hledat:

7   AAI a mobilita

V roce 2007 pokračovala činnost aktivity AAI a mobilita ve třech hlavních oblastech:

• rozvoj infrastruktury veřejných klíčů,
• podpora autentizačních a autorizačních federací a
• rozvoj roamingové infrastruktury.

7.1   Infrastruktura veřejných klíčů

Služby infrastruktury veřejných klíčů (PKI) poskytované certifikačním úřadem CESNET CA jsou již tradičně využívány uživateli členů sdružení a institucí připojených k síti CESNET2. Poskytujeme osobní certifikáty pro autentizaci (využívané zejména v gridových projektech) a pro zabezpečenou komunikaci (např. mezi správci uzlů služby eduroam.cz). Velice populární je služba serverových certifikátů Server Certificate Service (SCS)¹.

Dodavatelem certifikátů pro službu SCS se v roce 2006 stala na základě výběrového řízení firma GlobalSign. Po ročním pilotním provozu služby byla s dodavatelem prodloužena smlouva na další tři roky. GlobalSign přislíbil odstranit v roce 2007 některé nedostatky odhalené během pilotního provozu a také podpořit další aktivity zúčastněných NREN spojené se službou SCS. V této oblasti měl CESNET dva hlavní cíle: Zprovoznit službu OCSP pro certifikáty SCS a akreditovat certifikační úřad Cybertrust Educational CA (vydavatel SCS certifikátů) u International Grid Trust Federation (IGTF) a umožnit tak používání SCS certifikátů v gridech.

Online Certificate Status Protocol (OCSP) je protokol, který umožňuje zjišťovat platnost (platný/odvolaný) jednotlivých certifikátů dotazem u serveru (tzv. OCSP responder). V "tradiční" konfiguraci poskytují certifikační úřady informace o odvolaných certifikátech tak, že publikují seznam všech odvolaných certifikátů (CRL - Certificate Revocation List) v jednom podepsaném dokumentu. Uživatelé si CRL v pravidelných intervalech kopírují a při ověřování platnosti certifikátu jej pak konzultují. Tento mechanismus má několik nevýhod. Především, u velkých certifikačních úřadů bývají CRL dokumenty veliké a jejich kopírování může vyvolat netriviální síťovou zátěž zejména na straně publikačního serveru. Na straně klienta může pak velikost CRL způsobovat problémy při při jejich ukládání a zpracování - klienty mohou být i zařízení s omezenou paměťovou kapacitou.

Zprávy protokolu OCSP jsou naproti tomu velmi malé - dotaz i odpověď se týkají stavu malého počtu certifikátů (nejčastěji právě jednoho). To, spolu s on-line povahou protokolu, také umožňuje zjišťovat stav certifikátu tak, jak je v čase dotazu znám responderu. Klient tak může mít k dispozici aktuálnější informace.

Pro zabezpečení služby OCSP jsme připravili software založený na OCSPD projektu OpenCA. Připravili jsme softwarové balíčky pro partnery ze SURFnetu, kteří měli služby spolu s námi provozovat. Společnost GlobalSign měla podle dohody začátkem roku dodat podpisové certifikáty pro respondery a upravit stávající profily serverových certifikátů tak, aby obsahovaly odkaz na OCSP službu. Certifikáty pro respondery byly dodány v září, od té doby jsou naše respondery v provozu. Bohužel, službu doposud nikdo nepoužívá, protože informaci o ní GlobalSign do serverových certifikátů stále ještě nevkládá. Vzhledem k dosavadním zkušenostem nepředpokládáme, že by GlobalSign svým závazkům v příštím roce dostál. Z těchto důvodů jsme také upustili od záměru akreditovat Cybertrust Educational CA u IGTF. Vybudovanou OCSP infrastrukturu použijeme pro certifikáty CESNET CA.

7.2   Česká akademická federace identit

V průběhu roku 2007 jsme pokračovali ve výstavbě národní akademické federace identit. Připravili jsme pilotní testbed postavený na software Shibboleth 1.3 vyvíjený projektem Internet2. Pro zájemce jsme připravili informační web s návody a odkazy na dokumentaci.

