Christopher Kunz

I’m currently at eScience 2009 in Oxford. I’ll present my paper on Friday and try to keep loose track of things via my twitter timeline. Follow me if you want, my paper’s abstract is below.

Design and Implementation of a Grid Proxy Auditing Infrastructure

Christopher Kunz, Christian Szongott, Jan Wiebelitz, Christian Grimm
Regional Computing Center for Lower Saxony
Gottfried Wilhelm Leibniz Universitaet
Hannover, Germany
{kunz,szongott,wiebelitz,grimm}@rvs.uni-hannover.de

Abstract

Single sign-on and delegation of rights are key requirements
for modern Grid infrastructures. These requirements
are usually facilitated by X.509 und Private-Key Infrastructures
(PKI) and proxy certificates. Proxy certificates, however,
can be obtained and abused by a malicious third party.
There is currently no method for end users to detect such
abuse.
We have designed a solution that enables a thorough auditing
of Grid proxy usage in Globus-based Grids and
implemented a service that accepts auditing information
via a web service interface and saves them to a back-end
database. We introduce modifications to the Grid Security
Infrastructure that allow sending audit trails from within
Globus components if the user desires to track credential usage.
A web-based front-end shows all logged information.
With our approach, expert users can now closely monitor
how their credentials are used after job submission. This
will help build trust in Grid infrastructures and delegated
authentication and authorization.

In Grid-Systemen muß sichergestellt werden, daß ein
Benutzer zu jedem Punkt und von jeder Komponente eindeutig
identifiziert werden kann. Das ist notwendig, damit zum einen Grid-Jobs
nicht im Namen (und auf Rechnung) unbeteiligter Benutzer in Auftrag
gegeben werden, und zum anderen, um die sensitiven Daten und Jobs der
Benutzer vor Fremdzugriff zu schützen.

Um das Ziel der eindeutigen Authentifizierung und
lückenlosen Identifizierung zu erreichen, bedienen sich heutige
Grid-Projekte (Globus/gLite) einer Public Key Infrastructure (PKI).
Diese etabliert eine auf global vertrauenswürdigen CAs (Certificate
Authorities) basierende Chain of Trust und verwendet Zertifikate zur
Authentifizierung eines Grid-Jobs.

Das MyProxy Credential Repository basiert auf der
Idee, kurzlebige Proxy-Zertifikate für die tatsächlichen Jobs zu
verwenden, die bei Kompromittierung nicht für so große Probleme sorgen
wie ein kompromittiertes langlebiges Zertifikat nebst Private Key.

Die Präsentation wurde im Rahmen des Seminars
“Grid-Computing” am Fachbereich Rechnernetze und Distributed Virtual
Reality der Uni Hannover zusammen mit Ralf Gröper gehalten.

Mehr Infos gibts hier

13:00, Eingang Nord2, Sebastian Bergmann tippt mir auf die Schulter. Na, das war ja perfektes Timing. Wir begeben uns mit einem Pressetaxi zum Heisestand, das Wetter ist nämlich ziemlich beschissen. CeBIT-typisch, könnten böse Zungen behaupten: Schneidender kalter Wind (besonders in dem Windkanal zwischen Nord2 und Halle 2, *bibber*), fieser Nieselregen, der ab und an stärker wird, und ziemlich niedrige Temperaturen. Gut, daß ich in weiser Voraussicht einfach mal nur einen Anzug an- und den Mantel zuhausegelassen habe. Warme Kleidung werde ich sicher nicht brauchen.

Am Heisestand ist es ziemlich knallvoll, die Vorträge sind wieder hervorragend bis unerträglich gut besucht. Das Heiseforum platzt sozusagen aus allen Nähten, hähä. Ich lasse mir meinen PGP-Key von der c’t Kryptokampagne signieren und werde von einem netten jungen Herrn mit CCC-Halsband auf den nahegelegenen Stand der “CAcert”-Kampagne aufmerksam gemacht.

Die Jungs von CAcert, einem australischen Verein, kombinieren den “Web of Trust”-Gedanken, der z.B. von Thawte aufgegriffen und für eine Art Vertrauensmaß von Mailzertifikaten genutzt wurde, mit allerlei kryptographischem Zubehör. Läßt man sich an ihrem Stand (D38 in Halle 5) von einem der anwesenden CAcert-Mitglieder “assuren”, so hat man die Möglichkeit über einen gesicherten Userbereich auf der Website www.cacert.org für sich selber Zertifikate (u.a. X.509, SSL/TLS, Signing von PGP Keys durch die CA) ausstellen zu lassen, aber auch (ab einem bestimmten Score) andere Mitglieder zu “assuren”, also ihre Identität zu überprüfen. Ihr benötigt einen gültigen Perso/Reisepaß und natürlich eine Mailadresse für den cacert-Account und das ganze kostet nix.
Wenn die Root-CA von CAcert irgendwann mal in den gängigen Browsern integriert ist, sollte sich ein derart ausgestelltes Zertifikat nicht von kommerziellen Counterparts unterscheiden. Möglichen Attacken durch böse Buben, die versuchen könnten, sich ein Zertifikat für paypal.com auszustellen, um ihr Phishing zu einer authentischeren Sache zu machen, wird durch die für eine CA üblichen Sicherheitsmechanismen ein Riegel vorgeschoben - die Angriffsvektoren, die Jürgen Schmidt von Heise Security und mir eingefallen waren, konnte Herr Neumann von CAcert ausräumen.


Nach einigem Rumgedamel und eine Tickermeldung später mache ich noch einen kleinen Rundgang über’s Gelände, um dann ca. ab 17:00 auf dem Heisestand rumzuhängen und auf das Aufbruchssignal zur Heise-Party zu warten. Die Location (GOP Varieté) ist ziemlich edel, allerdings gnadenlos überfüllt. Die persönlichen Einladungen ohne Begleitperson hatten offenbar ihren Sinn.

Dort gibt es dann außerordentlich leckeres Essen und nette Gespräche u.a. mit koepi (as in “XviD, Koepi’s Build”) und den netten Jungs von vantronix secure systems. Der Abend ist ca. gegen 01:00 zuende und ich falle zügig ins Bett. Sebastian hatte sich bereits um 23:20 in Richtung Hauptbahnhof verabschiedet.