Università degli Studi di Napoli Federico II Corso di Laurea Magistrale in Informatica I Anno

Griglie computazionali Università degli Studi di Napoli Federico II Corso di Laurea Magistrale in Informatica I Anno Grid Security Infrastructure Grid Security Infrastructure Certificati X.509 Certificati Proxy Il servizio VOMS 1

Sicurezza: GSI (1/9) Grid Security Infrastucture Le entità in gioco sono utenti, programmi e computers Technical requirements multi-site authentication (verifica di identità) authorization (mappa l entità ad un set di privilegi) message integrity non-repudiation message privacy delegation (proxy) users virtualization Users requirements simplicity 2

Sicurezza: GSI (2/9) Generalità Controllo locale e flessibile sulle politiche di accesso. Le credenziali di una entità (utente o server) sono fornite attraverso certificati digitali. utilizzo di certificati X.509 (modello gerarchico) Rilascio da parte di CA (Certification Authority) Soluzione basata su crittografia asimmetrica 3

Sicurezza: GSI (3/9) Rilascio del certificato Step 1 l utente genera - un certificato vuoto di richiesta: usercert_request.pem - una chiave privata criptata: userkey.pem Step 2 l utente invia il certificato vuoto alla propria CA e viene identificato (tramite una RA locale) Step 3 l utente riceve il certificato compilato dalla CA - chiave pubblica dell'utente - vero nome dell'utente - data di scadenza del certicato - nome della Certication Autorithy - numero di serie del certicato - firma digitale della CA 4

CERTIFICATION AUTHORITY INFN http://security.fi.infn.it/ca/ 5

An X.509 Certificate contains: Structure of a X.509 certificate owner s public key; identity of the owner; info on the CA; time of validity; Serial number; digital signature of the CA Public key Subject:C=IT, O=INFN, OU=Personal Certificate, L=NAPOLI CN=Alessandra Doria Issuer: C=IT, O=INFN, CN=INFN Certification Authority Expiration date: May 10 14:15:14 2005 GMT Serial number: 080E CA Digital signature 6

Certificato -----BEGIN CERTIFICATE----- MIIF1zCCBL+gAwIBAgICCA4wDQYJKoZIhvcNAQEEBQAwQzELMAkGA1UEBhMCSVQx DTALBgNVBAoTBElORk4xJTAjBgNVBAMTHElORk4gQ2VydGlmaWNhdGlvbiBBdXRo b3jpdhkwhhcnmdqwntewmtmxntiywhcnmduwntewmtmxntiywjcbjzelmakga1ue BhMCSVQxDTALBgNVBAoTBElORk4xHTAbBgNVBAsTFFBlcnNvbmFsIENlcnRpZmlj YXRlMQ0wCwYDVQQHEwRDTkFGMRcwFQYDVQQDEw5EYW5pZWxlIENlc2luaTEqMCgG CSqGSIb3DQEJARYbZGFuaWVsZS5jZXNpbmlAY25hZi5pbmZuLml0MIIBIjANBgkq hkig9w0baqefaaocaq8amiibcgkcaqeanevvpbptjkla4f0k+zgc8pwyepgdnwlw glktbi6+mytluempzgkz4ctyrzl7bw5ywxue717e1rmg6wdfpanrlkxxrnknaron ks19enkjpypkleknq2gsgsk0/ssyb2yug4kwlqtfc93x1ffdc1tz0xgrxh3kc0jq NqHImDrbpB7VtvAGC7/e/EJhy9MvlPA4W2vbUnwBocjMA/en3GXs2KY19tbFA3Tg jyipcmbieu3glytnbsjfoy3eehknlsf9c29raj5gwxmf7arm++nyurq9qaedminj Cqb7dHJEj8E/AwSsYeWmWHfaPXnjj5aP23UlRTc31nSwh+5y0bMnFwIDAQABo4IC hjccaoiwdaydvr0taqh/baiwadaobgnvhq8baf8ebamcbpawngydvr0fbc8wltar ocmgj4ylahr0cdovl3nly3vyaxr5lmzplmluzm4uaxqvq0evy3jslmnybdaxbgnv HSAEEDAOMAwGCisGAQQB0SMKAQQwHQYDVR0OBBYEFCM+8mfoaenmQ76tHy+7hX+5 RKJ6MGsGA1UdIwRkMGKAFMoR710dBwSYqaW1WBpmTgoWK+BJoUekRTBDMQswCQYD VQQGEwJJVDENMAsGA1UEChMESU5GTjElMCMGA1UEAxMcSU5GTiBDZXJ0aWZpY2F0 -----END CERTIFICATE----- grid-cert-info -<option> -f cert_file.pem where <option> can be: -all -subject -issuer -startdate -enddate -help 7

