Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  1. Kokouksen avaus
    • Kari Laalo avasi kokouksen klo. 13:55
  2. Valitaan puheenjohtaja ja sihteeri
    • Valittiin puheenjohtajaksi Kari Laalo ja sihteeriksi Keijo Korte.
  3. Todetaan läsnäolijat
    • Päätettiin, että läsnäolijat todetaan ACP-osallistujaluettelosta. Sovittiin, että mikäli esityksistä eroavia ehdotuksia ilmenee, on ne esitettävä ääneen sen riskin pienentämiseksi, että joku esiintyy väärällä nimellä.
  4. FunetEduPerson-skeeman (FEP) versio 2.2 käyttöönotto
    1. Esittely:FEP-päivitystä on valmisteltu ohjausryhmän 1/2013 kokouksen toimeksiannosta. Huhtikuussa 2015 päivittyi schac-skeema, johon FEP tukeutuu. Haka-operointi on valmistellut päivitystä yhteistyössä IAM-verkoston kanssa. Esitys FEP versioksi 2.2 löytyy Haka-wikistä osoitteella: https://confluence.csc.fi/x/yQwlAg .

      Keskeiset muutokset skeemaan on merkitty sinisellä värillä ja lueteltu changeLog-kappaleessa. Taustatietoa päivityksestä on wikin navigaatiossa versioluonnoksen yläsivuilla.

      Skeemamuutoksen lisäksi Hakan IdP-ympäristön muutokseen vaikuttaa keväällä 2015 julkaistu Shibboleth IdP ohjelmiston versiotason 3 valmistuminen. Organisaatiot joutuvat päivittämään IdP:nsä uuteen versioon syksyn aikana tai viimeistään keväällä 2016. Tällä perusteella Haka-operointi esittää uuden skeemaversion käyttöönottamista viimeistään 4.1.2016 mennessä, jonka jälkeen skeemaversio 2.1 katsottaisiin vanhentuneeksi.
      Haka-operoinnin esitys:Esitetään Haka ohjausryhmän 2.10.2015 pidettävälle kokoukselle 3/2015 funetEduPerson-skeeman version 2.2 vahvistamista käyttöönotettavaksi viimeistään maanantaina 4.1.2016. Tämän jälkeen skeemaversio 2.1 katsotaan vanhentuneeksi ja sitä ei pidä enää käyttää.
      Keskustelu:Leena Heino: FEP 2.2:n 2.1 changes osiossa typo funetEduPersoLearnerId, Person sanasta puuttuu n-kirjain.
      Jari Järvinen: Tekstin muuttaminen siten että attirbuutin attribuutin "funetEduPersonProgram" osalta viittaus tilastokeskuksen ensisijaisuuten poistetaan.
      Leena Heino: Pienet tekniset muutokset tai selvennykset kannattaa varmaan tehtä operaattorin toimesta ilman sen suurempaa hyväksymisprosessia.
      Päätös:18 / 27 osallistujaa kannattaa uuden FEP-skeeman käyttöönottoa. Kukaan ei vastustanut. Päätettiin ottaa käyttöön uusi FEP-skeema operoinnin esittämän aikataulun mukaisesti operaattorin tehtyä keskustelussa esiintulleet vähäiset korjaukset.
  5. SHA2-allekirjoitusalgoritmin käyttöön siirtyminen
    1. Esittely:SHA1-allekirjoitusalgoritmi on tunnistettu heikoksi jo vuonna 2005. OWASP-säätiö kehottaa välttämään heikkojen salausalgoritmien käyttöä.

      Hakassa SHA hajautusalgoritmi on käytössä palvelun (SP) tuottaman autentikaatiopyynnön ja tunnistuslähteen (IdP) tuottaman autentikaatiovastauksen allekirjoituksissa. Edellisten lisäksi algoritmia käytetään HTTPS-liikenteen suojaamiseen käytettyjen varmenteiden allekirjoituksissa.

