La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Authorization and Authentication Riccardo.

PubblicatoAnnunciata Pellegrini Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Authorization and Authentication Riccardo."— Transcript della presentazione:

1 EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Authorization and Authentication Riccardo Gargana INFN – Roma Tre Rome, 18-21 April 2006

2 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 2 Overview Security –Il problema della Sicurezza in Grid –Accessi e sicurezza Crittografia –Algoritmi Simmetrici –Algoritmi Asimmetrici: PKI Certificati –Firma digitale –Certificati X509 Grid Security –Infrastruttura di sicurezza in Grid –Certificati Proxy –Interfaccia da linea di comando Organizzazioni Virtuali –Concetto di VO e autorizzazione –VOMS, LCAS, LCMAPS

3 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 3 Overview Security –Il problema della Sicurezza in Grid –Accessi e sicurezza Crittografia –Algoritmi Simmetrici –Algoritmi Asimmetrici: PKI Certificati –Firma digitale –Certificati X509 Grid Security –Infrastruttura di sicurezza in Grid –Certificati Proxy –Interfaccia da linea di comando Organizzazioni Virtuali –Concetto di VO e autorizzazione –VOMS, LCAS, LCMAPS

4 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 4 Il problema della sicurezza in Grid Le risorse sono presenti su domini amministrativi multipli e distinti (“siti”). Ogni sito ha i propri preesistenti requisiti, politiche, e meccanismi di sicurezza. Una singola applicazione può usare risorse di più siti.

5 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 5 Il problema della sicurezza in Grid (2) Le Virtual Organization (VO) hanno le loro proprie politiche e specifiche di sicurezza. Un singolo utente o risorsa può far parte di più VO Gli insiemi di utenti, risorse, e siti in una VO può essere grande, dinamico, e variabile. E’ spesso difficile stabilire relazioni fiduciarie tra siti.

6 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 6 Popolazione ampia e dinamica Differenti accounts in differenti siti Dati personali e confidenziali Privilegi eterogenei (ruoli) Single Sign-On (login con un solo passo) Utenti Dati di “gruppo” Patterns di accesso Membership “Gruppi” Siti Risorse eterogenee Patterns di accesso Politiche locali Membership Grid GRID Security: gli attori

7 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 7 Accessi e sicurezza Autenticazione –Verificare l’identità delle entità (user, macchine, programmi) Autorizzazione –Mappa un’entita ad un insieme di privilegi Revoca dei diritti Confidenzialità –Cripta il messaggio in modo che solo il destinatario lo possa comprendere Integrità –Assicura che il messaggio non sia stato alterato durante la trasmissione Non-repudiabilità –Impossibilità di negare l’autenticità di una firma digitale

8 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 8 Autenticazione Verifica dell’identità Alcuni meccanismi esistono: – Username/password – Biometrica – Kerberos – Meccanismi a Chiave Pubblica

9 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 9 A utorizzazione Verifica dei diritti di uso Molti meccanismi esistono per la specifica applicazione: – Offerti dai Sist. Operativi (es., permessi sui file Unix) – Offerti dalle applicazioni (e.g., permessi in un DBMS)

10 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 10 Revoca dei diritti Invalidare una credenziale di autenticazione o rimuovere una autorizzazione. Meccanismi di Revoca dipendono dai corrispondenti meccanismi di autenticazione/autorizzazione. Problema principale: quanto tempo è necessario perchè una revoca abbia effetto?

11 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 11 Confidenzialità e Protezione dei messaggi Integrità – Autenticare il messaggio – Verificare che il messaggio ricevuto sia lo stesso messaggio inviato. – Una firma è un meccanismo di verifica dell’integrità anche se il mittente è offline. Riservatezza: – Assicurare che nessuno tranne il mittente e il destinatario possano leggere il messaggio.

