Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc 24-27 May 2011



Documents pareils
Architectures PKI. Sébastien VARRETTE

Utilisation des certificats X.509v3

La sécurité dans les grilles

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Public Key Infrastructure (PKI)

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Politique de certification et procédures de l autorité de certification CNRS

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Méthode 1 : Mise en place IPSEC

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Gestion des Clés Publiques (PKI)

titre : CENTOS_CUPS_install&config Système : CentOs 5.7 Technologie : Cups Auteur : Charles-Alban BENEZECH

Introduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima

La sécurité des Réseaux Partie 7 PKI

Cours 14. Crypto. 2004, Marc-André Léger

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

LEGALBOX SA. - Politique de Certification -

Certificats et infrastructures de gestion de clés

La citadelle électronique séminaire du 14 mars 2002

Gestion des certificats digitaux et méthodes alternatives de chiffrement

Les infrastructures de clés publiques (PKI, IGC, ICP)

Fonctionnement des PKI Architecture PKI

Master physique informatique

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Infrastructure à Clé Publique (PKI Public Key Infrastructure)

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Livre blanc. Sécuriser les échanges

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

TheGreenBow IPsec VPN Client. Guide de Déploiement Options PKI. Site web: Contact:

Politique de Certification et Déclaration des pratiques de certifications de l autorité Tunisian Server Certificate Authority PTC BR

Acronymes et abréviations. Acronymes / Abbréviations. Signification

Les certfcats. Installation de openssl

Du 03 au 07 Février 2014 Tunis (Tunisie)

NORMES TECHNIQUES POUR UNE INTEROPERABILITE DES CARTES D IDENTITE ELECTRONIQUES

«La Sécurité des Transactions et des Echanges Electroniques»

Gestion des certificats en Internet Explorer

Annexe 8. Documents et URL de référence

EMV, S.E.T et 3D Secure

Définition d une ICP et de ses acteurs

VXPERT SYSTEMES. CITRIX NETSCALER 10.1 et SMS PASSCODE 6.2. Guide d installation et de configuration pour Xenapp 6.5 avec SMS PASSCODE 6.

La sécurité de votre e-business

NOTE: Pour une meilleure sécurisation, nous vous recommandons de faire l installation des outils web à l intérieur d un serveur virtuel.

Politique de Certification

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

TP HTTP. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

Cadre de Référence de la Sécurité des Systèmes d Information

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

La renaissance de la PKI L état de l art en 2006

Protocole industriels de sécurité. S. Natkin Décembre 2000

Gestion des clés. Génération des clés. Espaces de clés réduits. Mauvais choix de clés. Clefs aléatoires. Phrases mots de passe

Fiche descriptive de module

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Middleware et services de la grille

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

FORMATION WS0801. Centre de formation agréé

Politique de Certification de l'ac "ALMERYS SIGNATURE AND AUTHENTICATION CA NC" Référentiel : Sous-Référentiel : Référence : Statut :

Banque Nationale de Belgique Certificate Practice Statement For External Counterparties 1

Rapport de certification

Déclaration des Pratiques de Certification Isabel

Devoir Surveillé de Sécurité des Réseaux

LES IMPACTS SUR VOTRE SYSTEME DE FACTURATION DE LA SIGNATURE ELECTRONIQUE COMME OUTIL DE SECURISATION DE VOS ECHANGES DEMATERIALISES

Autorité de Certification OTU

Mise en place d un serveur HTTPS sous Windows 2000

Introduction. Littéralement : «Services de gestion des droits liés à l Active Directory» ADRMS Windows Serveur 2008 un nouveau rôle

Sécurité des réseaux sans fil

EJBCA PKI Open Source

Signature électronique. Romain Kolb 31/10/2008

PortWise Access Management Suite

Support d organisations virtuelles au sein d un système d exploitation pour la grille

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Les certificats numériques

LP ASUR - Sécurité. Introduction à la Sécurité des Systèmes d'information. Florent Autréau - florent@mataru.com 28 Mai 2013

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Réseaux Privés Virtuels

Introduction. aux architectures web. de Single Sign-On

POLITIQUE DE CERTIFICATION DE L'AC KEYNECTIS SSL RGS * (authentification serveur) Date : 12/08/2011

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

Supervision et infrastructure - Accès aux applications JAVA. Document FAQ. Page: 1 / 9 Dernière mise à jour: 15/04/12 16:14