Nota: cifratura crittografia asimmetrica: A B - Cifratura e decifratura sono fatte con chiavi diverse, A pubblica e B privata. - Il mittente cifra con la chiave pubblica del ricevente, che sarà l unico a poter decifrare. - Quello che è criptato con la chiave A può essere decriptato solo con B e viceversa. - Non si può mai ricavare A da B, né viceversa. 8

Nota: firma digitale Da un messaggio di lunghezza variabile, una funzione produce una stringa di lunghezza fissa (HASH). L hash viene criptato con la chiave privata del mittente e decriptato con la pubblica, verificando l integrità B - controllo sull identita del mittente - verifica dell integrita del messaggio - non ripudiabilita A 9

Sicurezza: GSI (4/9) Fasi dell autenticazione USER SERVICE Ogni richiesta è accompagnata dal certificato dell utente La CA deve essere accreditata (trusted) presso il ricevente Se la stringa decriptata coincide, il servizio ricevente non può rifiutare la richiesta Ogni transazione Grid è soggetta a mutua autenticazione User certificate Verify CA signature Random phrase Encrypt with user private key Encrypted phrase Decrypt with user public key Compare with original phrase 10

Sicurezza: GSI (5/9) Grid authentication user certificate file private key grid-proxy-init user proxy certificate file Per evitare che un cerificato possa essere intercettato, viene creato un proxy (locale e temporaneo) delle credenziali utilizzato per tutte le operazioni. X.509 Proxy Certificate = estensione GSI di X.509 Ha durata molto inferiore al certificato originale (in genere 12 h) 11

Sicurezza: GSI (6/9) Delega delega = creazione remota di un proxy delle credenziali permette a un processo remoto di autenticarsi per conto dell utente Immettendo una password l utente firma il proxy con la propria chiave privata. I proxy hanno una propria coppia di chiavi. 12

Sicurezza: GSI Grid authentication N.B: Il certificato resta sulla macchina dell utente e ha la chiave privata criptata e protetta con una password. Per creare certificati proxy e per ogni altra attività l utente deve immettere la password della sua chiave privata. I certificati proxy viaggiano nella grid ed hanno coppie di chiavi pubblica e privata con chiave privata non criptata. Non serve l intervento umano. 13

Sicurezza: GSI Grid authentication Il certificato utente risiede generalmente nella user interface nella home del proprietario con chiave privata associata, protetta con password I certificati proxy invece portano in un unico file, chiave pubblica e chiave privata, quest ultima senza protezione. N.B. Nella GSI le chiavi private NON POSSONO VIAGGIARE IN RETE anche se protette da password. Come si creano certificati proxy remoti se non possono viaggiare le chiavi private? 14

Sicurezza: GSI Grid authentication Partendo da un certificato proxy sull host A, per creare un certificato proxy remoto su un host che chiameremo B si segue questa procedura: 1. Il server remoto B genera una coppia di chiavi, tiene quella privata ed invia la chiave pubblica al server A. 2. Il server A compila il certificato per B e lo firma con il certificato proxy che già possiede. 3. Il server A invia il certificato così compilato al server B il quale unendolo alla chiave privata già in suo possesso completa il processo di delegation tramite proxy. 15

Sicurezza: GSI (7/9) Delega Si possono interrogare e cancellare i propri proxy: grid-proxy-info grid-proxy-destroy (non distrugge i proxy delegati) Una applicazione può durare più a lungo del proxy: Un myproxy server può rinnovare automaticamente i proxy di task ancora in corso, che stanno per scadere. 16

Sicurezza: GSI MyProxy Il servizio Myproxy è un online-credetinal repository che conserva le credenziali per un lungo periodo di tempo (generalmente una settimana) e consente a un utente di ottenere credenziali in maniera sicura quando è necessario. Ad esempio per job di durata superiore alla scadenza del proxy, il workernode dove risiede il job può contattare il myproxyserve con il certificato proxy per ottenere nuove credenziali dal Myporxy server in maniera automatica senza l intervento umano. 17

Quali entità hanno bisogno di un certificato? edg-job-submit RB RLS User BDII globus-job-run To test user authentication on a farm we will use this command on the CE. CE SE WN WN WN WN WN WN WN WN A Certificate is needed for: User RB CE SE 18

