Autorizzazione ed autenticazione in glite

Transcript

1 Autorizzazione ed autenticazione in glite Elisa Ingrà INFN Catania Grid Tutorial per gli Istituti Tecnici Industriali

2 Sommario Glossario Crittografia Algoritmi simmetrici Algoritmi asimmetrici: PKI (Public Key Infrastructure) Autorità di Certificazione Firma Digitale Certificati X509 Sicurezza sulla Grid Concetti di base Infrastruttura di Sicurezza della Grid Certificati Proxy Comandi sulla User Interface (UI) Virtual Organization Concetti di Virtual Organization (Vo) e autorizzazioni VOMS, LCAS, LCMAPS Riferimenti 2

3 Glossario Credenziali Dati che comprovano l identità Autenticazione Verifica dell identità di un entità Autorizzazione Associare i privilegi ad una data entità Confidenzialità Crittografia di un messaggio per motivi di riservatezza Integrità Assicurare che il messaggio arrivi integro Non-ripudiabilità Impossibilità di rinnegare l autenticità di un messaggio 3

4 Crittografia La crittografia tratta delle "scritture nascoste", ovvero dei metodi per rendere un messaggio "offuscato" in modo da non essere comprensibile a persone non autorizzate a leggerlo. Un tale messaggio si chiama comunemente crittogramma. Fino a pochi anni fa l'unico metodo crittografico esistente era quello della crittografia simmetrica, in cui si faceva uso di un'unica chiave sia per proteggere il messaggio che per renderlo nuovamente leggibile. La vera novità del secolo scorso è stata la tecnica crittografia asimmetrica, che utilizza chiavi diverse per cifrare e per decifrare un messaggio, facilitando e diminuendo il compito di distribuzione delle chiavi.

5 Algoritmi Simmetrici La chiave per la criptazione e quella per la decriptazione sono uguali Vantaggi: Veloce Svantaggi: La chiave deve essere unica per ogni coppia di utenti Il numero di chiavi è O(n 2 ) Esempi: DES (Data Encryption Standard) 3DES AES (Advanced Encryption Standard ) John Peter Hi! 3$r 3$r Hi! John Peter Hi! 3$r 3$r Hi! 5

6 Algoritmi asimmetrici a chiave pubblica Ogni utente ha due chiavi: una privata (segreta) ed una pubblica: Impossibile risalire dalla chiave pubblica a quella privata; Un messaggio criptato con una chiave può essere decrittato solo dall altra Non è necessario lo scambio delle chiavi private Il mittente cripta il messaggio con la chiave pubblica del destinatario; Questi lo decripta usando la propria chiave privata; Il numero di chiavi è O(n). Esempi: RSA (1978) John Peter Hi! 3$r 3$r Hi! John Peter Hi! cy7 cy7 Hi! John keys public private Peterkeys public private 6

7 Firma Digitale John calcola l hash del messaggio (con una funzione hash unidirezionale) John cripta il messaggio hash con la sua chiave privata: il file hash criptato si chiama firma digitale. John manda il messaggio a Peter Peter calcola l hash del messaggio e lo verifica confrontandolo con la decrittazione della firma digitale ottenuta grazie alla chiave pubblica di Peter. Se i due messaggi corrispondono il messaggio ricevuto è conforme all originale; John non può ripudiare Peter. John This is some message Peter Chiavi John public private Hash(A) Digital Signature Hash(B) =? Hash(A) This is some message Digital Signature This is some message Digital Signature 7

8 Certificato Digitale La firma digitale di John è sicura se: 1. La chiave privata di John non è compromessa; 2. Peter conosce la chiave pubblica di John Come Peter può essere sicuro che la chiave pubblica di John sia veramente quella di John? Una terza parte deve garantire la corrispondenza tra identità e chiave pubblica. Sia John che Peter devono concedere fiducia a questa entità Due modelli diversi di autenticazione: X.509: organizzazione gerarchica (usata in Grid) PGP(Pretty Good Privacy ) : web of trust (da persona a persona) 8