Shibboleth pracuje se zprávami ve formátu Security Assertion Markup Language (SAML) standardizovaném >organizací OASIS. V tomto formátu si jednotliví účastníci federace (poskytovatelé identit a poskytovatelé služeb, v terminologii SAML označovaní souhrnně jako entity) předávají informace o identitě uživatele a služby. SAML také definuje formát pro popis jednotlivých entit, tzv. metadata. Metadata popisují identifikátory entit, jejich role (poskytovatel služby, poskytovatel identity, atributová autorita, ...) podporované formáty SAML zpráv a scénáře jejich použití, tzv. profily.

Kromě výše uvedených funkcí slouží metadata také jako primární zdroj důvěry mezi entitami. Obsahují totiž veřejné klíče, které slouží k ověření podpisů jednotlivých entit, k jejich TLS autentizaci či k zašifrování zpráv. Správa metadat je zjevně nejdůležitější funkcí, kterou musí federace plnit - při jejím selhání je ohrožena důvěryhodnost a bezpečnost celé infrastruktury. Důvěryhodnost metadat je zabezpečena elektronickým podpisem; veřejný klíč pro jeho ověření je distribuován prostředky vně systému.

V rámci testbedu spravujeme metadata (podobně jako většina existujících akademických SAML federací) manuálně: Správce entity připraví novou verzi svých metadat, předá ji správci metadat federace, ten ji zkontroluje, zařadí do souboru metadat federace, který elektronicky podepíše a publikuje na předem dohodnutém URL. Odtud si pak soubor zkopírují všechny entity. Tento způsob správy je náročný na lidské kapacity a může být poměrně zdlouhavý. To může způsobovat problémy v případech, kdy je potřeba rychle změnit např. informace o klíčích některé z entit.

Pro pilotní provoz připravujeme systém správy metadat, který činnosti správce metadat nahradí automatizovaným systémem. Za nejvhodnější pro takový systém považujeme distribuovanou architekturu, kdy jednotlivé entity publikují svá metadata svými prostředky na URL algoritmicky odvoditelných z identifikátoru entity. (To je, mimochodem, v souladu se záměry tvůrců Shibboleth - ve verzi 2 by každá entita měla být schopna publikovat svá metadata automaticky.) Centrální systém by pak pouze periodicky ověřoval, zda se metadata některé z registrovaných entit nezměnila a publikoval souhrnná metadata pro celou federaci. V ideálním případě by nemusel být centrální systém vůbec nutný a jednotlivé entity by mohly získávat metadata svých protějšků přímo od nich (předpokladem je, samozřejmě, existence funkční PKI, která zajistí důvěryhodnost předávaných zpráv).

Bohužel, standard SAML neposkytuje prostředky pro odvolání podpisu metadat (tedy nebrání opakovanému použití zprávy). Jediným řešením je za této situace omezení platnosti metadat na krátký časový úsek a jejich časté periodické vydávání. Tuto funkčnost není ovšem možné technicky snadno zajistit na jednotlivých entitách; museli jsme tedy opustit ideu distribuované správy metadat a přistoupit k tvorbě centralizovaného systému. Systém nasadíme v průběhu příštího roku při startu pilotního projektu národní akademické federace identit.

Pilotní projekt zahájíme se stávajícími účastníky testbedu. Předpokládáme tedy účast osmi institucí (CESNET, Masarykova univerzita v Brně, Univerzita Karlova v Praze, Západočeská univerzita v Plzni, Technická univerzita v Liberci, METAcentrum a Masarykova nemocnice Ústí nad Labem) jako poskytovatelů identit. Ke stávajícím aplikacím (např. informační forum pro správce entit federace, správcovské rozhraní dohledového systému eduroam, registrační služba pro uživatele služby SIP) chystáme přidat i nové federované služby certifikačního úřadu CESNET CA, jejichž softwarové řešení právě testujeme.