12 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 12 Delegation Delegation è l’atto di fornire tutti o alcuni dei propri diritti ad un’altra entità. Ad esempio, un utente può eseguire un processo su un host remoto che richieda l’acceso a risorse su un terzo host.

13 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 13 Auditing e Accounting Auditing – Chi ha fatto che cosa su questa risorsa? – Richiede autenticazione Accounting – Chi ha usato e per quanto questa risorsa? – Politiche di costi

14 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 14 Non Ripudio Problema: come verificare un messaggio firmato quando la credenziale usata per firmarlo non è più valida? – La credenziale potrebbe essere stata revocata – La credenziale potrebbe essere scaduta – Il meccanismo di autenticazione usato nella firma potrebbe essere stato manomesso. Servizi di non ripudio sono servizi di terze parti che certificano e marcano temporalmente un messaggio firmato.

15 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 15 Overview Security –Il problema della Sicurezza in Grid –Accessi e sicurezza Crittografia –Algoritmi Simmetrici –Algoritmi Asimmetrici: PKI Certificati –Firma digitale –Certificati X509 Grid Security –Infrastruttura di sicurezza in Grid –Certificati Proxy –Interfaccia da linea di comando Organizzazioni Virtuali –Concetto di VO e autorizzazione –VOMS, LCAS, LCMAPS

16 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 16 Algoritmi matematici che forniscono i blocchi base per l’implementazione di un’infrastruttura di sicurezza Simbologia –Testo in chiaro (Plaintext): M –Testo criptato (Cyphertext): C –Criptaggio (Encryption) con chiave K1 : E K1(M) = C –Decriptaggio (Decryption) con chiave K2 : D K2(C) = M Algoritmi –Simmetrici –Simmetrici: K1 = K2 –Asimmetrici –Asimmetrici: K1 ≠ K2 K2K2 K1K1 Encryption Decryption MCM Crittografia

17 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 17 Algoritmi Simmetrici La stessa chiave è utilizzata per le operazioni di encryption and decryption Vantaggi: –Veloce Svantaggi: –Come distribuire le chiavi? –Il numero delle chiavi è O(n2) Esempi: –DES –3DES –Rijndael (AES) –Blowfish –Kerberos AliceBob ciao3$rciao AliceBob ciao3$rciao3$r

18 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 18 Algoritmi a chiave pubblica Ogni utente ha due chiavi: una privata e l’altra publica: –È impossibile ricavare la chiave privata da quella publica; –un messaggio criptato da una chiave può essere decriptato solo dall’altra chiave. Non è necessario uno scambio di “segreti” –Il mittente cripta utilizzando la chiave publica del destinatario; –Il destinatario decripta utilizzando la sua chiave privata; –Il numero di chiavi è O(n). Esempi: –Diffie-Helmann (1977) –RSA (1978) John keys public private Paul keys publicprivate PaulJohn ciao3$rciao PaulJohn ciaocy7ciao 3$r cy7

19 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 19 Overview Security –Il problema della Sicurezza in Grid –Accessi e sicurezza Crittografia –Algoritmi Simmetrici –Algoritmi Asimmetrici: PKI Certificati –Firma digitale –Certificati X509 Grid Security –Infrastruttura di sicurezza in Grid –Certificati Proxy –Interfaccia da linea di comando Organizzazioni Virtuali –Concetto di VO e autorizzazione –VOMS, LCAS, LCMAPS

20 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 20 One-Way Hash Functions Funzioni (H) che dato come input un messaggio (M) di lunghezza variabile producono come output una stringa di lunghezza fissa (h) –la lunghezza di h deve essere almeno di 128 bits (per evitare birthday attacks) 1.dato M, deve essere semplice calcolare H(M) = h 2.dato h, deve essere complesso calcolare M = H -1 (h) 3.dato M, deve essere complesso trovare M’ tale che H(M) = H(M’) Esempi: –SNEFRU: hash di 128 o 256 bits; –MD4/MD5: hash di 128 bits; –SHA (Standard FIPS): hash di 160 bits.