9 La terza parte si chiama Certification Authority (CA). Compiti della CA: X.509 e le Certification Authorities Inviare Certificati Digitali (contenenti la chiave pubblica e l identità del proprietario) per utenti, programmi e macchine Controllare i dati personali e l identità dei richiedenti Registration Authority (RA) effettua il riconoscimento Revoca i certificati compromessi Rinnova i certificati scaduti Pubblica periodicamente la lista dei certificati revocati Certificate Revocation Lists (CRL) I certificati della CA sono auto-firmati 9

10 X.509 Certificates Un Certificato X509 contiene: Chiave pubblica del proprietario; Identità del propretario (DN); Informazioni sulla CA; Periodo di validità; Structure of a X.509 certificate Public key Subject:C=TR, O=TRGrid, OU=ODTU, CN=Cevat Sener Issuer: C=TR, O=TRGrid, CN=TR- Grid CA Not before: Apr 6 14:08: GMT Not after: Apr 6 14:08: GMT Serial number: 95 (0 x 5F) Serial number (SN); CA Digital signature Firma digitale della CA 10

11 Attori della sicurezza sulla Grid Utenti Popolazione vasta e dinamica Account differenti su diversi siti Dati personali e confidenziali Privilegi diversificati (ruoli) Autenticazione unica Gruppi Dati di gruppo Pattern di accesso Appartenenza Grid Siti Risorse Eterogenee Percorsi di accesso Politiche locali Appartenenza 11

12 The Grid Security Infrastructure (GSI) Basata su X.509 PKI: ogni utente/host/servizio ha un certificato X.509; i certificati contengono la firma digitale di una CA accettata dai siti locali; tutte le transazioni sulla Grid sono mutuamente autenticate: 1. John invia il suo certificato a Peter; 2. Peter verifica la firma digitale John; 3. Peter manda a John una stringa di prova (caratteri casuali); 4. John cripta la stringa con la sua chiave privata; 5. John invia la stringa criptata a Peter; 6. Peter usa la chiave pubblica di John per decriptare la stringa; 7. Peter confronta la stringa originale con quella decriptata; 8. Se corrispondono, Peter ha verificato l identità di John e non può ripudiarlo John John s certificate Verify CA signature Random phrase Peter Encrypt with John s private key Encrypted phrase Decrypt with John s public key Compare with original phrase 12

13 The Grid Security Infrastructure (GSI) Basata su X.509 PKI: ogni utente/host/servizio ha un certificato X.509; i certificati contengono la firma digitale di una CA accettata dai siti locali; tutte le transazioni sulla Grid sono mutuamente autenticate: 1. John invia il suo certificato a Peter; 2. Peter verifica la firma digitale John; 3. Peter manda a John una stringa di prova (caratteri casuali); 4. John cripta la stringa con la sua chiave privata; 5. John invia la stringa criptata a Peter; 6. Peter usa la chiave pubblica di John per decriptare la stringa; 7. Peter confronta la stringa originale con quella decriptata; 8. Se corrispondono, Peter ha verificato l identità di John e non può ripudiarlo John MOLTO IMPORTANTE John s certificate Verify CA signature La chiave privata deve essere conservata dal proprietario: in un luogo protetto E in forma criptata Random phrase Peter Encrypt with John s private key Encrypted phrase Decrypt with John s public key Compare with original phrase 13

14 X.509 Proxy Certificate Proxy: estensione GSI ai Certificati X.509 firmato dall usuale autorità di certificazione oppure su proxy delegato Abilita la firma digitale Supporta alcune funzioni importanti: Delegazione Mutua Autenticazione Ha un tempo di vita limitato (minimizza il rischio di compromissione delle credenziali) E creato dal comando grid-proxy-init: % grid-proxy-init Enter PEM pass phrase: ****** Options for grid-proxy-init: -hours <lifetime of credential> -bits <length of key> -help 14

15 grid-proxy proxy-init L utente inserisce una pass phrase, che è usata per decriptare la chiave privata. La chiave privata viene usata per firmare il certificato proxy con la sua coppia di chiavi pubblica/privata. La chiave privata non viene esposta per la firma del proxy Pass Phrase File certificato utente Chiave Privata (Criptata) Proxy salvato in /tmp File Certificato User Proxy La chiave privata del proxy è salvata in formato non criptato: Salvata in un file che deve essere accessibile solo dal proprietario; La durata del proxy lifetime è breve (typicamente 12 h) per minimizzare il rischio di intercettazione NOTA: Nessun traffico sulla rete! 15

