.. contents:: Índices -------------------------------------------------------------------------------- -------------------------------------------------------------------------------- Introdução ========== Grids computacionais consistem de recursos de processamento e de armazenamento distribuídos e interconectados, e visam atender a grupos de usuários geograficamente dispersos. De forma geral, tanto usuários quanto recursos pertencem a domínios administrativos distintos que interagem entre si de forma cooperativa. O gerenciamento desse ambiente cooperativo certamente envolve questões de segurança, requerendo mecanismos que permitam autenticar usuários e recursos, e estabelecer níveis e prioridades de acesso. .. image:: figuras/assinatura_digital.jpg Os grids utilizam mecanismos baseados em criptografia de chave pública ou assimétrica, que viabilizam a efetivação de propriedades importantes relativas à proteção da informação, como sigilo, integridade, autenticidade e irretratabilidade (ou não repúdio). Tanto recursos físicos quanto usuários recebem um par de chaves distintas, uma de uso estritamente privado e outra tornada pública. Após a geração do par de chaves, a chave pública correspondente precisa ser assinada digitalmente por uma entidade certificadora confiável - e, idealmente, reconhecida internacionalmente - para confirmar a identidade do usuário ou do recurso computacional. Essa entidade é conhecida como autoridade de certificação ou CA (Certification Authority), e o procedimento de assinatura é chamado de emissão de um certificado digital. Os certificados digitais são um dos elementos fundamentais da infraestrutura de segurança em ambientes distribuídos e cooperativos, pois facilitam a autenticação de usuários e recursos de organizações diferentes de modo seguro (como informado em `Overview of the Grid Security Infrastructure. `_). No ambiente de grid, o arquivo de chave privada (userkey.pem) e o arquivo de certificado (usercert.pem) correspondem ao par de chaves da criptografia de chave pública. O arquivo *userkey.pem* (ou *resourcekey.pem* no caso de um recurso) contém a chave privada criptografada, que só pode ser decriptografada mediante o fornecimento de uma senha. O arquivo *usercert.pem* contém a chave pública e outras informações importantes, como o nome do titular do certificado e a organização à qual pertence, a identificação da CA que assinou o certificado e a assinatura digital da CA. O papel da autoridade certificadora é fundamental, pois ela estabelece uma conexão confiável entre a identidade do usuário e a sua chave pública. A assinatura digital da CA no arquivo do certificado do usuário declara oficialmente que a chave pública presente no arquivo pertence àquele usuário. Os arquivos de certificado são codificados no formato X.509 [3]. -------------------------------------------------------------------------------- ANSP Grid CA ------------ Os certificados digitais dos usuários e recursos do GridUnesp foram assinados pela ANSP Grid CA, a autoridade certificadora raiz da rede acadêmica paulista, gerida pela rede ANSP. A ANSP Grid CA é uma entidade reconhecida internacionalmente, sendo membro oficial do TAGPMA (The Americas Grid Policy Management Authority), o qual, por sua vez, pertence à federação IGTF (International Grid Trust Federation) como explicado em `"An Introduction to The Americas Grid Policy Management Authority (TAGPMA) and the International Grid Trust Federation (IGTF)", CLCAR´12 (Conferencia Latinoamericanda de Computación de Alto Rendimiento), Ciudad de Panamá, Agosto de 2012. `_. A ANSP Grid CA, a primeira autoridade da cadeia de certificação, tem a função de criar, manter e controlar todos os certificados por ela emitidos, incluindo a revogação de certificados comprometidos ou com prazo de validade expirada. .. image:: figuras/grid_certificate_infrastructure.png Os certificados digitais foram criados no NCC, que é uma autoridade de registro ou RA (Registration Authority) reconhecida e autorizada pela ANSP Grid CA. A autoridade de registro atua como intermediária entre a autoridade de certificação e os usuários dos recursos computacionais sob sua responsabilidade, reconhecendo e validando a autenticidade de cada usuário e de cada recurso perante a autoridade de certificação, visando o cumprimento adequado das normas de segurança relativas à emissão e gerenciamento dos certificados digitais. O NCC, por sua vez, confia nos pesquisadores responsáveis pelos projetos submetidos ao GridUnesp, os quais conhecem pessoalmente os seus usuários e confiam neles. Essa cadeia hierárquica de confiaça é fundamental, pois viabiliza a emissão de certificados digitais para todos os usuários do GridUnesp e permite manter a integridade do sistema. Vale lembrar que o GridUnesp mantém estreita parceria com a comunidade internacional; de posse de certificados digitais reconhecidos internacionalmente, os usuários poderão ter acesso a recursos externos. -------------------------------------------------------------------------------- .. _RAs_Conhecidas: RAs Conhecidas -------------- Como indicado na figura acima, as instituições afiliadas a ANSP Grid CA (NCC) são: * **Organização:** UNESP - Universidade Estadual Paulista * **Unidade Organizacional:** Núcleo de Computação Científica da Unesp - NCC * **RA Responsável:** Angelo Santos * **Organização:** USP - Universidade de São Paulo * **Unidade Organizacional:** Instituto de Física da USP * **Instituição/Departamento:** Departamento de Física Nuclear * **RA Responsável:** Ricardo Romão * **Organização:** CBPF - Centro Brasileiro de Pesquisas Físicas * **Instituição/Departamento:** Grid Computacional do CBPF * **RA Responsável:** Jaime Paixão Fernandes Junior * **Organização:** UERJ - Universidade do Estado do Rio de Janeiro * **Instituição/Departamento:** Instituto de Física da UERJ - DFNAE * **RA Responsável:** Eduardo Revoredo * **Organização:** UFCG - Universidade Federal de Campina Grande * **Instituição/Departamento:** Departamento de Sistemas e Computação da UFCG * **RA Responsável:** Francisco Vilar Brasileiro * **Organização:** UFSC - Universidade Federal de Santa Catarinha * **Instituição/Departamento:** Departamento de Tecnologia da Informação e de Redes Superintendência de Governança Eletrônica e Tecnologia da Informação e Comunicação - SETIC * **RA Responsável:** Gustavo Alexssandro Tonini * **Organização:** LNCC - Laboratório Nacional de Computação Científica * **Instituição/Departamento:** Coordenação de Tecnologia da Informação e Comunicação - COTIC * **RA Responsável:** André Ramos Carneiro * **Organização:** UNICAMP - Universidade Estadual de Campinas * **Instituição/Departamento:** Departamento de Computação da Unicamp * **RA Responsável:** Rubens Queiroz .. note:: Caso sua instituição não seja uma RA cadastra, verifique a seção :ref:`requisitando_nova_ra`. -------------------------------------------------------------------------------- Recomendações ------------- Recomendamos também aos usuários a instalação do certificado raiz da ANSP Grid CA em seus navegadores web, disponível em `CA Root Certificate `_. O certificado raiz da ANSP Grid CA também está disponível no repositório internacional de autoridades certificadoras acadêmicas mantido pelo `TACAR, the Trusted Academic Certification Authority Repository `_, "um repositório operado pelo GÉANT para armazenar e distribuir, de forma segura, certificados root de *Certification Authorities*".