Bezpečnost v Gridech Daniel Kouřil EGEE kurz 12. prosince 2006 www.eu-egee.org EGEE and glite are registered trademarks
Proč bezpečnost Ochrana uživatele citlivá data ochrana výzkumu Ochrana majitele prostředků iniciace ddos, spamový robot, lokální síť, warez archiv Ochrana virtuální organizace middleware (plánovač, systém souborů,...) přístup k mnoha CE, SE (viz současný stav EGEE)
Autentizace Enabling Grids for E-sciencE přihlášení do gridu Single Sign-On Autorizace Ochrana dat Bezpečnostní mechanismy Transparentnost pro uživatele
Od počátku autentizace heslem Kerberos centrální správa hesel lístky, AFS tokeny Bezpečnost v METACentru Přihlášení k METACentru, vytvoření lístků explicitní kinit, GUI implicitní ssh Ochrana komunikace přes Kerberos ssh, krb-telnet, pbs, AFS autorizace přes ~/.k5login, AFS PTS Nástup PKI, HW tokenů
Infrastruktura veřejných klíčů Digitální certifikát (veřejný klíč) a odpovídající soukromý klíč Elektronický podpis, šifrování asymetrická kryptografie Certifikát lze libovolně šířit, soukromý klíč musí zůstat utajen Certifikát je svázán s uživatelem: identifikace uživatele (jméno, příjmení, instituce) platnost (zpravidla jeden rok) dodatečné informace (emailová adresa) veřejný klíč uživatele elektronický podpis CA
Certifikační autorita Vydává digitální certifikáty uživatelům Autentizace uživatele pomocí digitálního certifikátu a soukromého klíče Ověřovatel certifikátu důvěřuje CA podpis CA na certifikátu je dostatečný pro identifikaci Formální politika CA popis procedur pro vydávání certifikátů apod. její kvalita ovlivňuje úroveň akceptování jejich certifikátů International Grid Trust Federation (IGTF) vyhodnocování a akreditace CA základ většiny gridových projektů certifikát od akreditované CA je zpravidla nutností CESNET CA
CESNET CA IGTF akreditovaná CA certifikáty pro uživatele z českých akademických institucí on-line vydávání certifikátů přes webové rozhraní a prohlížeč není potřeba generovat žádosti přes příkazovou řádku Pro vydání certifikátu je nutné prokázat identitu (OP, Pas) a příslušnost k akademické organizaci Dvě registrační místa (Praha a Brno) ověřování identity uživatele
CESNET CA Získání digitálního certifikátu: 1. registrace žádosti o certifikát na https://lai.cesnet.cz/ 2. potvrzení všech emailových adres uvedených v žádosti 3. osobní návštěva registrační autority výsledkem je získání kódů pro generování certifikátu 4. vygenerování certifikátu přes www.cesnet-ca.cz vyplnění kódů do formuláře (výběr úložiště certifikátů a soukromého klíče) Prodloužení platnosti 1. elektronicky podepsat notifikační mail CESNET CA posílá notifikace měsíc před vypršením 2. CESNET CA vrátí kódy v zašifrovaném mailu 3. pokračovat bodem 4. výše
PKI v Gridech PKI je nejčastější autentizační mechanismus v gridech Proxy certifikáty podpora SSO a delegování zobecnění principu CA uživatel podepisuje další certifikáty uživatel může vytvořit pouze proxy pro svou identitu libovolně dlouhý řetěz proxy certifikátů pouze krátkodobé (8 hodin) proxy certifikát je uložen na disku nešifrovaně VOMS atributová služba, správa skupin a rolí v rámcí VO atributy jsou ukládány uvnitř proxy certifikátů Přihlášení do gridu = vytvoření proxy certifikátu
Správa soukromých klíčů Narozdíl od hesla soukromý klíč je na disku příslušný soubor bývá zašifrován Nebezpečí kompromitování nesprávná přístupová práva, slabé heslo, kompromitovaný administrátor,... Úložiště klíčů on-line credentials repository (MyProxy) vydávají pouze krátkodobé certifikáty (proxy) autentizace heslem, OTP, Kerberovským lístkem Čipové karty specializovaná HW zařízení s chráněnou pamětí a procesorem kryptografické operace prování přímo token soukromý klíč nikdy neopustí paměť tokenu upravené aplikace
HW tokeny Distribuce tokenů pro české gridové uživatele Uživatelům METACentra/EGEE propůjčujeme HW tokeny vlastní vývoj GUI, Putty & WinSCP pro Windows balíčky pro Linux