ROL - Richieste On Line.
Il processo per generare una Firma Digitale
Analisi e sperimentazione di una Certification Authority
IL GIOCO DEL PORTIERE CASISTICA. Caso n. 1 Il portiere nella seguente azione NON commette infrazioni.
UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010 Sicurezza e frodi informatiche in Internet: la Firma Digitale come garanzia di autenticità e.
PKI e loro implementazione Corso di Sisitemi Informativi Teledidattico A.A. 2006/07
27 marzo 2008 Dott. Ernesto Batteta.  Le minacce nello scambio dei documenti  Crittografia  Firma digitale.
Universita` degli studi di Perugia Corso di Laurea in Matematica Attribute Certificate Valentina Hamam Rosa Leccisotti.
1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.
Layered Grid Architecture. Application Fabric “Controlling elements locally”: Access to, & control of, resources Connectivity “Talking to Grid elements”:
IT SECURITY Comunicazioni. Posta elettronica I messaggi ( ) commerciali viaggiano in rete “criptati”, cioè scritti con una “chiave pubblica” nota.
Introduzione ai servizi Grid e relativa sicurezza Università di Catania – Fac. Di Ingegneria Emilio Mastriani– Consorzio COMETA
La firma digitale. Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità.
“Virtual Organisation” in un contesto di Federazioni di Identità Workshop congiunto INFN CCR - GARR 2012 Napoli, Istituto.
FESR Trinacria Grid Virtual Laboratory Esercitazione sulla Security Dario Russo INFN Catania Catania, 14 Marzo 2006.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
Overview del middleware gLite Guido Cuscela INFN-Bari II Corso di formazione INFN su aspetti pratici dell'integrazione.
FESR Trinacria Grid Virtual Laboratory La sicurezza dei dati in ambiente Trigrid Giordano Scuderi.
Procedure per la richiesta di certificazione e per l'autenticazione alla VO Cometa Accesso all’infrastruttura del Consorzio COMETA in modalità GRID.
FESR Trinacria Grid Virtual Laboratory La sicurezza dei dati in ambiente Trigrid Giordano Scuderi.
FESR Trinacria Grid Virtual Laboratory Sicurezza nelle griglie Fabio Scibilia INFN - Catania Tutorial ITIS Acireale Acireale,
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Introduzione alle griglie computazionali
Transcript della presentazione:

1 Grid Security Infrastructure Certificati X.509 Certificati Proxy Il servizio VOMS Griglie computazionali Università degli Studi di Napoli Federico II Corso di Laurea Magistrale in Informatica – I Anno

2 Sicurezza: GSI (1/9) Grid Security Infrastucture Le entità in gioco sono utenti, programmi e computers Technical requirements multi-site authentication (verifica di identità) authorization (mappa lentità ad un set di privilegi) message integrity non-repudiation message privacy delegation (proxy) users virtualization Users requirements simplicity

3 Sicurezza: GSI (2/9) Generalità Controllo locale e flessibile sulle politiche di accesso. Le credenziali di una entità (utente o server) sono fornite attraverso certificati digitali. utilizzo di certificati X.509 (modello gerarchico) Rilascio da parte di CA (Certification Authority) Soluzione basata su crittografia asimmetrica

4 Sicurezza: GSI (3/9) Rilascio del certificato Step 1 lutente genera -un certificato vuoto di richiesta: usercert_request.pem -una chiave privata criptata: userkey.pem Step 2 lutente invia il certificato vuoto alla propria CA e viene identificato (tramite una RA locale) Step 3 lutente riceve il certificato compilato dalla CA - chiave pubblica dell'utente - vero nome dell'utente - data di scadenza del certicato - nome della Certication Autorithy - numero di serie del certicato - firma digitale della CA

