Делегирование прокси-сертификатов пользовательским клиентом серверу pilot

Описание

Предлагается ввести в API системы pilot 1 дополнение к существующему вызову и 1 дополнительный вызов, дабы исключить пересылку закрытых ключей прокси сертификатов по сети.

Текущее состояние

100%. Реализовано в r1562 и далее.

Подробное описание

Классический процесс делегирования прокси-сертификата состоит из следующих этапов:

1. Клиент запрашивает у сервера запрос на сертификат.

2. Сервер генерирует открытый и закрытый ключи, вставляет открытый ключ в запрос, подписывает запрос закрытым ключом и пересылает его клиенту.

3. Клиент создаёт новый прокси-сертфикат, вставляет в него открытый ключ, подписывает его закрытым ключом имеющегося у него прокси-сертификата и пересылает цепочку (сертификат, прокси-сертификат, ..., только что подписанный прокси-сертификат) без закрытого ключа серверу.

С целью отслеживания процесса делегирования, к запросу на сертификат должна прилагаться подпись сервера pilot, созданная на основе сертификата его хоста.

Итак, при создании задания сервер pilot, помимо прочего:

  • Генерирует пару ключей.
  • Возвращает клиенту:
    • Идентификатор задания;
    • Запрос на прокси-сертификат;
    • Дополнительную подпись этого запроса сертификатом хоста.

После этого клиент специальным вызовом передаёт серверу, помимо описания задания, требуемую цепочку сертификатов, а так же откладывает в журнал запрос на прокси-сертификат и его дополнительную подпись.

Пpеимущества, которые это даст

В случаях, когда на pilot запуск спорного задания не зафиксирован, появляется возможность отведения от пользовательского интерфейса подозрения в передаче закрытого ключа злоумышленнику.

Какие компоненты нуждаются в модификации

Pilot, пользовательский интерфейс (в части организации журналов).

Сценарий использования

При расследовании использования гридовских ресурсов, несанкционированного по словам пользователя, при которых на сервере pilot отсутствует информация о спорной задаче, появляется возможность отводить от пользовательского интерфейса подозрения в передаче закрытого ключа злоумышленнику. Доказательством служит записанный в журнал запрос на прокси-сертификат, подписанный сервером pilot.

Примечание. Для случаев, если спорное задание было зафиксировано, рекомендуется, например, журнализовать на pilot подписи присланных с клиентов сообщений с описаниями заданий и задач, а сами задачи описывать в однозначно восстанавливаемом формате. Или, скажем, журнализовать сами сообщения с подписями.

Время хранения этих журналов не должно быть меньше времени подачи и рассмотрения жалоб на несанкционированное использование ресурсов.