Aika: | Torstai 10.9.2015 klo 13:55 - 15:20 |
Paikka: | Verkossa http://connect.funet.fi/haka |
Osallistujat: | Haka-operaattori: Osallistujat Juha Nyholm |
Esittely: | FEP-päivitystä on valmisteltu ohjausryhmän 1/2013 kokouksen toimeksiannosta. Huhtikuussa 2015 päivittyi schac-skeema, johon FEP tukeutuu. Haka-operointi on valmistellut päivitystä yhteistyössä IAM-verkoston kanssa. Esitys FEP versioksi 2.2 löytyy Haka-wikistä osoitteella: https://confluence.csc.fi/x/yQwlAg . Keskeiset muutokset skeemaan on merkitty sinisellä värillä ja lueteltu changeLog-kappaleessa. Taustatietoa päivityksestä on wikin navigaatiossa versioluonnoksen yläsivuilla. Skeemamuutoksen lisäksi Hakan IdP-ympäristön muutokseen vaikuttaa keväällä 2015 julkaistu Shibboleth IdP ohjelmiston versiotason 3 valmistuminen. Organisaatiot joutuvat päivittämään IdP:nsä uuteen versioon syksyn aikana tai viimeistään keväällä 2016. Tällä perusteella Haka-operointi esittää uuden skeemaversion käyttöönottamista viimeistään 4.1.2016 mennessä, jonka jälkeen skeemaversio 2.1 katsottaisiin vanhentuneeksi. |
Haka-operoinnin esitys: | Esitetään Haka ohjausryhmän 2.10.2015 pidettävälle kokoukselle 3/2015 funetEduPerson-skeeman version 2.2 vahvistamista käyttöönotettavaksi viimeistään maanantaina 4.1.2016. Tämän jälkeen skeemaversio 2.1 katsotaan vanhentuneeksi ja sitä ei pidä enää käyttää. |
Keskustelu: | Leena Heino: FEP 2.2:n 2.1 changes osiossa typo funetEduPersoLearnerId, Person sanasta puuttuu n-kirjain. Jari Järvinen: Tekstin muuttaminen siten että attribuutin "funetEduPersonProgram" osalta viittaus tilastokeskuksen ensisijaisuuten poistetaan. Leena Heino: Pienet tekniset muutokset tai selvennykset kannattaa varmaan tehtä operaattorin toimesta ilman sen suurempaa hyväksymisprosessia. |
Päätös: | 18 / 27 osallistujaa kannattaa uuden FEP-skeeman käyttöönottoa. Kukaan ei vastustanut. Päätettiin ottaa käyttöön uusi FEP-skeema operoinnin esittämän aikataulun mukaisesti operaattorin tehtyä keskustelussa esiintulleet vähäiset korjaukset. |
Esittely: | SHA1-allekirjoitusalgoritmi on tunnistettu heikoksi jo vuonna 2005. OWASP-säätiö kehottaa välttämään heikkojen salausalgoritmien käyttöä. Hakassa SHA hajautusalgoritmi on käytössä palvelun (SP) tuottaman autentikaatiopyynnön ja tunnistuslähteen (IdP) tuottaman autentikaatiovastauksen allekirjoituksissa. Edellisten lisäksi algoritmia käytetään HTTPS-liikenteen suojaamiseen käytettyjen varmenteiden allekirjoituksissa. Google on ilmoittanut suhtautuvansa SHA1-algoritmiin vanhentuneena ja varoittaa käyttäjiä turvattoman algoritmin käytöstä Chrome-selaimessaan. Shibboleth-konsortio on julkaissut aikataulun IdP-ohjelmiston versiotasoon 3 siirtymiselle ja Haka-operointi on tästä erikseen tiedottanut. Hakassa yleisesti käytössä oleva Shibboleth SP-ohjelmiston viimeisin versio (kirjoittaessa V2.5.5) tukee sellaisenaan uudempaa SHA2-algoritmia. Hakassa yleisesti käytetty Shibboleth IdP-ohjelmiston versiotason 2 haaran viimeisin versio (kirjoitettaessa V2.4.4) pystyy tarkistamaan SHA2-allekirjoituksen ja ulkopuolisella laajennuksella myös tuottamaan SHA2-allekirjoituksia. Shibboleth IdP versiotason 3 haaran viimeisin versio (kirjoitettaessa V3.1.1) pystyy tarkistamaan ja tuottamaan SHA2-allekirjoituksia sellaisenaan. Hakassa käytettävä SAML-profiili velvoittaa käyttämään suojattuja HTTPS-päätepisteitä autentikaatioviestien välittämisessä. Mm. phishing- ja man-in-the-middle -hyökkäyksien ehkäisemiseksi HTTPS-liikenteessä ei pitäisi käyttää heikompia algoritmejä, mitä on käytössä SAML-viestien suojaamiseen. Näin ollen on perusteltua siirtyä SHA2-varmenteiden käyttöön myös Hakassa käytettävässä HTTPS-viestinnässä. Funet varmennepalvelusta on saatavilla SHA2-menetelmällä allekirjoitettuja palvelinvarmenteita. |
Haka-operoinnin esitys: | Päätetään, että Hakassa käytettyjen SAML-viestien allekirjoittamisessa on käytettävä vähintään SHA2-vahvuista allekirjoitusmenetelmää viimeistään vuoden 2016 toisesta vuosineljänneksestä alkaen. Päätetään, että Hakassa SAML-viestien välittämiseen käytettävien HTTPS-päätepisteiden suojaamiseen on käytettävä vähintään SHA2-vahvuisella menetelmällä allekirjoitettuja varmenteita viimeistään vuoden 2016 toisesta vuosineljänneksestä alkaen. |
Keskustelu | Viljo Viitanen: Hakassa mukana olevilla ei ole valtiotason uhkaajia toivottavasti (jotka sha1:n ehkä murtavat nyt). Kerron jo nyt että vastustan noita aikoja, ovat tarpeettoman tiukat. Voisi olla 2017 alkaen kuten valtaselaimilla. (Chromessa 2016 loppuun voimassa olevat sha1 varmenteet ovat ok) Leena Heino: Kun web ja haka-varmenteet on erotettu, niin tuo sha2 muutos on mennyt aika kivuttomasti. |
Päätös: | Päätettiin, että Hakassa käytettyjen SAML-viestien allekirjoittamisessa on käytettävä vähintään SHA2-vahvuista allekirjoitusmenetelmää viimeistään vuoden 2016 toisesta vuosineljänneksestä alkaen. Toistaiseksi ei oteta kantaa SAML-viestien allekirjoittamisessa käytettyyn allekirjoitusalgoritmiin. 17 / 27 osallistujaa kannattaa päätöstä. Kukaan ei vastustanut. |
Muut keskusteluasiat