Iniciamos la descripción de la seguridad en sistemas distribuidos con el repaso de algunos temas generales de seguridad. En primer lugar, es necesario definir que es un sistema seguro. Se distinguen las politicas de seguridad de los mecanismos de seguridad, y se estudia un sistema de area amplia Globus para el cual a sido formulada explicitamente una politica de seguridad. En segundo lugar, se consideran algunos temas de diseño generales sobre sistemas seguros. Por último, se analizan algunos algoritmos criptográficos, los cuales desempeñan un rol primordial en el diseño de protocolos de seguridad.

En un sistema de computadora, la seguridad está fuertemente relacionada con la noción de confiabilidad. La confiabilidad incluye disponibilidad, consistencia, seguridad, y sustentabilidad. Sin embargo, si se va a confiar en un sistema de computadora, entonces la confidencialidad y la integridad también deberán ser tomadas en cuenta. Confidencialidad se refiere a la propiedad de un sistema de computadora mediante la cual su información se pone sólo al alcance de personas autorizadas. La integridad es la característica de que las modificaciones de los activos de un sistema sólo pueden hacerse en una forma autorizada. Es decir, en un sistema de computadora seguro, las modificaciones inapropiadas deben ser detectables y recuperables. Los activos principales de cualquier sistema de computadora se encuentran en su equipo físico, sus programas, y sus datos .

Existen cuatro tipos de amenazas de seguridad a considerar:

1. Intercepción: Se refiere a la situación en la que una persona no autorizada ha logrado acceder a los servicios o datos.

2. interrupcion: Se refiere a la situación en que los servicios o datos ya no estan disponible, se inutilizan o destruyen y así sucesivamente.

3. Modificación: Implica el cambio no autorizado o la manipulación de un servicio de tal forma que ya no se adhiera a sus especificaciones originales.

4. Fabricación: Se refiere a la situación en que se generan datos o actividades adicionales que normalmente no existirían.

Una politica de seguridad describe con precisión que acciones le estan permitidas a las entidades de un sistema y cuáles están prohibidas. una vez delimitadas las políticas de seguridad, es posile concentrarse en el mecanismo de seguridad mediante el cual puede ser aplicada. Mecanismos de seguridad importantes son:

1. Cifrado: Es fndamental para la seguridad de una computadora.

2. Autenticación: Se utiliza para verificar la identidad pretendida de un usuario, cliente, servidor, anfitrión u otra entidad.

3. Autorización: Se realiza después que un cliente ha sido autentificado, ya que es necesario verificar si está autorizado para realizar la acción solicitada

4. Auditoría: Se utiliza para rastrear a que tuvieron acceso los clientes y de que forma lo hicieron .

Ejemplo: la arquitectura de seguridad Globus

1.2. Temas de diseño

Un sistema distribuido, o cualquier sistema de computadora, debe proporcionar servicios de seguridad mediante los cuales pueda ser implementada una amplia gama de políticas de seguridad. Existen varios temas de diseño importantes que deben ser tomados en cuenta cuando se implementen servicios de seguridad para propósitos generales. Analizaremos tres de estos temas: enfoque del control, organización en capas de los mecanismos de seguridad, y simplicidad.

• Enfoque de Control: Cuando se considera la protección de una aplicación, existen basicamente tres métodos diferentes: El primer método consiste en concentrarse directamente en la protección de los datos asociados con la aplicación. El segundo método es concentrarse en la protección al especificar con exactitud qué operaciones pueden ser invocadas, y por quién, cuando tenga que accederse a ciertos datos o recursos. Un tercer método es enfocarse directamente en los usuarios tomando medidas por las cuales sólo personas específicas tienen acceso a la aplicación, independientemente de las operaciones que deseen realizar.

• Organización en Capas de los Mecanismos de Seguridad: Un tema importante al diseñar sistemas seguros es decir en qué nivel deben ser colocados los mecanismos de seguridad. En este contexto un nivel está relacionado con la organización lógica de un sistema en varias capas.

• Distribución de los Mecanismos de Seguridad: Las dependencias entre los servicios en cuanto a confianza conducen a la noción de una Trusted Computing Base (TCB). Una TCB es el conjunto de todos los mecanismos de seguridad implementados en un sistema de computadoras (distribuido) que son necesarios para hacer cumplir una política de seguridad, y que por tanto tiene que ser confiable.

• Simplicidad: El diseño de un sistema de computadora seguro se considera generalmente como una tarea dificil. Por consiguiente, si el diseñador de un sistema utiliza pocos mecanismos simples faciles de entender y confiables de trabajar, mucho mejor.

1.3. Criptografia

Es fundamental para la seguridad de sistemas distribuidos. La idea básica de aplicar estas técnicas es simple. Consideremos un remitente S que desea transmitir un mensaje m a un destinatario R. Para proteger el mensaje contra amenazas de seguridad, el remitente primero lo cifra para transformarlo en un mensaje ininteligible m´ y posteriormente envía m´a R. R a su vez debe descifrar el mensaje recibido para regresarlo a su forma original m.

• Criptosistemas Simétricos (DES): Se diseñó para operar con bloques de 64 bits. Un bloque se transforma en un bloque de salida de 64 bits en 16 rondas, donde cada ronda utiliza una clave diferente de 48 bits de cifrado. Cada una de estas 16 claves se deriva de una clave maestra de 56 bits. Un ejemplo de algoritmo Criptográfico es el Data Encryption Standard ( DES).

