EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Bezpečnost v Gridech Daniel Kouřil EGEE kurz 12. prosince 2006
Enabling Grids for E-sciencE EGEE-II INFSO-RI Proč bezpečnost Ochrana uživatele –citlivá data –ochrana výzkumu Ochrana majitele prostředků –iniciace dDoS, spamový robot, lokální síť, warez archiv Ochrana virtuální organizace –middleware (plánovač, systém souborů,...) –přístup k mnoha CE, SE (viz současný stav EGEE)
Enabling Grids for E-sciencE EGEE-II INFSO-RI Bezpečnostní mechanismy Autentizace –přihlášení do gridu –Single Sign-On Autorizace Ochrana dat Transparentnost pro uživatele
Enabling Grids for E-sciencE EGEE-II INFSO-RI Bezpečnost v METACentru Od počátku autentizace heslem –Kerberos centrální správa hesel lístky, AFS tokeny Přihlášení k METACentru, vytvoření lístků –explicitní – kinit, GUI –implicitní – ssh Ochrana komunikace přes Kerberos –ssh, krb-telnet, pbs, AFS –autorizace přes ~/.k5login, AFS PTS Nástup PKI, HW tokenů
Enabling Grids for E-sciencE EGEE-II INFSO-RI Infrastruktura veřejných klíčů Digitální certifikát (veřejný klíč) a odpovídající soukromý klíč Elektronický podpis, šifrování –asymetrická kryptografie Certifikát lze libovolně šířit, soukromý klíč musí zůstat utajen Certifikát je svázán s uživatelem: –identifikace uživatele (jméno, příjmení, instituce) –platnost (zpravidla jeden rok) –dodatečné informace ( ová adresa) –veřejný klíč uživatele –elektronický podpis CA
Enabling Grids for E-sciencE EGEE-II INFSO-RI Certifikační autorita Vydává digitální certifikáty uživatelům Autentizace uživatele –pomocí digitálního certifikátu a soukromého klíče Ověřovatel certifikátu důvěřuje CA –podpis CA na certifikátu je dostatečný pro identifikaci Formální politika CA –popis procedur pro vydávání certifikátů apod. –její kvalita ovlivňuje úroveň akceptování jejich certifikátů International Grid Trust Federation (IGTF) –vyhodnocování a akreditace CA –základ většiny gridových projektů certifikát od akreditované CA je zpravidla nutností –CESNET CA
Enabling Grids for E-sciencE EGEE-II INFSO-RI CESNET CA IGTF akreditovaná CA certifikáty pro uživatele z českých akademických institucí on-line vydávání certifikátů přes webové rozhraní a prohlížeč –není potřeba generovat žádosti přes příkazovou řádku Pro vydání certifikátu je nutné prokázat identitu (OP, Pas) a příslušnost k akademické organizaci Dvě registrační místa (Praha a Brno) –ověřování identity uživatele
Enabling Grids for E-sciencE EGEE-II INFSO-RI CESNET CA Získání digitálního certifikátu: 1.registrace žádosti o certifikát na 2.potvrzení všech ových adres uvedených v žádosti 3.osobní návštěva registrační autority –výsledkem je získání kódů pro generování certifikátu 4.vygenerování certifikátu přes –vyplnění kódů do formuláře –(výběr úložiště certifikátů a soukromého klíče) –Prodloužení platnosti 1.elektronicky podepsat notifikační mail –CESNET CA posílá notifikace měsíc před vypršením 2.CESNET CA vrátí kódy v zašifrovaném mailu 3.pokračovat bodem 4. výše
Enabling Grids for E-sciencE EGEE-II INFSO-RI PKI v Gridech PKI je nejčastější autentizační mechanismus v gridech Proxy certifikáty –podpora SSO a delegování –zobecnění principu CA – uživatel podepisuje další certifikáty uživatel může vytvořit pouze proxy pro svou identitu libovolně dlouhý řetěz proxy certifikátů –pouze krátkodobé (8 hodin) –proxy certifikát je uložen na disku nešifrovaně VOMS –atributová služba, správa skupin a rolí v rámcí VO –atributy jsou ukládány uvnitř proxy certifikátů Přihlášení do gridu = vytvoření proxy certifikátu
Enabling Grids for E-sciencE EGEE-II INFSO-RI Správa soukromých klíčů Narozdíl od hesla soukromý klíč je na disku –příslušný soubor bývá zašifrován Nebezpečí kompromitování –nesprávná přístupová práva, slabé heslo, kompromitovaný administrátor,... Úložiště klíčů –on-line credentials repository (MyProxy) –vydávají pouze krátkodobé certifikáty (proxy) –autentizace heslem, OTP, Kerberovským lístkem Čipové karty –specializovaná HW zařízení s chráněnou pamětí a procesorem –kryptografické operace prování přímo token soukromý klíč nikdy neopustí paměť tokenu –upravené aplikace
Enabling Grids for E-sciencE EGEE-II INFSO-RI HW tokeny Distribuce tokenů pro české gridové uživatele Uživatelům METACentra/EGEE propůjčujeme HW tokeny vlastní vývoj –GUI, Putty & WinSCP pro Windows –balíčky pro Linux