Enabling Grids for E-sciencE
Biztonság a gLite-ban
www.eu-egee.org INFSO-RI-222667
Mi a Grid biztonság? Enabling Grids for E-sciencE
A Grid probléma lehetővé tenni „koordinált erőforrás megosztást és probléma megoldást dinamikus több szervezeti egységből álló virtuális szervezetekben.” ”A Grid anatómiája” Ian Foster, Carl Kesselman, Steven Tuecke
• A Grid-nek lehetővé kell tenni a VO koncepciót • Milyen biztonság kell VO szinten?
INFSO-RI-222667
2
A virtuális szervezet koncepciója Enabling Grids for E-sciencE
• VO minden alkalmazás, terhelés vagy közösség száméra • Egy bizonyos erőforrás rész kijelölése egy vagy egy csoport felhasználónak • Dinamikus rész kifejezése … INFSO-RI-222667
3
Problémák hálózati szinten Enabling Grids for E-sciencE
Felhasználó
Grid szolgáltatás
A Grid résztvevői az Interneten kommunikálnak • Hogyan lehet a kommunikációs végpontokat azonosítani? – Authentication
• Hogyan lehet egy biztonságos csatornát felépíteni két végpont között? – Titkosítás – Letagadhatatlanság – Integritás
INFSO-RI-222667
4
Problémák VO szinten Enabling Grids for E-sciencE
Felhasználó
Bróker
Számítási egység
Tárolási egység
• Melyik hálózati entitás tartozik hozzá a VO-hoz? Melyik nem? • Mit szabad egy VO tagnak tenni? – Hozzáférés engedélyezés
• Hogyan tud egy szolgáltatás a felhasználó nevében fellépni? – Hogyan tud a bróker hozzáférni a „felhasználó site-jáhzo”? – Hogyan tud egy bróker által indított feladat hozzáférni a felhasználó privát adataihoz? INFSO-RI-222667
5
Biztonsági infrastruktúra Enabling Grids for E-sciencE
Biztonság hálózati szinten: Nyilvános kulcsú infrastuktúra (PKI)
INFSO-RI-222667
7
A nyilvános kulcsú infrastruktúra alapjai Enabling Grids for E-sciencE
•
Minden hálózati entitás (felhasználó/gép/software) rendelkezik két kulccsal: egy privát és nyilvános kulccsal
Sanyi kulcsa
– Lehetetlen megszerezni a privát kulcsot a nyilvánosból – Egy kulcs által titkosított üzenetet csak a másik kulccsal lehet visszafejteni.
•
Koncepció: – A nyilvános kulcsokat kicseréljük – A küldő a fogadó nyilvános kulcsával titkosít
– A fogadó a saját titkos kulcsával fejti vissza az üzenetet INFSO-RI-222667
nyilvános Béla ciao
Sanyi 3$r
Béla bye
titkos 3$r
ciao
Sanyi %i4
%i4
bye
9
PKI működése Enabling Grids for E-sciencE
• Titkosítás – Titkosítás a fogadó nyilvános kulcsával – Csak egy fogadó tudja megfejteni az üzenetet Béla ciao
Sanyi 3$r
3$r
Sanyi kulcsa
nyilvános
titkos
ciao
• Letagadhatatlanság – Naiv megközelítés: az üzenet titkosítása a küldő privát kulcsával Hosszú üzeneteknél túl költséges
– Megoldás: Az üzenet ellenőrző összegének előállítása Az ellenőrző összeg titkosítása a küldő privát kulcsával Titkosított ellenőrző összeg hozzáfűzése az üzenthez Digitális aláírás
üzenet
Digitális aláírás
Hash A
Digitális aláírás
– Járulékos haszon: Integritás INFSO-RI-222667
10
PKI működés közben Enabling Grids for E-sciencE
Sanyi
Sanyi kulcsai üzenet
titkos nyilvános
Hash A Digitális aláírás
Kölcsönös hitelesítés és nyilvános kulcscsere: SSL protokoll
üzenet
Digitális aláírás
Béla
Béla kulcsai üzenet
Hash B
üzenet
=?
titkos nyilvános INFSO-RI-222667
Hash A
Digitális aláírás
Entitás identitás Enabling Grids for E-sciencE
• Mivel csak nekem van hozzáférésem a privát kulcsomhoz biztos lehetsz benne, hogy én írtam alá a dokumentumot • De honnan tudod, hogy a jó nyilvános kulcsom van nálad?
INFSO-RI-222667
?