• Criptosistemas de clave publica (RSA): La seguridad de RSA se deriva de que no se conocen métodos para calcular con eficiencia los factores primos de números grandes. Es posible demostrar que cada entero puede ser escrito como el producto de números primos. En RSA las claves privadas y públicas se construyen con números primos muy grandes.

• Funciones Hash (MD5): MD5 es una funcion Hash útil para calcular un resumen de mensaje de longitud fija de 128 bits tomado de una caddena de entrada binaria de longitud arbitraria. La cadena de entrada se rellena primero hasta una longitud total de 448 bits (modulo 512), después de lo cual la longitud de la cadena de bits original se rellena con un entero de 64 bits. En realidad, la entrada se convierte en una serie de bloques de 512 bits.

En este modelo los servidores posiblemente pueden ser distribuidos o replicados aunque también actúan como cliente con respecto a los demás servidores. En partícular, implementar un sistema distribuido se reduce esencialmente en dos temas predominantes.

El primero es como hacer segura la comunicación entre cliente – servidor y el segundo tema es la autenticación.

2.1. Autenticación

Primeramente vale la pena señalar que la autenticación y la integridad de los mensajes no se pueden realizar una sin la otra, por consiguiente la autenticación y la integridad del mensaje deben ir de la mano. Supongamos que Bob y Alicia desean comunicarse y que Alicia toma la iniciativa al establecer un canal, Alicia envía un mensaje a Bob o de lo contrario a una tercera parte confiable que le ayudara establecer el canal. Una vez que el canal ha sido establecido Alicia sabe que esta hablando con Bob y este sabe con toda seguridad que esta hablando con Alicia y así pueden intercambiar mensajes.

• Autenticación Basada en una Clave Secreta Compartida: Primero daremos un vistaso a un protocolo de autenticación basado en una clave secreta que ya comparten Alicia y Bob. En la descripción del protocolo, Alicia y Bob se abrevian A y B, respectivamente y su clave compartida es denotada como KA,B. El protocolo adopta un metodo común mediante el cual una parte reta a la otra a que responda correctamente sólo si la otra parte conoce conoce la clave secreta compartida.

• Autenticación Mediante un Centro de Distribución de Clave: Uno de los problemas que se presenta con el uso de la clave secreta compartida para autenticación es su escalabilidad. Una alternativa es utilizar un método centralizado por medio de un centro de distribución de clave (KDC, por sus siglas en ingles). Este KDC comparte una clave secreta con cada uno de los servidores, pero no se requiere que ningún par de ellos tenga también una clave secreta compartida.

• Autenticación con Criptografía de Clave Publica: Abordaremos la autenticación con un criptosistema de clave publica que no requiere un KDC. De nueva cuenta, consideramos la situación en que Alicia desea establecer un canal seguro con Bob, y que ambos poseen la clave publica del otro.

2.2. Integridad y Confidencialidad del Mensaje

Integridad del mensaje significa que los mensajes están protegidos contra modificaciones subrepticias, la confidencialidad asegura que los mensajes no pueden ser interceptados o leídos por fisgones. La confidencialidad es fácil de establecer simplemente con cifrar un mensaje antes de enviarlo. El cifrado puede tener lugar o mediante una clave secreta compartida con el destinatario o alternativamente con la clave pública del destinatario.

• Firmas Digitales: La integridad de un mensaje a menudo va más allá de la transferencia a través de un canal seguro. La asociación única entre un mensaje y su firma evita que las modificaciones pasen inadvertidas. Además si la firma el que envia el mensaje puede ser verificada como genuina, luego no podrán decir que no firmo el mensaje. Existen varias formas de colocar firmas digitales. Una muy popular es utilizar un critosistema de clave pública tal como RSA.

• Claves de Sesión: Durante el establecimiento de un canal seguro, una vez completada la fase de autenticación las personas que se están comunicando utilizan por confidencialidad una clave única de sesión compartida. La clave de sesión se desecha en forma segura cuando cuando el canal ya no se utiliza. Una alternativa seria utilizar las mismas claves para confidencialidad que las utilizadas para establecer el canal seguro.

2.3. Comunicación Segura de un Grupo

En sistemas distribuidos sin embargo a menudo es necesario habilitar la comunicación segura entre dos partes un ejemplo típico es el de un servidor replicado donde toda la comunicación entre las réplicas deberá protegerse contra modificación, fabricación, e intercepción.

• Comunicación Confidencial de un Grupo: Para garantizar la confidencialidad, un esquema simple es que todos los miembros del grupo compartan una clave secreta, la cual se utiliza para cifrar y descifrar todos los mensajes transmitidos entre los miembros del grupo. Como en este esquema todos los miembros comparten la clave secreta, es necesario confiar en que la conservarán secreta.

• Servidores Replicados Seguros: La esencia de los servidores replicados transparentes radica en lo que se denomina compartimiento de un secreto. la ventaja de este esquema es que. como los clientes desconocen las replicas existentes, resulta mucho más fácil agregar o eliminar réplicas en forma segura. Cuando multiples usuarios (o procesos) comparten un secreto, ninguno de ellos conoce el secreto completo.

2.4. Ejemplo Kerberos

Kerberos se desarrolló en el MIT y está basado en el protocolo de autenticación de Needham-Schroeder.

kerveros puede ser visto como un sistema de seguridad que ayuda a los clientes a establecer un canal seguro con cualquier servidor que forme parte de un sistema distribuido. La seguridad está basada en claves secretas compartidas.