cifrado cp-abe para el ecosistema apache hadoop•diseñando la gestión de las claves de cifrado y...
TRANSCRIPT
![Page 1: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/1.jpg)
Cifrado CP-ABE para el ecosistema Apache Hadoop
– Pinceladas sobre un trabajo en desarrollo –
Aitor Osa, Iñaki Garitano, Iñaki Arenaza, Urko Zurutuza, Mikel Iturbe
![Page 2: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/2.jpg)
Presentación– Sistemas Inteligentes para Sistemas Industriales –
• Nos dedicamos• Seguridad informática
• Sobre todo relacionado con el mundo industrial
• Análisis de datos
• En este trabajo participamos
01/06/2017 Iñaki Garitano - JNIC 2017 2
Iñaki Arenaza Urko ZurutuzaIñaki Garitano Mikel IturbeAitor Osa Oier Saizar
![Page 3: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/3.jpg)
Antecedentes– Sistemas Inteligentes para Sistemas Industriales –
• Comienzo -> curso 2016/2017
• Pasos1. Análisis de la seguridad de Apache Hadoop (done)
2. Análisis de CP-ABE (done)
3. Diseño de integración de CP-ABE sobre Apache Hadoop y Apache Ranger (doing)
4. Integración de CP-ABE sobre Apache Hadoop y Apache Ranger (todo)
01/06/2017 Iñaki Garitano - JNIC 2017 3
![Page 4: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/4.jpg)
Estado actual– Sistemas Inteligentes para Sistemas Industriales –
• Diseñando la integración de CP-ABE sobre Apache Hadoop y Apache Ranger
01/06/2017 Iñaki Garitano - JNIC 2017 4
![Page 5: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/5.jpg)
Estado actual– Sistemas Inteligentes para Sistemas Industriales –
• Diseñando la integración de CP-ABE sobre Apache Hadoop y Apache Ranger• Problema
• Apache Hadoop >= 3M líneas de código• Apache Ranger >= 700K líneas de código
• Por poner en contexto• Versión 2.4 del kernel de Linux <= 2.5M líneas de
código• Windows NT 3.1 -> entre 4 y 5M de líneas de
código
01/06/2017 Iñaki Garitano - JNIC 2017 5
![Page 6: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/6.jpg)
Índice
1. Decapando Apache Hadoop
2. Un poco de color sobre Apache Ranger
3. Últimas pinceladas• CP-ABE
01/06/2017 Iñaki Garitano - JNIC 2017 6
![Page 7: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/7.jpg)
Índice
1. Decapando Apache Hadoop
2. Un poco de color sobre Apache Ranger
3. Últimas pinceladas• CP-ABE
01/06/2017 Iñaki Garitano - JNIC 2017 7
![Page 8: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/8.jpg)
Mecanismos de Seguridad – Decapando Apache Hadoop –
• Apache Hadoop• es
• framework de software para el almacenamiento y procesamiento distribuido de grandes conjuntos de datos
• puede • Trabajar en “modo seguro”
• “modo seguro” implica
• Autenticación mediante Kerberos tanto los usuarios, como los servicios y acceso web
• Confidencialidad de los datos mediante cifrado durante la transmisión (TLS)
• Emplear ACLs para controlar el acceso a los servicios• Utilizar Transparent Data Encryption (TDE)• Aislar la ejecución para los contenedores de YARN• …
01/06/2017 Iñaki Garitano - JNIC 2017 8
![Page 9: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/9.jpg)
Transparent Data Encryption– Decapando Apache Hadoop –
• Características:• Permite almacenar los datos cifrados en disco
• Transparente para el usuario y las aplicaciones
• HDFS no tiene acceso a los datos descifrados• At-rest encryption
• mientras los datos se almacenan en el disco
• In-transit encryption• mientras los datos se envían por la red
01/06/2017 Iñaki Garitano - JNIC 2017 9
![Page 10: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/10.jpg)
Índice
1. Decapando Apache Hadoop
