Af Mikkel Hald, 27/03/26
Som vi har skrevet om tidligere, har DeiC og WAYF udviklet et værktøj som på smidig vis “oversætter” institutionslogin til SSH-adgang. Og det værktøj kommer nu til at indgå som central komponent i en bredere europæisk indsats for at skabe samlet adgang til de mange anlæg for high performance computing (“HPC”) som primært eller udelukkende tilgås med SSH-protokollen.
Løsningen er baseret på en SSH Certificate Authority (“SSH-CA”), som erstatter traditionelle statiske SSH-nøgler med kortlivede, dynamisk udstedte SSH-certifikater. I stedet for at skulle distribuere og administrere offentlige nøgler på tværs af flere systemer autentificerer brugerne sig med deres institutionsidentitet via fødereret adgang. Efter at brugeren er blevet autentificeret hos den betroede CA, udsteder CA'en et tidsbegrænset SSH-certifikat. Det styrker sikkerheden gennem kortvarige adgange og centraliseret tillid og forenkler på samme tid brugeroprettelse og reducerer den driftsmæssige kompleksitet for tjenesteudbydere.
Værktøjet har vakt betydelig interesse uden for Danmark. NORDUnet har nu indgået et samarbejde med DeiC om at levere en instans af det som en del af EuroHPC Federation Platform (EFP). EFP-projektet ledes af finske CSC og har til formål at levere samlet adgang til det europæiske HPC-økosystem. Ved at føderere systemer og infrastrukturer på tværs af Europa vil EFP gøre det lettere for forskere og erhvervsliv at få adgang til computerressourcer i verdensklasse.
Som led i det arbejde vil SSH-CA-tjenesten blive integreret i EFP, som forventes lanceret i april 2026.
Tjenesten vil være tilgængelig via MyAccessID, som er GÉANTs fælles identitetsløsning for europæisk forskning. Brugere med behov for SSH-adgang vil gennem MyAccessID kunne logge ind med eksempelvis deres institutionslogin og straks få udstedt et relevant SSH-certifikat.
For at øge sikkerheden signerer SSH-CA-tjenesten i MyAccessID sine certifikater med privatnøgler i et hardware security module, som drives af DeiC. Derudover har softwaren fået en positiv uafhængig sikkerhedsvurdering af tyske Hackmanit GmbH, hvilket yderligere styrker løsningens pålidelighed.
Ved at kombinere fødereret identitet med sikker, certifikatbaseret SSH-adgang vil tjenesten her give skalerbar og brugervenlig adgang til HPC-ressourcer på tværs af Europa — med software udviklet af DeiC og WAYF som et centralt bidrag.