1. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Autoridad de certificación
para aplicaciones de e-
science
Javier Díaz y Nicolás Macia
LINTI
Facultad de Informática
Universidad Nacional de La Plata
TALLER DE ADMINISTRACION DE GRID COMPUTING
Diciembre 6, 2012
www.gisela-grid.eu
2. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Qué es una Autoridad de Certificación
(CA,Certification Authority)?
Emite Certificados Digitales (conteniendo la clave
pública y la identidad del dueño) para usuarios,
programas y máquinas.
“Una autoridad a la que uno o más suscriptores confían
la tarea de crear y asignar PKIs. Esa entidad/sistema
emite certificados de identidad X.509.”. CP/CPS
Autoridades de Registración (RA): Chequea la identidad
y los datos personales de los solicitantes
Los certificados son firmados por la CA.
www.gisela-grid.eu
3. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Porqué es necesario contar con un
certificado digital?
Es la forma de autenticación para poder ejecutar
trabajos en la GRID.
Es un documento digital por el que una autoridad de
certificación (un tercero “confiable”) garantiza la
vinculación entre la identidad de un sujeto o entidad y
una clave pública.
La UNLP otorga los certificados digitales a través del
CeSPI (CEntro Superior para el Procesamiento de la
Información)
En el CeSPI funciona también la RA
www.gisela-grid.eu
4. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
La Autoridad de Certificación
(CA,Certification Authority)
Actualmente la UNLP es autoridad de certificación
UNLP es miembro de TAGPMA (The Americas Grid
Policy Management Authority)
TAGPMA funciona como una federación de
proveedores de autenticación y 3ras partes “confiables”
(relying parties).
El objetivo de TAGPMA is promover relaciones de
confianza a través de los distintos dominios para el uso
seguro de tecnología GRID.
TAGPMA forma parte de ITGF.
www.gisela-grid.eu
5. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
www.tagpma.org
www.gisela-grid.eu
6. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
IGTF
TAGPMA EUGridPMA APGridPMA
www.gisela-grid.eu
7. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
IGTF (International Grid Trust Federation)
IGTF es un organismo internacional creado para
coordinar y administrar ese dominio de confianza.
Compartir los recursos distribuidos de la tecnología
GRID, exige la creación y mantenimiento de un dominio
común seguro.
La implementación de esta tecnología trasciende las
fronteras de un país.
www.gisela-grid.eu
8. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Ser miembro de TAGPMA fue un largo proceso
Presentación de las Políticas de Certificados y
Declaración de Práctica de la Certificación (CP/CPS,
Certificate Policy and Certification Practice Statement)
según la RFC 3647
Análisis y aprobación por parte de los miembros de
TAGPMA
Auditorías por parte de TAGPMA e internas
Participar en una reunión mensual a través de
videoconferencia (mantener la representatividad)
Se prevé realizar un face-to-face en Octubre del
próximo año en Argentina (ya se realizó uno en 2006)
www.gisela-grid.eu
9. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
CP/CPS, 1.1. Generalidades
“UNLP Grid es la infraestructura que soporta las
actividades de e-ciencia de la comunidad académica
argentina.
Este documento describe el conjunto de reglas y
prácticas operativas que deberán ser usadas por la CA
del UNLP PKIGrid, la Autoridad de Certificación (CA) para
UNLPGrid, para emitir certificados. Este y cualquier
documento CP/CPS subsiguiente puede ser encontrado
en el sitio Web”
http://www.pkigrid.unlp.edu.ar
www.gisela-grid.eu
10. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Qué es una PKI? Para qué sirve?
PKI proviene de Public Key Infrastructure
(Infraestructura de Clave Pública).
Es la suma del hardware, el software, las políticas, los
procedimientos necesarios para crear, administrar,
distribuir, usar, almacenar y revocar certificados
digitales.
www.gisela-grid.eu
11. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
https://www.pkigrid.unlp.edu.ar
www.gisela-grid.eu
12. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
• Cómo obtener un certificado:
Se efectúa la solicitud La identidad del usuario es
de un certificado confirmada por la RA
El certificado es emitido El certificado es usado como
por la CA llave de acceso a la grid
www.gisela-grid.eu
13. Grid Initiatives for e-Science virtual communities in
Europe and Latin America Certificado X.509
• Un Certificado X.509 contiene: Estructura de un certificado X.509
– clave pública del dueño Clave Pública
Subject:C=CH, O=CERN,
– identidad del dueño OU=GRID, CN=Andrea Sciaba
8968
Issuer: C=CH, O=CERN,
– información de la CA
OU=GRID, CN=CERN CA
Expiration date: Aug 26 08:08:14
– tiempo de validez 2005 GMT
Serial number: 625 (0x271)
– número de serie
Firma Digital de la CA
– firma digital de la CA
www.gisela-grid.eu
14. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Basada en X.509 PKI: John Paul
• Cada usuario/host/servicio tiene un Certificado de John
certificado X.509;
• Los certificados son firmados por las
CA’s; Verifica la firma de la CA
• Cada transacción en la Grid es
Número aleatorio
mutuamente autenticada:
1. John envia su certificado.
2. Paul verifica la firma en el certificado Encripta con su clave privada
de John.
3. Paul envia a John un número aleatório. Número encriptado
4. John lo encripta usando su clave
privada. Desencripta con la clave
5. John envia el número encriptado a Paul pública de John
6. Paul usa la clave pública de John para
desencriptar el número. Compara con el número
7. Paul compara el número desencriptado
con el original. original
8. Si son iguales, Paul verifica la identidad
de John.
www.gisela-grid.eu
15. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Características de la PKI
Arquitectura:
CA offline
RA e Interfaz pública on-line
Roles y funciones
Políticas y procedimientos
CP/CPS aprobado por TAGPMA
Procedimientos: Públicos e Internos
Adaptación de OpenCA
www.gisela-grid.eu
16. Grid Initiatives for e-Science virtual communities in
Europe and Latin America
Situación actual. Tendencias
PKI acreditada por TAGPMA (CP/CPS aprobado) y
operativa
Tendencias que se enuncian en los TAGPMA meetings:
Soporte de OCSP
Conectividad IPv6 en servicios de PKI
Plan de migración a Sha-2
www.gisela-grid.eu
17. UNLP PKIGRID
Preguntas?
Gracias por su atención
Lic. Javier Díaz (jdiaz@unlp.edu.ar)
Lic. Nicolás Macia (nmacia@cert.unlp.edu.ar)
www.gisela-grid.eu