Sicurezza: GSI (8/9) Grid authorization mapping Essere autenticato non dà diritti di esecuzione su una Grid. L utente deve appartenere ad un gruppo autorizzato all uso delle risorse -> Virtual Organization Il proxy ottenuto con grid-proxy-init non contiene informazioni sulla VO, che viene individuata attraverso il grid-mapfile presente sulle risorse. Il grid-mapfile stabilisce i diritti di un utente su una specifica risorsa, in base alla sua VO di appartenenza. le entries del grid-mapfile mappano gli utenti della Grid autorizzati in utenti del sistema locale: "/C=IT/O=INFN/OU=Personal Certificate/L=Napoli/CN=Ale Doria/Email=ale.doria@na.infn.it".gridit 19

VOMS Per far sì che un utente possa utilizzare effettivamente le risorse di distribuite di calcolo e di storage, occorre che appartenga ad una Virtual Organizzation (VO). Ogni utente può appartenre a più VO presso le quali si indentifica con il suo certificato personale che è sempre lo stesso. In ogni VO un utente può avere differenti Ruoli e differenti privilegi 20

Sicurezza: GSI (9/9) Grid authorization VOMS Il servizio VOMS (Virtual Organization Membership Service) estende le informazioni del proxy con VO membership, gruppo, ruolo, privilegi. voms-proxy-init voms-proxy-destroy voms-proxy-info Non tutte le VO devono essere gestite con VOMS. 21

VOMS SERVER DELLA VO UNINA.IT 22

23

24

Il VOMS in glite Le Virtual Organization in glite sono VOMS oriented. Gli attributi vengono specificati secono la seguente sintassi: /VO/Role=Ruolo/Capability=Privilegi Ad esempio /unina.it/role=vo-admin Oppure /unina.it/role=softmanager/capability=swinstall 25

Il VOMS in glite Il Certificato si installa sulla propria User Interface e viene utilizzato per creare i certificati proxy con cui gli utenti si autenticano all interno della grid. La directory di default è /home/nomeutente/.globus [spardi@ui02.globus]$ pwd /home/spardi/.globus [spardi@ui02.globus]$ ls -la total 16 drwxrwxr-x 2 spardi spardi 4096 Jan 22 17:26. drwx------ 12 spardi spardi 4096 Mar 30 12:32.. -rw------- 1 spardi spardi 1799 Jan 22 17:26 usercert.pem -r-------- 1 spardi spardi 1922 Jan 22 17:26 userkey.pem 26

[spardi@ui02 ~]$ voms-proxy-init --voms unina.it Cannot find file or dir: /home/spardi/.glite/vomses Enter GRID pass phrase: Your identity: /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi Creating temporary proxy... Done Contacting voms01.scope.unina.it:15003 [/C=IT/O=INFN/OU=Host/L=Federico II/CN=voms01.scope.unina.it] "unina.it" Done Creating proxy... Done Your proxy is valid until Mon Mar 30 21:31:38 2009 [spardi@ui02 ~]$ [spardi@ui02 ~]$ voms-proxy-info --all subject : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi/CN=proxy issuer : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi identity : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi type : proxy strength : 512 bits path : /tmp/x509up_u500 timeleft : 11:59:35 === VO unina.it extension information === VO : unina.it subject : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi issuer : /C=IT/O=INFN/OU=Host/L=Federico II/CN=voms01.scope.unina.it attribute : /unina.it timeleft : 11:57:37 27

[spardi@ui02 ~]$ voms-proxy-init --voms unina.it:/unina.it/role=vo-admin Cannot find file or dir: /home/spardi/.glite/vomses Enter GRID pass phrase: Your identity: /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi Creating temporary proxy... Done Contacting voms01.scope.unina.it:15003 [/C=IT/O=INFN/OU=Host/L=Federico II/CN=voms01.scope.unina.it] "unina.it" Done Creating proxy... Done Your proxy is valid until Mon Mar 30 21:45:59 2009 [spardi@ui02 ~]$ voms-proxy-info --all subject : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi/CN=proxy issuer : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi identity : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi type : proxy strength : 512 bits path : /tmp/x509up_u500 timeleft : 11:59:58 === VO unina.it extension information === VO : unina.it subject : /C=IT/O=INFN/OU=Personal Certificate/L=Federico II/CN=Silvio Pardi issuer : /C=IT/O=INFN/OU=Host/L=Federico II/CN=voms01.scope.unina.it attribute : /unina.it attribute : /unina.it/role=vo-admin timeleft : 11:58:00 28

Sicurezza: GSI schema generale 29

Riferimenti A National-Scale Authentication Infrastructure R. Butler, V. Welch, D. Engert, I. Foster, S. Tuecke, J. Volmer, C. Kesselman IEEE Computer n.33, 2000 http://www.cs.ucy.ac.cy/crossgrid/cygriddl/gsi-authentication.pdf Globus Security: http://www.globus.org/toolkit/docs/4.0/security/ 30