21 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 21 Firma digitale hashPaul calcola l’hash del messaggio privata firma digitalePaul cripta l’hash utilizzando la sua chiave privata: l’hash criptato è la firma digitale. Paul invia il messaggio firmato a John. verifica pubblicaJohn calcola l’hash del messaggio e lo verifica con A, decriptato con la chiave pubblica di Paul. Se i 2 hash sono uguali: il messaggio non è stato modificato; Paul non può ripudiarlo. John messaggio Firma digitale Paul messaggio Firma Digitale messaggio Firma Digitale Hash(A) Chiavi di Paul pubblicaprivata Hash(B) Hash(A) = ?

22 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 22 Certificati Digitali La firma digitale di Paul è sicura se: 1. La chiave privata di Paul non è compromessa 2. John conosce la chiave pubblica di Paul John come può essere sicuro che la chiave pubblica di Paul è realmente la chiave pubblica di Paul e non di qualcun altro? –Una terza parte garantisce la corrispondenza tra la chiave pubblica e l’identità del proprietario. –Sia A che B devono fidarsi di questa parte Due modelli: –X.509: organizzazione gerarchica; –PGP: “web of trust”, distribuita.

23 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 23 PGP “web of trust” A B C D E F F conosce D ed E, il quale conosce A e C, il quale conosce A e B. F è ragionevolmente sicuro che la chiave di A è realmente di A.

24 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 24 X.509 Autorità di Certificazione La “terza parte” è chiamata Autorità di Certificazione (CA). Certificati DigitaliFornisce Certificati Digitali per utenti, programmi e macchine Controlla l’identità e i dati personali del richiedente –Registration Authorities (RAs) effettuano la validazione dei dati CA pubblicano periodicamente la lista di certificati compromessi –Certificate Revocation Lists (CRL): contengono tutti i certificati revocati non ancora scaduti I certificati delle CA sono self-signed (autocertificazione)

25 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 25 Certificati X.509 Un Certificato X.509 contiene: –chiave pubblica del proprietario; –Identità del proprietario; –info sulla CA; –tempo di validità; –numero di seriale; –firma digitale della CA Public key Subject:C=CH, O=CERN, OU=GRID, CN=Andrea Sciaba 8968 Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CA Expiration date: Aug 26 08:08:14 2005 GMT Serial number: 625 (0x271) CA Digital signature Struttura di un certificato X.509

26 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 26 Overview Security –Il problema della Sicurezza in Grid –Accessi e sicurezza Crittografia –Algoritmi Simmetrici –Algoritmi Asimmetrici: PKI Certificati –Firma digitale –Certificati X509 Grid Security –Infrastruttura di sicurezza in Grid –Certificati Proxy –Interfaccia da linea di comando Organizzazioni Virtuali –Concetto di VO e autorizzazione –VOMS, LCAS, LCMAPS

27 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 27 L’infrastruttura di sicurezza di Grid (GSI) ogni utente/host/servizio ha un certificato X.509; I certificati sono firmati da CA fidate (trusted per il sito locale); Ogni transazione Grid è mutuamente autenticata: 1. John invia il suo certificato; 2. Paul verifica la firma nel certificato di John; 3. Paul invia a John una stringa casuale; 4. John cripta la stringa con la sua chiave privata; 5. John invia la stringa criptata a Paul 6. Paul utilizza la chiave pubblica di John per decriptare la stringa. 7. Paul confronta la stringa decriptata con l’originale 8. Se corrispondono, Paul ha verificato l’identità di John e John non può ripudiarlo. John Paul Certificato di John Verificare la firma della CA Stringa random Criptato con la chiave privata di J. Frase criptata Decriptato con chiave pubblica di J. Confrontata con la stringa originale Basato su X.509 PKI: MOLTO IMPORTANTE Le chiavi private Le chiavi private devono essere memorizzate solo: protetti in posti protettiE criptata in forma criptata

