EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Bezpečnost v Gridech Daniel Kouřil EGEE kurz.

Slides:



Advertisements
Podobné prezentace
Zajištění bezpečnosti stránek při e-bankingu
Advertisements

Enterprise řešení pro elektronický podpis VerisignIT
Elektronické bankovnictví České spořitelny 2007
jak to funguje ? MUDr.Zdeněk Hřib
Elektronický podpis.
INFSO-RI Enabling Grids for E-sciencE VOCE Status Jan Kmuníček CESNET, Česká republika.
INFSO-RI Enabling Grids for E-sciencE Aktuální způsob využití EGEE zdrojů Jan Kmuníček Pokročilý seminář EGEE, 16. prosince 2004.
INFSO-RI Enabling Grids for E-sciencE Project EGEE-II / VOCE Jan Kmuníček CESNET.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Požadované vybavení pro připojení a komunikaci s IS OTE (CDS)
INFSO-RI Enabling Grids for E-sciencE Úvod do použití Gridů Jan Kmuníček CESNET, Česká republika.
Šifrovaná elektronická pošta Petr Hruška
Meta.cesnet.cz METACentrum – Český národní gridový projekt Projekt METACentrum Jan Kmuníček ÚVT MU & CESNET.
Elektronický podpis a jeho dlouhodobé slabiny Jiří Nápravník
INFSO-RI Enabling Grids for E-sciencE Charon Extension Layer (CEL) Jan Kmuníček CESNET.
JIP a KAAS Co umí. A co nabízí ve vztahu k základním registrům.
Certifikáty, certifikační autority, certifikační služby, elektronická komunikace První certifikační autorita, a.s. Valtice, 18.dubna 2007.
VÝUKOVÝ MATERIÁL V RÁMCI PROJEKTU OPVK 1.5 PENÍZE STŘEDNÍM ŠKOLÁM ČÍSLO PROJEKTU:CZ.1.07/1.5.00/ NÁZEV PROJEKTU:ROZVOJ VZDĚLANOSTI ČÍSLO ŠABLONY:
JEDINÉ ŘEŠENÍ – OD HESEL K ČIPOVÝM KARTÁM! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.
Jednotná autentizace Pavel Dobiš, ICT Security Architect Důvěřujte JEN PROVĚŘENÝM…
INFORMATIKA 4_5 5. TÝDEN HODINA.
Podnikání na Internetu letní semestr 2004 Jana Holá VIII.
Advanced Technologies 05 Jak zabezpečit váš Web Server Martin Pavlis (MCSE, MCT) Konzultant.
Public Key Infrastructure Přednášky z Distribuovaných systémů Ing. Jiří Ledvina, CSc.
BIS Firewall Roman Danel VŠB – TU Ostrava.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Distribuce dat experimentu ATLAS Jiří Chudoba.
eHealth vs eGovernment : souboj bez vítěze
© 2007 IBM Corporation Duben, 2007 Dokumentová řešení IBM pro státní správu Daniel Beneš.
INFSO-RI Enabling Grids for E-sciencE GENIUS/GILDA Tutorial, Zasílání a správa úloh pomocí příkazové řádky Lukáš Fiala.
Provedení autorizované Ověření provedení autorizovanékonverze Úvodní kurz k problematice datových schránek eGON centrum HOLEŠOV provedení autorizované.
E-podpis ve veřejné správě ISSS Blízká budoucnost e-podpisu ve veřejné správě  Správní řád – správní orgány:  Přijímají podání s elektronickým.
