6 .1 U s a n d o C e r t i f i c a d o s S P K I p a r a
A u t o r i z a ç ã o e m S i s t e m a s O r i e n t a d o s a
O b j e t o s b a s e a d o s e m C O R B A .
O obj et ivo dest e t r abalho [ Lam pinen 1999] é apr esent ar um a for m a de im plem ent ar aut or ização em aplicações dist r ibuídas baseadas em CORBA at r avés de cer t ificados SPKI ( Sim ple Public Key I nfr ast ruct ur e) [ Ellisson 1998] . O t rabalho r essalt a as suas vant agens em r elação às soluções t radicionais baseadas em list as de cont r ole de acesso alegando que as est r at égias de aut orização e cont role de acesso baseadas em list as de cont r ole de acesso são im plem ent adas com o ent r adas de banco de dados e em pregam sist em as client e/ ser vidor . Est es aspect os r est ringem a escalabilidade em am bient es dist r ibuídos e dificult a o supor t e a anonim at o e pr ivacidade, um a vez que usam nom es únicos globais m apeados em dir eit os de acesso. Além disso, im pede a possibilidade de delegar aut or izações a um a t erceir a par t e.
O t r abalho pr opõe um a ar quit et ur a baseada no uso de cer t ificados SPKI par a cont r ole de acesso dist r ibuído, adequado par a aplicações dist r ibuídas em lar ga escala um a vez que possibilit a o anonim at o e pr ivacidade. A
im plem ent ação é baseada em CORBA. A Figur a 6.1 m ost r a os elem ent os da im plem ent ação CORBA para aut orização com cert ificados SPKI . A ar quit et ur a baseia- se na idéia de aut or ização de acesso a r ecur sos concedidas at r avés de delegação de cer t ificados a client es. Em cada acesso feit o por um client e o cert ificado é ver ificado por um ser vidor que filt ra solicit ações não aut orizadas. Solicit ações aut or izadas confer em ao client e acesso a det er m inado r ecur so. Obj et os r ecur sos ofer ecem int er faces par a vár ios r ecur sos com put acionais, por exem plo, ser vidor es de cont eúdo digit al, ser viço de pr ocessam ent o de dados num gr ande super com put ador ou ser viços de infor m ação. Em adição a im plem ent ar um a int er face com um par a o r ecur so, cada obj et o do r ecur so t am bém ofer ece um a int er face de ser viço específica do r ecur so, a qual for nece o serviço para os client es.
Figu r a 6 .1 : Ar qu it e t u r a ba se a da e m CORBA com SPKI.
A ar quit et ura é com post a por cinco com ponent es:
Clie n t e Re v e n de dor Re solv e dor Fá br ica de Re cu r sos Se r v idor de Re cu r sos Re cu r so 2 . 1 . 6 . 7 . 5 . 3 . 8 . 4 . 9 .
a. Revendedor es: Ter ceir a par t e que vende aos client es o acesso aos r ecur sos, at r avés da delegação do cer t ificado obt ido do ser vidor de r ecur sos, após o client e fornecer sua chave pública.
b. Client es: São os usuár ios finais dos ser v iços for necidos pelos r ecur sos. O client e usa o cer t ificado obt ido par a com unicação com o ser vidor de r ecur sos, est abelecendo um a conexão com o ser vidor e solicit ando a r efer ência par a um r ecur so.
c. Ser vidor de r ecur sos: Ser vidor que faz a int er ação inicial com os client es e t r abalha com o um pr oxy da fábr ica de r ecursos, filt r ando solicit ações não aut or izadas. No caso do client e t er aut or ização par a acesso ao r ecur so, o ser vidor de r ecur sos solicit a um a nova inst ância do obj et o do r ecur so da fábr ica de r ecur sos e passa sua r efer encia para o client e.