      Google on ilmoittanut suhtautuvansa SHA1-algoritmiin vanhentuneena ja varoittaa käyttäjiä turvattoman algoritmin käytöstä Chrome-selaimessaan. Shibboleth-konsortio on julkaissut aikataulun IdP-ohjelmiston versiotasoon 3 siirtymiselle ja Haka-operointi on tästä erikseen tiedottanut.

      Hakassa yleisesti käytössä oleva Shibboleth SP-ohjelmiston viimeisin versio (kirjoittaessa V2.5.5) tukee sellaisenaan uudempaa SHA2-algoritmia. Hakassa yleisesti käytetty Shibboleth IdP-ohjelmiston versiotason 2 haaran viimeisin versio (kirjoitettaessa V2.4.4) pystyy tarkistamaan SHA2-allekirjoituksen ja ulkopuolisella laajennuksella myös tuottamaan SHA2-allekirjoituksia. Shibboleth IdP versiotason 3 haaran viimeisin versio (kirjoitettaessa V3.1.1) pystyy tarkistamaan ja tuottamaan SHA2-allekirjoituksia sellaisenaan.

      Hakassa käytettävä SAML-profiili velvoittaa käyttämään suojattuja HTTPS-päätepisteitä autentikaatioviestien välittämisessä. Mm. phishing- ja man-in-the-middle -hyökkäyksien ehkäisemiseksi HTTPS-liikenteessä ei pitäisi käyttää heikompia algoritmejä, mitä on käytössä SAML-viestien suojaamiseen. Näin ollen on perusteltua siirtyä SHA2-varmenteiden käyttöön myös Hakassa käytettävässä HTTPS-viestinnässä. Funet varmennepalvelusta on saatavilla SHA2-menetelmällä allekirjoitettuja palvelinvarmenteita.
      Haka-operoinnin esitys:Päätetään, että Hakassa käytettyjen SAML-viestien allekirjoittamisessa on käytettävä vähintään SHA2-vahvuista allekirjoitusmenetelmää viimeistään vuoden 2016 toisesta vuosineljänneksestä alkaen.

      Päätetään, että Hakassa SAML-viestien välittämiseen käytettävien HTTPS-päätepisteiden suojaamiseen on käytettävä vähintään SHA2-vahvuisella menetelmällä allekirjoitettuja varmenteita viimeistään vuoden 2016 toisesta vuosineljänneksestä alkaen.
      KeskusteluViljo Viitanen: Hakassa mukana olevilla ei ole valtiotason uhkaajia toivottavasti (jotka sha1:n ehkä murtavat nyt). Kerron jo nyt että vastustan noita aikoja, ovat tarpeettoman tiukat. Voisi olla 2017 alkaen kuten valtaselaimilla. (Chromessa 2016 loppuun voimassa olevat sha1 varmenteet ovat ok)
      Leena Heino: Kun web ja haka-varmenteet on erotettu, niin tuo sha2 muutos on mennyt aika kivuttomasti.
      Päätös:Päätettiin, että Hakassa käytettyjen SAML-viestien allekirjoittamisessa on käytettävä vähintään SHA2-vahvuista allekirjoitusmenetelmää viimeistään vuoden 2016 toisesta vuosineljänneksestä alkaen. Toistaiseksi ei oteta kantaa SAML-viestien allekirjoittamisessa käytettyyn allekirjoitusalgoritmiin. 17 / 27 osallistujaa kannattaa päätöstä. Kukaan ei vastustanut.

       

       

  6. Muut keskusteluasiat

    • Kirjautumistilastojen kehittäminen
      • Todettiin, että kirjautumistilastoihin voi suhtautua lähtökohtaisesti julkisena tietona, joskin materiaalista on yksilönsuojan turvaamiseksi suodatettava pois sellaiset tilastorivit, joissa on vain yksittäisiä kirjautumisia yksittäisiin palveluihin.
    • Mikael Lindén muistutti eduGain + Geant käyttöönotoista + Tietosuojakäytäntö.
  7. Kokouksen päättäminen
    • Puheenjohtaja päätti kokouksen klo. 15:20

...