OCHRANA DAT – JEDNODUŠE A ZCELA BEZPEČNĚ! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.,
T - SOFT spol. s r.o. Systém integrované bezpečnosti Mgr. Pavel Hejl, CSc 2007.
EPodpis v souvislostech. Certifikáty veřejného klíče kvalifikovaný certifikát (QC) -> zaručený elektronický podpis kvalifikovaný systémový certifikát.
LCG2 LCG2 software Jiří Kosina. LCG2 – přehled ●... některé slajdy budou podobné loňským... ● ● GRID, který bude sloužit ke zpracování.
1 Elektronický podpis v ČR Bezpečnost IS/IT Jaroslav Malý.
Miroslav Skokan IT Security Consultant
Technické řešení PostSignum QCA
BIS Elektronický podpis Roman Danel VŠB – TU Ostrava.
Blíží se datové schránky,. aneb „Nepropadejte panice!“
Elektronický podpis Ochrana Dat Jan Renner
Uživatel počítačové sítě
David PETR, Kateřina VOISOVÁ
Business Consulting Services © 2005 IBM Corporation 9. ICT Forum, Praha Elektronická daňová správa Klientský přístup k daňovým subjektům.
WEBOVÁ APLIKACE MS2014+ Ing. Josef Šetek Seminář pro SC 3.2 ZVYŠOVÁNÍ EFEKTIVITY A TRANSPARENTNOSTI VEŘEJNÉ SPRÁVY PROSTŘEDNICTVÍM ROZVOJE VYUŽITÍ A KVALITY.
Aplikace MS2014+ Portál IS KP14+.
1 MOBILNÍ ZAŘÍZENÍ V PODNIKOVÝCH SÍTÍCH Petr Janda, ICZ a. s
Aplikace MS2014+ Portál IS KP14+. URL aplikace IS KP pro korektní fungování aplikace je nezbytně nutné dodržovat.
Základy práce s portálem CzechPOINT HW, SW, tokeny, certifikáty, administrace.
Univerzitní informační systém III., Lednice 2004 E-přihlášky Ing. Tomáš Majer
Informační bezpečnost VY_32_INOVACE _BEZP_17.  obdoba klasického podpisu, jež má zaručit jednoznačnou identifikaci osoby v prostředí digitálního světa.
Kerberos ● Bezpečnost zaručená třetí stranou ● Autentikátory, KDC ● Lístky relace ● Lístky na vydávání lístků ● Autentizace mezi doménami ● Dílčí protokoly.
PREZENTUJÍCÍ SSO KV, AD WS Jaroslav Krotký Správa databází a aplikací Odbor informatiky.
Aplikace MS2014+ Portál IS KP14+. URL aplikace IS KP pro korektní fungování aplikace je nezbytně nutné dodržovat.
Aplikace Monitorovací systém
Aplikace Monitorovací systém
Prezentace – X33BMI Petr PROCHÁZKA
Ing. Martin Kořínek eGoncentrum ORP Nový Bydžov
Aplikace zákonů č. 101/2000 Sb. č. 227/2000 Sb.
2OP484 Manažerská informatika 4 Google Suite
Webová aplikace MS2014+ Ing. Josef Šetek
Brno, Ing. Lenka Skopalíková
Aplikace MS2014+ Portál IS KP14+.
Aplikace Monitorovací systém
Aplikace Monitorovací systém
Webová aplikace MS2014+ Ing. Josef Šetek
Zabezpečení www stránek
Legislativní změny na úseku EO, OP, CD
Elektronický (digitální) podpis
Aplikace MS2014+ Portál IS KP14+.
Transkript prezentace:

