SlideShare una empresa de Scribd logo

Encriptacion Autenticacion y Autorizacion.ppt

Descargar como PPT, PDF
Efrain Meza Romero
Efrain Meza Romero

Este documento describe los conceptos clave de seguridad en Grid, incluyendo la autenticación, encriptación, firma digital, certificados X.509, e infraestructura de seguridad a nivel de red y de organización virtual. Explica cómo los algoritmos simétricos y asimétricos, los certificados digitales firmados por autoridades de certificación, y los certificados proxy permiten la segura identificación, autenticación y autorización de recursos compartidos en una Grid.

Tecnología
1 de 31
Security, Authentication and Authorization
• Introducción • Infraestructura de Seguridad Grid • Seguridad a nivel de red • Encriptación o Criptografía  Algoritmos Simétricos  Algoritmos Asimétricos: PKI (Public Key Infraestructure)  Firma Digital • Certificados  Certificados X509 • Seguridad a nivel de VO • Certificados Proxy • Instrucciones de la Línea de Comandos • Organizaciones Virtuales  Conceptos de VO y autorización Agenda
• Principal: Una entidad: una usuario, un programa o una máquina. • Credenciales: Ciertos datos que proporcionan una prueba de identidad. • Autenticación: Verificar la identidad de un principal. • Autorización: Asociar una identidad con algún conjunto de privilegios. • Confidencialidad: Cifrar un mensaje para que solo el receptor pueda entenderlo. • Integridad: Asegurar que el mensaje no ha sido alterado durante la transmisión. • No rechazo: Imposibilidad de negar la autenticidad de una firma digital. Glosario
¿Qué es la seguridad en la Grid? • El problema en la Grid consiste en: “coordinated resource sharing and problem solving in dynamic, multiinstitutional virtual organizations” From ”The Anatomy of the Grid” by Ian Foster et al. • Por tanto, la seguridad en la Grid se basa en la seguridad en las distintas VOs. • ¿Qué se necesita en términos de seguridad para una VO? Introducción
Concepto de Organización Virtual (VO) • VO por cada aplicación, tipo de trabajos o comunidad. • Configurar recursos para un uso concreto y para un conjunto determinado de usuarios. • Cuanto más dinámicas sean las VOs mejor. Introducción
Asuntos de Seguridad • ¿Cómo poder identificar los sistemas finales? • Autenticación • ¿Cómo poder establecer un canal seguro entre dos usuarios? • Encriptación • No-repudio • Integridad • ¿Cómo controlar el acceso a los recursos de cada VO? ¿qué miembros de la VO tienen permisos y cuales no? • Autorización Introducción Usuario Servicio Grid
Infraestructura de Seguridad Grid  Seguridad a nivel de red Criptografía Un algoritmo criptográfico es una función matemática que combina texto simple u otra información inteligible con una cadena de dígitos, llamada llave o clave, para producir texto codificado ininteligible. La llave y el algoritmo usados son cruciales para el encriptamiento Simbología: Texto en Claro: M Texto Cifrado: C Cifrado con clave K1 : E K1 (M) = C Descifrado con clave K2 : D K2 (C) = M Algoritmos: Simétricos: K1 = K2 Asimétricos: K1 ≠ K2 K2 K1 Encryption Decryption M C M
Infraestructura de Seguridad Grid  Seguridad a nivel de red Criptografía Algoritmos simétricos: • La misma clave es usada para cifrar y descifrar (K1 = K2) • Ventajas: • Rapidez • Desventajas: • ¿Cómo se distribuyen las claves? • Ejemplos: • DES • 3DES • Rijndael (AES) • Blowfish • Kerberos María Pedro ciao 3$r ciao María Pedro ciao 3$r ciao 3$r 3$r
Infraestructura de Seguridad Grid  Seguridad a nivel de red Criptografía Algoritmos asimétricos: • También conocidos como Algoritmos de Clave Pública/Public Key Algorithms. • Algunas características: •Cada usuario tiene un par de claves: 1 privada y 1 pública • Es imposible obtener la clave privada usando la clave pública • Un mensaje cifrado con una de las claves sólo es descifrado por su pareja •No es necesario intercambiar las claves privadas • El emisor del mensaje lo cifra usando la clave pública del receptor • El receptor descifra el mensaje usando su clave privada • Ejemplos: •Diffie-Helmann (1977) •RSA (1978) •DSA •ElGamal Juan keys pública privada Pablo keys pública privada Pablo Juan ciao 3$r ciao Pablo Juan ciao cy7 ciao 3$r cy7
Infraestructura de Seguridad Grid  Seguridad a nivel de red Criptografía Firma digital: • Método criptográfico que nos permite asociar la identidad de una persona o máquina al mensaje o documento. • Asegura la integridad del documento o mensaje. • Como funciona: •Pablo calcula el hash del mensaje. •Pablo cifra el hash usando su clave privada: el hash cifrado es la firma digital. •Pablo envía el mensaje firmado a Juan. •Juan calcula el hash(B) del mensaje y verifica que es igual al hash(A), descifrado con la clave pública de Pablo. •Si los hashes son iguales: • Mensaje no fue modificado. • Pablo no puede repudiarlo. Juan Mensaje Firma Digital Pablo Mensaje Firma Digital Mensaje Firma Digital Hash(A) Hash(B) Hash(A) = ? Claves de Pablo pública privada
Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales • La firma digital de Pablo se considera segura si: • La clave privada de Pablo no ha sido comprometida. • Juan conoce la clave pública de Pablo. • ¿Cómo puede Juan estar seguro de que la clave pública de Pablo es realmente la suya y no de otra persona? • Existencia de una tercera parte que certifica la correspondencia entre la clave pública y la identidad del propietario. • Ambos deben confiar en esta tercera parte. • Dos modelos existentes para establecer la confianza: • X.509  Organización jerárquica (usada en Grid). • PGP  De persona a persona.
Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Autoridades de Certificación • La “Tercera Parte” se llama Autoridad de Certificación/Certification Authority (CA). • Responsabilidades de una CA: • Emisión de Certificados Digitales (contiene la clave pública y la identidad del usuario) para usuarios, programas o máquinas. • Verificar la identidad y los datos personales del solicitante. • Autoridades del Registro/Registration Authorities (RAs) hacen actualmente esa verificación. • Revocan el certificado en caso de que haya sido comprometido. • Renovación de certificados cuando estos vayan a expirar. • Periodicamente publica una lista de certificados revocados en su página web: •Certificate Revocation Lists (CRL): contiene todos los certificados revocados.
Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Autoridades de Certificación • ¿Cómo obtener el certificado digital? El certificado es expedido por la CA El certificado es usado como una llave para acceder a los recursos Grid Se lleva a cabo la petición del certificado La identidad del usuario es confirmada por la RA (Autoridad de Registro)
•Un certificado X.509 contiene: • Clave privada (creada por el usuario Grid) que se almacena en un fichero encriptado, protegido por una frase de paso. Clave pública del usuario Identidad del usuario Información de la CA Tiempo de validez Número de serie Firma digital de la CA Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Certificados X.509 Public key Subject:C=CH, O=CERN, OU=GRID, CN=Andrea Sciaba 8968 Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CA Expiration date: Aug 26 08:08:14 2005 GMT Serial number: 625 (0x271) Estructura de un certificado X.509 CA Digital signature
Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Secure Socket Layer (SSL) • Basada en la X.509 PKI: •Los certificados están firmados por las CAs. •Cada transacción en la Grid está mutuamente autenticada: 1.Pedro envía su certificado. 2.El servicio verifica la firma de la CA en el certificado de Pedro. 3.El servicio envía a Pedro un número aleatorio. 4.Pedro cifra usando su clave privada. 5.Pedro envía el número cifrado al servicio. 6.El servicio usa la clave pública de Pedro para descifrar el número. 7.El servicio compara el número cifrado con el original. 8.Si son iguales, el servicio verifica la identidad de Pedro. Pedro Servicio Certificado de Pedro Verifica firma de la CA Número aleatorio Cifra con su clave privada Número cifrado Descifra con la clave pública de Pedro Compara el número recibido con el original
Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Solicitud de certificado digital • En función del país en el que estés trabajando debes ir a una CA u otra. • Para el caso de España debéis acceder a: http://www.irisgrid.es/pki/ • Otras CAs son: • http://ca.lip.pt/ (Portugal) • http://security.fi.infn.it/CA/en/RA/ (Italia) • … • Para los usuarios que no estén cubiertos por ninguna CA existen ‘catch-all CAs’. Por ejemplo: • EGEE catch-all CA: http://igc.services.cnrs.fr/GRID2-FR/?lang=en • LCG catch-all CA: http://www.doegrids.org/
Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Solicitud de certificado digital a IRISGridCA (1/2) • Acceder a http://www.irisgrid.es/pki/ y seleccionar la autoridad de registro (RA) correspondiente (RedIRIS). • Seleccionar tipo de certificado: Solicitud de certificado (CSR): • CSR de Usuario • CSR de Servidor/Servicio • Rellenar datos de usuario.
Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Solicitud de certificado digital a IRISGridCA (2/2) • La CA envía un email al usuario para indicarle que ya está disponible su certificado en una determinada URL. • El usuario debe acceder a esa URL e indicar su identificador para descargarse el certificado en su navegador. • Después debe exportar el certificado desde su navegador para copiarlo en la UI desde donde lanzará los trabajos a los recursos Grid. • Si el certificado está en formato PKCS12 se debe convertir a .pem. Se puede usar el comando openssl (disponible en la propia UI): openssl pkcs12 –nocerts –in my_cert.p12 –out userkey.pem openssl pkcs12 –clcerts –nokeys –in my_cert.p12 –out usercert.pem
Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Renovación de certificados (1/2) • El tiempo de vida máximo de un certificado es de 1 año + 1 mes. • La idea es que, transcurrido un año, un nuevo certificado sea expedido. • Los usuarios deben estar atentos a cuál es la fecha de expiración de su certificado para renovarlo antes de que esta ocurra. • No es necesario revocar un certificado para expedir uno nuevo, a menos que el certificado antiguo haya sido comprometido o el usuario haya cesado la actividad para la cual necesitaba ese certificado.
Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Renovación de certificados (2/2) • Durante el proceso de renovación no se requiere que el usuario pase por el proceso de identificación en persona ante la RA: • Gran ventaja para los usuario y para la RA. • De todas formas, existe un número máximo de renovaciones sin identificación en persona. • Para evitar que el usuario tenga que presentarse en persona ante la RA, la petición de renovación se firma con el certificado del usuario, como por ejemplo: • Email firmado con el certificado del usuario. • Interfaz web CA/RA que sea capaz de reconocer el certificado del usuario. • Si el certificado del usuario expira antes de llevar a cabo la renovación, se debe solicitar un nuevo certificado.
Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 • Sería peligroso transferir el certificado de usuario a través de la Grid. Es por eso que se utilizan los: • Certificados de proxy: • Están firmados por una entidad certificadora normal (o por otro proxy). • Soportan características importantes: •Delegación • Tienen un tiempo de vida limitado, lo que minimiza el riesgo de comprometer las credenciales del usuario. • Los certificados de proxy se crean con el comando grid-proxy-init.
Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 grid-proxy-init • El usuario introduce una frase de paso que se usará para descifrar la clave privada. • La clave privada se usará para firmar el certificado de proxy, se crea un nuevo par de claves. De esta forma, la clave privada del usuario no está expuesta después de que el certificado de proxy se firme. • Certificado de proxy: • La clave privada del proxy no está cifrada. • Está almacenada en un fichero local, que debe ser SOLO LEIBLE por el propietario. • Tiempo de vida corto (normalmente 12 horas) para minimizar riesgos. Fichero del certificado de usuario Clave privada (Cifrada) Frase De paso Fichero del certificado de proxy de usuario