2. Un poco de color sobre Apache Ranger
3. Últimas pinceladas• CP-ABE
01/06/2017 Iñaki Garitano - JNIC 2017 10
![Page 11: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/11.jpg)
Descripción– Un poco de color sobre Apache Ranger –
• Apache Ranger es un framework de seguridadcentralizada
• Permite centralizar la administración de laseguridad mediante el uso de una interfazcentralizada o un API REST
• Ofrece autorización de grano fino mediantediferentes métodos de autorización
01/06/2017 Iñaki Garitano - JNIC 2017 11
![Page 12: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/12.jpg)
Arquitectura– Un poco de color sobre Apache Ranger –
01/06/2017 Iñaki Garitano - JNIC 2017 12
• Apache Ranger• Se compone de:
• Key Management Server• Policy Server• Audit Server• Diversos agentes para cada
uno de los componentes
• Ofrece:• Un portal de administración• Un API Rest
• Permite• Generar logs en
• Log4j
• Base de datos
![Page 13: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/13.jpg)
Índice
1. Decapando Apache Hadoop
2. Un poco de color sobre Apache Ranger
3. Últimas pinceladas• CP-ABE
01/06/2017 Iñaki Garitano - JNIC 2017 13
![Page 14: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/14.jpg)
Ciphertext-Policy Attribute-Based Encryption– Últimas pinceladas –
• Trabajo realizado por John Bethencourt (Carnegie MellonUniversity), Amit Sahai (UCLA) y Brent Waters (SRIInternational)
• Es un sistema de control de acceso cifrado donde las clavesprivadas de los usuarios se especifican en base a atributos
• Así mismo, los usuarios capaces de descifrar se especificanen base a atributos
• Este sistema es capaz de aguantar ataques de conspiración,collusion, donde un atacante obtenga más de una claveprivada
01/06/2017 Iñaki Garitano - JNIC 2017 14
![Page 15: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/15.jpg)
CP-ABE – ejemplo sencillo– Últimas pinceladas –
01/06/2017 Iñaki Garitano - JNIC 2017 15
{ A1, A3 } { A2, A3 } { A1, A2, A3 } { A3, A4 }
{ A2, A3 }{ A3 } { A1, A3 }
![Page 16: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/16.jpg)
Situación actual– Últimas pinceladas –
01/06/2017 Iñaki Garitano - JNIC 2017 16
![Page 17: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/17.jpg)
Situación actual– Últimas pinceladas –
• Java Native Interface (JNI)• Nos permite interactuar con funciones escritas en otros lenguajes
• Diseñando la gestión de las claves de cifrado y descifrado• Tanto a nivel de Apache Hadoop,
• Apache Hadoop utiliza el algoritmo AES -> claves simétricas
• como a nivel de Apache Ranger
01/06/2017 Iñaki Garitano - JNIC 2017 17
![Page 18: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/18.jpg)
CP-ABE & Apache Ranger– Últimas pinceladas –
• El sistema permitirá definir atributos
• A los usuarios se les podrá asignar uno o varios atributos
Partes donde se está actuando
01/06/2017 Iñaki Garitano - JNIC 2017 18
![Page 19: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/19.jpg)
CP-ABE – Bibliografía – Últimas pinceladas –
• Para más información:• http://ieeexplore.ieee.org/document/4223236/
• Software disponible en:• http://hms.isi.jhu.edu/acsc/cpabe/
01/06/2017 Iñaki Garitano - JNIC 2017 19
![Page 20: Cifrado CP-ABE para el ecosistema Apache Hadoop•Diseñando la gestión de las claves de cifrado y descifrado •Tanto a nivel de Apache Hadoop, • Apache Hadoop utiliza el algoritmo](https://reader033.vdocuments.co/reader033/viewer/2022042622/5f8d6bbf14beed7d6a42d686/html5/thumbnails/20.jpg)
Muchas gracias
Iñaki Garitano
Mondragon Unibertsitatea
01/06/2017 Iñaki Garitano - JNIC 2017 20