1. Mise en œuvre du Cegid Web Access Server en https

Sécurité WebSphere MQ V 5.3

Architecture de la grille

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

CERTEUROPE ADVANCED V4 Politique de Certification V1.0 Diffusion publique

Certification électronique et E-Services. 24 Avril 2011

TrustedBird, un client de messagerie de confiance

M2-RADIS Rezo TP13 : VPN

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

Transcription:

Modèle de sécurité de la Grille Farida Fassi Master de Physique Informatique Rabat, Maroc 24-27 May 2011

2 Plan Introduction a la sécurité sur la Grille de Calcul Grid Security Infrastructure (GSI) Authentification Les certificats électroniques Les fédérations d Autorités de Certification Autorisation Les Organisations Virtuelles Mécanismes et architectures Les proxys Les proxys de courte durée Les proxys de longue durée

3 Que faut-il pour travailler sur la Grille de Calcul? Un utilisateur pour accéder à la grille doit posséder : Un certificat électronique personnel Une entrée dans une Organisation Virtuelle (VO ou VOMS) Un compte sur o une Interface Utilisateur (UI) o ou sur un Service Web (portail) User Grid Service

4 Authentification et Autorisation Authentification Certificat électronique X509 (CA) Qui est qui? Autorisation Organisation Virtuelle (VO ou VOMS) Qui a le droit? Accès à la grille : porte d entre a la grille Interface Utilisateur (UI) ou Service Web Sécurité Qui fait QUOI et QUAND? Comptabilité COMBIEN de ressources consomme chaque VO?

5 Grid Security Infrastructure (GSI) Un standard pour les logiciels de Grille de Calcul Basé sur: les PKI (Public Key Infrastructure) et; les Certificats X509v3 Implémente : Single sign-on: le mot de passe n est donné qu une seule fois Délégation: un service peut-être utilisé au nom d une autre personne autoriser une autre entité à utiliser son authentification et ses autorisations Authentification mutuelle: le destinataire et l émetteur s authentifient PKI allows you to know that a given public key belongs to a given user

6 Les Autorités de Certification (CA) Une autorité de certification (CA) est une entitée digne de confiance qui se charge de délivrer des certificats Combien de CA faut-il avoir? Une seule CA par projet pas gérable, peu sûr Une CA par partenaire problème de mise à l échelle, peu sûr Solution: Une CA par pays ou groupe de pays Établir des relations de confiance entre chaque CA Coordination au niveau de chaque pays Catch-All CAs (pays sans CA nationales) Politique de gestion des autorités : GRID PMA PMA: Policy Management Authority Etablir des obligations minimales pour les CA Accréditer les CA, auditionner les CA Name: CA Issuer: CA CA s Public Key Validity CA s Signature

Certificat électronique: X509 (1) Repose sur l utilisation de la: Cryptographie asymétrique (RSA) et; l accréditation par l Autorité de Certification (CA) Un certificat X509v3 peut être issu pour Une personne physique certificat personnel Une machine (certificat hôte) Un programme (certificat de service) Name Issuer Public Key Validity Signature

Certificat électronique: X509 (2) La Clé Publique o Signée par l Autorité de Certification après vérification de l identité du destinataire o Publiée sur le réseau via le service de publication de la CA o Dans le langage courant, elle est appelée certificat La Clé Privée o Conservée par le navigateur de l'utilisateur et dans son home sur l'ui o Chiffrée et protégée par un mot de passe Encrypt Decrypt Public and Private keys 8

Certificat électronique: X509 (3) C est un couple de clés indissociables Asymmetric Encryption Les clés sont générées ensembles Encrypt Decrypt Impossibilité de retrouver une clé à partir l autre Le certificat a une période de validité Decrypt Encrypt 9

10 GSI: Proxy Credentials Introduction aux certificats proxy Certificat à durée de vie courte, contenant sa clé privée, signé avec le certificat de l utilisateur Un proxy peut se déplacer sur le réseau atlas Signature Atlas

Plus sur le Certificat X509(1) Certificat X509v3 structur Informations importantes contenues dans un certificat (clé publique): structure Public key La clé RSA publique Le sujet ou DN du certificat le DN de l Autorité de Certification émettrice La période de validité du certificat Le numéro de série du certificat Subject:C=CH, O=CERN, OU=GRID, CN=Andrea Sciaba 8968 Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CA Expiration date: Aug 26 08:08:14 2005 GMT Serial number: 625 (0x271) CA Digital signature La signature de la CA émettrice

12 Plus sur le Certificat X509(2) Les certificats sont conservés dans des FICHIERS Il existe plusieurs formats de représentation des certificats PKCS12 (format navigateur web) Extensions.p12 ou.pfx La clé privée et la clé publique sont dans un même fichier Le fichier est chiffré et protégé par un mot de passe La plupart des CA délivrent les certificats personnels dans ce format PEM (format «grille») Extensions.pem ou.crt et.key La clé privée et la clé publique sont dans 2 fichiers distincts Le fichier contenant la clé privée est chiffré et protégé par un mot de passe