Certificado proxy X.509 grid-proxy-init • grid-proxy-init ≡ “login to the Grid” • Para cerrar la sesión tienes que destruir el proxy con: grid-proxy-destroy • Para obtener más información sobre el proxy se usa el comando: grid-proxy-info Algunas de las opciones para obtener información son: -subject -issuer -type -timeleft -strength -help Infraestructura de Seguridad Grid  Seguridad a nivel de VO
Certificado proxy X.509 Delegación • Delegación: consiste en la creación remota de un certificado de proxy de segundo nivel, es decir, a partir de otro certificado de proxy. • Se generan un nuevo par de claves en un servidor remoto. • El cliente firma el certificado del proxy y lo devuelve. • Permite que un proceso remoto se autentique como si fuera el usuario. • El proceso remoto se comporta como si fuera el usuario. Infraestructura de Seguridad Grid  Seguridad a nivel de VO
• El proxy tiene un tiempo de vida limitado (por defecto son 12 h) • Como hemos visto, no sería recomendable tener un proxy de mayor duración. • De todas formas, una trabajo de Grid puede necesitar el uso de un proxy de un tiempo mayor. • Servidor MyProxy: • Permite crear y almacenar un certificado de proxy de mayor duración: • myproxy-init –s <myproxy_server_name> • myproxy-info: devuelve la información del certificado de proxy de larga duración almacenado en el servidor de myproxy. • myproxy-get-delegation: genera un nuevo certificado de proxy. • myproxy-destroy • Los servicios de transferencia de ficheros en gLite validan las peticiones de los usuarios e incluso a veces renuevan los proxies. • Para ello, contactan con el servidor de myproxy. Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 Proxy de larga duración  Myproxy
• Los usuarios de Grid deben pertenecer a organizaciones virtuales: • Los usuarios deben firmar las normas de uso de la VO a la que quieren pertenecer. • Las VOs mantienen una lista con los nombres de los miembros en una servidor LDAP. • Las máquinas de Grid se descargan esta lista para mapear los subjects de los certificados de usuarios con el pool de cuentas locales. ... "/C=CH/O=CERN/OU=GRID/CN=Simone Campana 7461" .dteam "/C=CH/O=CERN/OU=GRID/CN=Andrea Sciaba 8968" .cms "/C=CH/O=CERN/OU=GRID/CN=Patricia Mendez Lorenzo-ALICE" .alice ... Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 VOs y autorización
• Almacenan información extendida de los miembros de las VOs, grupos, roles. • Cada VO tiene una base de datos que contiene información sobre los miembros de un grupo, sus roles y capacidades. • Los usuarios contactan con el servidor VOMS solicitando su información de autorización. • El servidor envía la información de autorización al cliente, quien la incluye en el certificado de proxy. • voms-proxy-init –-voms vo.formacion.es-ngi.eu Crea el certificado y le añade una extensión con la información proporcionada por el servidor VOMS. • voms-proxy-info –-all Muestra la información del certificado junto con las extensiones VOMS. Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 Servidor VOMS (Virtual Organization Members Service)
• Una especie de FQAN (Fully Qualified Attribute Name), es lo que el servidor VOMS utiliza para expresar la pertenencia de una usuario a una VO y otra información de autorización. • La pertenencia a grupos, roles y capacidades debe expresarse en un formato que las muestre juntas: <group>/Role=[<role>][/Capability=<capability>] [tut25@cg02 ~]$ voms-proxy-info -fqan /vo.formacion.es-ngi.eu/Role=NULL/Capability=NULL • El FQAN se incluye en el atributo de certificado (AC). • Los atributos de certificado se usan para asociar un conjunto de atributos (como son la pertenencia a VOs, los roles, la información de autorización, etc.) con una identidad. • Los ACs están firmados digitalmente. • El servidor VOMS usa los ACs para incluir los atributos de un usuario en un certificado de proxy. 28 Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 FQAN y AC (Atribute Certificate)
• El servidor crea y firma el AC que contiene el FQAN solicitado por el usuario. Si es aplicable, el AC se incluye en las extensiones VOMS asegurando la compatibilidad con los mecanimos basado en GT (Globus Toolkit). [ui-SL5] /home/virginia > voms-proxy-info -all subject : /DC=es/DC=irisgrid/O=rediris/CN=virginia.martinrubio/CN=proxy issuer : /DC=es/DC=irisgrid/O=rediris/CN=virginia.martinrubio identity : /DC=es/DC=irisgrid/O=rediris/CN=virginia.martinrubio type : proxy strength : 1024 bits path : /tmp/x509up_u500 timeleft : 11:59:55 === VO vo.general.es-ngi.eu extension information === VO : vo.general.es-ngi.eu subject : /DC=es/DC=irisgrid/O=rediris/CN=virginia.martinrubio issuer : /DC=es/DC=irisgrid/O=ifca/CN=host/voms01.ifca.es attribute : /vo.general.es-ngi.eu/Role=NULL/Capability=NULL timeleft : 11:59:55 uri : voms01.ifca.es:15003 Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 VOMS y AC (Atribute Certificate)
• A nivel de recursos, la información de autorización es extraída del proxy y procesada por LCAS y LCMAPS. • Local Centre Authorization Service (LCAS) • Comprueba si el usuario está autorizado (actualmente usando grid- mapfile) • Comprueba si el usuario está “baneado” en el site. • Comprueba si en ese momento el site acepta trabajos. • Local Credential Mapping Service (LCMAPS) • Asocia credenciales grid con credenciales locales (por ejemplo UNIX uid/gid, AFS tokens, etc.). • Asocia también los grupos y roles (soporta totalmente el FQAN) "/VO=dteam/GROUP=/dteam" dteam "/VO=eumed/GROUP=/eumed/ROLE=SoftwareManager" eumed "/VO=eumed/GROUP=/eumed" eumed Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 LCAS & LCMAPS
• Es necesario un certificado digital y ser miembro de una VO. • ¡¡Mantén a salvo tu clave privada!! • Los comandos de proxy voms-* • Gestionan los certificados de proxy • Los comandos de myproxy myproxy-* • Para delegar los certificados de proxy RECUERDA QUE…

