Presentacion tallergridpki

www.gisela-grid.euwww.gisela-grid.eu

Grid Initiatives for e-Science virtual communities in Europe and Latin America

Autoridad de certificación para aplicaciones de e-science

Javier Díaz, Lía Molinari y Nicolás MaciaLINTIFacultad de InformáticaUniversidad Nacional de La Plata

TALLER DE ADMINISTRACION DE GRID COMPUTING Diciembre 6, 2012



Emite Certificados Digitales (conteniendo la clave pública y la identidad del dueño) para usuarios, programas y máquinas; firmados por la CA.Chequea la identidad y los datos personales de los solicitantesAutoridades de Registración (RA): hacen la validación propiamente dicha.

Qué es una Autoridad de Certificación (CA,Certification Authority)?



Es la forma de autenticación para poder ejecutar trabajos en la GRID.

Porqué es necesario contar con un certificado digital?



Perfil Clasico de una CA

• Cómo obtener un certificado:

El certificado es emitidopor la CA

El certificado es usado comollave de acceso a la grid

Se efectúa la solicitudde un certificado

La identidad del usuario esconfirmada por la RA



• Un Certificado X.509 contiene:

– clave pública del dueño

– identidad del dueño

– información de la CA

– tiempo de validez

– número de serie

– firma digital de la CA

Clave PúblicaClave Pública

Subject:Subject:C=CH, O=CERN, C=CH, O=CERN, OU=GRID, CN=Andrea Sciaba OU=GRID, CN=Andrea Sciaba 89688968

Issuer: C=CH, O=CERN, Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CAOU=GRID, CN=CERN CA

Expiration date: Expiration date: Aug 26 08:08:14 Aug 26 08:08:14 2005 GMT2005 GMT

Serial number: 625 (0x271)Serial number: 625 (0x271)

Firma Digital de la CAFirma Digital de la CA

Estructura de un certificado X.509

Certificado X.509



• Cada usuario/host/servicio tiene un certificado X.509;

• Los certificados son firmados por las CA’s;

• Cada transacción en la Grid es mutuamente autenticada:

1. John envia su certificado.2. Paul verifica la firma en el certificado de

John.3. Paul envia a John un número aleatório.4. John lo encripta usando su clave

privada.5. John envia el número encriptado a Paul6. Paul usa la clave pública de John para

desencriptar el número.7. Paul compara el número desencriptado

con el original.8. Si son iguales, Paul verifica la identidad

de John.

JohnJohn PaulPaulCertificado de JohnCertificado de John

Verifica la firma de la CAVerifica la firma de la CA

Número aleatorioNúmero aleatorio

Encripta con su clave privadaEncripta con su clave privada

Número encriptadoNúmero encriptado

Desencripta con la clave Desencripta con la clave pública de Johnpública de John

Compara con el número Compara con el número

originaloriginal

Basada en X.509 PKI:

Infraestructura de seguridad de Grid (GSI)



Actualmente la UNLP es autoridad de certificación a través del CeSPI (CEntro Superior para el Procesamiento de la Información) UNLP es miembro de TAGPMA (The Americas Grid Policy Management Authority)El objetivo de TAGPMA is promover relaciones de confianza a través de los distintos dominios para el uso seguro de tecnología GRID.TAGPMA aprobó la CP/CPS presentada por UNLPEs responsible por la auditoría futura en la CA

La Autoridad de Certificación (CA,Certification Authority)



Actualmente la UNLP es autoridad de certificación a través del CeSPI (CEntro Superior para el Procesamiento de la Información)

Qué es una PKI? Para qué sirve?


Grid Initiatives for e-Science virtual communities in Europe and Latin AmericaUNLP PKIGRID

https://www.pkigrid.unlp.edu.ar



• Criptografía: Es una rama de la matemática que se dedica a la seguridad de la información y sus aspectos relacionados, particularmente encriptación, autenticación y control de acceso.

• Simbología

– Texto plano: M

– Texto cifrado: C

– Encriptación con clave K1 : E K1(M) = C

– Desencriptación con clave K2 : D K2(C) = M

• Algoritmos

– SimétricoSimétrico: K1 = K2

– AsimétricoAsimétrico: K1 ≠ K2

K2K1

Encriptación

Encriptación

Desencriptación

DesencriptaciónM C M

Pablo Juan



Implementar/Instalar su propia PKI

Contratar los servicios de certificación de una PKI existente

Opciones de implementación



Implementar/Instalar su propia PKICompartir los recursos distribuidos de la tecnología GRID, exige la creación y mantenimiento de un dominio común seguro.La implementación de esta tecnología trasciende las fronteras de un país.IGTF es un organismo internacional creado para coordinar y administrar ese dominio de confianza.

IGTF (International Grid Trust Federation)



TAGPMA APGridPMAEUGridPMA

IGTF



Arquitectura:CA offlineRA e Interfaz pública on-lineRoles y funcionesPolíticas y procedimientosCP/CPS aprobado por TAGPMAProcedimientos: Públicos e InternosAdaptación de OpenCA

Características de la PKI



Arquitectura:CA offlineRA e Interfaz pública on-lineRoles y funcionesPolíticas y procedimientosCP/CPS aprobado por TAGPMAProcedimientos: Públicos e InternosAdaptación de OpenCA

Características de la PKI



PKI acreditada (CP/CPS aprobado) y operativaCERT

Situación actual. Tendencias

www.gisela-grid.eu

UNLP PKIGRID

Preguntas?

Gracias por su atención

Lic. Javier Díaz ([email protected])

Lic. Nicolás Macia ([email protected])

www.gisela-grid.eu

UNLP PKIGRIDhttps://www.pkigrid.unlp.edu.ar

Documents

Presentacion tallergridpki