1/13 Sécurité dans Pastis Fabio Picconi LIP6 13 février 2004 ACI MD Grid Data Services (GDS)

Slides:



Advertisements
Présentations similaires
Module Systèmes d’exploitation
Advertisements

Outils de Planification des Approvisionnements
LA CERTIFICATION ELECTRONIQUE
M2: Fondements de la Sécurité :authentification
M2: Pratique de la PKC à laide de PGP Université Paris II & LRI Michel de Rougemont 1.PKC : cryptologie à clé publique.
Gabriel Antoniu IRISA / INRIA Rennes
Sécurité des communications & PKI
Conception de la sécurité pour un réseau Microsoft
Guillaume CACHO Pierre-Louis BROUCHUD
Projet SeVeCom (Secure Vehicular Communications)
Vue d'ensemble Implémentation de la sécurité IPSec
Le mécanisme de Single Sign-On CAS (Central Authentication Service)
Sécurité Informatique
LA CERTIFICATION ELECTRONIQUE APPLIQUEE AU SYSTÈME DE PAIEMENT ALGERIEN Alger, Séminaire du 08 & 09 Décembre 2009.
Public Key Infrastructure
SSL (Secure Sockets Layer) (couche de sockets sécurisée)
Retour sur l'allocation d'espace Exemple sur une table facture (sans les tables associées) N° fact, N° Client, N° Cde, date Cde, date fact, date réglement,
Etude des Technologies du Web services
Liste des actions nécessitant une identification sur la plateforme Lutilisation.
XML-Family Web Services Description Language W.S.D.L.
Amélioration de la sécurité des données à l'aide de SQL Server 2005
Les méthodes de distribution des clés de cryptage lors dune communication Multicast Boucif Amar Bensaber, Martin St Amand UQTR.
Module 6 : Gestion de données à l'aide du système de fichiers NTFS
Module 6 : Gestion de données à l'aide du système de fichiers NTFS
? EPFL Playstations 3 Cryptologie Internet Sécurité Algorithme RSA
La sécurité dans les grilles
CERTIFICAT (SUPPLÉMENT) Ajout aux diapos du cours DRT-3808 (cryptographie)
Cryptographie Réalisé par TOUJENI Noura BEN SOUISSI Rania KARAOUD Imen
Développement dapplications web Authentification, session.
Les concepts et les méthodes des bases de données
Architecture des systèmes pair-à-pair de gestion de données Gabriel Antoniu Projet PARIS IRISA/INRIA.
Réseau de stockage étendu
Sécurité Informatique Module 05
Sujet à la mode Vrais services Le faire ou l’acheter : compréhension indispensable. Vers une PKI de l ’enseignement supérieur ?
Pr BELKHIR Abdelkader Master RSD Sécurité des systèmes informatiques
Gestion des clés cryptographiques
La sécurité dans les réseaux mobiles Ad hoc
Le protocole d’authentification
Les Algorithmes Cryptographiques Asymétriques
Introduction à la cryptographie
Erreurs commises couramment dans le domaine de la sécurité 1.Sensibilisation aux questions de sécurité 2.Suivi des incidents 3.Gestion déficiente des.
Etude de la volatilité dans un système de stockage P2P Fabio Picconi – LIP6.
Pr BELKHIR Abdelkader USTHB
Jean-Michel BUSCA et Pierre SENS
D. E ZEGOUR Institut National d ’Informatique
GDS – 17/02/061 Gestion de la volatilité dans un système de stockage P2P F. Picconi, P. Sens Regal (LIP6 / INRIA) ACI Masses de Données.
1 Détection et tolérance aux fautes dans JuxMem Sébastien Monnet IRISA / PARIS Lyon, 05/12/2003.
Ceci est une session expert Cette session est déconseillée aux novices des moteurs Analysis Services 2000 ou 2005 La session « Découverte de Analysis.
Module 3 : Création d'un domaine Windows 2000
1 Premières études sur la gestion de la volatilité dans Pastis Fabio Picconi Réunion GDS – 19/11/2004.
PHP 6° PARTIE : LES SESSIONS 1.Introduction 2.Identificateur de session 3.Variables de session 4.Client / Serveur 5.Principe 6.Ouverture de session 7.Enregistrement.
L’authentification Kerberos
L T I Laboratoire de Téléinformatique 2 Projet de semestre Parseur XML basé sur la DTD : Buts –Utiliser la grammaire définissant un type de fichiers XML.
( Simple Network Management )
04/06/2015BATOUMA Narkoy1 An OGSI CredentialManager Service ( Par:Jim Basney, Shiva Shankar Chetan, Feng Qin, Sumin Song, Xiao Tu et Marty Humphrey ) Présentation:
Direction générale des technologies de l’information et de la communication (DGTIC) Scénario pédagogique – WebDépôt Création d’un dépôt de travaux assurant.
Confidentialité : L’encryptage
COMPARAISON DES SYSTEMES DE GESTION DE FICHIERS LINUX / WINDOWS NT
Système de gestion fichiers
SRIT Lannion Jan-02 Author.
LDAP (Lightweight Directory Access Protocol)
Structures de données avancées : Arbres B+ avec expansion partielle D. E ZEGOUR Institut National d ’Informatique.
Visualisation des flots optiques en 3D
Sécurité des Web Services
Analyse, élaboration et exploitation d’une Base de Données
Enabling Grids for E-sciencE EGEE-III INFSO-RI Sécurité sur la Grille G. Philippon (LAL – CNRS ) Tutorial EGEE Utilisateur (DAKAR)
Nous allons traiter de la signature électronique.
1 G ÉNÉRALITÉS Notions et caractéristiques générales.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Chapitre 5 Configuration et gestion des systèmes de fichiers Module S41.
Transcription de la présentation:

1/13 Sécurité dans Pastis Fabio Picconi LIP6 13 février 2004 ACI MD Grid Data Services (GDS)

2/13 Plan de l’exposé 1.Pastis 2.Modèle de sécurité de base –Utilisation des CHB et PKB –Ivy et Oceanstore –Contrôle d’accès –Limitations et faiblesses 3.Modèles améliorés –Modèle à 2 signatures –Modèle à 3 signatures 4.Conclusion

3/13 Pastis : PAST et Pastry Pastry : couche KBR (Key-based routing) route un message vers la racine d’une clef PAST : couche DHT (Distributed Hash Table) un bloc est stocké dans la racine de la clef qui lui est associé il est aussi répliqué dans la 2 ème, 3 ème,…, k ème racine

4/13 Pastis : PKBs et CHBs PKB : Public-Key Block (bloc modifiable) –Lorsqu’un PKB est créé on génère une paire clef publique – clef privée –Le bloc est signé avec la clef privée et stocké sous la clef publique –Un client vérifie l’authenticité d’un PKB au moyen de sa clef de stockage CHB : Content Hash Block (bloc immuable) –Le bloc est stocké sous le hash des données qu’il contient –Son intégrité est vérifiée à travers sa clef de stockage

5/13 Sécurité dans Ivy Chaque mise à jour est insérée sous la forme d’un élément du log de l’écrivain Chaque utilisateur ne peut écrire que sur son propre log Tout l’historique du système de fichier est disponible à travers les logs. Possibilité d’annuler des mises à jour en ignorant certaines parties d’un ou plusieurs logs

6/13 Sécurité dans Oceanstore Le propriétaire d’un objet crée une ACL signée avec sa clef privée Les mises à jour sont –signées par le client émetteur –validées par le « primary tier » –signées par le « primary tier » –propagées au « secondary tier » Pas de mécanisme défini pour certifier les mises à jour validées par le « primary tier »

7/13 Pastis : contrôle d’accès (modèle de base) La clef privée de l’inode est stockée dans l’inode lui-même, cryptée avec une clef symétrique Contrôle d’accès en écriture : –un nœud PAST refuse l’insertion d’un PKB dont la signature n’est pas valide –l’accès en écriture est donc restreint à ceux qui peuvent signer correctement le PKB –Un utilisateur autorisé en écriture décrypte K PKB s car il connaît la clef symétrique (K sym ) En lecture : –les utilisateurs doivent crypter les données eux-mêmes

8/13 Modèle de base : faiblesses L’identité de l’écrivain n’est pas connue K sym partagée par un nombre d’utilisateurs potentiellement très grand  possibilité de perte de clef On ne peut pas révoquer les droits en écriture –Il faut réinsérer l’inode sous une autre clef, ce qui implique la mise à jour de tous les liens durs

9/13 Amélioration : modèle à deux signatures Le propriétaire du fichier émet des certificats autorisant l’écriture sur l’inode à un ou plusieurs utilisateurs L’inode est signé par l’écrivain avec sa clef personnelle Un nœud PAST n’accepte un inode que s’il est accompagné du certificat correspondant Un client récupérant un inode effectue la même vérification L’authenticité du certificat est vérifiée en utilisant la clef publique de l’inode Le certificats doivent être renouvelés après leur expiration K inode = K PKB

10/13 Modèle à deux signatures (suite) Avantages On connaît l’identité de l’écrivain On peut révoquer le droit d’écriture à un utilisateur : on attend que le certificat périme Inconvénients Un certificat signé différent pour chaque inode Les certificats doivent être régénérés lorsqu’ils expirent Vérification plus coûteuse en temps de calcul (2 signatures)

11/13 Modèle à trois signatures On introduit une troisième signature qui permet d’identifier le propriétaire du fichier Avantages Les certificats sont signés avec la clef du propriétaire  un certificat sert pour plusieurs inodes (cf. modèle à 2 signatures) Inconvénients 3 signatures à vérifier pour chaque inode (cependant, on peut réutiliser un certificat déjà vérifié si on accède à d’autres fichiers du même propriétaire)

12/13 Comparaison 1 sign.2 sign.3 sign. Identité écrivaininconnueconnue Révocation droits réinsertion inode (liens durs) expiration certificat Nombre de sign. à vérifier 123 Validité certificat -un seul inodeinodes d’un même propriétaire

13/13 Conclusion Modèle de base (1 signature) ne permet pas la révocation des droits de manière efficace ni l’identification de l’écrivain. Un mécanisme à deux signatures résout ces problèmes mais nécessite d’un certificat différent pour chaque inode. Un mécanisme à trois signatures évite ce problème. L’impact de la troisième signature est minimale si on peut valider plusieurs fichiers (du même propriétaire) avec le même certificat. Réfléchir à de nouveaux schémas de sécurité.

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.