16 grid-proxy-init login to the Grid Per distruggere il proxy ( logout ): grid-proxy-destroy Proxy again Questo comando NON distrugge i proxy delegati Non si possono distruggere i proxy remoti Per avere informazioni sul proxy: grid-proxy-info Options for grid-proxy-info: -subject -type -strength -issuer -timeleft -help 16

17 Delega Delega = creazione di un proxy remoto Una nuova coppia di chiavi create sulla macchina remota La macchina remota firma il certificato delegato e lo restituisce Permette a processi remoti di autenticarsi su delega dell utente Il processo remoto impersona l utente 17

18 Proxy a lunga scadenza-- --> Myproxy Proxy ha una durata limitata (di solito 12 h) Solo eccezionalmente il periodo viene prolungato Alcuni job ha bisogno di avere un proxy valido per un tempo più lungo I job possono durare fino a 21 giorni myproxy server: Permette di creare dei proxy a lunga scadenza: myproxy-init -s <host_name> --voms <your_vo> -s: <host_name> specifica l hostname del proxy server myproxy-info Dà informazioni sul proxy myproxy-get-delegation Ottiene un proxy delegato myproxy-destroy Un servizio specifico sul Resource Broker (RB) permette di rinnovare il proxy automaticamente alla scadenza 18

19 Gli utenti della Grid DEVONO appartenere ad una VO La VO può essere suddivisa in Gruppi La VO definisce un insieme di utenti L utente deve sottoscrivere le regole della VO Dopo viene registrato sul VO-LDAP server Lista delle VO supportate (EGEE): Virtual Organization Ogni VO mantiene una lista degli iscritti su un LDAP Server La lista viene scaricata regolarmente dalle macchine della Grid per autenticare gli utenti che vogliono accedere ai servizi ospitati /etc/grid-security/grid-mapfile "/C=TR/O=TRGrid/OU=TUBITAK-ULAKBIM/CN=Birsen Omay".seegrid "/C=TR/O=TRGrid/OU=TUBITAK-ULAKBIM/CN=Hakan Bayindir".trgridb "/C=TR/O=TRGrid/OU=TUBITAK-ULAKBIM/CN=Onur Temizsoylu".dteam 19

20 Virtual Organization Membership Service VO Membership Service Estende l appartenenza alla VO (gruppi, ruoli) Ogni VO mantiene una lista con tutte le informazioni sugli utenti L utente contatta il VOMS server per richiedere l autorizzazione all accesso ai servizi della VO Il VOMS server, effettuato il riconoscimento, invia un certificato proxy alla User Interface dell utente asli@levrek:~$ voms-proxy-init --voms trgrida Your identity: /C=TR/O=TRGrid/OU=TUBITAK-ULAKBIM/CN=Asli Zengin Enter GRID pass phrase: Creating temporary proxy... Done Contacting voms.ulakbim.gov.tr:15051 [/C=TR/O=TRGrid/OU=TUBITAK- ULAKBIM/CN=voms.ulakbim.gov.tr] "trgrida" Done Creating proxy... Done Your proxy is valid until Sat Jul 1 04:02:

21 FQAN e AC FQAN è l acronimo di Fully Qualified Attribute Name, che è l informazione usata dal VOMS per permettere l uso di una risorsa L appartenenza ad un gruppo, ad un ruolo od il possesso di particolari privilegi vengono espressi secondo la sintassi: <group>/role=[<role>][/capability=<capability>] asli@levrek:~$ voms-proxy-info -fqan /trgrida/role=null/capability=null FQAN sono incluse nel certificato digitale personale Il certificato specifica l appartenenza, il ruolo ed i privilegi e li associa ad una identità I certificati sono firmati con la firma digitale del proprietario VOMS trasferisce l appartenenza, il ruolo ed i privilegi nei certificati proxy 21