d. Resolvedor : É responsável por t ent ar cr iar a cadeia de cert ificados que fornece aut orização para o recurso solicit ado. Nessa cadeia o em issor do prim eiro cert ificado é o serv idor de recursos e o usuário t it ular do últ im o é o client e solicit ant e do r ecur so. É t am bém encar r egado de ver ificar a validade de cada cer t ificado e analisar as per m issões nos cer t ificados. O r esolvedor pode r et ir ar cer t ificados de algum t ipo de ar m azenam ent o com o soluções baseadas em DNS, ou no ser viço de dir et ór io X.500, ou no LDAP.
e. Fábr ica de r ecur sos: É r esponsável por cr iar e ger enciar inst âncias dos obj et os do recurso, com o t am bém aceit ar solicit ações dos client es par a inst âncias dos r ecur sos e efet uar as ver ificações necessár ias par a cada cham ada. Pode execut ar na m esm a m áquina do ser vidor de r ecur sos ou em out r a m áquina.
O t r abalho im plem ent a a ar quit et ura usando as funcionalidades do CORBA Secur it y Ser vice o que significa usar o obj et o cur r ent par a passar t r anspar ent em ent e os cer t ificados de cada client e par a o ser vidor . I st o evit a t r abalho r edundant e e t or na a im plem ent ação de segur ança t r anspar ent e par a os desenvolvedor es das aplicações. Com o um procedim ent o inicial, os client es passam t odos os seus cer t ificados par a o cont ext o segur o ( obj et o cur r ent ) e passam a usar os ser viços for necidos pelo ser vidor sem t er que adicionar par âm et r os a cada cham ada de m ét odo. A Figur a 6.2 ilust r a t al est r at égia.
Após o ser vidor r eceber a cham ada de m ét odo, t odos os obj et os no lado do ser vidor são r esponsáveis por obt er os cer t ificados dos client es do cont ext o segur o e execut ar as necessár ias ver ificações ant es de gar ant ir acesso aos r ecur sos.
Figu r a 6 .2 : Pa ssa n do os ce r t ifica d os n o obj e t o cu r r e n t. Cu r r e n t
Clie n t e Se r v idor de Re cu r sos
Ce r t ifica dos Ch a m a da a o
A polít ica de cont role de acesso im plem ent a a int erface AccessDecision e usa o r esolvedor par a ver ificar se o cer t ificado obt ido do cont ext o segur o da invocação do m ét odo é um a par t e válida da cadeia de cer t ificados. Caso posit iv o a AccessDecision deixa a cham ada do m ét odo passar par a o ser vidor de r ecur sos, confor m e ilust r ado na Figur a 6.3.
Figu r a 6 .3 : V e r ifica çã o de a u t or iz a çã o n o se r v idor.
O AccessDecision é aut om at icam ent e invocado par a cada cham ada de m ét odo. I sso significa que a ver ificação de aut or ização é feit a ant es da cham ada do m ét odo chegar ao ser vidor de r ecur sos.
A im plem ent ação baseia- se no padrão CORBA e é im plem ent ada em Java. O t r abalho não im plem ent a o CORBA Secur it y Ser vice Level 2 pela escassez de ORBs que o supor t assem for a dos Est ados Unidos, t endo os pr ópr ios aut or es im plem ent ado algum as funcionalidades. A im plem ent ação assum e que as com unicações ent r e com ponent es sit uados em m áquinas separ adas são encr ipt adas e pr ot egidas cont r a m odificações não aut or izadas, at r avés do uso do
Re solv e dor Acce ssD e cision ORB Se r v idor de Re cu r sos Solicit a çã o do Clie n t e
pr ot ocolo I I OP [ OMG 2004] sobr e SSL, m as soluções com o I PSec [ At kinson 1995 ] podem ser usadas.