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Bezpečnost v Gridech Daniel Kouřil EGEE kurz 12. prosince 2006

Enabling Grids for E-sciencE EGEE-II INFSO-RI Proč bezpečnost Ochrana uživatele –citlivá data –ochrana výzkumu Ochrana majitele prostředků –iniciace dDoS, spamový robot, lokální síť, warez archiv Ochrana virtuální organizace –middleware (plánovač, systém souborů,...) –přístup k mnoha CE, SE (viz současný stav EGEE)

Enabling Grids for E-sciencE EGEE-II INFSO-RI Bezpečnostní mechanismy Autentizace –přihlášení do gridu –Single Sign-On Autorizace Ochrana dat Transparentnost pro uživatele

Enabling Grids for E-sciencE EGEE-II INFSO-RI Bezpečnost v METACentru Od počátku autentizace heslem –Kerberos  centrální správa hesel  lístky, AFS tokeny Přihlášení k METACentru, vytvoření lístků –explicitní – kinit, GUI –implicitní – ssh Ochrana komunikace přes Kerberos –ssh, krb-telnet, pbs, AFS –autorizace přes ~/.k5login, AFS PTS Nástup PKI, HW tokenů

Enabling Grids for E-sciencE EGEE-II INFSO-RI Infrastruktura veřejných klíčů Digitální certifikát (veřejný klíč) a odpovídající soukromý klíč Elektronický podpis, šifrování –asymetrická kryptografie Certifikát lze libovolně šířit, soukromý klíč musí zůstat utajen Certifikát je svázán s uživatelem: –identifikace uživatele (jméno, příjmení, instituce) –platnost (zpravidla jeden rok) –dodatečné informace ( ová adresa) –veřejný klíč uživatele –elektronický podpis CA

Enabling Grids for E-sciencE EGEE-II INFSO-RI Certifikační autorita Vydává digitální certifikáty uživatelům Autentizace uživatele –pomocí digitálního certifikátu a soukromého klíče Ověřovatel certifikátu důvěřuje CA –podpis CA na certifikátu je dostatečný pro identifikaci Formální politika CA –popis procedur pro vydávání certifikátů apod. –její kvalita ovlivňuje úroveň akceptování jejich certifikátů International Grid Trust Federation (IGTF) –vyhodnocování a akreditace CA –základ většiny gridových projektů  certifikát od akreditované CA je zpravidla nutností –CESNET CA

Enabling Grids for E-sciencE EGEE-II INFSO-RI CESNET CA IGTF akreditovaná CA certifikáty pro uživatele z českých akademických institucí on-line vydávání certifikátů přes webové rozhraní a prohlížeč –není potřeba generovat žádosti přes příkazovou řádku Pro vydání certifikátu je nutné prokázat identitu (OP, Pas) a příslušnost k akademické organizaci Dvě registrační místa (Praha a Brno) –ověřování identity uživatele

Enabling Grids for E-sciencE EGEE-II INFSO-RI CESNET CA Získání digitálního certifikátu: 1.registrace žádosti o certifikát na 2.potvrzení všech ových adres uvedených v žádosti 3.osobní návštěva registrační autority –výsledkem je získání kódů pro generování certifikátu 4.vygenerování certifikátu přes –vyplnění kódů do formuláře –(výběr úložiště certifikátů a soukromého klíče) –Prodloužení platnosti 1.elektronicky podepsat notifikační mail –CESNET CA posílá notifikace měsíc před vypršením 2.CESNET CA vrátí kódy v zašifrovaném mailu 3.pokračovat bodem 4. výše

Enabling Grids for E-sciencE EGEE-II INFSO-RI PKI v Gridech PKI je nejčastější autentizační mechanismus v gridech Proxy certifikáty –podpora SSO a delegování –zobecnění principu CA – uživatel podepisuje další certifikáty  uživatel může vytvořit pouze proxy pro svou identitu  libovolně dlouhý řetěz proxy certifikátů –pouze krátkodobé (8 hodin) –proxy certifikát je uložen na disku nešifrovaně VOMS –atributová služba, správa skupin a rolí v rámcí VO –atributy jsou ukládány uvnitř proxy certifikátů Přihlášení do gridu = vytvoření proxy certifikátu

Enabling Grids for E-sciencE EGEE-II INFSO-RI Správa soukromých klíčů Narozdíl od hesla soukromý klíč je na disku –příslušný soubor bývá zašifrován Nebezpečí kompromitování –nesprávná přístupová práva, slabé heslo, kompromitovaný administrátor,... Úložiště klíčů –on-line credentials repository (MyProxy) –vydávají pouze krátkodobé certifikáty (proxy) –autentizace heslem, OTP, Kerberovským lístkem Čipové karty –specializovaná HW zařízení s chráněnou pamětí a procesorem –kryptografické operace prování přímo token  soukromý klíč nikdy neopustí paměť tokenu –upravené aplikace

Enabling Grids for E-sciencE EGEE-II INFSO-RI HW tokeny Distribuce tokenů pro české gridové uživatele Uživatelům METACentra/EGEE propůjčujeme HW tokeny vlastní vývoj –GUI, Putty & WinSCP pro Windows –balíčky pro Linux