12
Nyilvános és titkos kulcsok Enabling Grids for E-sciencE
• A nyilvános kulcsot egy tanúsítvány tartalmazza • A tanúsítványokat egy mindenki által megbízott harmadik fél készíti (CA)
• A titkos kulcsot egy jelszóval védett fájl tartalmazza • A privát kulcsot a felhasználó hozza létre
Certificate
Public key Subject:/C=HU/O=NIIF CA/OU=GRID/OU=BME/CN=Mezga Gezas/
[email protected] Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CA Expiration date: Aug 26 08:08:14 2008 GMT Serial number: 625 (0x271) Optional Extensions
CA Digital signature INFSO-RI-222667
1. A nyilvános kulcs és meta információk ellenőrző összege, 2. Titkosítva a CA titkos kulcsával 13
Privát kulcs és tanúsítvány Enabling Grids for E-sciencE
• A titkos kulcs és a tanúsítvány helyei: – Böngészőben tárolva – Fájlokban tárolva különböző formátumokban (PEM, P12, …)
[test@glite-tutor test]$ ls -l .globus/ total 8 -rw-r--r-1 test users 1761 Oct 25 -r-------1 test users 951 Oct 24
2006 usercert.pem 2006 userkey.pem
Ha valaki használja a te tanúsítványodat, akkor nem lehet letagadni, hogy nem te voltál. INFSO-RI-222667
15
Problémák hálózati szinten Enabling Grids for E-sciencE
Felhasználó
Grid szolgáltatás
A VO tagjai az Interneten kommunikálnak • Hogyan lehet a kommunikációs végpontokat azonosítani? – Hitelesítés
• Hogyan lehet egy biztonságos csatornát létrehozni a két fél között?
– Titkosítás – Letagadhatatlanság – Integritás INFSO-RI-222667
16
Biztonsági infrastruktúra/2 Enabling Grids for E-sciencE
Biztonság VO szinten
INFSO-RI-222667
17
Grid szolgáltatások ~ ágensek: Delegáció szükségessége
Enabling Grids for E-sciencE
Felhasználó
Indítsd el a feladatot a legjobb erőforráson a biomed VO-ban
Bróker
Távoli eljárás létrehozási kérelem* - Felhasználó hitelesítés és engedélyezés - Folyamat létrehozás
Site A Számítási egység Process Folyamat
- Felhasználó hitelesítés és engedélyezés - Folyamat létrehozás Site B
Távoli eljárás létrehozási kérelem *
Számítási egység Process
Távoli fájl hozzáférés*
Folyamat
Site C * Kölcsönös hitelesítéssel
INFSO-RI-222667
Tárolási egység
- Felhasználó hitelesítés és engedélyezés - Fájl hozzáférés 18
Delegáció korlátozott érv. proxival Enabling Grids for E-sciencE
• Delegáció – lehetővé teszi, hogy távoli folyamat vagy szolgáltatás hitelesítse magát a felhasználó nevében • Távoli folyamat/szolgáltatás „megszemélyesíti” a felhasználót • Megoldás: Egy újabb szintű kulcs – tanúsítvány létrehozása a felhasználó tanúsítványából – – – –
Az új kulcs-pár egy egyszerű fájl: Proxy credential A proxy titkos kulcsát nem védi jelszó A proxy korlátozható az elvégezető műveletek terén A proxynak korlátozott az időbeli érvényessége
INFSO-RI-222667
Proxy működés közben Enabling Grids for E-sciencE
Egyszeri bejelentkezés &
Bróker
Felhasználó Távoli eljárás létrehozási kérelem *
Proxy credential
Hitelesítés GSI-enabled GSI-enabled Helyi felhasználó hozzárendelés Site A Site B server server Folyamat létrehozása Generate credentials Számítási Távoli eljárás Számítási egység egység létrehozási kérelem * Folyamat Process Proxy credential
Távoli fájl hozzáférés kérelem *
Site C
Proxy credential
GSI-enabled Tárolási egység
Storage Element INFSO-RI-222667
20
Enabling Grids for E-sciencE
Bejelentkezés a Gridbe: Proxy létrehozása
[denes@ui ~]$ voms-proxy-init --voms gilda Your identity: /C=HU/O=NIIF CA/OU=GRID/OU=BME/CN=Nemeth Denes/
[email protected] Creating temporary proxy .................................................. Done Contacting voms.ct.infn.it:15001 [/C=IT/O=INFN/OU=Host/L=Catania/CN=voms.ct.infn.it] "gilda" Done Creating proxy ..................................... Done Your proxy is valid until Mon Oct 6 22:39:09 2008
% voms-proxy-init bejelentkezés a Gridbe Enter PEM pass phrase: ****** A titkos kulcsot egy jelszó védi
% voms-proxy-destroy kijelentkezés a Gridből A delegált credentialok nem kerülnek visszavonásra
INFSO-RI-222667