Seguridad y Uso de Certificados Digitales en GRID
- Slides: 15
Seguridad y Uso de Certificados Digitales en GRID Rafael Marco (IFCA)
Todos conocemos los Certificados Digitales Rafael Marco de Lucas (IFCA)
Certificados Digitales: ¿por qué? ¿para qué? § Los Certificados Digitales facilitan: • Autentificación (como un documento de identidad) • Firma Digital • Comunicación segura. Encriptación § Software: Open. SSL • openssl <ca> <req> <x 509> <crl> <verify> … § Acceso a Web, LDAP, … seguros § Grid Security Infrastructure (GSI) Rafael Marco de Lucas (IFCA)
PKI y CERTIFICADOS. Descripción General § Generación de par de claves: Clave Pública + Clave Privada § La clave pública • • La Clave Pública es accesible por todo el mundo La Clave Privada sólo es accesible por su propietario Claves simétricas: lo que se encripta con una sólo se puede desencriptar usando la otra permite comprobar que un mensaje ha sido encriptado usando la clave privada asociada, a la cual sólo tiene acceso su propietario si la conocemos de forma fiable, permite comprobar la identidad (autentificación) esto funciona bien entre conocidos que intercambian claves pero no puede escalar a miles de usuarios que además no se conocen personalmente § Autoridad de Certificación § § Certificado Digital = Public Key + Information about the principal + CA signature (x 509 format) Luego si confiamos en una CA § Pregunta: entonces que diferencia hay entre usar PGP y CAs ? § • • • Se crea un par de claves pública+privada centrales Todos disponemos de esta clave pública, y confiamos en su buen uso Para garantizar la autenticidad de las claves públicas de los usuarios/… , éstas son firmadas usando la clave central, obteniendo lo que se suele llamar un “Certificado Digital” asociado a la clave privada, en el que se incluye una etiqueta que identifica el certificado y mas informacion extra como la fecha de caducidad, … podemos confiar en el certificado de un usuario (su clave pública firmada por la CA) y usar ésta para autentificar al propietario de la clave privada asociada. La solución es escalable a miles de usuarios desconocidos What is a Digital Signature ? http: //www. youdzone. com/signature. html Rafael Marco de Lucas (IFCA)
Autoridades de Certificación § CAs comerciales § CAs académicas § CAs con valor legal en España Rafael Marco de Lucas (IFCA)
Autoridades de Certificación § Jerarquía de Certificación • • § § CAs Raíz (Root CAs) (self signed) CAs encadenadas (Chainned CAs) Estructura escalable Problema técnico. Globus. CRL – Lista de certificados revocados Creación de una CA • Sencillo desde el punto de vista técnico • Políticas de Certificación. Seguridad • Coordinación para el desarrollo de CAs § Root CA CAs Level 1 CAs Level 2 Final Certificates CAs dedicadas a GRID • eu. Grid. PMA http: //www. eugridpma. org • Ø 1 CA por país, múltiples RAs Ø Recomendaciones Ø Requerimientos Minimos /C=ES/O=DATAGRID-ES/CN=DATAGRID-ES CA Ø http: //grid. ifca. unican. es/ca/datagrid-es Rafael Marco de Lucas (IFCA)
Ejemplo Práctico: Creación de una Autoridad de Certificación § Instalación y configuración de openssl: § Crear una CA rpm –ihv openssl-*. rpm vi /usr/share/ssl/openssl. cnf Subject: C=ES, O=CSIC, O=IFCA, OU=CURSO GRID, CN=Curso Postgrado GRID CA usage: CA -newcert|-newreq|-newca|-sign|-verify vi /usr/share/ssl/misc/CA DAYS="-days 1460" $REQ –new –x 509 -newkey rsa: 2048 /usr/share/ssl/misc/CA -newca openssl x 509 -in demo. CA/cacert. pem –text § Crear una Clave Privada + Solicitud de Certificado § Firma de Certificado § Revocación de Certificados y CRL openssl req –new –out request_pepe. pem –keyout key_pepe. pem openssl req -in request_pepe. pem –text cp –a request_pepe. pem newreq. pem /usr/share/ssl/misc/CA –sign cp demo. CA/newcerts/01. pem newcert_pepe. pem openssl x 509 –in newcert_pepe. pem –text openssl ca –gencrl –out crl. pem openssl crl –in crl. pem –text Rafael Marco de Lucas (IFCA)
Servidor Web seguro basado en Certificados Digitales § Instalación de Servidor Web Apache y modulo SSL § Editar fichero de configuración http. conf § Crear e Instalar certificados § Importar CA y Certificado Personal en el Web Browser rpm –ihv apache-*. rpm –ihv mod_ssl-*. rpm SSLEngine on SSLCertificate. File /etc/httpd/conf/ssl. crt/server. crt SSLCertificate. Key. File /etc/httpd/conf/ssl. key/server. key SSLCACertificate. Path /etc/httpd/conf/ssl. crt SSLCARevocation. Path /etc/httpd/conf/ssl. crl openssl req –nodes –new –out request_server. pem –keyout key_server. pem cp –a request_pepe. pem newreq. pem /usr/share/ssl/misc/CA –sign cp demo. CA/newcerts/02. pem newcert_server. pem cp demo/cacert. pem /etc/httpd/conf/ssl. crt/server. crt cp key_server. pem /etc/httpd/conf/ssl. key/server. key cp demo/cacert. pem /etc/httpd/conf/ssl. crt/csic_curso_postgrado. pem cp crl. pem /etc/httpd/conf/ssl. crl openssl x 509 –in demo. CA/cacert. pem –outform DER –out cacert. crt Import cacert. crt into Web Browser openssl pkcs 12 –export –inkey key_pepe. pem –in newcert_pepe. pem –out pkcs 12_pepe. crt Import User Certificate into Browser: Options / content / certificates Rafael Marco de Lucas (IFCA)
