Open PMI hacia la implantacin del marco de
- Slides: 33
Open. PMI hacia la implantación del marco de trabajo de administración de privilegios X. 509 José A. Montenegro http: //www. lcc. uma. es/~monte@lcc. uma. es Granada, Noviembre 2006
Agenda • Situación Actual, Inseguridad: ¿Mal uso de las Tecnologías necesitamos Nuevas Tecnologías? existentes o • Autenticación vs Autorización • PMI como propuesta ITU-T X. 509 • Open. PMI http: //openpmi. sourceforge. net 2
Mal uso tecnología http: //openpmi. sourceforge. net 3
Problema √ http: //openpmi. sourceforge. net 4
Posible solución: SSL/TLS http: //openpmi. sourceforge. net 5
De nuevo el problema http: //openpmi. sourceforge. net 6
De nuevo el problema – Visión del usuario http: //openpmi. sourceforge. net 7
Nueva Propuesta Microsoft http: //openpmi. sourceforge. net 8
Autenticación y Autorización • Autenticación y Autorización son conceptos vinculados. – Tanto en el entorno digital como el humano • Definición R. A. E – Identificar: 2. tr. Reconocer si una persona o cosa es la misma que se supone o se busca. – Autenticación: 1. tr. Autorizar o legalizar algo. – Autorizar: 1. tr. Dar o reconocer a alguien facultad o derecho para hacer algo. • La identidad de una persona no varía del trabajo a la vida personal (identificación única) • Y ¿la Autorización? – Tenemos los mismos privilegios en todos los contextos: Hogar, Trabajo, Reunión de Amigos http: //openpmi. sourceforge. net 9
Autenticación y Autorización • Autenticación es el proceso que prueba quién es el usuario • Autorización, apoyándose en autenticación, pero describe qué puede hacer el usuario – Por tanto considera los derechos o propiedades que ha de poseer el usuario para realizar determinadas tareas • Los esquemas de “Autorización” normalmente utilizados son: DAC MAC RBAC …. . ABAC http: //openpmi. sourceforge. net 10
PMI como propuesta ITU-T X. 509 … • Es posible plantearse si son PKIs adecuadas para • aplicaciones que necesitan servicios de autorización Es posible utilizar un certificado de identidad X. 509 para almacenar los privilegios de un usuario – Utilizando la extensión “Subject directory attributes” • Pero …. • El problema con los certificados de identidad es que tienen un periodo de validez relativamente largo • Además, no tiene que ser la misma entidad que emita sentencias de autenticación y autorización http: //openpmi. sourceforge. net 11
… Autorización y PKIs • La Recomendación X. 509 del 2000 establece el marco de trabajo para los certificados de atributos. • Privilege Management Infrastructure, PMI • Incluye la especificación de los elementos utilizados para la especificación de este tipo de certificado Certificado de Atributo: Una estructura de información, firmada digitalmente por una Autoridad de Atributos, que vincula atributos con la identificación de su poseedor. l http: //openpmi. sourceforge. net 12
Certificado Identidad vs Atributo Version Serial Number Signature Algorithm Issuer Validity period Subject Public Key Algorithm Public Key Issuer Unique Identifier User Unique Identifier Extensions Version Serial Number Signature Algorithm Issuer Validity period Holder Attributes Issuer Unique Identifier Extensions AA signature CA signature http: //openpmi. sourceforge. net 13
Interés Legal • German Digital Signature Law (Sig. G) • Definición de Certificado: • A digital attestation concerning the attribution of a public signature key to a natural person to which a digital signature is affixed (signature key certificate), certificate • or a special digital attestation which refers unmistakably to a signature key certificate and contains further information (attribute certificate). http: //openpmi. sourceforge. net 14
Open. PMI http: //openpmi. sourceforge. net
Proyectos Open. PMI realizados • Open. SSL+AC • Visual AA • Delegation Editor • x. SAML http: //openpmi. sourceforge. net 16
Open. SSL+AC I. . • Inicialmente es necesario establecer un marco de trabajo para X. 509 – La librería Open. SSL es el marco establecido a. Adición a la librería de Soporte Acs b. Implementación de un proceso en línea de comandos para la administración de ACs http: //openpmi. sourceforge. net 17
Open. SSL+AC II. . • Open. SSL está compuesto principalmente por dos elementos – Cryptographic library (crypto) – SSL library (ssl ) • El proceso es completado mediante cuatro pasos: – Definición de la estructura del certificado – Definición de las funciones asociadas – Inclusión de los nuevos elementos al proceso compilación de la librería – Verificación ACs con un Visualizador de ASN. 1 http: //openpmi. sourceforge. net de 18
Certificado Atributo http: //openpmi. sourceforge. net 19
Open. SSL+AC III • Una vez que hemos incluido el soporte de ACs dentro de Open. SSL tenemos dos posibilidades: Crear una herramienta dentro de la línea de comandos (x 509 AT) Aplicación externa (Visual AA) – – http: //openpmi. sourceforge. net 20