Recomendados

Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKIdsantosc
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKICinthia Duque
 
05 certificaado digital
05 certificaado digital05 certificaado digital
05 certificaado digitalMariluzBlacidoGabrie
 
17 certdigitalespkcs
17 certdigitalespkcs17 certdigitalespkcs
17 certdigitalespkcsRoberto Moreno Doñoro
 
Infraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreInfraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreToni de la Fuente
 
05 l12-seguridad-ejemplos
05 l12-seguridad-ejemplos05 l12-seguridad-ejemplos
05 l12-seguridad-ejemplosSantos Pajarito
 
Jhon Cabana
Jhon CabanaJhon Cabana
Jhon Cabanajacksito
 
Pki
PkiPki
PkiMyrian Medina
 

Recomendados

Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKIdsantosc
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKICinthia Duque
 
05 certificaado digital
05 certificaado digital05 certificaado digital
05 certificaado digitalMariluzBlacidoGabrie
 
17 certdigitalespkcs
17 certdigitalespkcs17 certdigitalespkcs
17 certdigitalespkcsRoberto Moreno Doñoro
 
Infraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreInfraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreToni de la Fuente
 
05 l12-seguridad-ejemplos
05 l12-seguridad-ejemplos05 l12-seguridad-ejemplos
05 l12-seguridad-ejemplosSantos Pajarito
 
Jhon Cabana
Jhon CabanaJhon Cabana
Jhon Cabanajacksito
 
Pki
PkiPki
PkiMyrian Medina
 
Eap, PKI Y WPA.pptx
Eap, PKI Y WPA.pptxEap, PKI Y WPA.pptx
Eap, PKI Y WPA.pptxSantiagoRuizRodrguez1
 
Certificados digitales
Certificados digitalesCertificados digitales
Certificados digitalesLuis Fernando Ordóñez Armijos
 
Seguridad 2 - Redes de Computadoras
Seguridad 2 - Redes de ComputadorasSeguridad 2 - Redes de Computadoras
Seguridad 2 - Redes de ComputadorasJesus Jimenez
 
Vpn
VpnVpn
VpnTensor
 
Infrestructura PKIx
Infrestructura PKIxInfrestructura PKIx
Infrestructura PKIxjunral
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki1 2d
 
Pki
PkiPki
PkiG Hoyos A
 
Actividad de Aprendizaje 5
Actividad de Aprendizaje 5Actividad de Aprendizaje 5
Actividad de Aprendizaje 5jsebastianch
 
Protocolos de redes ssl
Protocolos de redes sslProtocolos de redes ssl
Protocolos de redes sslNaNy PiRe
 
Certificación y firma electrónica
Certificación y firma electrónicaCertificación y firma electrónica
Certificación y firma electrónicaIrontec
 
Protocolos de seguridad informática
Protocolos de seguridad informáticaProtocolos de seguridad informática
Protocolos de seguridad informáticaFernando Gallardo Gutierrez
 
VPNs
VPNsVPNs
VPNsshavila
 
Ingeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpetaIngeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpetaPablo Martínez
 
Infraestructura pki
Infraestructura pkiInfraestructura pki
Infraestructura pkigcalahorrano
 
Unidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografíaUnidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografíacarmenrico14
 
Cryptosec Openkey CA | Autoridad de certificación
Cryptosec Openkey CA | Autoridad de certificaciónCryptosec Openkey CA | Autoridad de certificación
Cryptosec Openkey CA | Autoridad de certificaciónRealsec | Tecnología y sistemas de cifrado y firma digital
 
Infraestructura de la clave publica
Infraestructura de la clave publicaInfraestructura de la clave publica
Infraestructura de la clave publicaAbraham Fernández
 
Respuestas
RespuestasRespuestas
RespuestasHadassa HAdassa
 
T03 02 criptografia
T03 02 criptografiaT03 02 criptografia
T03 02 criptografiaManuel Fernandez Barcell
 
Metodos de encriptacion
Metodos de encriptacionMetodos de encriptacion
Metodos de encriptacionESPE
 
ENTREVISTA.pptx
ENTREVISTA.pptxENTREVISTA.pptx
ENTREVISTA.pptxEfrain Meza Romero
 
Proyecto 02-Gabriela - copia.pptx
Proyecto 02-Gabriela - copia.pptxProyecto 02-Gabriela - copia.pptx
Proyecto 02-Gabriela - copia.pptxEfrain Meza Romero
 

Más contenido relacionado

Similar a Encriptacion Autenticacion y Autorizacion.ppt

Seguridad 2 - Redes de Computadoras
Seguridad 2 - Redes de ComputadorasSeguridad 2 - Redes de Computadoras
Seguridad 2 - Redes de ComputadorasJesus Jimenez
 
Infrestructura PKIx
Infrestructura PKIxInfrestructura PKIx
Infrestructura PKIxjunral
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki1 2d
 
Actividad de Aprendizaje 5
Actividad de Aprendizaje 5Actividad de Aprendizaje 5
Actividad de Aprendizaje 5jsebastianch
 
Protocolos de redes ssl
Protocolos de redes sslProtocolos de redes ssl
Protocolos de redes sslNaNy PiRe
 
Certificación y firma electrónica
Certificación y firma electrónicaCertificación y firma electrónica
Certificación y firma electrónicaIrontec
 
Ingeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpetaIngeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpetaPablo Martínez
 
Infraestructura pki
Infraestructura pkiInfraestructura pki
Infraestructura pkigcalahorrano
 
Unidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografíaUnidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografíacarmenrico14
 
Infraestructura de la clave publica
Infraestructura de la clave publicaInfraestructura de la clave publica
Infraestructura de la clave publicaAbraham Fernández
 
Metodos de encriptacion
Metodos de encriptacionMetodos de encriptacion
Metodos de encriptacionESPE
 

Similar a Encriptacion Autenticacion y Autorizacion.ppt (20)

Eap, PKI Y WPA.pptx
Eap, PKI Y WPA.pptxEap, PKI Y WPA.pptx
Eap, PKI Y WPA.pptx
 
Certificados digitales
Certificados digitalesCertificados digitales
Certificados digitales
 