Um dos pr oblem as da ar quit et ur a pr opost a nesse t r abalho é o fat o de ar m azenar t odos os cer t ificados do client e no obj et o cur r ent . I sso r equer um a gr ande quant idade de espaço caso o client e t enha vár ios cer t ificados. Out ro pr oblem a est á na ver ificação on- line para cada solicit ação feit a por um client e. I sso pode afet ar significant em ent e o t em po de r espost a. Par a r esolver esse pr oblem a o t r abalho suger e um a fut ur a ext ensão onde ir ia se est abelecer um a sessão de conexão ent r e o client e e o r ecur so com lim it es de t em po onde um cer t ificado é válido. Dessa for m a, o cer t ificado seria ver ificado apenas no início da sessão e diver sas cham adas de m ét odos poder iam acont ecer dur ant e um a sessão.
6 .2 R e f l e x õ e s s o b r e X . 5 0 9 e L D A P . C o m o a
s e p a r a ç ã o e n t r e i d e n t i d a d e e a t r i b u t o s
p o d e s i m p l i f i c a r u m a P K I
O obj et ivo dest e t r abalho [ Gr aaf e Car valho 2004] é pr opor um a for m a de m udar par t e da filosofia da I nfra- est rut ur a de chave pública especificada pelo padr ão de PKI X.509. Par a at ingir esse obj et ivo, é pr opost o a exist ência de apenas um a I dent it y Aut hor it y ( I A) que ser ia encar r egada da em issão do cer t ificado cont endo nenhum a ou quase nenhum a ident ificação a r espeit o do seu t it ular , passando a exist ir vár ias At t r ibut e Aut hor it y( AA) , que ser iam banco de dados LDAP, que for necer iam as cr edenciais associadas ao m esm o na for m a de at r ibut os. Essas m odificações per m it em às or ganizações m odificar em det alhadam ent e as list as de cont r ole de acesso e ao usuár io m ecanism os par a selecionar que infor m ações ele m ost r a a qual or ganização. Est e sist em a foi pr opost o pelos aut or es par a ser adot ado no pr oj et o I CP- EDU, que é um pr oj et o pilot o da RNP par a im plem ent ar um a PKI br asileir a par a a ár ea acadêm ica.
I nicialm ent e os aut ores levant am os problem as exist ent es com os padr ões de PKI X.509 e PKI X, alegando que o padr ão X.509 é m uit o com plexo e usa o ASN.1, que é um a for m a m uit o com plexa de definir est r ut ur a de dados independent em ent e de linguagem de pr ogr am ação. I sso t or na, por exem plo, bast ant e com plexa a t ar efa de especificar as ext ensões do cer t ificado. Além disso, não há unanim idade sobr e com o Dist inguished Nam es ( DN) devem ser usados em cer t ificados, por isso não há uniform idade nos cer t ificados. O SSL, por exem plo, ignor a o DN e usa URL par a im plem ent ar aut ent icação do ser vidor . Par a usuár ios finais o ender eço de e- m ail é um a escolha m ais apr opr iada. Além disso, cer t ificados X.509 t êm at r ibut os dem ais, que ser iam necessár ios num cenár io off- line, m as dispensáveis no cenár io on- line. Com o um cert ificado pode ser r evogado pelo seu t it ular ou pela CA, a par t e que r ecebe o cer t ificado dever á ver ificar sua validade at r avés de consult a à list a de cer t ificados r evogados, não havendo, por t ant o, m ot ivo par a colocação de at r ibut os no cer t ificado, um a vez que ser á feit a um a consult a on- line à base de dados da CA. Out ro pr oblem a r essalt ado r efer e- se a m udanças de at r ibut os, pois com o cer t ificados são assinados digit alm ent e pela CA em issor a, caso um at r ibut o m ude o cer t ificado deve ser r evogado e em it ido um out r o. O X.509 t am bém não prot ege a privacidade, um a vez que publica os cer t ificados em it idos em um r eposit ório os quais cont êm dados pessoais do t it ular . Tam bém não dá supor t e a delegação, que consist em em usuár ios finais cr iar em um novo par de chaves pública/ pr ivada e assinar em a pr im eir a com sua chave pr ivada pr incipal, ou sej a, cr iar em cer t ificados com o se fossem um a CA. Por fim , cer t ificados X.509 são obscuros quant o à aut ent icação e ger enciam ent o de privilégios ( cont r ole de acesso) . Em or ganizações dist r ibuídas, os ser vidor es de r ecur sos ir ão per m it ir usuár ios apenas se puder em definir a sua pr ópr ia polít ica de acesso, que pode m udar a qualquer m om ent o. Assim , os usuár ios se ident ificar iam at r avés de cer t ificados e os pr ivilégios de acesso ser iam r esolvidos localm ent e pelo ser vidor de r ecur so.