28 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 28 Richiesta certificato… maggiori dettagli Formato delle Credenziali: Certificati X.509 Un dato set di CA sono riconosciute: –http://www.eugridpma.org/http://www.eugridpma.org/ Le modalità di richiesta del certificato dipendono dalla CA (EU Grid PMA) Per GILDA sono disponibili dei Video Tutorials: –https://gilda.ct.infn.it/video/Certification/Allproxy.html (Flash)https://gilda.ct.infn.it/video/Certification/Allproxy.html –https://gilda.ct.infn.it/video/Certification/AllCertproxy.ram (Real)https://gilda.ct.infn.it/video/Certification/AllCertproxy.ram

29 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 29 Richiesta Certificato… un esempio chiave privata criptata sul disco locale Cert Request Public Key ID Cert L’utente genera una coppia di chiavi pubblica/privata. L’utente invia la chiave pubblica alla CA assieme a una prova di identità. La CA conferma l’identità, firma il certificato e lo invia indietro all’utente.

30 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 30 Gestione del certificato Importa il tuo certificato nel tuo browser –Se hai ricevuto un certificato.pem devi convertirlo in PKCS12 –Utilizza openssl command line (disponibile in ogni UI)  openssl pkcs12 –export –in usercert.pem –inkey userkey.pem –out my_cert.p12 –name ’My Name’ GILDA, ATLAS ed altre VO: –Riceverai direttamente un certificato PKCS12 (puoi importarlo direttamente nel web browser) –Per usi futuri hai bisogno di usercert.pem e userkey.pem in una directory ~/.globus della tua UI –Esporta il cert PKCS12 in una dir locale sulla UI ed utilizza ancora openssl:  openssl pkcs12 -nocerts -in my_cert.p12 -out userkey.pem  openssl pkcs12 -clcerts -nokeys -in my_cert.p12 -out usercert.pem

31 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 31 Certificati X.509 Proxy Estensione GSI ai Certificati d’Identità X.509 –firmati dall’utente finale (o da un altro proxy). Consente il “single sign-on” Supporta alcune importanti features –Delega –Mutua autenticazione Ha un tempo di vita limitato (per minimizzare il rischio di “credenziali compromesse”) E’ creato dal commando grid-proxy-init: % grid-proxy-init Enter PEM pass phrase: ****** –Opzioni per grid-proxy-init:  -hours  -bits  -help

32 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 32 grid-proxy-init L’utente introduce la pass phrase che è utilizzata per decriptare la chiave privata. La chiave privata è utilizzata per firmare un certificato proxy con la propria nuova coppia di chiavi pubblica/privata. –La chiave privata dell’utente non è “esposta” dopo che il proxy è stato firmato User certificate file Private Key (Encrypted) Pass Phrase User Proxy certificate file Il Proxy è memorizzato in /tmp –la chiave privata del Proxy non è criptata: –salvato in un file locale: deve essere leggibile solo dal proprietario; –Il tempo di vita del proxy è breve (tipicamente 12 h) per minimizzare rischi di sicurezza. NOTA: Assenza di traffico di rete!