Seguridad 2 - Redes de Computadoras
Seguridad 2 - Redes de ComputadorasSeguridad 2 - Redes de Computadoras
Seguridad 2 - Redes de Computadoras
 
Vpn
VpnVpn
Vpn
 
Infrestructura PKIx
Infrestructura PKIxInfrestructura PKIx
Infrestructura PKIx
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki
 
Pki
PkiPki
Pki
 
Actividad de Aprendizaje 5
Actividad de Aprendizaje 5Actividad de Aprendizaje 5
Actividad de Aprendizaje 5
 
Protocolos de redes ssl
Protocolos de redes sslProtocolos de redes ssl
Protocolos de redes ssl
 
Certificación y firma electrónica
Certificación y firma electrónicaCertificación y firma electrónica
Certificación y firma electrónica
 
Protocolos de seguridad informática
Protocolos de seguridad informáticaProtocolos de seguridad informática
Protocolos de seguridad informática
 
VPNs
VPNsVPNs
VPNs
 
Ingeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpetaIngeniería en sistemas computacionales carpeta
Ingeniería en sistemas computacionales carpeta
 
Infraestructura pki
Infraestructura pkiInfraestructura pki
Infraestructura pki
 
Unidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografíaUnidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografía
 
Cryptosec Openkey CA | Autoridad de certificación
Cryptosec Openkey CA | Autoridad de certificaciónCryptosec Openkey CA | Autoridad de certificación
Cryptosec Openkey CA | Autoridad de certificación
 
Infraestructura de la clave publica
Infraestructura de la clave publicaInfraestructura de la clave publica
Infraestructura de la clave publica
 
Respuestas
RespuestasRespuestas
Respuestas
 
T03 02 criptografia
T03 02 criptografiaT03 02 criptografia
T03 02 criptografia
 
Metodos de encriptacion
Metodos de encriptacionMetodos de encriptacion
Metodos de encriptacion
 

Más de Efrain Meza Romero

Proyecto 02-Gabriela - copia.pptx
Proyecto 02-Gabriela - copia.pptxProyecto 02-Gabriela - copia.pptx
Proyecto 02-Gabriela - copia.pptxEfrain Meza Romero
 
Comprender y redactar textos académicos - JPR504.pdf
Comprender y redactar textos académicos - JPR504.pdfComprender y redactar textos académicos - JPR504.pdf
Comprender y redactar textos académicos - JPR504.pdfEfrain Meza Romero
 
Cómo elaborar un trabajo académico BUAH - JPR504.pdf
Cómo elaborar un trabajo académico BUAH - JPR504.pdfCómo elaborar un trabajo académico BUAH - JPR504.pdf
Cómo elaborar un trabajo académico BUAH - JPR504.pdfEfrain Meza Romero
 
Presentación Teoría de direcciones IPv4.pptx
Presentación Teoría de direcciones IPv4.pptxPresentación Teoría de direcciones IPv4.pptx
Presentación Teoría de direcciones IPv4.pptxEfrain Meza Romero
 
11-12-Transparencias_T4_EFQM-ISO (1).ppt
11-12-Transparencias_T4_EFQM-ISO (1).ppt11-12-Transparencias_T4_EFQM-ISO (1).ppt
11-12-Transparencias_T4_EFQM-ISO (1).pptEfrain Meza Romero
 
Infografia 1 - Redes inalambricas.pdf
Infografia 1 - Redes inalambricas.pdfInfografia 1 - Redes inalambricas.pdf
Infografia 1 - Redes inalambricas.pdfEfrain Meza Romero
 
EvolucionFirmaElectronica.pptx
EvolucionFirmaElectronica.pptxEvolucionFirmaElectronica.pptx
EvolucionFirmaElectronica.pptxEfrain Meza Romero
 

Más de Efrain Meza Romero (11)

ENTREVISTA.pptx
ENTREVISTA.pptxENTREVISTA.pptx
ENTREVISTA.pptx
 
Proyecto 02-Gabriela - copia.pptx
Proyecto 02-Gabriela - copia.pptxProyecto 02-Gabriela - copia.pptx
Proyecto 02-Gabriela - copia.pptx
 
Comprender y redactar textos académicos - JPR504.pdf
Comprender y redactar textos académicos - JPR504.pdfComprender y redactar textos académicos - JPR504.pdf
Comprender y redactar textos académicos - JPR504.pdf
 
Cómo elaborar un trabajo académico BUAH - JPR504.pdf
Cómo elaborar un trabajo académico BUAH - JPR504.pdfCómo elaborar un trabajo académico BUAH - JPR504.pdf
Cómo elaborar un trabajo académico BUAH - JPR504.pdf
 
Presentación Teoría de direcciones IPv4.pptx
Presentación Teoría de direcciones IPv4.pptxPresentación Teoría de direcciones IPv4.pptx
Presentación Teoría de direcciones IPv4.pptx
 
amigos2.ppt
amigos2.pptamigos2.ppt
amigos2.ppt
 
11-12-Transparencias_T4_EFQM-ISO (1).ppt
11-12-Transparencias_T4_EFQM-ISO (1).ppt11-12-Transparencias_T4_EFQM-ISO (1).ppt
11-12-Transparencias_T4_EFQM-ISO (1).ppt
 
Infografia 1 - Redes inalambricas.pdf
Infografia 1 - Redes inalambricas.pdfInfografia 1 - Redes inalambricas.pdf
Infografia 1 - Redes inalambricas.pdf
 
tipos de impresoras.pptx
tipos de impresoras.pptxtipos de impresoras.pptx
tipos de impresoras.pptx
 
EvolucionFirmaElectronica.pptx
EvolucionFirmaElectronica.pptxEvolucionFirmaElectronica.pptx
EvolucionFirmaElectronica.pptx
 
ITE7_Chp1.pptx
ITE7_Chp1.pptxITE7_Chp1.pptx
ITE7_Chp1.pptx
 

Último

Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 

Último (20)

Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 

Encriptacion Autenticacion y Autorizacion.ppt

  • 2. • Introducción • Infraestructura de Seguridad Grid • Seguridad a nivel de red • Encriptación o Criptografía  Algoritmos Simétricos  Algoritmos Asimétricos: PKI (Public Key Infraestructure)  Firma Digital • Certificados  Certificados X509 • Seguridad a nivel de VO • Certificados Proxy • Instrucciones de la Línea de Comandos • Organizaciones Virtuales  Conceptos de VO y autorización Agenda
  • 3. • Principal: Una entidad: una usuario, un programa o una máquina. • Credenciales: Ciertos datos que proporcionan una prueba de identidad. • Autenticación: Verificar la identidad de un principal. • Autorización: Asociar una identidad con algún conjunto de privilegios. • Confidencialidad: Cifrar un mensaje para que solo el receptor pueda entenderlo. • Integridad: Asegurar que el mensaje no ha sido alterado durante la transmisión. • No rechazo: Imposibilidad de negar la autenticidad de una firma digital. Glosario
  • 4. ¿Qué es la seguridad en la Grid? • El problema en la Grid consiste en: “coordinated resource sharing and problem solving in dynamic, multiinstitutional virtual organizations” From ”The Anatomy of the Grid” by Ian Foster et al. • Por tanto, la seguridad en la Grid se basa en la seguridad en las distintas VOs. • ¿Qué se necesita en términos de seguridad para una VO? Introducción
  • 5. Concepto de Organización Virtual (VO) • VO por cada aplicación, tipo de trabajos o comunidad. • Configurar recursos para un uso concreto y para un conjunto determinado de usuarios. • Cuanto más dinámicas sean las VOs mejor. Introducción
  • 6. Asuntos de Seguridad • ¿Cómo poder identificar los sistemas finales? • Autenticación • ¿Cómo poder establecer un canal seguro entre dos usuarios? • Encriptación • No-repudio • Integridad • ¿Cómo controlar el acceso a los recursos de cada VO? ¿qué miembros de la VO tienen permisos y cuales no? • Autorización Introducción Usuario Servicio Grid
  • 7. Infraestructura de Seguridad Grid  Seguridad a nivel de red Criptografía Un algoritmo criptográfico es una función matemática que combina texto simple u otra información inteligible con una cadena de dígitos, llamada llave o clave, para producir texto codificado ininteligible. La llave y el algoritmo usados son cruciales para el encriptamiento Simbología: Texto en Claro: M Texto Cifrado: C Cifrado con clave K1 : E K1 (M) = C Descifrado con clave K2 : D K2 (C) = M Algoritmos: Simétricos: K1 = K2 Asimétricos: K1 ≠ K2 K2 K1 Encryption Decryption M C M
  • 8. Infraestructura de Seguridad Grid  Seguridad a nivel de red Criptografía Algoritmos simétricos: • La misma clave es usada para cifrar y descifrar (K1 = K2) • Ventajas: • Rapidez • Desventajas: • ¿Cómo se distribuyen las claves? • Ejemplos: • DES • 3DES • Rijndael (AES) • Blowfish • Kerberos María Pedro ciao 3$r ciao María Pedro ciao 3$r ciao 3$r 3$r
  • 9. Infraestructura de Seguridad Grid  Seguridad a nivel de red Criptografía Algoritmos asimétricos: • También conocidos como Algoritmos de Clave Pública/Public Key Algorithms. • Algunas características: •Cada usuario tiene un par de claves: 1 privada y 1 pública • Es imposible obtener la clave privada usando la clave pública • Un mensaje cifrado con una de las claves sólo es descifrado por su pareja •No es necesario intercambiar las claves privadas • El emisor del mensaje lo cifra usando la clave pública del receptor • El receptor descifra el mensaje usando su clave privada • Ejemplos: •Diffie-Helmann (1977) •RSA (1978) •DSA •ElGamal Juan keys pública privada Pablo keys pública privada Pablo Juan ciao 3$r ciao Pablo Juan ciao cy7 ciao 3$r cy7
  • 10. Infraestructura de Seguridad Grid  Seguridad a nivel de red Criptografía Firma digital: • Método criptográfico que nos permite asociar la identidad de una persona o máquina al mensaje o documento. • Asegura la integridad del documento o mensaje. • Como funciona: •Pablo calcula el hash del mensaje. •Pablo cifra el hash usando su clave privada: el hash cifrado es la firma digital. •Pablo envía el mensaje firmado a Juan. •Juan calcula el hash(B) del mensaje y verifica que es igual al hash(A), descifrado con la clave pública de Pablo. •Si los hashes son iguales: • Mensaje no fue modificado. • Pablo no puede repudiarlo. Juan Mensaje Firma Digital Pablo Mensaje Firma Digital Mensaje Firma Digital Hash(A) Hash(B) Hash(A) = ? Claves de Pablo pública privada
  • 11. Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales • La firma digital de Pablo se considera segura si: • La clave privada de Pablo no ha sido comprometida. • Juan conoce la clave pública de Pablo. • ¿Cómo puede Juan estar seguro de que la clave pública de Pablo es realmente la suya y no de otra persona? • Existencia de una tercera parte que certifica la correspondencia entre la clave pública y la identidad del propietario. • Ambos deben confiar en esta tercera parte. • Dos modelos existentes para establecer la confianza: • X.509  Organización jerárquica (usada en Grid). • PGP  De persona a persona.
  • 12. Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Autoridades de Certificación • La “Tercera Parte” se llama Autoridad de Certificación/Certification Authority (CA). • Responsabilidades de una CA: • Emisión de Certificados Digitales (contiene la clave pública y la identidad del usuario) para usuarios, programas o máquinas. • Verificar la identidad y los datos personales del solicitante. • Autoridades del Registro/Registration Authorities (RAs) hacen actualmente esa verificación. • Revocan el certificado en caso de que haya sido comprometido. • Renovación de certificados cuando estos vayan a expirar. • Periodicamente publica una lista de certificados revocados en su página web: •Certificate Revocation Lists (CRL): contiene todos los certificados revocados.