Jedním z nejnáročnějších úskalí při provozu PKI je proces vydávání certifikátů koncovým uživatelům. Obvykle vyžaduje náročné ověřování identity žadatele za jeho osobní účasti, správu identifikačních dat a nejednoduchou komunikaci mezi žadatelem a pracovníky registračního úřadu. Většinu činností registračních autorit mohou nahradit systémy správy identit jednotlivých institucí. K jejich zabezpečené komunikaci s vlastním certifikačním úřadem chceme využít infrastruktury budované federace identit. V našem modelu vystupuje certifikační úřad jako jeden z poskytovatelů služeb, poskytovatelé identit plní role registračních autorit. Komunikace mezi nimi probíhá stejně jako u jiných federovaných služeb, uživateli tedy stačí k vydání certifikátu běžný webový prohlížeč. Autentizaci a poskytnutí dat pro autorizaci a informací, jež mají být certifikovány, zajistí jeho domovská instituce.

Software, který v současné době CESNET CA používá (Entrust Authority Security Manager, EASM), neposkytuje webové rozhraní pro operace registračních autorit. Pro federovaný certifikační úřad jsme proto vybrali otevřený software EJBCA. Kromě toho, že nabízí obdobné funkce jako EASM, poskytuje SOAP rozhraní potřebné pro vydávání a odvolávání certifikátů.

Připravili jsme prototyp software umožňujícího uživateli na základě federované autentizace vystavovat vlastní certifikáty. Jejich obsah je plně řízen atributy dodanými jeho poskytovatelem identity. Předpokládáme, že nasazení tohoto systému v průběhu roku 2008 podpoří rozšíření PKI služeb mezi koncovými uživateli.

Uvedené řešení chceme prezentovat na lednovém setkání EUGriPMA s cílem získat zpětnou vazbu pro jeho akreditaci tak, aby jej mohli využít i uživatelé gridů.

7.3   eduroam - roaming uživatelů mezi institucemi

Služba eduroam.cz je zatím zřejmě mezi uživateli nejlépe přijímanou federovanou službou. Ke konci roku 2007 je konektivita jejím prostřednictvím poskytována ve více než padesáti lokalitách v České republice. Využít ji mohou uživatelé 25 organizací (viz seznam připojených organizací).

Rok 2007 probíhal ve znamení konsolidace služby a její přípravy na přechod z pilotního do provozního režimu. Díky sofistikovanému dohledovému systému nasazenému v minulém roce se nám podařilo významně zvýšit spolehlivost infrastruktury. V souladu s mezinárodními dohodami jsme ve všech lokalitách k 1. říjnu oddělili webovou autentizaci od infrastruktury eduroam.cz, takže autentizace ke službě probíhá pouze protokolem 802.1X.

V prvním pololetí byla završena diskuse k národní roamingové politice. Ta upravuje chování jednotlivých členů a uživatelů eduroam.cz. Aktuální verze dokumentu je dostupná na serveru služby. Roamingová politika vešla v platnost 1. září 2007. K tomuto datu přešla tedy služba eduroam.cz do provozního režimu.

Provozní otázky služby eduroam aktivně řešíme se zahraničními partnery i jako aktivní účastníci servisní aktivity SA5 projektu GN2.

Při zajišťování služby jsme se zaměřili na řešení některých technických problémů komplikujících její hladký provoz. Ve spolupráci s organizacemi poskytujícími konektivitu prostřednictvím eduroam v areálu Dejvice jsme připravili technické a organizační řešení problému překrytí rádiových sítí. Dokončení jeho implementace očekáváme v příštím roce, až všechny zúčastněné organizace pořídí příslušné zařízení.

V laboratorních podmínkách jsme ověřili funkčnost technologií potřebných pro vznik infrastruktury eduroam.cz založené na PKI. Tato infrastruktura nevyžaduje komplikovanou hierarchickou strukturu RADIUS serverů a umožňuje tak eliminovat jeden z potenciálních zdrojů nestability služby. Je ovšem závislá na snadném přístupu uživatelů k certifikátům. Předpokládáme, že tuto obtíž je možné odstranit s použitím federované certifikační služby. V roce 2008 chceme tuto alternativu otestovat v provozních podmínkách.

 

Poznámky:

1. Jedná se o společný projekt asociace TERENA a evropských NREN poskytující serverové certifikáty akceptované běžnými softwary, jako jsou WWW prohlížeče a klienti elektronické pošty (http://www.terena.org/activities/scs/index.html).

předchozí

obsah

následující