5 CERTIFICATION AUTHORITY INFN

6 An X.509 Certificate contains: owners public key; identity of the owner; info on the CA; time of validity; Serial number; digital signature of the CA Public key Subject:C=IT, O=INFN, OU=Personal Certificate, L=NAPOLI CN=Alessandra Doria Issuer: C=IT, O=INFN, CN=INFN Certification Authority Expiration date: May 10 14:15: GMT Serial number: 080E CA Digital signature Structure of a X.509 certificate

7 Certificato -----BEGIN CERTIFICATE----- MIIF1zCCBL+gAwIBAgICCA4wDQYJKoZIhvcNAQEEBQAwQzELMAkGA1UEBhMCSVQx DTALBgNVBAoTBElORk4xJTAjBgNVBAMTHElORk4gQ2VydGlmaWNhdGlvbiBBdXRo b3JpdHkwHhcNMDQwNTEwMTMxNTIyWhcNMDUwNTEwMTMxNTIyWjCBjzELMAkGA1UE BhMCSVQxDTALBgNVBAoTBElORk4xHTAbBgNVBAsTFFBlcnNvbmFsIENlcnRpZmlj YXRlMQ0wCwYDVQQHEwRDTkFGMRcwFQYDVQQDEw5EYW5pZWxlIENlc2luaTEqMCgG CSqGSIb3DQEJARYbZGFuaWVsZS5jZXNpbmlAY25hZi5pbmZuLml0MIIBIjANBgkq hkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnEvVPBpTjKLA4F0K+Zgc8pWyEPGDnwLW glktBI6+mYTLuemPzgkZ4CTyrZL7bw5ywXUe717e1Rmg6wDfPANRLkxxRNKNaron kS19eNKjPYpklEKNq2gSGsK0/SsYB2YUG4kWLqtFC93x1Ffdc1Tz0xgrXH3kC0jq NqHImDrbpB7VtvAGC7/e/EJhy9MvlPA4W2vbUnwBocjMA/en3GXs2KY19tbFA3Tg jyIpCMbIeu3GlyTnbSJFoy3eeHkNLsf9c29RAJ5gWxMF7arM++NyURQ9qaEdMINj Cqb7dHJEj8E/AwSsYeWmWHfaPXnjj5aP23UlRTc31nSwh+5y0bMnFwIDAQABo4IC hjCCAoIwDAYDVR0TAQH/BAIwADAOBgNVHQ8BAf8EBAMCBPAwNgYDVR0fBC8wLTAr oCmgJ4YlaHR0cDovL3NlY3VyaXR5LmZpLmluZm4uaXQvQ0EvY3JsLmNybDAXBgNV HSAEEDAOMAwGCisGAQQB0SMKAQQwHQYDVR0OBBYEFCM+8mfoaenmQ76tHy+7hX+5 RKJ6MGsGA1UdIwRkMGKAFMoR710dBwSYqaW1WBpmTgoWK+BJoUekRTBDMQswCQYD VQQGEwJJVDENMAsGA1UEChMESU5GTjElMCMGA1UEAxMcSU5GTiBDZXJ0aWZpY2F END CERTIFICATE----- grid-cert-info - -f cert_file.pem where can be: -all-startdate -subject-enddate -issuer-help

8 Nota: cifratura - Cifratura e decifratura sono fatte con chiavi diverse, A pubblica e B privata. - Il mittente cifra con la chiave pubblica del ricevente, che sarà lunico a poter decifrare. - Quello che è criptato con la chiave A può essere decriptato solo con B e viceversa. - Non si può mai ricavare A da B, né viceversa. crittografia asimmetrica: AB

9 Nota: firma digitale - controllo sullidentita del mittente - verifica dellintegrita del messaggio - non ripudiabilita B A Da un messaggio di lunghezza variabile, una funzione produce una stringa di lunghezza fissa (HASH). Lhash viene criptato con la chiave privata del mittente e decriptato con la pubblica, verificando lintegrità