  • 13. Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Autoridades de Certificación • ¿Cómo obtener el certificado digital? El certificado es expedido por la CA El certificado es usado como una llave para acceder a los recursos Grid Se lleva a cabo la petición del certificado La identidad del usuario es confirmada por la RA (Autoridad de Registro)
  • 14. •Un certificado X.509 contiene: • Clave privada (creada por el usuario Grid) que se almacena en un fichero encriptado, protegido por una frase de paso. Clave pública del usuario Identidad del usuario Información de la CA Tiempo de validez Número de serie Firma digital de la CA Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Certificados X.509 Public key Subject:C=CH, O=CERN, OU=GRID, CN=Andrea Sciaba 8968 Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CA Expiration date: Aug 26 08:08:14 2005 GMT Serial number: 625 (0x271) Estructura de un certificado X.509 CA Digital signature
  • 15. Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Secure Socket Layer (SSL) • Basada en la X.509 PKI: •Los certificados están firmados por las CAs. •Cada transacción en la Grid está mutuamente autenticada: 1.Pedro envía su certificado. 2.El servicio verifica la firma de la CA en el certificado de Pedro. 3.El servicio envía a Pedro un número aleatorio. 4.Pedro cifra usando su clave privada. 5.Pedro envía el número cifrado al servicio. 6.El servicio usa la clave pública de Pedro para descifrar el número. 7.El servicio compara el número cifrado con el original. 8.Si son iguales, el servicio verifica la identidad de Pedro. Pedro Servicio Certificado de Pedro Verifica firma de la CA Número aleatorio Cifra con su clave privada Número cifrado Descifra con la clave pública de Pedro Compara el número recibido con el original
  • 16. Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Solicitud de certificado digital • En función del país en el que estés trabajando debes ir a una CA u otra. • Para el caso de España debéis acceder a: http://www.irisgrid.es/pki/ • Otras CAs son: • http://ca.lip.pt/ (Portugal) • http://security.fi.infn.it/CA/en/RA/ (Italia) • … • Para los usuarios que no estén cubiertos por ninguna CA existen ‘catch-all CAs’. Por ejemplo: • EGEE catch-all CA: http://igc.services.cnrs.fr/GRID2-FR/?lang=en • LCG catch-all CA: http://www.doegrids.org/
  • 17. Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Solicitud de certificado digital a IRISGridCA (1/2) • Acceder a http://www.irisgrid.es/pki/ y seleccionar la autoridad de registro (RA) correspondiente (RedIRIS). • Seleccionar tipo de certificado: Solicitud de certificado (CSR): • CSR de Usuario • CSR de Servidor/Servicio • Rellenar datos de usuario.
  • 18. Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Solicitud de certificado digital a IRISGridCA (2/2) • La CA envía un email al usuario para indicarle que ya está disponible su certificado en una determinada URL. • El usuario debe acceder a esa URL e indicar su identificador para descargarse el certificado en su navegador. • Después debe exportar el certificado desde su navegador para copiarlo en la UI desde donde lanzará los trabajos a los recursos Grid. • Si el certificado está en formato PKCS12 se debe convertir a .pem. Se puede usar el comando openssl (disponible en la propia UI): openssl pkcs12 –nocerts –in my_cert.p12 –out userkey.pem openssl pkcs12 –clcerts –nokeys –in my_cert.p12 –out usercert.pem
  • 19. Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Renovación de certificados (1/2) • El tiempo de vida máximo de un certificado es de 1 año + 1 mes. • La idea es que, transcurrido un año, un nuevo certificado sea expedido. • Los usuarios deben estar atentos a cuál es la fecha de expiración de su certificado para renovarlo antes de que esta ocurra. • No es necesario revocar un certificado para expedir uno nuevo, a menos que el certificado antiguo haya sido comprometido o el usuario haya cesado la actividad para la cual necesitaba ese certificado.
  • 20. Infraestructura de Seguridad Grid  Seguridad a nivel de red Certificados digitales Renovación de certificados (2/2) • Durante el proceso de renovación no se requiere que el usuario pase por el proceso de identificación en persona ante la RA: • Gran ventaja para los usuario y para la RA. • De todas formas, existe un número máximo de renovaciones sin identificación en persona. • Para evitar que el usuario tenga que presentarse en persona ante la RA, la petición de renovación se firma con el certificado del usuario, como por ejemplo: • Email firmado con el certificado del usuario. • Interfaz web CA/RA que sea capaz de reconocer el certificado del usuario. • Si el certificado del usuario expira antes de llevar a cabo la renovación, se debe solicitar un nuevo certificado.
  • 21. Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 • Sería peligroso transferir el certificado de usuario a través de la Grid. Es por eso que se utilizan los: • Certificados de proxy: • Están firmados por una entidad certificadora normal (o por otro proxy). • Soportan características importantes: •Delegación • Tienen un tiempo de vida limitado, lo que minimiza el riesgo de comprometer las credenciales del usuario. • Los certificados de proxy se crean con el comando grid-proxy-init.
  • 22. Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 grid-proxy-init • El usuario introduce una frase de paso que se usará para descifrar la clave privada. • La clave privada se usará para firmar el certificado de proxy, se crea un nuevo par de claves. De esta forma, la clave privada del usuario no está expuesta después de que el certificado de proxy se firme. • Certificado de proxy: • La clave privada del proxy no está cifrada. • Está almacenada en un fichero local, que debe ser SOLO LEIBLE por el propietario. • Tiempo de vida corto (normalmente 12 horas) para minimizar riesgos. Fichero del certificado de usuario Clave privada (Cifrada) Frase De paso Fichero del certificado de proxy de usuario
