1. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Autoridad de certificación
para aplicaciones de e-
science
Javier Díaz, Lía Molinari y Nicolás Macia
LINTI
Facultad de Informática
Universidad Nacional de La Plata
TALLER DE ADMINISTRACION DE GRID COMPUTING
Diciembre 6, 2012
www.gisela-grid.eu
2. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Qué es una Autoridad de Certificación
(CA,Certification Authority)?
Emite Certificados Digitales (conteniendo la clave
pública y la identidad del dueño) para usuarios,
programas y máquinas; firmados por la CA.
Chequea la identidad y los datos personales de los
solicitantes
Autoridades de Registración (RA): hacen la validación
propiamente dicha.
www.gisela-grid.eu
3. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Porqué es necesario contar con un
certificado digital?
Es la forma de autenticación para poder ejecutar
trabajos en la GRID.
www.gisela-grid.eu
4. Grid InitiativesPerfil Clasico communities in
for e-Science virtual de una CA
Europe and Latin America
• Cómo obtener un certificado:
Se efectúa la solicitud La identidad del usuario es
de un certificado confirmada por la RA
El certificado es emitido El certificado es usado como
por la CA llave de acceso a la grid
www.gisela-grid.eu
5. Grid Initiatives for e-Science virtual communities in
Europe and Latin America Certificado X.509
• Un Certificado X.509 contiene: Estructura de un certificado X.509
– clave pública del dueño Clave Pública
Subject:C=CH, O=CERN,
– identidad del dueño OU=GRID, CN=Andrea Sciaba
8968
– información de la CA Issuer: C=CH, O=CERN,
OU=GRID, CN=CERN CA
Expiration date: Aug 26 08:08:14
– tiempo de validez 2005 GMT
Serial number: 625 (0x271)
– número de serie
Firma Digital de la CA
– firma digital de la CA
www.gisela-grid.eu
6. Grid Initiatives for e-Science virtual communities in
Infraestructura de seguridad de Grid (GSI)
Europe and Latin America
Basada en X.509 PKI: John Paul
• Cada usuario/host/servicio tiene un
certificado X.509;
Certificado de John
• Los certificados son firmados por las
CA’s; Verifica la firma de la CA
• Cada transacción en la Grid es
mutuamente autenticada: Número aleatorio
1. John envia su certificado.
2. Paul verifica la firma en el certificado de
Encripta con su clave privada
John.
3. Paul envia a John un número aleatório.
Número encriptado
4. John lo encripta usando su clave privada.
5. John envia el número encriptado a Paul
Desencripta con la clave
6. Paul usa la clave pública de John para
desencriptar el número. pública de John
7. Paul compara el número desencriptado
con el original. Compara con el número
8. Si son iguales, Paul verifica la identidad original
de John.
www.gisela-grid.eu
7. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
La Autoridad de Certificación
(CA,Certification Authority)
Actualmente la UNLP es autoridad de certificación a
través del CeSPI (CEntro Superior para el Procesamiento
de la Información)
UNLP es miembro de TAGPMA (The Americas Grid
Policy Management Authority)
El objetivo de TAGPMA is promover relaciones de
confianza a través de los distintos dominios para el uso
seguro de tecnología GRID.
TAGPMA aprobó la CP/CPS presentada por UNLP
Es responsible por la auditoría futura en la CA
www.gisela-grid.eu
8. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Qué es una PKI? Para qué sirve?
Actualmente la UNLP es autoridad de certificación a
través del CeSPI (CEntro Superior para el Procesamiento
de la Información)
www.gisela-grid.eu
9. Grid Initiatives for e-Science virtual communities in
Europe and Latin America NLP PKIGRID
U
https://www.pkigrid.unlp.edu.ar
www.gisela-grid.eu
10. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
• Criptografía: Es una rama de la matemática que se dedica a la seguridad de la información y sus
aspectos relacionados, particularmente encriptación, autenticación y control de acceso.
• Simbología
– Texto plano: M
K1 K2
Pablo cifrado: C
– Texto Encriptación
Encriptación Desencriptación
Desencriptación
Juan
– Encriptación M clave K1 : E K1(M) = C
con C M
– Desencriptación con clave K2 : D K2(C) = M
• Algoritmos
– Simétrico: K1 = K2
Simétrico
– Asimétrico: K1 ≠ K2
Asimétrico
www.gisela-grid.eu
11. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Opciones de implementación
Implementar/Instalar su propia PKI
Contratar los servicios de certificación de una PKI
existente
www.gisela-grid.eu
12. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
IGTF (International Grid Trust Federation)
Implementar/Instalar su propia PKI
Compartir los recursos distribuidos de la tecnología
GRID, exige la creación y mantenimiento de un dominio
común seguro.
La implementación de esta tecnología trasciende las
fronteras de un país.
IGTF es un organismo internacional creado para
coordinar y administrar ese dominio de confianza.
www.gisela-grid.eu
13. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
IGTF
TAGPMA EUGridPMA APGridPMA
www.gisela-grid.eu
14. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Características de la PKI
Arquitectura:
CA offline
RA e Interfaz pública on-line
Roles y funciones
Políticas y procedimientos
CP/CPS aprobado por TAGPMA
Procedimientos: Públicos e Internos
Adaptación de OpenCA
www.gisela-grid.eu
15. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Características de la PKI
Arquitectura:
CA offline
RA e Interfaz pública on-line
Roles y funciones
Políticas y procedimientos
CP/CPS aprobado por TAGPMA
Procedimientos: Públicos e Internos
Adaptación de OpenCA
www.gisela-grid.eu
16. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Situación actual. Tendencias
PKI acreditada (CP/CPS aprobado) y operativa
CERT
www.gisela-grid.eu
17. UNLP PKIGRID
Preguntas?
Gracias por su atención
Lic. Javier Díaz (jdiaz@unlp.edu.ar)
Lic. Nicolás Macia (nmacia@cert.unlp.edu.ar)
www.gisela-grid.eu