10 Sicurezza: GSI (4/9) Sicurezza: GSI (4/9) Fasi dellautenticazione User certificate Verify CA signature Random phrase Encrypt with user private key Encrypted phrase Decrypt with user public key Compare with original phrase Ogni richiesta è accompagnata dal certificato dellutente La CA deve essere accreditata (trusted) presso il ricevente Se la stringa decriptata coincide, il servizio ricevente non può rifiutare la richiesta Ogni transazione Grid è soggetta a mutua autenticazione USER SERVICE

11 Sicurezza: GSI (5/9) Grid authentication user certificate file private key user proxy certificate file grid-proxy-init Per evitare che un cerificato possa essere intercettato, viene creato un proxy (locale e temporaneo) delle credenziali utilizzato per tutte le operazioni. X.509 Proxy Certificate = estensione GSI di X.509 Ha durata molto inferiore al certificato originale (in genere 12 h)

12 Sicurezza: GSI (6/9) Delega delega = creazione remota di un proxy delle credenziali permette a un processo remoto di autenticarsi per conto dellutente Immettendo una password lutente firma il proxy con la propria chiave privata. I proxy hanno una propria coppia di chiavi.

13 Sicurezza: GSI Grid authentication N.B: Il certificato resta sulla macchina dellutente e ha la chiave privata criptata e protetta con una password. Per creare certificati proxy e per ogni altra attività lutente deve immettere la password della sua chiave privata. I certificati proxy viaggiano nella grid ed hanno coppie di chiavi pubblica e privata con chiave privata non criptata. Non serve lintervento umano.

14 Sicurezza: GSI Grid authentication Il certificato utente risiede generalmente nella user interface nella home del proprietario con chiave privata associata, protetta con password I certificati proxy invece portano in un unico file, chiave pubblica e chiave privata, questultima senza protezione. N.B. Nella GSI le chiavi private NON POSSONO VIAGGIARE IN RETE anche se protette da password. Come si creano certificati proxy remoti se non possono viaggiare le chiavi private?

15 Sicurezza: GSI Grid authentication Partendo da un certificato proxy sullhost A, per creare un certificato proxy remoto su un host che chiameremo B si segue questa procedura: 1.Il server remoto B genera una coppia di chiavi, tiene quella privata ed invia la chiave pubblica al server A. 2.Il server A compila il certificato per B e lo firma con il certificato proxy che già possiede. 3.Il server A invia il certificato così compilato al server B il quale unendolo alla chiave privata già in suo possesso completa il processo di delegation tramite proxy.

16 Sicurezza: GSI (7/9) Sicurezza: GSI (7/9) Delega Si possono interrogare e cancellare i propri proxy: grid-proxy-info grid-proxy-destroy (non distrugge i proxy delegati) Una applicazione può durare più a lungo del proxy: Un myproxy server può rinnovare automaticamente i proxy di task ancora in corso, che stanno per scadere.

17 Sicurezza: GSI Sicurezza: GSI MyProxy Il servizio Myproxy è un online-credetinal repository che conserva le credenziali per un lungo periodo di tempo (generalmente una settimana) e consente a un utente di ottenere credenziali in maniera sicura quando è necessario. Ad esempio per job di durata superiore alla scadenza del proxy, il workernode dove risiede il job può contattare il myproxyserve con il certificato proxy per ottenere nuove credenziali dal Myporxy server in maniera automatica senza lintervento umano.

18 Quali entità hanno bisogno di un certificato? RB CE WN RLS BDII SE User A Certificate is needed for: User RB CE SE edg-job-submit globus-job-run To test user authentication on a farm we will use this command on the CE.

