Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Bezpečnost v Gridech Daniel Kouřil EGEE kurz.

ZveřejnilEma Švecová

Podobné prezentace

Prezentace na téma: "EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Bezpečnost v Gridech Daniel Kouřil EGEE kurz."— Transkript prezentace:

1 EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Bezpečnost v Gridech Daniel Kouřil EGEE kurz 12. prosince 2006

2 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Proč bezpečnost Ochrana uživatele –citlivá data –ochrana výzkumu Ochrana majitele prostředků –iniciace dDoS, spamový robot, lokální síť, warez archiv Ochrana virtuální organizace –middleware (plánovač, systém souborů,...) –přístup k mnoha CE, SE (viz současný stav EGEE)

3 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Bezpečnostní mechanismy Autentizace –přihlášení do gridu –Single Sign-On Autorizace Ochrana dat Transparentnost pro uživatele

4 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Bezpečnost v METACentru Od počátku autentizace heslem –Kerberos  centrální správa hesel  lístky, AFS tokeny Přihlášení k METACentru, vytvoření lístků –explicitní – kinit, GUI –implicitní – ssh Ochrana komunikace přes Kerberos –ssh, krb-telnet, pbs, AFS –autorizace přes ~/.k5login, AFS PTS Nástup PKI, HW tokenů

5 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Infrastruktura veřejných klíčů Digitální certifikát (veřejný klíč) a odpovídající soukromý klíč Elektronický podpis, šifrování –asymetrická kryptografie Certifikát lze libovolně šířit, soukromý klíč musí zůstat utajen Certifikát je svázán s uživatelem: –identifikace uživatele (jméno, příjmení, instituce) –platnost (zpravidla jeden rok) –dodatečné informace (emailová adresa) –veřejný klíč uživatele –elektronický podpis CA

6 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Certifikační autorita Vydává digitální certifikáty uživatelům Autentizace uživatele –pomocí digitálního certifikátu a soukromého klíče Ověřovatel certifikátu důvěřuje CA –podpis CA na certifikátu je dostatečný pro identifikaci Formální politika CA –popis procedur pro vydávání certifikátů apod. –její kvalita ovlivňuje úroveň akceptování jejich certifikátů International Grid Trust Federation (IGTF) –vyhodnocování a akreditace CA –základ většiny gridových projektů  certifikát od akreditované CA je zpravidla nutností –CESNET CA

7 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 CESNET CA IGTF akreditovaná CA certifikáty pro uživatele z českých akademických institucí on-line vydávání certifikátů přes webové rozhraní a prohlížeč –není potřeba generovat žádosti přes příkazovou řádku Pro vydání certifikátu je nutné prokázat identitu (OP, Pas) a příslušnost k akademické organizaci Dvě registrační místa (Praha a Brno) –ověřování identity uživatele

8 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 CESNET CA Získání digitálního certifikátu: 1.registrace žádosti o certifikát na https://lai.cesnet.cz/ 2.potvrzení všech emailových adres uvedených v žádosti 3.osobní návštěva registrační autority –výsledkem je získání kódů pro generování certifikátu 4.vygenerování certifikátu přes www.cesnet-ca.czwww.cesnet-ca.cz –vyplnění kódů do formuláře –(výběr úložiště certifikátů a soukromého klíče) –Prodloužení platnosti 1.elektronicky podepsat notifikační mail –CESNET CA posílá notifikace měsíc před vypršením 2.CESNET CA vrátí kódy v zašifrovaném mailu 3.pokračovat bodem 4. výše

9 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 PKI v Gridech PKI je nejčastější autentizační mechanismus v gridech Proxy certifikáty –podpora SSO a delegování –zobecnění principu CA – uživatel podepisuje další certifikáty  uživatel může vytvořit pouze proxy pro svou identitu  libovolně dlouhý řetěz proxy certifikátů –pouze krátkodobé (8 hodin) –proxy certifikát je uložen na disku nešifrovaně VOMS –atributová služba, správa skupin a rolí v rámcí VO –atributy jsou ukládány uvnitř proxy certifikátů Přihlášení do gridu = vytvoření proxy certifikátu

10 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 Správa soukromých klíčů Narozdíl od hesla soukromý klíč je na disku –příslušný soubor bývá zašifrován Nebezpečí kompromitování –nesprávná přístupová práva, slabé heslo, kompromitovaný administrátor,... Úložiště klíčů –on-line credentials repository (MyProxy) –vydávají pouze krátkodobé certifikáty (proxy) –autentizace heslem, OTP, Kerberovským lístkem Čipové karty –specializovaná HW zařízení s chráněnou pamětí a procesorem –kryptografické operace prování přímo token  soukromý klíč nikdy neopustí paměť tokenu –upravené aplikace

11 Enabling Grids for E-sciencE EGEE-II INFSO-RI-031688 HW tokeny Distribuce tokenů pro české gridové uživatele Uživatelům METACentra/EGEE propůjčujeme HW tokeny vlastní vývoj –GUI, Putty & WinSCP pro Windows –balíčky pro Linux

Stáhnout ppt "EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Bezpečnost v Gridech Daniel Kouřil EGEE kurz."