33 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 33 [gargana@grid005f]$cat /tmp/x509.519 -----BEGIN CERTIFICATE----- MIIC9jCCAd6gAwIBAgICCA4wDQYJKoZIhvcNAQ MQ0wCwYDVQQKEwRJTkZOMR0wGwYDVQQLE 9w0BCQEWG2RhbmllbGUuY2VzaW5pQGNuYWYua NTVaFw0wNTAyMTgwNDU2NTVaMIGfMQswCQY TjEdMBsGA1UECxMUUGVyc29uYWwgQ2VydGlm FzAVBgNVBAMTDkRhbmllbGUgQ2VzaW5pMSowK -----END CERTIFICATE----- -----BEGIN RSA PRIVATE KEY----- MIIBOwIBAAJBALbIP+zBmt9FDv+inwtA/2Bv2rIZrQQ Pri2OhMarWRBzU62Xs1Cqk6UPKU8wgFl8R8CAwgfj ZfcBJSx5aJ0qkUOIPu3+GnWJwGKdSfj94ZwQX35wVrM 9HECIQDzmxMZVeMIh0P2DnwzENKsHVOLKKqzsS/z7 ZcO00cTgCAuabOiXEY0ciOwTeaghvOvpAiBE0GyfvoxIr aksifGk+zUHVpwIgLHDs8CSF8lFOskAUxKM82UpqZk aLxajQFUe1XJRcEdf/nw6aNFCcMx2jDUWUpXvk0+4Q== -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- LmluZm4uaXQwPQYDVR0SBDYwNIESaW5mbi1jYU c2VjdXJpdHkuZmkuaW5mbi5pdC9DQS8wEQYJYIZIAY SAGG+EIBDQRKFkhJc3N1ZWQgdW5kZXIgSU5GTiB IGh0dHA6Ly9zZWN1cml0eS5maS5pbmZuLml0L0NBL0 BB0WG2h0dHA6Ly9zZWN1cml0eS5maS5pbmZuLml0L Y2dpLWJpbi9jaGVjay1yZXYucGw/MCYGCWCGSAG ZWNrLXJlbmV3LnBsPzA4BglghkgBhvhCAQgEKxYpaH LmluZm4uaXQvQ0EvcG9saWN5Lmh0bWwwDQYJKoZI 3oN9UepwLajqinSglAadf3uqxBCMguIsvX0qEFGkY5706 mmSbI+YP4q4c9aQ8Cv10q2fiLbfGoUn1PnXKMaoDIw5C wPzjpMbI7toDDOmd4cmBWbC3uoLZATVjcdSJS549nIEiT EXDAupNKuGjcMIB1rmRANY2hA3ZmjdgEYA/WxbsLQ idKQ0h5DUmjdQj9jjd2piGuI4NyIjMbZ9o0uOIy/1Oq+qFU gtknZFInvkah4jE= -----END CERTIFICATE----- Proxy certificate grid-proxy-init + passphrase grid-proxy-init

34 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 34 Ancora proxy … grid-proxy-init ≡ “login alla Grid” Per effettuare il “logout” devi distruggere il tuo proxy: – grid-proxy-destroy –Questo NON distrugge i proxy che sono stati delegati da questo proxy. –Non è possibile revocare un proxy remoto –Solitamente crea proxy con un tempo di vita breve Per visionare informazioni relative al tuo proxy: – grid-proxy-info –Opzioni per stampare informazioni sul proxy -subject-issuer -type -timeleft -strength-help

35 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 35 Delega = creazione remota di un proxy (di secondo livello) –Una nuova coppia di chiavi è generata remotamente sul server –Il client firma il proxy cert e lo restituisce Consente i processi remoti ad autenticarsi al posto dell’utente –Il processo remoto “impersona” l’utente Delega

36 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 36 Proxy ha un tempo di vita breve (il default è 12 h) –Avere proxy con un lungo tempo di vita è una cattiva idea Comunque, un grid task potrebbe necessitare di utilizzare un proxy per un tempo più lungo –Esistono job che hanno un tempo di esecuzione nell’ordine di alcuni giorni myproxy server: –consente di creare e memorizzare un certificato proxy a lungo termine: –myproxy-init --voms -s  -s: specifica il nome dell’host del myproxy server –myproxy-info  Fornisce informazioni sul proxy a lungo termine memorizzato –myproxy-get-delegation  Fornisce un nuovo proxy dal MyProxy server –myproxy-destroy –controlla myproxy-xxx - - help option Un servizio dedicato sul RB può rinnovare automaticamente il proxy File transfer services in gLite valida le richieste dell’utente e, se necessario, rinnova il proxy –contattando il myproxy server Proxy a lungo termine

37 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 37 UI Local WS MyProxy Server GENIUS Server (UI) myproxy-init any grid service myproxy-get-delegation output the Grid execution WEB Browser Autenticazione Grid con MyProxy

38 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 38 Client MyProxyServer Firma il proxy Invia la catena di certificati Il client firma il certificato proxy ed invia la catena di certificati al server. Genera una coppia di chiavi Invia una richiesta di proxy Il Server genera una coppia di chiavi e invia un nuovo certificato proxy (solo la chiave pubblica!) al client. Instaurano un canale TLS autenticato e protetto. Il client stabilisce una connessione TCP col server e inizia il TLS handshake protocol. Il client e il server stabiliscono un canale TLS privato (criptato) per incapsulare il protocollo applicativo di MyProxy. MyProxy delegation protocol

39 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 39 Overview Security –Il problema della Sicurezza in Grid –Accessi e sicurezza Crittografia –Algoritmi Simmetrici –Algoritmi Asimmetrici: PKI Certificati –Firma digitale –Certificati X509 Grid Security –Infrastruttura di sicurezza in Grid –Certificati Proxy –Interfaccia da linea di comando Organizzazioni Virtuali –Concetto di VO e autorizzazione –VOMS, LCAS, LCMAPS

40 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 40 Organizzazioni Virtuali (VO) e autorizzazione Gli utenti Grid DEVONO appartenere ad una organizzazione virtuale –Precedentemente chiamato “gruppo” –Insieme di utenti che collaborano –L’utente deve firmare le linea guida della VO –Dovete essere registrati in un server VO-LDAP (aspettate la notifica!) –Lista di VO supportate:  https://lcg-registrar.cern.ch/virtual_organization.html https://lcg-registrar.cern.ch/virtual_organization.html Le VO mantengono una lista dei loro membri su un LDAP Server –La lista è scaricata dalle macchine grid per mappare i subject dei certificati utenti ad un “pool” di accounts locali. –I siti decidono quale VO accettare "/C=CH/O=CERN/OU=GRID/CN=Simone Campana 7461".dteam "/C=CH/O=CERN/OU=GRID/CN=Andrea Sciaba 8968".cms "/C=CH/O=CERN/OU=GRID/CN=Patricia Mendez Lorenzo-ALICE".alice

41 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 41 VOMS : concetti Virtual Organization Membership Service –Estende il proxy con info relative a VO membership, gruppi, ruoli –Pienamente compatibile con Globus Toolkit –Ogni VO ha un database contenente informazioni relative a appartenenza ad un gruppo, ruolo e capabilities per ogni utente –L’utente contatta il voms server per avere le sue info di autorizzazione –Il server invia le info di autorizzazione al client, il quale le include in un proxy –voms-proxy-init output: proxy con info su VO membership, gruppo, ruolo and capabilities (login alla Grid!) [glite-tutor] /home/giorgio > voms-proxy-init --voms gilda Cannot find file or dir: /home/giorgio/.glite/vomses Your identity: /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Emidio Giorgio/Email=emidio.giorgio@ct.infn.it Enter GRID pass phrase: Your proxy is valid until Mon Jan 30 23:35:51 2006 Creating temporary proxy.................................Done Contacting voms.ct.infn.it:15001 [/C=IT/O=GILDA/OU=Host/L=INFN Catania/CN=voms.ct.infn.it/Email=emidio.giorgio@ct.infn.it ] "gilda" Creating proxy...................................... Done Your proxy is valid until Mon Jan 30 23:35:51 2006

