Biztonság a glite-ban

Enabling Grids for E-sciencE

Biztonság a gLite-ban

www.eu-egee.org INFSO-RI-222667

Mi a Grid biztonság? Enabling Grids for E-sciencE

A Grid probléma lehetővé tenni „koordinált erőforrás megosztást és probléma megoldást dinamikus több szervezeti egységből álló virtuális szervezetekben.” ”A Grid anatómiája” Ian Foster, Carl Kesselman, Steven Tuecke

• A Grid-nek lehetővé kell tenni a VO koncepciót • Milyen biztonság kell VO szinten?

INFSO-RI-222667

2

A virtuális szervezet koncepciója Enabling Grids for E-sciencE

• VO minden alkalmazás, terhelés vagy közösség száméra • Egy bizonyos erőforrás rész kijelölése egy vagy egy csoport felhasználónak • Dinamikus rész kifejezése … INFSO-RI-222667

3

Problémák hálózati szinten Enabling Grids for E-sciencE

Felhasználó

Grid szolgáltatás

A Grid résztvevői az Interneten kommunikálnak • Hogyan lehet a kommunikációs végpontokat azonosítani? – Authentication

• Hogyan lehet egy biztonságos csatornát felépíteni két végpont között? – Titkosítás – Letagadhatatlanság – Integritás

INFSO-RI-222667

4

Problémák VO szinten Enabling Grids for E-sciencE

Felhasználó

Bróker

Számítási egység

Tárolási egység

• Melyik hálózati entitás tartozik hozzá a VO-hoz? Melyik nem? • Mit szabad egy VO tagnak tenni? – Hozzáférés engedélyezés

• Hogyan tud egy szolgáltatás a felhasználó nevében fellépni? – Hogyan tud a bróker hozzáférni a „felhasználó site-jáhzo”? – Hogyan tud egy bróker által indított feladat hozzáférni a felhasználó privát adataihoz? INFSO-RI-222667

5

Biztonsági infrastruktúra Enabling Grids for E-sciencE

Biztonság hálózati szinten: Nyilvános kulcsú infrastuktúra (PKI)

INFSO-RI-222667

7

A nyilvános kulcsú infrastruktúra alapjai Enabling Grids for E-sciencE

•

Minden hálózati entitás (felhasználó/gép/software) rendelkezik két kulccsal: egy privát és nyilvános kulccsal

Sanyi kulcsa

– Lehetetlen megszerezni a privát kulcsot a nyilvánosból – Egy kulcs által titkosított üzenetet csak a másik kulccsal lehet visszafejteni.

•

Koncepció: – A nyilvános kulcsokat kicseréljük – A küldő a fogadó nyilvános kulcsával titkosít

– A fogadó a saját titkos kulcsával fejti vissza az üzenetet INFSO-RI-222667

nyilvános Béla ciao

Sanyi 3$r

Béla bye

titkos 3$r

ciao

Sanyi %i4

%i4

bye

9

PKI működése Enabling Grids for E-sciencE

• Titkosítás – Titkosítás a fogadó nyilvános kulcsával – Csak egy fogadó tudja megfejteni az üzenetet Béla ciao

Sanyi 3$r

3$r

Sanyi kulcsa

nyilvános

titkos

ciao

• Letagadhatatlanság – Naiv megközelítés: az üzenet titkosítása a küldő privát kulcsával  Hosszú üzeneteknél túl költséges

– Megoldás:  Az üzenet ellenőrző összegének előállítása  Az ellenőrző összeg titkosítása a küldő privát kulcsával  Titkosított ellenőrző összeg hozzáfűzése az üzenthez  Digitális aláírás

üzenet

Digitális aláírás

Hash A

Digitális aláírás

– Járulékos haszon: Integritás INFSO-RI-222667

10

PKI működés közben Enabling Grids for E-sciencE

Sanyi

Sanyi kulcsai üzenet

titkos nyilvános

Hash A Digitális aláírás

Kölcsönös hitelesítés és nyilvános kulcscsere: SSL protokoll

üzenet

Digitális aláírás

Béla

Béla kulcsai üzenet

Hash B

üzenet

=?

titkos nyilvános INFSO-RI-222667

Hash A

Digitális aláírás

Entitás identitás Enabling Grids for E-sciencE

• Mivel csak nekem van hozzáférésem a privát kulcsomhoz biztos lehetsz benne, hogy én írtam alá a dokumentumot • De honnan tudod, hogy a jó nyilvános kulcsom van nálad?

INFSO-RI-222667

?