Registration Authority (RA) RA valide les demandes de création et de révocation de certificat Pour vérifier la validité d'un certificat, il faut toujours avoir La Liste des Certificats Révoqués (CRL) émise par la CA Le certificat (autosigné) de la CA émettrice Certificate Request Public Key Signature de la CA Name Issuer Validity Public Key Signature

Certificat et CA Signature d un certificat par la CA émettrice Vérification d un certificat A certificate request is performed The user identify is confirmed by the RA The certificate is issued by the CA The certificate is used as a key to access the grid

Openssl Convertir un certificat du format PKCS12 au format PEM Obtenir la clé privée openssl pkcs12 -nocerts -in cert.p12 -out userkey.pem Obtenir la clé publique openssl pkcs12 -clcerts -nokeys -in cert.p12 -out usercert.pem Visualiser une clé publique Format PEM openssl x509 -text -noout -in usercert.pem Format PKCS12 openssl pkcs12 -info -in cert.p12

Organisation des PMA IGTF, International Grid Trust Federation http://www.gridpma.org/ Coordonne les PMA Création de règles et chartes inter-pma EUGridPMA http://www.eugridpma.org Le pionnier, fondateur de l IGTF et de ses règles et chartes Couvre le continent Européen mais élargi à certaines CA dont le PMA n est pas pleinement opérationnel TAGPMA Amériques Sud et Nord 3 CA en Amérique du nord, Plusieurs en cours d accréditation sur l Amérique du Sud APGridPMA Asie et Pacifique 10 CA, Autralie, Japon, Chine, Taiwan, Corée

EUGridPMA European Policy Management Authority for Grid Authentication Entité responsable d établir les obligations et les bonnes pratiques pour les CA délivrant des certificats pour l authentification sur les GRID Son rôle est de créer un domaine de confiance inter-organisation pour permettre l authentification des personnes et des ressources distribuées Membres : représentant(s) de chaque CA accréditées, représentant(s) des projets utilisateurs Actions (réunions tri-annuelles) : Etablir les obligations minimales des CA Accréditation des CA : Vérification que les CP/CPS soient en accord avec les obligations minimales demandées, entretien avec représentant(s) des CA Etablissement d une charte

Obligations minimales CRL Emettre une CRL (Liste des Certificats Révoqués) dès qu un certificat est révoqué Validité max un mois, ré-émission 7 jours avant expiration Machine CA Dédiée, off-line Protection des clés (clés utilisateurs non conservées) Espace de nommage des sujets de certificats UNIQUE Architecture de la PKI Une CA par pays ou groupe de pays Une CA dédiée aux projets de Grille de Calcul Pour plus d information: http://eugridpma.org/guidelines/ : Obligations minimales http://eugridpma.org/charter/ : Définition du groupe

CA de MaGrid Dédiée aux projets de GRID Computing dans lesquels le CNRST/des instituts Marocaines sont impliqués LHC/ATLAS, E-Sciences (Biomed, etc ) Délivre des certificats personnels, de services et serveurs aux : Instituts publics (HEP) Organismes privés

Morocco Registration Authority (RA) Autorités d'enregistrement peuvent valider les demandes de création (via un site dédié) et de révocation de certificat Le représentant local Contacté par email signé à chaque demande de certificat personnel Chargé de vérifier l identité du demandeur et le bien fondé de sa demande

Autorisation: Organisations Virtuelles Organisations Virtuelles (VO) Ensemble d individus ayant des buts communs Utilisateurs Ressources Les utilisateurs sont regroupés par domaine scientifique: laboratoire, région ou projet Des droits spécifiques peuvent être données au niveau de chaque site par l administrateur de celui-ci. Interdire l accès à un groupe d utilisateurs en fonction de leur sujet de certificat

Les VOMS (1) VOMS (Virtual Organisation Management Serve) La base de données de la VOMS contient l ensemble des membres avec leur niveau d autorisation (groupes, rôles, capacités) Un utilisateur peut avoir plusieurs niveaux d autorisation dans chaque VOMS, faire partie de plusieurs VOMS Les groupes, rôles et droits sont inclus dans le proxy de l utilisateur lorsque celui s authentifie avec : voms-proxy-init - -voms <vo-name> Les autorisations sont exprimées par FQAN* et placées dans les attributs du proxy généré <group>/role=[<role>][/capability=<capability>]: e.g. *FQAN : Fully Qualified Attributes Name