22 VOMS e AC Il server VOMS crea e firma un certificato digitale Le estensioni VOMS sono allegate al certificato come un estensione ben definita asli@levrek:~$ voms-proxy-info -all subject : /C=TR/O=TRGrid/OU=TUBITAK-ULAKBIM/CN=Asli Zengin/CN=proxy issuer : /C=TR/O=TRGrid/OU=TUBITAK-ULAKBIM/CN=Asli Zengin identity : /C=TR/O=TRGrid/OU=TUBITAK-ULAKBIM/CN=Asli Zengin type : proxy strength : 512 bits path : /tmp/x509up_u1134 timeleft : 11:58:08 VO : trgrida subject : /C=TR/O=TRGrid/OU=TUBITAK-ULAKBIM/CN=Asli Zengin issuer : /C=TR/O=TRGrid/OU=TUBITAK-ULAKBIM/CN=voms.ulakbim.gov.tr attribute : /trgrida/role=null/capability=null timeleft : 11:58:08 asli@levrek:~$ voms-proxy-destroy 22

23 LCAS & LCMAPS A livello di risorsa, le informazioni sulle autorizzazioni sono processate mediante LCAS e LCMAPS Local Centre Authorization Service (LCAS) Controlla se l utente è autorizzato (consultando il grid mapfile) Controlla se l utente è nella lista nera del sito Controlla se la risorsa è attiva (e può accettare job) Local Credential Mapping Service (LCMAPS) Mappa credenziali Grid in locale (eg. UNIX uid/gid, AFS tokens, etc.) Mappa inoltre i ruoli sulla VO (full support of FQAN) "/VO=dteam/GROUP=/dteam" dteam "/VO=eumed/GROUP=/eumed/ROLE=SoftwareManager" eumed "/VO=eumed/GROUP=/eumed" eumed 23

24 File del certificato utente: Certificate:X509_USER_CERT (default: $HOME/.globus/usercert.pem) Private key:x509_user_key (default: $HOME/.globus/userkey.pem) Proxy: X509_USER_PROXY (default: /tmp/x509up_u<id>) GSI environment variables File del certificato Host: Certificate: X509_HOST_CERT (default: /etc/grid-security/hostcert.pem) Private key: X509_HOST_KEY (default: /etc/grid-security/hostkey.pem) 24

25 Certificati delle CA accettate: GSI environment variables X509_CERT_DIR (default: /etc/grid-security/certificates) VOMS server public keys (chiave pubblica) X509_VOMS_DIR (default: /etc/grid-security/vomsdir) 25

26 Fasi per l accesso all uso dell infrastruttura Azioni 1. Richiesta del Certificato 2. Iscrizione alla VO Entità coinvolta CA :Certification Authority RA: Registration Authority VO : Virtual Organization 3. Accettazione Policy : Modalità d uso 4. Autenticazione VOMS: Virtual Organization Management System 5. Accesso UI: User Interface Grid Tutorial per gli Istituti Tecnici Industriali

27 La Certification Authority di GILDA Grid Tutorial per gli Istituti Tecnici Industriali

28 Virtual Organization Management System

29 Accesso (a riga di comando) -Connessione con una UI in ssh tutor.ct.infn.it con -user = cataniaxx, con XX = 01,., 20 -Password = GridCATXX, con XX= 01,, 20 --Passphrase = CATANIA - Caricamento del certificato - Generazione delle chiavi -( - Connessione con GENIUS (opzionale) - Generazione di un proxy -( [glite-tutor] /home/giorgio > voms-proxy-init --voms gilda Cannot find file or dir: /home/giorgio/.glite/vomses Your identity: /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/ CN=Emidio Giorgio/ =emidio.giorgio@ct.infn.it Enter GRID pass phrase: Your proxy is valid until Mon Jan 30 23:35: Creating temporary proxy...done Contacting voms.ct.infn.it:15001 [/C=IT/O=GILDA/OU=Host/ L=INFN Catania/CN=voms.ct.infn.it/ =emidio.giorgio@ct.infn.it] "gilda" Creating proxy... Done Your proxy is valid until Mon Jan 30 23:35:

30 Interfaccia Grafica: GENIUS

31 Grid LCG Security: Globus Security: VOMS: IGTF for trusted CAs: Wiki References 31