O t r abalho apr esent a um exem plo ut ilizando a Gr id Secur it y I nfr ast r uct ur e ( GSI ) que consist e no com par t ilham ent o de r ecur sos com put acionais de alt a per for m ance localizados em poucos cent r os com cent enas de cient ist as de dezenas de inst it uições. De for m a a r esolver os pr oblem as r elat ivos à aut ent icação e ger enciam ent o de pr ivilégios ( cont r ole de acesso) a seguint e solução é pr opost a [ But ler 2000] : ( a) usuár ios obt êm um cer t ificado cont endo apenas infor m ações da ident idade do usuár io da CA de sua inst it uição, a I dent it y Aut hor it y ( I A) , const it uída pelo endereço de e- m ail e o nom e do usuário, colocado com o DN, desobedecendo assim o X.500, cuj a idéia é que cada pessoa t enha um único ident ificador da for m a: Com m onNam e/ Or ganizat ionUnit / Or ganizat ion/ Count r y; ( b) os or ganizador es do pr oj et o const it uem um a Vir t ual Or ganizat ion ( VO) , e incluem os DN dos usuár ios em um dir et ór io público, por exem plo, LDAP, definindo os pr ivilégios desej ados; ( c) quando um usuár io desej a usar um r ecur so ele envia seu cer t ificado par a pr ovar sua ident idade e m ost r ando que ele conhece sua chave pr ivada cor r espondent e. Um a vez convencido, o pr ovedor de r ecur sos acessa a base de dados da VO ( LDAP) e obt ém os at r ibut os desse usuár io e per m it e o acesso de acor do com as infor m ações obt idas, com o t am bém da sua polít ica local de segur ança e pr ior idade. Assim , a GSI im plem ent a um a clar a separ ação ent r e ident ificação e ger enciam ent o de pr ivilégios ( cont r ole de acesso) .
Finalm ent e, o t r abalho expõe com o ser ia um a PKI r esult ant e da expansão da pr opost a de t al GSI . Nest a pr opost a ser iam usados cer t ificados de ident ificação par a aut or ização enquant o as AA m ant er iam banco de dados LDAP on- line par a for necer dados de at r ibut os dinam icam ent e, ou sej a, não usa cer t ificados de at r ibut os com o a PMI , m as ar m azena os at r ibut os dir et am ent e no LDAP.
Nas PKI convencionais, par a ver ificar a validade de um cer t ificado r et r oat ivam ent e, é necessár io que t odas as ações da CA t enham selo de t em po, e
sej am guar dadas nos ar quivos de log, par t icular m ent e a em issão e revogação, par a que se possa r econst ruir fut uram ent e a sit uação em det er m inado m om ent o. Assim cada vez que a CA faz algum a m odificação nos at r ibut os, ist o r equer um novo selo de t em po. A pr opost a dest e t rabalho explor a um a for m a difer ent e: Em vez do ver ificador r et r oat ivam ent e ver ificar a v alidade dos at r ibut os, o que pode acont ecer anos depois, a pessoa que assina obt ém t odos os at r ibut os assinados pelas AA em issor as, com selo de t em po, ant es de enviá- lo ao ver ificador , o que ser ve com o um a fot ogr afia da sit uação no m om ent o em que ele assina. Nest e caso, quando um a AA faz um a m odificação nos at r ibut os não há necessidade de selo de t em po, porém a cada solicit ação um selo de t em po é necessário.
