Enabling Grids for E-sciencE
Bezpečnost v Gridech Daniel Kouřil EGEE kurz 12. prosince 2006
www.eu-egee.org EGEE-II INFSO-RI-031688
EGEE and gLite are registered trademarks
Proč bezpečnost Enabling Grids for E-sciencE
• Ochrana uživatele – citlivá data – ochrana výzkumu
• Ochrana majitele prostředků – iniciace dDoS, spamový robot, lokální síť, warez archiv
• Ochrana virtuální organizace – middleware (plánovač, systém souborů, ...) – přístup k mnoha CE, SE (viz současný stav EGEE)
EGEE-II INFSO-RI-031688
Bezpečnostní mechanismy Enabling Grids for E-sciencE
• Autentizace – přihlášení do gridu – Single Sign-On
• Autorizace • Ochrana dat • Transparentnost pro uživatele
EGEE-II INFSO-RI-031688
Bezpečnost v METACentru Enabling Grids for E-sciencE
• Od počátku autentizace heslem – Kerberos § centrální správa hesel § lístky, AFS tokeny
• Přihlášení k METACentru, vytvoření lístků – explicitní – kinit, GUI – implicitní – ssh
• Ochrana komunikace přes Kerberos – ssh, krb-telnet, pbs, AFS – autorizace přes ~/.k5login, AFS PTS
• Nástup PKI, HW tokenů
EGEE-II INFSO-RI-031688
Infrastruktura veřejných klíčů Enabling Grids for E-sciencE
• Digitální certifikát (veřejný klíč) a odpovídající soukromý klíč • Elektronický podpis, šifrování – asymetrická kryptografie
• Certifikát lze libovolně šířit, soukromý klíč musí zůstat utajen • Certifikát je svázán s uživatelem: – – – – –
identifikace uživatele (jméno, příjmení, instituce) platnost (zpravidla jeden rok) dodatečné informace (emailová adresa) veřejný klíč uživatele elektronický podpis CA
EGEE-II INFSO-RI-031688
Certifikační autorita Enabling Grids for E-sciencE
• Vydává digitální certifikáty uživatelům • Autentizace uživatele – pomocí digitálního certifikátu a soukromého klíče
• Ověřovatel certifikátu důvěřuje CA – podpis CA na certifikátu je dostatečný pro identifikaci
• Formální politika CA – popis procedur pro vydávání certifikátů apod. – její kvalita ovlivňuje úroveň akceptování jejich certifikátů
• International Grid Trust Federation (IGTF) – vyhodnocování a akreditace CA – základ většiny gridových projektů § certifikát od akreditované CA je zpravidla nutností
– CESNET CA EGEE-II INFSO-RI-031688
CESNET CA Enabling Grids for E-sciencE
• • •
IGTF akreditovaná CA certifikáty pro uživatele z českých akademických institucí on-line vydávání certifikátů přes webové rozhraní a prohlížeč – není potřeba generovat žádosti přes příkazovou řádku
• •
Pro vydání certifikátu je nutné prokázat identitu (OP, Pas) a příslušnost k akademické organizaci Dvě registrační místa (Praha a Brno) – ověřování identity uživatele
EGEE-II INFSO-RI-031688
CESNET CA Enabling Grids for E-sciencE
•
Získání digitálního certifikátu: 1. registrace žádosti o certifikát na https://lai.cesnet.cz/ 2. potvrzení všech emailových adres uvedených v žádosti 3. osobní návštěva registrační autority – výsledkem je získání kódů pro generování certifikátu
4. vygenerování certifikátu přes www.cesnet-ca.cz – vyplnění kódů do formuláře – (výběr úložiště certifikátů a soukromého klíče)
– Prodloužení platnosti 1. elektronicky podepsat notifikační mail – CESNET CA posílá notifikace měsíc před vypršením
2. CESNET CA vrátí kódy v zašifrovaném mailu 3. pokračovat bodem 4. výše
EGEE-II INFSO-RI-031688
PKI v Gridech Enabling Grids for E-sciencE
• •
PKI je nejčastější autentizační mechanismus v gridech Proxy certifikáty – podpora SSO a delegování – zobecnění principu CA – uživatel podepisuje další certifikáty § uživatel může vytvořit pouze proxy pro svou identitu § libovolně dlouhý řetěz proxy certifikátů
– pouze krátkodobé (8 hodin) – proxy certifikát je uložen na disku nešifrovaně
•
•
VOMS – atributová služba, správa skupin a rolí v rámcí VO – atributy jsou ukládány uvnitř proxy certifikátů Přihlášení do gridu = vytvoření proxy certifikátu
EGEE-II INFSO-RI-031688
Správa soukromých klíčů Enabling Grids for E-sciencE
• Narozdíl od hesla soukromý klíč je na disku – příslušný soubor bývá zašifrován
• Nebezpečí kompromitování – nesprávná přístupová práva, slabé heslo, kompromitovaný administrátor, ...
• Úložiště klíčů – on-line credentials repository (MyProxy) – vydávají pouze krátkodobé certifikáty (proxy) – autentizace heslem, OTP, Kerberovským lístkem
• Čipové karty – specializovaná HW zařízení s chráněnou pamětí a procesorem – kryptografické operace prování přímo token § soukromý klíč nikdy neopustí paměť tokenu
– upravené aplikace EGEE-II INFSO-RI-031688
HW tokeny Enabling Grids for E-sciencE
• • •
Distribuce tokenů pro české gridové uživatele Uživatelům METACentra/EGEE propůjčujeme HW tokeny vlastní vývoj – GUI, Putty & WinSCP pro Windows – balíčky pro Linux
EGEE-II INFSO-RI-031688
