www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Autoridad de certificación
para aplicaciones de e-
science
Javier Díaz y Nicolás Macia
LINTI
Facultad de Informática
Universidad Nacional de La Plata
TALLER DE ADMINISTRACION DE GRID COMPUTING Diciembre 6, 2012
www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Emite Certificados Digitales (conteniendo la clave
pública y la identidad del dueño) para usuarios,
programas y máquinas.
“Una autoridad a la que uno o más suscriptores confían
la tarea de crear y asignar PKIs. Esa entidad/sistema
emite certificados de identidad X.509.”. CP/CPS
Autoridades de Registración (RA): Chequea la identidad
y los datos personales de los solicitantes
Los certificados son firmados por la CA.
Qué es una Autoridad de Certificación (CA,Certification Authority)?
www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Es la forma de autenticación para poder ejecutar
trabajos en la GRID.
Es un documento digital por el que una autoridad de
certificación (un tercero “confiable”) garantiza la
vinculación entre la identidad de un sujeto o entidad y
una clave pública.
La UNLP otorga los certificados digitales a través del
CeSPI (CEntro Superior para el Procesamiento de la
Información)
En el CeSPI funciona también la RA
Porqué es necesario contar con un
certificado digital?
www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Actualmente la UNLP es autoridad de certificación
UNLP es miembro de TAGPMA (The Americas Grid
Policy Management Authority)
TAGPMA funciona como una federación de
proveedores de autenticación y 3ras partes “confiables”
(relying parties).
El objetivo de TAGPMA is promover relaciones de
confianza a través de los distintos dominios para el uso
seguro de tecnología GRID.
TAGPMA forma parte de ITGF.
La Autoridad de Certificación (CA,Certification Authority)
www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
www.tagpma.org
www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
TAGPMA APGridPMA EUGridPMA
IGTF
www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
IGTF es un organismo internacional creado para
coordinar y administrar ese dominio de confianza.
Compartir los recursos distribuidos de la tecnología
GRID, exige la creación y mantenimiento de un dominio
común seguro.
La implementación de esta tecnología trasciende las
fronteras de un país.
IGTF (International Grid Trust Federation)
www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Presentación de las Políticas de Certificados y Declaración de Práctica de la Certificación (CP/CPS, Certificate Policy and Certification Practice Statement) según la RFC 3647
Análisis y aprobación por parte de los miembros de TAGPMA
Auditorías por parte de TAGPMA e internas
Participar en una reunión mensual a través de videoconferencia (mantener la representatividad)
Se prevé realizar un face-to-face en Octubre del próximo año en Argentina (ya se realizó uno en 2006)
Ser miembro de TAGPMA fue un largo proceso
www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
“UNLP Grid es la infraestructura que soporta las
actividades de e-ciencia de la comunidad académica
argentina.
Este documento describe el conjunto de reglas y
prácticas operativas que deberán ser usadas por la CA
del UNLP PKIGrid, la Autoridad de Certificación (CA) para
UNLPGrid, para emitir certificados. Este y cualquier
documento CP/CPS subsiguiente puede ser encontrado
en el sitio Web”
http://www.pkigrid.unlp.edu.ar
CP/CPS, 1.1. Generalidades
www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
PKI proviene de Public Key Infrastructure
(Infraestructura de Clave Pública).
Es la suma del hardware, el software, las políticas, los
procedimientos necesarios para crear, administrar,
distribuir, usar, almacenar y revocar certificados
digitales.
Qué es una PKI? Para qué sirve?
www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
https://www.pkigrid.unlp.edu.ar
www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
• Cómo obtener un certificado:
El certificado es emitido por la CA
El certificado es usado como llave de acceso a la grid
Se efectúa la solicitud de un certificado
La identidad del usuario es confirmada por la RA
www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
• Un Certificado X.509 contiene:
– clave pública del dueño
– identidad del dueño
– información de la CA
– tiempo de validez
– número de serie
– firma digital de la CA
Clave Pública
Subject:C=CH, O=CERN,
OU=GRID, CN=Andrea Sciaba
8968
Issuer: C=CH, O=CERN,
OU=GRID, CN=CERN CA
Expiration date: Aug 26 08:08:14
2005 GMT
Serial number: 625 (0x271)
Firma Digital de la CA
Estructura de un certificado X.509
Certificado X.509
www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
• Cada usuario/host/servicio tiene un certificado X.509;
• Los certificados son firmados por las CA’s;
• Cada transacción en la Grid es mutuamente autenticada:
1. John envia su certificado.
2. Paul verifica la firma en el certificado de John.
3. Paul envia a John un número aleatório.
4. John lo encripta usando su clave privada.
5. John envia el número encriptado a Paul
6. Paul usa la clave pública de John para desencriptar el número.
7. Paul compara el número desencriptado con el original.
8. Si son iguales, Paul verifica la identidad de John.
John Paul Certificado de John
Verifica la firma de la CA
Número aleatorio
Encripta con su clave privada
Número encriptado
Desencripta con la clave
pública de John
Compara con el número
original
Basada en X.509 PKI:
www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Arquitectura:
CA offline
RA e Interfaz pública on-line
Roles y funciones
Políticas y procedimientos
CP/CPS aprobado por TAGPMA
Procedimientos: Públicos e Internos
Adaptación de OpenCA
Características de la PKI
www.gisela-grid.eu www.gisela-grid.eu
Grid Initiatives for e-Science virtual communities in
Europe and Latin America
PKI acreditada por TAGPMA (CP/CPS aprobado) y
operativa
Tendencias que se enuncian en los TAGPMA meetings:
Soporte de OCSP
Conectividad IPv6 en servicios de PKI
Plan de migración a Sha-2
Situación actual. Tendencias
www.gisela-grid.eu
UNLP PKIGRID
Preguntas?
Gracias por su atención
Lic. Javier Díaz ([email protected])
Lic. Nicolás Macia ([email protected])