Uso de Certificados en GRID § Certificados de § Acceso a un User Interface (UI) § Obtención de Certificado • • • Ø ssh <user>@gtbcg 03. ifca. unican. es • CA Nacional aceptada internacionalmente • Generación de la solicitud del certificado • Autoridades de Registro (RAs) • • § Usuario : DN=/C=ES/O=DATAGRID-ES/O=IFCA/CN=Rafael Marco de Lucas Host : DN=/C=ES/O=DATAGRID-ES/O=IFCA/CN=host/grid 001. ifca. unican. es Service: DN=/C=ES/O=DATAGRID-ES/O=IFCA/CN=ldap/grid 01. ifca. unican. es Ø /C=ES/O=DATAGRID-ES/DATAGRID-ES CA Ø grid-cert-request –cn “Common Name” Ø openssl req –in. globus/request_usercert. pem –text Ø Enviar solicitud+aprobación firmada a datagrid-es-ca Instalación de Certificados Ø Ø Ø . globus/userkey. pem (u+r, go-rwx). globus/usercert. pem (u+r, go+r) /etc/grid-security/certificates/hostkey. pem /etc/grid-security/certificates/hostcert. pem Los Certificados de las CAs se suelen instalar con RPMs Las Listas de Revocaciones (CRLs) se actualizan via web Ø Ø Importar certificado de la CA: http: //grid. ifca. unican. es/ca/datagrid-es. crt Importar CRL de la CA: http: //grid. ifca. unican. es/ca/datagrid-es-crl. crl openssl pkcs 12 –export –inkey. globus/userkey. pem –in. globus/usercert. pem –out user_pkcs 12. crt Import User Certificate into Web Browser ; https: //marianne. in 2 p 3. fr/datagrid/ca/ca-table-ca. html Uso de Certificados desde Web Browsers Manejo de Certificados con Open. SSL Ø http: //www. lip. pt/ca/ca-information. html Rafael Marco de Lucas (IFCA)
Uso de Certificados en GRID § Globus Grid Security Infraestructure es el estándar de facto para Grid Middleware • • Basado en PKI No es necesario introducir el password cada vez Delegation: a service can act on behalf of a person Mutual authentication: both sides must authenticate to the other § Uso de Credenciales • Introduce el uso de proxy certificates • Certificados de corta vida que incluyen su clave privada y estan firmados por el certificado del usuario • Los proxy-certificates se pueden mover por la red • Limited and Full proxys Ø grid-proxy-init , grid-proxy-info , grid-proxy-destroy Rafael Marco de Lucas (IFCA)
Seguridad: Control de acceso § Control de acceso: grid-mapfile § Organizaciones Virtuales • Generación automatica del grid-mapfile • Cada centro decide que VOs acepta § Virtual Organization Membership Service VOMS • Extends the proxy info with VO membership, group, role and capabilities § Local Centre Authorization Service (LCAS) • Comprueba si el usuario esta autorizado (usando el grid-mapfile) • Comprueba si el usuario esta prohibido en el site • Comprueba si en ese momento el site acepta jobs § Local Credential Mapping Service (LCASMAPS) • Asocia credenciales grid con credenciales locales (unix uid/gid, AFS tokens, …) • Actualmente usa grid-mapfile • En un futuro próximo asociara tambien VOMS group and roles § Ataques y acceso de intrusos: uso, sobreuso y abuso Rafael Marco de Lucas (IFCA)
Uso de Certificados y proxys § Obtener información de un certificado • grid-cert-info § Uso de proxy certificates • Crear: grid-proxy-init • Destruir: grid-proxy-destroy • Ontener información: grid-proxy-info § Long Term proxy • • • myproxy server Create and store: myproxy-init –s <hostname> Obtener informacion: myproxy-info Obtener un nuevo proxy: myproxy-get-delegation Destruir el proxy: myproxy-destroy Rafael Marco de Lucas (IFCA)
GSI APIs § § GSS-API , C/C++ Java GSS-API Java Comodity Grid (Co. G) API C/C++ Web Services Rafael Marco de Lucas (IFCA)
Obtención de Certificados § IMPORTANTE • Puedes localizar la web de tu CA nacional para Grid desde www. eugridpma. org pero generalmente el administrador de grid de tu centro te podrá ayudar a agilizar este trámite • Las solicitudes deben ser generadas por el propietario del certificado. La clave privada debe estar encriptada a través de un password. • Guardar copias de seguridad de la clave privada • NO OLVIDAR EL PASSWORD • No compartir los Certificados personales. Limitación de uso. • Si la seguridad de tu certificado se ve comprometida debes avisar urgentemente a la RA y a la CA. § PRACTICO • Obtened una cuenta en un User Interface • Solicitad vuestros Certificados Personales Rafael Marco de Lucas (IFCA)
Conclusiones § El uso de certificados permite establecer una infraestructura de comunicación segura entre las partes del grid § El uso de proxy certificates en GSI hace mas fácil y flexible su uso § Seguridad: • Authentication: Certificados • Autorization: Organizaciones Virtuales § Ejercicios Rafael Marco de Lucas (IFCA)
- Firmas digitales seguridad informatica
- Conclusion de las herramientas manuales
- Iram 3620 casco de seguridad para uso industrial
- Formação pela escola sife
- Sat sicofi
- Constancia gtc 185
- Ensap certificados
- Https://certificacion-electronica.sev.gob.mx
- Certificado cosecad
- Certificados digitais
- Campus certificados.adalidinmark.es
- Certido
- Srt 299/11
- Pin grid array and land grid array
- Cmaras digitales
- Finanzas digitales