19 Sicurezza: GSI (8/9) Grid authorization – mapping Essere autenticato non dà diritti di esecuzione su una Grid. Lutente deve appartenere ad un gruppo autorizzato alluso delle risorse -> Virtual Organization Il proxy ottenuto con grid-proxy-init non contiene informazioni sulla VO, che viene individuata attraverso il grid-mapfile presente sulle risorse. Il grid-mapfile stabilisce i diritti di un utente su una specifica risorsa, in base alla sua VO di appartenenza. le entries del grid-mapfile mappano gli utenti della Grid autorizzati in utenti del sistema locale: "/C=IT/O=INFN/OU=Personal Certificate/L=Napoli/CN=Ale

20 VOMS Per far sì che un utente possa utilizzare effettivamente le risorse di distribuite di calcolo e di storage, occorre che appartenga ad una Virtual Organizzation (VO). Ogni utente può appartenre a più VO presso le quali si indentifica con il suo certificato personale che è sempre lo stesso. In ogni VO un utente può avere differenti Ruoli e differenti privilegi

21 Sicurezza: GSI (9/9) Grid authorization – VOMS Il servizio VOMS (Virtual Organization Membership Service) estende le informazioni del proxy con VO membership, gruppo, ruolo, privilegi. voms-proxy-init voms-proxy-destroy voms-proxy-info Non tutte le VO devono essere gestite con VOMS.

22 VOMS SERVER DELLA VO UNINA.IT

23

24

25 Il VOMS in gLite Le Virtual Organization in gLite sono VOMS oriented. Gli attributi vengono specificati secono la seguente sintassi: /VO/Role=Ruolo/Capability=Privilegi Ad esempio /unina.it/Role=VO-Admin Oppure /unina.it/Role=softmanager/Capability=swinstall

26 Il VOMS in gLite Il Certificato si installa sulla propria User Interface e viene utilizzato per creare i certificati proxy con cui gli utenti si autenticano allinterno della grid. La directory di default è /home/nomeutente/.globus pwd /home/spardi/.globus ls -la total 16 drwxrwxr-x 2 spardi spardi 4096 Jan 22 17:26. drwx spardi spardi 4096 Mar 30 12:32.. -rw spardi spardi 1799 Jan 22 17:26 usercert.pem -r spardi spardi 1922 Jan 22 17:26 userkey.pem

27 ~]$ voms-proxy-init --voms unina.it Cannot find file or dir: /home/spardi/.glite/vomses Enter GRID pass phrase: Your identity: /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi Creating temporary proxy Done Contacting voms01.scope.unina.it:15003 [/C=IT/O=INFN/OU=Host/L=Federico II/CN=voms01.scope.unina.it] "unina.it" Done Creating proxy Done Your proxy is valid until Mon Mar 30 21:31: ~]$ ~]$ voms-proxy-info --all subject : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi/CN=proxy issuer : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi identity : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi type : proxy strength : 512 bits path : /tmp/x509up_u500 timeleft : 11:59:35 === VO unina.it extension information === VO : unina.it subject : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi issuer : /C=IT/O=INFN/OU=Host/L=Federico II/CN=voms01.scope.unina.it attribute : /unina.it timeleft : 11:57:37

28 ~]$ voms-proxy-init --voms unina.it:/unina.it/Role=VO-Admin Cannot find file or dir: /home/spardi/.glite/vomses Enter GRID pass phrase: Your identity: /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi Creating temporary proxy Done Contacting voms01.scope.unina.it:15003 [/C=IT/O=INFN/OU=Host/L=Federico II/CN=voms01.scope.unina.it] "unina.it" Done Creating proxy Done Your proxy is valid until Mon Mar 30 21:45: ~]$ voms-proxy-info --all subject : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi/CN=proxy issuer : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi identity : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi type : proxy strength : 512 bits path : /tmp/x509up_u500 timeleft : 11:59:58 === VO unina.it extension information === VO : unina.it subject : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi issuer : /C=IT/O=INFN/OU=Host/L=Federico II/CN=voms01.scope.unina.it attribute : /unina.it attribute : /unina.it/Role=VO-Admin timeleft : 11:58:00

29 Sicurezza: GSI schema generale

30 Riferimenti A National-Scale Authentication Infrastructure R. Butler, V. Welch, D. Engert, I. Foster, S. Tuecke, J. Volmer, C. Kesselman IEEE Computer n.33, Globus Security: