www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin America
Autoridad de certificación para aplicaciones de e-science
Javier Díaz, Lía Molinari y Nicolás MaciaLINTIFacultad de InformáticaUniversidad Nacional de La Plata
TALLER DE ADMINISTRACION DE GRID COMPUTING Diciembre 6, 2012
www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin America
Emite Certificados Digitales (conteniendo la clave pública y la identidad del dueño) para usuarios, programas y máquinas; firmados por la CA.Chequea la identidad y los datos personales de los solicitantesAutoridades de Registración (RA): hacen la validación propiamente dicha.
Qué es una Autoridad de Certificación (CA,Certification Authority)?
www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin America
Es la forma de autenticación para poder ejecutar trabajos en la GRID.
Porqué es necesario contar con un certificado digital?
www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin America
Perfil Clasico de una CA
• Cómo obtener un certificado:
El certificado es emitidopor la CA
El certificado es usado comollave de acceso a la grid
Se efectúa la solicitudde un certificado
La identidad del usuario esconfirmada por la RA
www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin America
• Un Certificado X.509 contiene:
– clave pública del dueño
– identidad del dueño
– información de la CA
– tiempo de validez
– número de serie
– firma digital de la CA
Clave PúblicaClave Pública
Subject:Subject:C=CH, O=CERN, C=CH, O=CERN, OU=GRID, CN=Andrea Sciaba OU=GRID, CN=Andrea Sciaba 89688968
Issuer: C=CH, O=CERN, Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CAOU=GRID, CN=CERN CA
Expiration date: Expiration date: Aug 26 08:08:14 Aug 26 08:08:14 2005 GMT2005 GMT
Serial number: 625 (0x271)Serial number: 625 (0x271)
Firma Digital de la CAFirma Digital de la CA
Estructura de un certificado X.509
Certificado X.509
www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin America
• Cada usuario/host/servicio tiene un certificado X.509;
• Los certificados son firmados por las CA’s;
• Cada transacción en la Grid es mutuamente autenticada:
1. John envia su certificado.2. Paul verifica la firma en el certificado de
John.3. Paul envia a John un número aleatório.4. John lo encripta usando su clave
privada.5. John envia el número encriptado a Paul6. Paul usa la clave pública de John para
desencriptar el número.7. Paul compara el número desencriptado
con el original.8. Si son iguales, Paul verifica la identidad
de John.
JohnJohn PaulPaulCertificado de JohnCertificado de John
Verifica la firma de la CAVerifica la firma de la CA
Número aleatorioNúmero aleatorio
Encripta con su clave privadaEncripta con su clave privada
Número encriptadoNúmero encriptado
Desencripta con la clave Desencripta con la clave pública de Johnpública de John
Compara con el número Compara con el número
originaloriginal
Basada en X.509 PKI:
Infraestructura de seguridad de Grid (GSI)
www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin America
Actualmente la UNLP es autoridad de certificación a través del CeSPI (CEntro Superior para el Procesamiento de la Información) UNLP es miembro de TAGPMA (The Americas Grid Policy Management Authority)El objetivo de TAGPMA is promover relaciones de confianza a través de los distintos dominios para el uso seguro de tecnología GRID.TAGPMA aprobó la CP/CPS presentada por UNLPEs responsible por la auditoría futura en la CA
La Autoridad de Certificación (CA,Certification Authority)
www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin America
Actualmente la UNLP es autoridad de certificación a través del CeSPI (CEntro Superior para el Procesamiento de la Información)
Qué es una PKI? Para qué sirve?
www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin AmericaUNLP PKIGRID
https://www.pkigrid.unlp.edu.ar
www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin America
• Criptografía: Es una rama de la matemática que se dedica a la seguridad de la información y sus aspectos relacionados, particularmente encriptación, autenticación y control de acceso.
• Simbología
– Texto plano: M
– Texto cifrado: C
– Encriptación con clave K1 : E K1(M) = C
– Desencriptación con clave K2 : D K2(C) = M
• Algoritmos
– SimétricoSimétrico: K1 = K2
– AsimétricoAsimétrico: K1 ≠ K2
K2K1
Encriptación
Encriptación
Desencriptación
DesencriptaciónM C M
Pablo Juan
www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin America
Implementar/Instalar su propia PKI
Contratar los servicios de certificación de una PKI existente
Opciones de implementación
www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin America
Implementar/Instalar su propia PKICompartir los recursos distribuidos de la tecnología GRID, exige la creación y mantenimiento de un dominio común seguro.La implementación de esta tecnología trasciende las fronteras de un país.IGTF es un organismo internacional creado para coordinar y administrar ese dominio de confianza.
IGTF (International Grid Trust Federation)
www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin America
TAGPMA APGridPMAEUGridPMA
IGTF
www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin America
Arquitectura:CA offlineRA e Interfaz pública on-lineRoles y funcionesPolíticas y procedimientosCP/CPS aprobado por TAGPMAProcedimientos: Públicos e InternosAdaptación de OpenCA
Características de la PKI
www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin America
Arquitectura:CA offlineRA e Interfaz pública on-lineRoles y funcionesPolíticas y procedimientosCP/CPS aprobado por TAGPMAProcedimientos: Públicos e InternosAdaptación de OpenCA
Características de la PKI
www.gisela-grid.euwww.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in Europe and Latin America
PKI acreditada (CP/CPS aprobado) y operativaCERT
Situación actual. Tendencias
www.gisela-grid.eu
UNLP PKIGRID
Preguntas?
Gracias por su atención
Lic. Javier Díaz ([email protected])
Lic. Nicolás Macia ([email protected])
www.gisela-grid.eu
UNLP PKIGRIDhttps://www.pkigrid.unlp.edu.ar