42 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 42 Acronimo di Fully Qualified Attribute Name, è la struttura dati utilizzata dal VOMS per esprimere membership e le altre info di autorizzazione Appartenenza ad un gruppo, ruoli e capabilities devono essere espressi nel seguente formato /Role=[ ][/Capability= ] FQAN sono inclusi in un Attribute Certificate (AC) Attribute Certificates sono utilizzati per associare un set di attributi (come membership, ruoli, info di autorizzazione etc) con un’identità AC sono firmati digitalmente VOMS utilizza AC per includere gli attributi di un utente in un certificato proxy [glite-tutor] /home/giorgio > voms-proxy-info -fqan /gilda/Role=NULL/Capability=NULL /gilda/tutors/Role=NULL/Capability=NULL FQAN e AC

43 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 43 Il server crea e firma un AC contenente il FQAN richiesto dall’utente, se applicabile (voms-proxy-init --voms gilda:/gilda/tutors) L’AC è incluso dal client in estensioni ben definite, non critiche, assicurando la compatibilità con i meccanismi di GT A livello di risorse, le info di autorizzazione sono estratte dal proxy e processate dal LCAS e dal LCMAPS /home/giorgio > voms-proxy-info -all subject : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Emidio Giorgio/Email=emidio.giorgio@ct.infn.it/CN=proxy issuer : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Emidio Giorgio/Email=emidio.giorgio@ct.infn.it identity : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Emidio Giorgio/Email=emidio.giorgio@ct.infn.it type : proxy strength : 512 bits path : /tmp/x509up_u513 timeleft : 11:59:52 === VO gilda extension information === VO : gilda subject : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Emidio Giorgio/Email=emidio.giorgio@ct.infn.it issuer : /C=IT/O=GILDA/OU=Host/L=INFN Catania/CN=voms.ct.infn.it/Email=emidio.giorgio@ct.infn.it attribute : /gilda/tutors/Role=NULL/Capability=NULL attribute : /gilda/Role=NULL/Capability=NULL timeleft : 11:59:45 VOMS e AC

44 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 44 A livello di risorsa, le info di autorizzazione sono estratte dal proxy e processata dal LCAS e LCMAPS Local Centre Authorization Service (LCAS) –Controlla se l’utente è autorizzato (attualmente utilizzando il grid- mapfile) –Controlla se all’utente è vietato l’accesso al sito –Controlla se in quel momento il sito accetta job Local Credential Mapping Service (LCMAPS) –Mappa le credenziali “grid” alle credenziali locali (eg. UNIX uid/gid, AFS tokens, etc.) –Mappa inoltre i gruppi ed i ruoli VOMS (pieno supporto di FQAN) "/VO=cms/GROUP=/cms".cms "/VO=cms/GROUP=/cms/prod".cmsprod "/VO=cms/GROUP=/cms/prod/ROLE=manager".cmsprodman LCAS & LCMAPS

45 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 45 File del certificato utente: –Certificato:X509_USER_CERT (default: $HOME/.globus/usercert.pem ) –Chiave privata: X509_USER_KEY (default: $HOME/.globus/userkey.pem ) –Proxy:X509_USER_PROXY (default: /tmp/x509up_u ) File del certificato dell’Host: –Certificato X509_HOST_CERT (default: /etc/grid- security/hostcert.pem ) –Chiave privata X509_HOST_KEY (default: /etc/grid- security/hostkey.pem ) Certificati della CA fidate (Trusted) : – X509_CERT_DIR (default: /etc/grid-security/certificates ) Chiavi pubbliche dei Voms server –X509_VOMS_DIR (default: /etc/grid-security/vomsdir ) Variabili di ambiente GSI

46 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Authorized e Authonticated, Rome, 18-21 April 2006 46 Grid LCG Security: http://proj-lcg-security.web.cern.ch/proj-lcg-security/ LCG Registration: http://lcg-registrar.cern.ch / Globus Security: http://www.globus.org/security/ VOMS: http://infnforge.cnaf.infn.it/projects/vomsBackground GGF Security: http://www.gridforum.org/security/ IETF PKIX charter: http://www.ietf.org/html.charters/pkix-charter.html PKCS: http://www.rsasecurity.com/rsalabs/pkcs/index.html Ulteriori informazioni

Scaricare ppt "EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Authorization and Authentication Riccardo."

