Prendendo spunto dal recente rilascio del Red Hat Certificate System, abbiamo rivolto qualche domanda a Giuseppe Paternò (Gippa) architetto senior e referente sicurezza Emea di Red Hat sulle novità del “cappello rosso”: Project Dogtag e FreeIPA.
Ciao Gippa. Cos’è il Project Dogtag di Red Hat?
Dogtag è la versione opensource di PKI, la soluzione di Certification Authority di Red Hat. Project Dogtag è stato annunciato lo scorso 19 marzo 2008 ed è una notizia che attendevamo da tempo!
Perché questa scelta da parte di Red Hat?
Facciamo un passo indietro. Come è noto qualche anno fa Netscape è stata divisa in due e metà è stata acquisita da America OnLine (AOL). Red Hat nel 2004 ha comprato i diritti di AOL e ha deciso di portare avanti lo sviluppo di due tra i prodotti migliori di Netscape: il directory server (LDAP) e il certificate system (PKI). Per rimanere fedele alla propria filosofia open source, Red Hat rende open source i prodotti delle aziende acquisite: così è stato per ad esempio per Sestina (GFS), mentre per Metamatrix (che ora fa parte della famiglia Jboss) è in corso il progetto di apertura del codice. Così LDAP, il directory server, è stato reso open già nel giugno 2005 mentre per ragioni legali relative alla possibilità di rendere pubblico software di crittografia anche fuori dagli USA, Red Hat ha dovuto attendere per poter pubblicare i codici sorgenti del software di PKI.
Perché è importante la scelta open?
La decisione di aprire alla comunità la Certification Authority di Red Hat è una cosa molto importante perché è una delle poche certification authority in cui la smartcard client (ESC) è sia open sia cross-platform (Windows, Linux e Mac).
Cos’è invece FreeIPA?
Il nome dà una buona idea dei contenuti del progetto: Identity, Policy, Audit (IPA). FreeIPA nasce principalmente da un’idea di Simo Sorce (collega di Red Hat e guru del Samba team) con l’obiettivo di gestire le identità e le policy di sicurezza ad esse associate. Al momento FreeIPA è in grado di gestire utenze e servizi Kerberos erogati da server Unix, ma l’obiettivo finale è di gestire facilmente sia sistemi operativi (Linux, Unix in generale, Mac e Windows come client) sia applicativi come ad esempio l’integrazione di Jboss e J2EE. Presto verrà introdotta un’architettura a plug-in che permetterà l’espansione e, a mio avviso, permetterà una maggiore contribuzione da parte della comunità. La roadmap del progetto FreeIPA è visibile on line. Ovviamente ci sarà l’integrazione tra IPA e DogTag. Sto seguendo da vicino il progetto e devo dire che è molto promettente, Simo e i miei colleghi stanno lavorando duramente. Il mio punto di vista (strettamente personale!) è che FreeIPA potrebbe diventare una sorta di “Active Directory” open. Mi auguro che ci sia un seguito importante da parte della comunità.
Perché questa scelta di Redhat?
Sia il directory (LDAP) che il certificate systems (PKI) sono software infrastrutturali molto importanti, ma la gestione delle identità è qualcosa di più. FreeIPA vuole creare un layer di gestione delle identità aperto. Come per tutti i progetti open source sponsorizzati dal “cappello rosso”, presto vedremo anche un prodotto supportato da Red Hat.
Un’ultima domanda. Recentemente abbiamo parlato dei tuoi ebook sulla sicurezza. Stai preparando qualcosa di nuovo?
Sì, ho appena concluso una ricerca tecnica sulle smartcard. Visto le crescenti esigenze di sicurezza delle aziende che curo, sentivo la necessità di capire la maturità del mercato ed esplorare le tecnologie attualmente disponibili. Sto attualmente rielaborando i risultati della ricerca e appena posso pubblicherò un whitepaper.
Ciao Gippa e alla prossima
Visto che abbiamo accennato alle acquisizioni di prodotti proprietari che Red Hat rilascia open source, vi segnalo un’altra novità: Jboss e Metamatrix. Secondo me è un progetto che, già adesso e più ancora in futuro quando sarà open, rappresenta una novità in ambito security grazie ad un virtualizzatore di base dati. Cosa c’entra con la sicurezza? Beh, vi metto una piccola pulce nell’orecchio: oltre a creare tabelle virtuali (accessibili in jdbc/odbc/web services) è possibile impostare delle policy sulle basi dati virtuali. Quanti implementano la sicurezza sui DB?Ciao e un saluto a tutti i lettori!
Altre interviste
- Cos’è l’Information Forensics? Intervista al presidente dell’IISFA
- Scegliere un’associazione di sicurezza (parte prima, parte seconda, parte terza, parte quarta, parte quinta)
- Intervista a Feliciano Intini sulla sicurezza di Vista