Est a propost a t em a vant agem de prover flexibilidade pois: ( a) as r evogações só ser ão necessár ias quando o DN m uda ou há suspeit a de com pr om et im ent o da chave; ( b) se um a AA sent e a necessidade de m odificar um ou m ais at ribut o, ela pode m odificá- los sem problem as; ( c) m aior privacidade, pois os at r ibut os só est ão accessíveis por quem necessit a deles. LDAP t em vár ios m ecanism os de cont r ole de acesso que pode esconder infor m ações pr ivadas de espiões; ( d) nas PKI em lar ga escala, há a necessidade de concor dância com as vár ias polít icas de segur ança, pois ist o ocor r e devido ao fat o de t er que se est abelecer a ident idade e os at r ibut os ant es da em issão do cer t ificado. Nest a pr opost a, a separ ação ent r a a ent idade r esponsável pela ident ificação e as responsáveis pelos at ribut os sim plificam o pr oblem a; ( e) est a infr a- est r ut ur a é m ais sim ples que a PKI X.509 e a PMI ; ( f) há m enos necessidade de CA em it indo vár ios cer t ificados r aiz com difer ent es classes, cr iando vár ias est r ut ur as paralelas.
As desvant agens associadas são que o sist em a r equer que as AA disponham de ser viço LDAP on- line 24 hor as por dia e t am bém pr ovoca um m aior t r áfego na r ede e possíveis gar galos.
A pr opost a de separ ar I A de AA, pode ser apr ofundada consider ando- se os cer t ificados com pseudônim o par a pr ot eger a pr iv acidade. Nest e t ipo de cer t ificado usa- se um pseudônim o ou núm er o aleat ór io com o DN. A infor m ação de ident idade poder ia ser consider ada um at r ibut o e colocada no ser vidor LDAP pela AA.
6 .3 I n t e g r a n d o s e r v i ç o s P M I e m a p l i c a ç õ e s
C O R B A
O obj et ivo dest e t r abalho [ López at al. 2003] é r esolver o pr oblem a de cont r ole de acesso no nível de aplicação. Par a isso, o t r abalho apr esent a um a abor dagem par a a int egr ação dos ser viços de um a PMI ( Pr ivilege Managem ent I nfr ast r uct ur e) ext er na em aplicações CORBA cient es de segurança. A solução é cent r ada no RAD ( Resour ce Access Decision) [ OMG 2001] , um m ecanism o usado para ger enciar polít icas de cont r ole de acesso. O t r abalho propõe um m odelo de cont r ole de acesso denom inado PMI - RAD.
O t r abalho ut iliza cer t ificados de at ribut os com o part e da solução para o problem a de cont r ole de acesso dist r ibuído, separ ando cer t ificação de at ribut os das funcionalidades de cont r ole de acesso. O sist em a de cont r ole de acesso usa um com ponent e ext er no par a for necer a função de cer t ificação de at r ibut o. A im plem ent ação RAD solicit a e verifica cert ificados de at ribut os da PMI de form a t r anspar ent e par a obj et os CORBA.
A int egr ação de um a PMI ext er na no sist em a de cont r ole de acesso é baseada na descr ição sem ânt ica dos ser viços da PMI . O PMI - RAD em pr ega m et adados para exprim ir est a inform ação sem ânt ica. As t ecnologias RDF- Schem a [ W3C 1999] e XML- Schem a [ W3C 2001] são usadas par a r epr esent ação de sem ânt icas.
As infr a- est r ut ur as PKI e PMI são ligadas pelas infor m ações cont idas nos cer t ificados de at r ibut os, por ém são aut ônom as e ger enciadas independent em ent e. Cer t ificados de at r ibut os são em it idos por AAs ( At t r ibut e Aut hor it y) e for necem os m eios de t r anspor t ar infor m ação de aut or ização ( papel,