Les VOMS (2) Les groupes Les groupes sont hiérarchiques, profondeur non limitée Permet de moduler les droits des membres de la VOMS en fonction de leur groupe Le groupe par défaut est /<vo-name> Les rôles Software manager, VO-Administrator, Production, Les rôles ne sont pas hiérarchiques : il n existe pas de sous-rôle Les rôles doivent être explicitement spécifiés lors de la création du proxy /cms/role=production /cms/role=t1access Les attributs du proxy sont analysés par chaque site accédés grâce à LCAS et LCMAPS

Un peu plus sur les VOMS LCAS Vérifie si l utilisateur est autorisé ou interdit sur ce site LCMAPS Fait correspondre le sujet du certificat en fonction des attributs du proxy à un compte utilisateur local au site (UID/GID) Les fichier d autorisations gridmapfile, sur chaque site, font correspondre à chaque VOMS/group/rôle un pool de compte ou un compte générique Les DPM (SE) et LFC (Catalogue) utilisent un autre mécanisme (virtual IDs) aux effets similaires "/VO=dteam/GROUP=/dteam".dte "/VO=dteam/GROUP=/dteam/ROLE=NULL".dte "/VO=dteam/GROUP=/dteam/ROLE=NULL/CAPABILITY=NULL".dte "/VO=dteam/GROUP=/dteam/ROLE=lcgadmin" dtes "/VO=dteam/GROUP=/dteam/ROLE=lcgadmin/CAPABILITY=NULL" dtes "/VO=dteam/GROUP=/dteam/ROLE=production" dtep "/VO=dteam/GROUP=/dteam/ROLE=production/CAPABILITY=NULL" dtep

Proxy de courte durée - VOMS Créer un proxy voms-proxy-init - -voms <vo-name> Créer un proxy en spécifiant un groupe voms-proxy-init \ - -voms <vo-name>:/group/subgroup Créer un proxy en spécifiant un rôle voms-proxy-init -voms \ <vo-name>:[/group]/role=production Obtenir des informations sur un proxy voms-proxy-info -all Détruire un proxy voms-proxy-destroy

Proxy de longue durée -Avancer Stocker un proxy dans la base du serveur MyProxy myproxy-init Obtenir des informations sur un proxy stocké myproxy-info -v Récupérer un proxy stocké myproxy-get-delegation Détruire un proxy stocké myproxy-destroy

Liens GSI: http://www.globus.org/grid_software/security/ Autorités de Certification http://www.igtf.net/, http://www.eugridpma.org http://igc.services.cnrs.fr/grid2-fr/ VOMS https://edms.cern.ch/file/572406/1/user-guide.pdf https://cclcgvomsli01.in2p3.fr:8443/voms/vo.formation.idgrilles.fr MyProxy http://grid.ncsa.uiuc.edu/myproxy/doc.html glite security infrastructure https://edms.cern.ch/document/935451/2

Backup

29 Un certificat X509v3 openssl x509 -text -noout -in usercert.pem Certificate: Data: Version: 3 (0x2) Serial Number: 656 (0x290) Signature Algorithm: sha1withrsaencryption Issuer: C=FR, O=CNRS, CN=GRID-FR Validity Not Before: Feb 8 10:04:45 2006 GMT Not After : Feb 8 10:04:45 2007 GMT Subject: O=GRID2-FR, C=FR, O=CNRS, OU=UREC, CN=Sophie Nicoud Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:b9:8d:52:15:ee:80:d8:8f:3c:a7:1f:fb:59:6d: Numéro de série CA émettrice Période de validité Sujet (DN) Clé publique

30 Un certificat X509v3 X509v3 extensions: X509v3 Basic Constraints: critical CA:FALSE Netscape Cert Type: SSL Client, S/MIME, Object Signing X509v3 Key Usage: critical Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement X509v3 Certificate Policies: Policy: 1.3.6.1.4.1.10813.1.1.8.1.0 X509v3 Subject Alternative Name: email:sophie.nicoud@urec.cnrs.fr X509v3 CRL Distribution Points: URI:http://crls.services.cnrs.fr/GRID-FR/getder.crl 1.3.6.1.4.1.7650.1: unicoreclient Signature Algorithm: sha1withrsaencryption 7a:ea:e5:96:d6:cb:2f:2e:a6:9c:1d:06:55:8a:af:2a:7a:1c: Extensions X509v3 Autorisations d utilisation Extensions X509v3 Version CP/CPS de la CA Email CRL Signature de la CA

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back