12

Nyilvános és titkos kulcsok Enabling Grids for E-sciencE

• A nyilvános kulcsot egy tanúsítvány tartalmazza • A tanúsítványokat egy mindenki által megbízott harmadik fél készíti (CA)

• A titkos kulcsot egy jelszóval védett fájl tartalmazza • A privát kulcsot a felhasználó hozza létre

Certificate

Public key Subject:/C=HU/O=NIIF CA/OU=GRID/OU=BME/CN=Mezga Gezas/[email protected] Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CA Expiration date: Aug 26 08:08:14 2008 GMT Serial number: 625 (0x271) Optional Extensions

CA Digital signature INFSO-RI-222667

1. A nyilvános kulcs és meta információk ellenőrző összege, 2. Titkosítva a CA titkos kulcsával 13

Privát kulcs és tanúsítvány Enabling Grids for E-sciencE

• A titkos kulcs és a tanúsítvány helyei: – Böngészőben tárolva – Fájlokban tárolva különböző formátumokban (PEM, P12, …)

[test@glite-tutor test]$ ls -l .globus/ total 8 -rw-r--r-1 test users 1761 Oct 25 -r-------1 test users 951 Oct 24

2006 usercert.pem 2006 userkey.pem

Ha valaki használja a te tanúsítványodat, akkor nem lehet letagadni, hogy nem te voltál. INFSO-RI-222667

15

Problémák hálózati szinten Enabling Grids for E-sciencE

Felhasználó

Grid szolgáltatás

A VO tagjai az Interneten kommunikálnak • Hogyan lehet a kommunikációs végpontokat azonosítani? – Hitelesítés



• Hogyan lehet egy biztonságos csatornát létrehozni a két fél között?

 

– Titkosítás – Letagadhatatlanság – Integritás INFSO-RI-222667

 16

Biztonsági infrastruktúra/2 Enabling Grids for E-sciencE

Biztonság VO szinten

INFSO-RI-222667

17

Grid szolgáltatások ~ ágensek: Delegáció szükségessége

Enabling Grids for E-sciencE

Felhasználó

Indítsd el a feladatot a legjobb erőforráson a biomed VO-ban

Bróker

Távoli eljárás létrehozási kérelem* - Felhasználó hitelesítés és engedélyezés - Folyamat létrehozás

Site A Számítási egység Process Folyamat

- Felhasználó hitelesítés és engedélyezés - Folyamat létrehozás Site B

Távoli eljárás létrehozási kérelem *

Számítási egység Process

Távoli fájl hozzáférés*

Folyamat

Site C * Kölcsönös hitelesítéssel

INFSO-RI-222667

Tárolási egység

- Felhasználó hitelesítés és engedélyezés - Fájl hozzáférés 18

Delegáció korlátozott érv. proxival Enabling Grids for E-sciencE

• Delegáció – lehetővé teszi, hogy távoli folyamat vagy szolgáltatás hitelesítse magát a felhasználó nevében • Távoli folyamat/szolgáltatás „megszemélyesíti” a felhasználót • Megoldás: Egy újabb szintű kulcs – tanúsítvány létrehozása a felhasználó tanúsítványából – – – –

Az új kulcs-pár egy egyszerű fájl: Proxy credential A proxy titkos kulcsát nem védi jelszó A proxy korlátozható az elvégezető műveletek terén A proxynak korlátozott az időbeli érvényessége

INFSO-RI-222667

Proxy működés közben Enabling Grids for E-sciencE

Egyszeri bejelentkezés &

Bróker

Felhasználó Távoli eljárás létrehozási kérelem *

Proxy credential

Hitelesítés GSI-enabled GSI-enabled Helyi felhasználó hozzárendelés Site A Site B server server Folyamat létrehozása Generate credentials Számítási Távoli eljárás Számítási egység egység létrehozási kérelem * Folyamat Process Proxy credential

Távoli fájl hozzáférés kérelem *

Site C

Proxy credential

GSI-enabled Tárolási egység

Storage Element INFSO-RI-222667

20

Enabling Grids for E-sciencE

Bejelentkezés a Gridbe: Proxy létrehozása

[denes@ui ~]$ voms-proxy-init --voms gilda Your identity: /C=HU/O=NIIF CA/OU=GRID/OU=BME/CN=Nemeth Denes/[email protected] Creating temporary proxy .................................................. Done Contacting voms.ct.infn.it:15001 [/C=IT/O=INFN/OU=Host/L=Catania/CN=voms.ct.infn.it] "gilda" Done Creating proxy ..................................... Done Your proxy is valid until Mon Oct 6 22:39:09 2008

% voms-proxy-init  bejelentkezés a Gridbe Enter PEM pass phrase: ******  A titkos kulcsot egy jelszó védi

% voms-proxy-destroy  kijelentkezés a Gridből A delegált credentialok nem kerülnek visszavonásra

INFSO-RI-222667