Podobné prezentace

Zajištění bezpečnosti stránek při e-bankingu

Zajištění bezpečnosti stránek při e-bankingu
Enterprise řešení pro elektronický podpis VerisignIT

Enterprise řešení pro elektronický podpis VerisignIT
Elektronické bankovnictví České spořitelny 2007

Elektronické bankovnictví České spořitelny 2007
jak to funguje ? MUDr.Zdeněk Hřib

jak to funguje ? MUDr.Zdeněk Hřib
Elektronický podpis.

Elektronický podpis.
INFSO-RI-508833 Enabling Grids for E-sciencE www.eu-egee.org VOCE Status Jan Kmuníček CESNET, Česká republika.

INFSO-RI Enabling Grids for E-sciencE VOCE Status Jan Kmuníček CESNET, Česká republika.
INFSO-RI-508833 Enabling Grids for E-sciencE www.eu-egee.org Aktuální způsob využití EGEE zdrojů Jan Kmuníček Pokročilý seminář EGEE, 16. prosince 2004.

INFSO-RI Enabling Grids for E-sciencE Aktuální způsob využití EGEE zdrojů Jan Kmuníček Pokročilý seminář EGEE, 16. prosince 2004.
INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org Project EGEE-II / VOCE Jan Kmuníček CESNET.

INFSO-RI Enabling Grids for E-sciencE Project EGEE-II / VOCE Jan Kmuníček CESNET.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.

ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Požadované vybavení pro připojení a komunikaci s IS OTE (CDS)

Požadované vybavení pro připojení a komunikaci s IS OTE (CDS)
INFSO-RI-508833 Enabling Grids for E-sciencE www.eu-egee.org Úvod do použití Gridů Jan Kmuníček CESNET, Česká republika.

INFSO-RI Enabling Grids for E-sciencE Úvod do použití Gridů Jan Kmuníček CESNET, Česká republika.
Šifrovaná elektronická pošta Petr Hruška

Šifrovaná elektronická pošta Petr Hruška
Meta.cesnet.cz METACentrum – Český národní gridový projekt Projekt METACentrum Jan Kmuníček ÚVT MU & CESNET.

Meta.cesnet.cz METACentrum – Český národní gridový projekt Projekt METACentrum Jan Kmuníček ÚVT MU & CESNET.
Elektronický podpis a jeho dlouhodobé slabiny Jiří Nápravník

Elektronický podpis a jeho dlouhodobé slabiny Jiří Nápravník
INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org Charon Extension Layer (CEL) Jan Kmuníček CESNET.

INFSO-RI Enabling Grids for E-sciencE Charon Extension Layer (CEL) Jan Kmuníček CESNET.
JIP a KAAS Co umí. A co nabízí ve vztahu k základním registrům.

JIP a KAAS Co umí. A co nabízí ve vztahu k základním registrům.
Certifikáty, certifikační autority, certifikační služby, elektronická komunikace První certifikační autorita, a.s. Valtice, 18.dubna 2007.

Certifikáty, certifikační autority, certifikační služby, elektronická komunikace První certifikační autorita, a.s. Valtice, 18.dubna 2007.
VÝUKOVÝ MATERIÁL V RÁMCI PROJEKTU OPVK 1.5 PENÍZE STŘEDNÍM ŠKOLÁM ČÍSLO PROJEKTU:CZ.1.07/1.5.00/34.0883 NÁZEV PROJEKTU:ROZVOJ VZDĚLANOSTI ČÍSLO ŠABLONY:

VÝUKOVÝ MATERIÁL V RÁMCI PROJEKTU OPVK 1.5 PENÍZE STŘEDNÍM ŠKOLÁM ČÍSLO PROJEKTU:CZ.1.07/1.5.00/ NÁZEV PROJEKTU:ROZVOJ VZDĚLANOSTI ČÍSLO ŠABLONY:
JEDINÉ ŘEŠENÍ – OD HESEL K ČIPOVÝM KARTÁM! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.

JEDINÉ ŘEŠENÍ – OD HESEL K ČIPOVÝM KARTÁM! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.
Jednotná autentizace Pavel Dobiš, ICT Security Architect Důvěřujte JEN PROVĚŘENÝM…

Jednotná autentizace Pavel Dobiš, ICT Security Architect Důvěřujte JEN PROVĚŘENÝM…

Podobné prezentace

Reklamy Google