Pki para grid unlp dic 2012

www.gisela-grid.eu www.gisela-grid.eu

Grid Initiatives for e-Science virtual communities in

Europe and Latin America

Autoridad de certificación

para aplicaciones de e-

science

Javier Díaz y Nicolás Macia

LINTI

Facultad de Informática

Universidad Nacional de La Plata

TALLER DE ADMINISTRACION DE GRID COMPUTING Diciembre 6, 2012




Emite Certificados Digitales (conteniendo la clave

pública y la identidad del dueño) para usuarios,

programas y máquinas.

“Una autoridad a la que uno o más suscriptores confían

la tarea de crear y asignar PKIs. Esa entidad/sistema

emite certificados de identidad X.509.”. CP/CPS

Autoridades de Registración (RA): Chequea la identidad

y los datos personales de los solicitantes

Los certificados son firmados por la CA.

Qué es una Autoridad de Certificación (CA,Certification Authority)?




Es la forma de autenticación para poder ejecutar

trabajos en la GRID.

Es un documento digital por el que una autoridad de

certificación (un tercero “confiable”) garantiza la

vinculación entre la identidad de un sujeto o entidad y

una clave pública.

La UNLP otorga los certificados digitales a través del

CeSPI (CEntro Superior para el Procesamiento de la

Información)

En el CeSPI funciona también la RA

Porqué es necesario contar con un

certificado digital?




Actualmente la UNLP es autoridad de certificación

UNLP es miembro de TAGPMA (The Americas Grid

Policy Management Authority)

TAGPMA funciona como una federación de

proveedores de autenticación y 3ras partes “confiables”

(relying parties).

El objetivo de TAGPMA is promover relaciones de

confianza a través de los distintos dominios para el uso

seguro de tecnología GRID.

TAGPMA forma parte de ITGF.

La Autoridad de Certificación (CA,Certification Authority)




www.tagpma.org




TAGPMA APGridPMA EUGridPMA

IGTF




IGTF es un organismo internacional creado para

coordinar y administrar ese dominio de confianza.

Compartir los recursos distribuidos de la tecnología

GRID, exige la creación y mantenimiento de un dominio

común seguro.

La implementación de esta tecnología trasciende las

fronteras de un país.

IGTF (International Grid Trust Federation)




Presentación de las Políticas de Certificados y Declaración de Práctica de la Certificación (CP/CPS, Certificate Policy and Certification Practice Statement) según la RFC 3647

Análisis y aprobación por parte de los miembros de TAGPMA

Auditorías por parte de TAGPMA e internas

Participar en una reunión mensual a través de videoconferencia (mantener la representatividad)

Se prevé realizar un face-to-face en Octubre del próximo año en Argentina (ya se realizó uno en 2006)

Ser miembro de TAGPMA fue un largo proceso




“UNLP Grid es la infraestructura que soporta las

actividades de e-ciencia de la comunidad académica

argentina.

Este documento describe el conjunto de reglas y

prácticas operativas que deberán ser usadas por la CA

del UNLP PKIGrid, la Autoridad de Certificación (CA) para

UNLPGrid, para emitir certificados. Este y cualquier

documento CP/CPS subsiguiente puede ser encontrado

en el sitio Web”

http://www.pkigrid.unlp.edu.ar

CP/CPS, 1.1. Generalidades

http://www.pkiunlpgrid.unlp.edu.ar/

http://www.pkiunlpgrid.unlp.edu.ar/




PKI proviene de Public Key Infrastructure

(Infraestructura de Clave Pública).

Es la suma del hardware, el software, las políticas, los

procedimientos necesarios para crear, administrar,

distribuir, usar, almacenar y revocar certificados

digitales.

Qué es una PKI? Para qué sirve?




https://www.pkigrid.unlp.edu.ar




• Cómo obtener un certificado:

El certificado es emitido por la CA

El certificado es usado como llave de acceso a la grid

Se efectúa la solicitud de un certificado

La identidad del usuario es confirmada por la RA




• Un Certificado X.509 contiene:

– clave pública del dueño

– identidad del dueño

– información de la CA

– tiempo de validez

– número de serie

– firma digital de la CA

Clave Pública

Subject:C=CH, O=CERN,

OU=GRID, CN=Andrea Sciaba

8968

Issuer: C=CH, O=CERN,

OU=GRID, CN=CERN CA

Expiration date: Aug 26 08:08:14

2005 GMT

Serial number: 625 (0x271)

Firma Digital de la CA

Estructura de un certificado X.509

Certificado X.509




• Cada usuario/host/servicio tiene un certificado X.509;

• Los certificados son firmados por las CA’s;

• Cada transacción en la Grid es mutuamente autenticada:

1. John envia su certificado.

2. Paul verifica la firma en el certificado de John.

3. Paul envia a John un número aleatório.

4. John lo encripta usando su clave privada.

5. John envia el número encriptado a Paul

6. Paul usa la clave pública de John para desencriptar el número.

7. Paul compara el número desencriptado con el original.

8. Si son iguales, Paul verifica la identidad de John.

John Paul Certificado de John

Verifica la firma de la CA

Número aleatorio

Encripta con su clave privada

Número encriptado

Desencripta con la clave

pública de John

Compara con el número

original

Basada en X.509 PKI:




Arquitectura:

CA offline

RA e Interfaz pública on-line

Roles y funciones

Políticas y procedimientos

CP/CPS aprobado por TAGPMA

Procedimientos: Públicos e Internos

Adaptación de OpenCA

Características de la PKI




PKI acreditada por TAGPMA (CP/CPS aprobado) y

operativa

Tendencias que se enuncian en los TAGPMA meetings:

Soporte de OCSP

Conectividad IPv6 en servicios de PKI

Plan de migración a Sha-2

Situación actual. Tendencias

www.gisela-grid.eu

UNLP PKIGRID

Preguntas?

Gracias por su atención

Lic. Javier Díaz ([email protected])

Lic. Nicolás Macia ([email protected])

Documents

Pki para grid unlp dic 2012