  • 23. Certificado proxy X.509 grid-proxy-init • grid-proxy-init ≡ “login to the Grid” • Para cerrar la sesión tienes que destruir el proxy con: grid-proxy-destroy • Para obtener más información sobre el proxy se usa el comando: grid-proxy-info Algunas de las opciones para obtener información son: -subject -issuer -type -timeleft -strength -help Infraestructura de Seguridad Grid  Seguridad a nivel de VO
  • 24. Certificado proxy X.509 Delegación • Delegación: consiste en la creación remota de un certificado de proxy de segundo nivel, es decir, a partir de otro certificado de proxy. • Se generan un nuevo par de claves en un servidor remoto. • El cliente firma el certificado del proxy y lo devuelve. • Permite que un proceso remoto se autentique como si fuera el usuario. • El proceso remoto se comporta como si fuera el usuario. Infraestructura de Seguridad Grid  Seguridad a nivel de VO
  • 25. • El proxy tiene un tiempo de vida limitado (por defecto son 12 h) • Como hemos visto, no sería recomendable tener un proxy de mayor duración. • De todas formas, una trabajo de Grid puede necesitar el uso de un proxy de un tiempo mayor. • Servidor MyProxy: • Permite crear y almacenar un certificado de proxy de mayor duración: • myproxy-init –s <myproxy_server_name> • myproxy-info: devuelve la información del certificado de proxy de larga duración almacenado en el servidor de myproxy. • myproxy-get-delegation: genera un nuevo certificado de proxy. • myproxy-destroy • Los servicios de transferencia de ficheros en gLite validan las peticiones de los usuarios e incluso a veces renuevan los proxies. • Para ello, contactan con el servidor de myproxy. Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 Proxy de larga duración  Myproxy
  • 26. • Los usuarios de Grid deben pertenecer a organizaciones virtuales: • Los usuarios deben firmar las normas de uso de la VO a la que quieren pertenecer. • Las VOs mantienen una lista con los nombres de los miembros en una servidor LDAP. • Las máquinas de Grid se descargan esta lista para mapear los subjects de los certificados de usuarios con el pool de cuentas locales. ... "/C=CH/O=CERN/OU=GRID/CN=Simone Campana 7461" .dteam "/C=CH/O=CERN/OU=GRID/CN=Andrea Sciaba 8968" .cms "/C=CH/O=CERN/OU=GRID/CN=Patricia Mendez Lorenzo-ALICE" .alice ... Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 VOs y autorización
  • 27. • Almacenan información extendida de los miembros de las VOs, grupos, roles. • Cada VO tiene una base de datos que contiene información sobre los miembros de un grupo, sus roles y capacidades. • Los usuarios contactan con el servidor VOMS solicitando su información de autorización. • El servidor envía la información de autorización al cliente, quien la incluye en el certificado de proxy. • voms-proxy-init –-voms vo.formacion.es-ngi.eu Crea el certificado y le añade una extensión con la información proporcionada por el servidor VOMS. • voms-proxy-info –-all Muestra la información del certificado junto con las extensiones VOMS. Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 Servidor VOMS (Virtual Organization Members Service)
  • 28. • Una especie de FQAN (Fully Qualified Attribute Name), es lo que el servidor VOMS utiliza para expresar la pertenencia de una usuario a una VO y otra información de autorización. • La pertenencia a grupos, roles y capacidades debe expresarse en un formato que las muestre juntas: <group>/Role=[<role>][/Capability=<capability>] [tut25@cg02 ~]$ voms-proxy-info -fqan /vo.formacion.es-ngi.eu/Role=NULL/Capability=NULL • El FQAN se incluye en el atributo de certificado (AC). • Los atributos de certificado se usan para asociar un conjunto de atributos (como son la pertenencia a VOs, los roles, la información de autorización, etc.) con una identidad. • Los ACs están firmados digitalmente. • El servidor VOMS usa los ACs para incluir los atributos de un usuario en un certificado de proxy. 28 Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 FQAN y AC (Atribute Certificate)
  • 29. • El servidor crea y firma el AC que contiene el FQAN solicitado por el usuario. Si es aplicable, el AC se incluye en las extensiones VOMS asegurando la compatibilidad con los mecanimos basado en GT (Globus Toolkit). [ui-SL5] /home/virginia > voms-proxy-info -all subject : /DC=es/DC=irisgrid/O=rediris/CN=virginia.martinrubio/CN=proxy issuer : /DC=es/DC=irisgrid/O=rediris/CN=virginia.martinrubio identity : /DC=es/DC=irisgrid/O=rediris/CN=virginia.martinrubio type : proxy strength : 1024 bits path : /tmp/x509up_u500 timeleft : 11:59:55 === VO vo.general.es-ngi.eu extension information === VO : vo.general.es-ngi.eu subject : /DC=es/DC=irisgrid/O=rediris/CN=virginia.martinrubio issuer : /DC=es/DC=irisgrid/O=ifca/CN=host/voms01.ifca.es attribute : /vo.general.es-ngi.eu/Role=NULL/Capability=NULL timeleft : 11:59:55 uri : voms01.ifca.es:15003 Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 VOMS y AC (Atribute Certificate)
  • 30. • A nivel de recursos, la información de autorización es extraída del proxy y procesada por LCAS y LCMAPS. • Local Centre Authorization Service (LCAS) • Comprueba si el usuario está autorizado (actualmente usando grid- mapfile) • Comprueba si el usuario está “baneado” en el site. • Comprueba si en ese momento el site acepta trabajos. • Local Credential Mapping Service (LCMAPS) • Asocia credenciales grid con credenciales locales (por ejemplo UNIX uid/gid, AFS tokens, etc.). • Asocia también los grupos y roles (soporta totalmente el FQAN) "/VO=dteam/GROUP=/dteam" dteam "/VO=eumed/GROUP=/eumed/ROLE=SoftwareManager" eumed "/VO=eumed/GROUP=/eumed" eumed Infraestructura de Seguridad Grid  Seguridad a nivel de VO Certificado proxy X.509 LCAS & LCMAPS
  • 31. • Es necesario un certificado digital y ser miembro de una VO. • ¡¡Mantén a salvo tu clave privada!! • Los comandos de proxy voms-* • Gestionan los certificados de proxy • Los comandos de myproxy myproxy-* • Para delegar los certificados de proxy RECUERDA QUE…