Presentazioni simili

Prof: Stefano Bistarelli

Prof: Stefano Bistarelli
EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
Microsoft Visual Basic MVP

Microsoft Visual Basic MVP
Configuring Network Access

Configuring Network Access
Public Key Infrastructure

Public Key Infrastructure
La sicurezza nelle Griglie

La sicurezza nelle Griglie
Prof. Zambetti -Majorana © 2008

Prof. Zambetti -Majorana © 2008
Analisi e sperimentazione di una Certification Authority

Analisi e sperimentazione di una Certification Authority
PKI e loro implementazione Corso di Sisitemi Informativi Teledidattico A.A. 2006/07 www.caslab.units.it.

PKI e loro implementazione Corso di Sisitemi Informativi Teledidattico A.A. 2006/07
1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.

1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.
Layered Grid Architecture. Application Fabric “Controlling elements locally”: Access to, & control of, resources Connectivity “Talking to Grid elements”:

Layered Grid Architecture. Application Fabric “Controlling elements locally”: Access to, & control of, resources Connectivity “Talking to Grid elements”:
Tecnologie di Sicurezza in Internet APPLICAZIONI Public Key Infrastructures AA 2009-2010 Ingegneria Informatica e dell’Automazione.

Tecnologie di Sicurezza in Internet APPLICAZIONI Public Key Infrastructures AA Ingegneria Informatica e dell’Automazione.
Introduzione ai servizi Grid e relativa sicurezza Università di Catania – Fac. Di Ingegneria Emilio Mastriani– Consorzio COMETA

Introduzione ai servizi Grid e relativa sicurezza Università di Catania – Fac. Di Ingegneria Emilio Mastriani– Consorzio COMETA
FESR www.trigrid.it Trinacria Grid Virtual Laboratory Esercitazione sulla Security Dario Russo INFN Catania Catania, 14 Marzo 2006.

FESR Trinacria Grid Virtual Laboratory Esercitazione sulla Security Dario Russo INFN Catania Catania, 14 Marzo 2006.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.

Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
Overview del middleware gLite Guido Cuscela INFN-Bari II Corso di formazione INFN su aspetti pratici dell'integrazione.

Overview del middleware gLite Guido Cuscela INFN-Bari II Corso di formazione INFN su aspetti pratici dell'integrazione.
FESR www.trigrid.it Trinacria Grid Virtual Laboratory La sicurezza dei dati in ambiente Trigrid Giordano Scuderi.

FESR Trinacria Grid Virtual Laboratory La sicurezza dei dati in ambiente Trigrid Giordano Scuderi.
FESR www.trigrid.it Trinacria Grid Virtual Laboratory Sicurezza nelle griglie Fabio Scibilia INFN - Catania Tutorial ITIS Acireale Acireale, 04.05.2007.

FESR Trinacria Grid Virtual Laboratory Sicurezza nelle griglie Fabio Scibilia INFN - Catania Tutorial ITIS Acireale Acireale,
INFN-AAI per il Servizio Sistema Informativo Dael Maselli Frascati, 10/07/2012 Riunione plenaria del Servizio Sistema Informativo.

INFN-AAI per il Servizio Sistema Informativo Dael Maselli Frascati, 10/07/2012 Riunione plenaria del Servizio Sistema Informativo.
Università degli Studi di Perugia, LS in Informatica Seminario per il corso di Sicurezza Informatica (Prof. S. Bistarelli) Valentina Franzoni I nuovi paradigmi.

Università degli Studi di Perugia, LS in Informatica Seminario per il corso di Sicurezza Informatica (Prof. S. Bistarelli) Valentina Franzoni I nuovi paradigmi.

Presentazioni simili

Annunci Google