Interfaz de autentificación

Provee de los mecanismos básicos de autentificación que se utilizan para validar tanto usuarios como recursos. Estos mecanismos son los ladrillos básicos sobre los que asentar métodos de seguridad de mayor nivel. Uno de los componentes clave de Globus es el protocolo Grid Security Infrastructure (GSI), que permite una autenticación única del usuario para todos los recursos mediante certificación digital basada en PKI y X.509. La versión inicial del módulo de autentificación de Globus soporta password, rsh y SSL. Con el objeto de aumentar el grado de abstracción del interfaz, se esta dirigiendo hacia el uso de Generic Security System (GSS).

GSS define un procedimiento estándar y un API para la obtención de credenciales (cliente y servidor), y para encriptación y desencriptación orientada a mensajes. GSS es independiente de cualquier mecanismo de seguridad particular y puede residir en capas superiores de diferentes métodos de seguridad, como Kerberos y SSL. GSS debe modificarse y extenderse para cumplir los requerimientos propios de la computación Grid. En general se sistema de computación Grid puede utilizar diferentes mecanismos de autentificación en diferentes situaciones y para diferentes propósitos, por tanto debe implementarse en GSS soporte para un variado rango de diferentes mecanismos de seguridad.

Además, funciones de búsqueda y selección son necesarias para que los servicios de alto nivel puedan implementar políticas de seguridad específicas seleccionadas de mecanismos de seguridad de bajo nivel.

Certificado digital

Un certificado digital es un documento digital mediante el cual un tercero confiable (una autoridad de certificación o CA) garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública. Si bien existen varios formatos de certificado digital, los más comúnmente empleados se rigen por el estándar UIT-T X.509v3. El certificado contiene usualmente el nombre de la entidad certificada, un número serie, fecha de expiración, una copia de la clave pública del titular del certificado (utilizada para la verificación de su firma digital), y la firma digital de la autoridad emisora del certificado de forma que el receptor pueda verificar que esta última ha establecido realmente la asociación. X.509 es un estándar ITU-T para infraestructura de claves pública (public key infrastructure o PKI). X.509 especifica, entre otras cosas, formatos estándar para certificados de claves públicas y un algoritmo de validación de ruta de certificación. X.509 es la pieza central de la infraestructura PKI, y es la estructura de datos que enlaza la clave pública con los datos que permiten identificar al titular. Su sintaxis, se define empleando el lenguaje ASN.1 (Abstract Syntax Notation One), y los formatos de codificación más comunes son DER (Distinguish Encoding Rules) o PEM (Privacy Enhanced Mail).

Estructura de un certificado X.509

Siguiendo la notación de ASN.1, un certificado contiene diversos campos, agrupados en tres grandes grupos:

x El primer campo, es el subject, que contiene los datos que identifican al titular.

Estos datos están expresados en notación DN (Distinguished Name), donde un DN se compone a su vez de diversos campos, siendo los más frecuentes los siguientes; CN (Common Name), OU (Organizational Unit), O (Organization) y C (Country).

Además del nombre del titular (subject), el certificado, también contiene datos asociados al propio certificado digital, como la versión del certificado, su identificador (serialNumber), la CA firmante (issuer), el tiempo de validez (validity), etc. La versión X.509.v3 también permite utilizar campos opcionales (nombres alternativos, usos permitidos para la clave, ubicación de la CRL y de la CA, etc.).

x En segundo lugar, el certificado contiene la clave pública, que expresada en notación ASN.1, consta de dos campos, en primer lugar, el que muestra el algoritmo utilizado para crear la clave (p.e. RSA), y en segundo lugar, la propia clave pública.

x Por último, la CA, ha añadido la secuencia de campos que identifican la firma de los campos previos. Esta secuencia contiene tres atributos, el algoritmo de firma utilizado, el hash de la firma, y la propia firma digital.

Autoridad de certificación

Es la entidad de confianza, responsable de emitir y revocar los certificados digitales.

La Autoridad de Certificación (CA) es quien da validez a los certificados mediante la firma digital de éstos con la clave privada de la CA, es decir, legitima ante terceras partes la relación entre la identidad de un usuario y su clave pública. La confianza de los usuarios en la CA es fundamental para el buen funcionamiento del servicio. Un certificado que se revoca es un certificado que se invalida definitivamente antes de que venza su período de validez (p.e. porque se sospecha que la clave privada correspondiente haya sido comprometida). Un certificado revocado no puede utilizarse más.

El mecanismo habitual de solicitud de un certificado a una CA consiste en que la entidad que lo solicita envíe una petición PKCS#10 a la CA, donde PKCS corresponde a un conjunto de especificaciones que son estándares de facto denominadas Public-Key Cryptography Standards. La petición incluye la información del solicitante, su clave pública y para que la CA pueda validar el par de

claves, un pequeño fragmento firmado con su clave privada. Si se requiere una comprobación adicional de los datos de la entidad, puede intervenir una autoridad de registro (RA) en el proceso de solicitud de certificación como intermediario. Las CA disponen de sus propios certificados públicos, cuyas claves privadas asociadas son empleadas por las CA para firmar los certificados solicitados. Sin embargo, un certificado puede estar auto-firmado cuando no hay ninguna CA que lo firme. Este es el caso de los certificados de CA raíz, el elemento inicial de cualquier jerarquía de certificación. Las jerarquías de certificación consisten en una estructura jerárquica de CA en la que se parte de una CA auto-firmada, y en cada nivel, se puede firmar certificados de entidades o bien certificados de otras CA subordinadas si se tiene permiso para ello.

El modo en el que se establece la confianza en las CA consiste en la instalación en los sistemas de cada entidad, de los certificados de las autoridades clasificadas como CA de confianza. De esta forma, cualquier certificado firmado por una CA de la lista se podrá validar, ya que se dispone de la clave pública con la que verificar la firma que lleva el certificado. Cuando el modelo de CA incluye una jerarquía, hará falta confiar explícitamente en los certificados de todas las cadenas de certificación en las que se confíe. Para ello, se puede localizar sus certificados mediante distintos medios de publicación en internet, pero también es posible que un certificado contenga toda la cadena de certificación necesaria para ser instalado con confianza.

Finalmente, las CA también se encargan de la gestión de los certificados firmados.

Esto incluye las tareas de revocación de certificados mediante la solicitud de la entidad. Como se ha comentado, la lista denominada CRL contiene los certificados que entran en esta categoría, por lo que es responsabilidad de la CA publicarla y actualizarla debidamente. Por otra parte, otra tarea que debe realizar una CA es la de renovación de certificados por caducidad o revocación, por ejemplo. Una CA puede ser o bien publica o bien privada. Los certificados de CA de las CAs públicas suelen estar instalados en los navegadores y son reconocidos como entidades confiables.

Las CAs públicas emiten los certificados para la población en general (aunque a veces están focalizadas hacia algún colectivo en concreto) y además firman CAs de otras organizaciones.