Visual AA http: //openpmi. sourceforge. net 21
Delegation Editor • Delegación: Inicialmente adquiere matiz más cercano a transferencia de Identidad que a la transferencia de los Privilegios –acceso Autenticación era el servicio que dirigía el control de –fácilmente Sistemas, los recursos y las acciones estaban limitados –tiempo) No era posible asignar propiedades a la delegación (ej. – Delegación de grano grueso • Los recursos que un sistema debe administrar se han multiplicado y las acciones a realizar sobre ellos – De nuevo la situación actual desborda a la seguridad – Necesaria Delegación de grano fino http: //openpmi. sourceforge. net 22
Delegation Editor • Delegation Model Languaje: Languaje Lenguaje Visual para construir sentencias de Delegación. – Permite a los usuarios diseñar fácilmente el estado del sistema • Delegación Controlada Avanzada: (Issuer; Holder; Weight; Resource) – Las métricas que evalúan los caminos de delegación deben cumplir propiedades de monotonía, es decir, el nivel de confianza del camino decrece a medida que profundiza http: //openpmi. sourceforge. net 23
Delegation Editor http: //openpmi. sourceforge. net 24
Delegation Editor Equivalencia entre el grafo y la secuencia de ACs Arcsid : == SEQUENCE { 0 (SOA) SOA 2 (AA 2 ) 1 (AA 1 ) AA 1 1 AA 1 0, 3 AA 2 0 1 1 0 1 } AA 3 Firma } Arcsid : == SEQUENCE { 0, 3 SOA 0 (SOA) 3 (AA 3 ) AA 2 Arcsid : == SEQUENCE { 0 (SOA) SOA 0, 3 AA 3 1 3 (AA 3 ) 0, 3 AA 3 0, 3 1 0 AA 4 Arcsid : == SEQUENCE { 0 0, 6 AA 4 AA 3 Firma } } 3 (AA 3) AA 3 Firma 4 (AA 4 ) 0, 6 1 0 } http: //openpmi. sourceforge. net 25
Delegation Editor Traducción directa del modelo de grafos a cadenas de certificados de atributos Version Serial Number Signature Algorithm Issuer Validity period Holder Attributes Iss. Unique Identifier Extensions AA signature http: //openpmi. sourceforge. net Weight. Path. Identifier EXTENSION : : = { SYNTAX Weight. Path. Identifie. Syntax IDENTIFIED BY { id-ce-Weight. Path. Identifier } } Weight. Path. Identifie. Syntax : : = SEQUENCE SIZE (1. . MAX) OF Arcs. Id : : = SEQUENCE { Origin Issuer. Serial, Destination Holder. Serial, Weight REAL (0. . 1), Delegable BIT, Sign BIT } 26
x. SAML • Traductor viceversa • Realizado Bouncy. Castle de sentencias Saml a X 509 y con http: //openpmi. sourceforge. net librerías Open. SAML y 27
Proyectos Open. PMI en realización • TLS+AC – Soporte Web (Apache) – Soporte Cliente (Mozilla) – Otros protocolos como SSH • Soporte para Smart Card • Inclusión en núcleo Windows http: //openpmi. sourceforge. net 28
TLS+AC • Primera propuesta: – S. Farrell. TLS extensions for Attribute Certificate based authorization. IETF TLS Working Group, 1998. http: //openpmi. sourceforge. net 29
TLS+AC II • Propuesta Actual: –Mark Brown, Russ Housley. Transport Layer Security (TLS) Authorization Extensions. IETF TLS Working Group, 2006. Client Server Client. Hello (with Authorization. Data) ----> <-------Certificate* Client. Key. Exchange Certificate. Verify* [Change. Cipher. Spec] Finished ----> <---- Application Data http: //openpmi. sourceforge. net Server. Hello (with Authorization. Data) Certificate* Server. Key. Exchange* Certificate. Request* Server. Hello. Done <-------> [Change. Cipher. Spec] Finished Application Data 30
TLS+AC III • Estado Actual: http: //openpmi. sourceforge. net 31
Conclusiones • Problemas de Seguridad: – Mal uso existentes – Necesarias nuevas tecnologías • Hemos visto el caso de la Autenticación y Autorización – • En cualquier caso es necesario el desarrollo de herramientas Open. PMI propone un servicio de autorización estándar que completa a los servicios de autenticación http: //openpmi. sourceforge. net 32
Gracias por su atención José A. Montenegro http: //www. lcc. uma. es/~monte@lcc. uma. es Granada, Noviembre 2006 http: //openpmi. sourceforge. net
- Ejemplos de cacofonía correcto e incorrecto
- Programación hacia adelante
- 영국 beis
- Diferencia de marco conceptual y marco teorico
- Dominio 1 del marco del buen desempeño docente
- Canciones dramatizadas
- Arterias de la pared anterolateral del abdomen
- Salmos 128:8
- Pmi talent triangle
- Adh forensics formula
- Project selection meaning
- Procurement negotiations pmp
- Project charter esempio
- Pmi competency framework
- Pmi evidence tracker
- Formation pmi
- Pmi code of ethics
- Pmi central kentucky
- Pmi green chemistry
- Pengurusan grafik membuat kategori
- Contoh pmi
- Pmi kentucky
- Pmi pistol
- Resource leveling pmp
- Control chart precision accuracy pmp
- Pmi mile high
- Pmi intranet
- Pmi belgium
- M240 pmi
- Kur pmi
- Panca tepat dalam prinsip logistik
- Project risk definition
- Pmi stakeholder management
- Pmi cim