<br>On Tuesday, March 17, 2015, David Chadwick <<a href="mailto:d.w.chadwick@kent.ac.uk">d.w.chadwick@kent.ac.uk</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Encryption per se does not decrease token size, the best it can do is<br>
keep the token size the same size.</blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"></blockquote><div><br></div><div>Correct.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">So using Fernet tokens will not on<br>
its own alter the token size. Reducing the size must come from putting<br>
less information in the token.</blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"></blockquote><div><br></div><div>Fernet tokens carry far less information than PKI tokens, and thus have a smaller relative size.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">If the token recipient has to always go<br>
back to Keystone to get the token validated, then all the token needs to<br>
be is a large random number that Keystone can look up in its database to<br>
retrieve the user's permissions.</blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"></blockquote><div><br></div><div>Correct, but then those large random numbers must be persisted and distributed, as is the case with UUID tolens. However, Fernet tokens carry just enough information to indicate which permissions apply, and keystone can build a validation response from there, without persisting anything for every token issued.</div><div> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">In this case no encryption is needed at<br>
all.</blockquote><div><br></div><div>Fernet tokens encrypt everything but the token's creation timestamp, but that's just a perk that some deployers will find attractive, not a critical design feature that we're utilizing today.</div><div> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
regards<br>
<br>
David<br>
<br>
On 17/03/2015 06:51, joehuang wrote:<br>
> Hi, Adam,<br>
><br>
><br>
><br>
> Good to know Fernet token is on the way to reduce the token size and<br>
> token persistence issues.<br>
><br>
><br>
><br>
> It’s not reality to deploy KeyStone service ( including backend store )<br>
> in each site if the number, for example, is more than 10.  The reason is<br>
> that the stored data including data related to revocation need to be<br>
> replicated to all sites in synchronization manner. Otherwise, the API<br>
> server might attempt to use the token before it's able to be validated<br>
> in the target site.<br>
><br>
><br>
><br>
> When Fernet token is used in multisite scenario, each API request will<br>
> ask for token validation from KeyStone. The cloud will be out of service<br>
> if KeyStone stop working, therefore KeyStone service need to run in<br>
> several sites.<br>
><br>
><br>
><br>
> For reliability purpose, I suggest that the keystone client should<br>
> provide a fail-safe design: primary KeyStone server, the second KeyStone<br>
> server (or even the third KeySont server) . If the primary KeyStone<br>
> server is out of service, then the KeyStone client will try the second<br>
> KeyStone server. Different KeyStone client may be configured with<br>
> different primary KeyStone server and the second KeyStone server.<br>
><br>
><br>
><br>
> Best Regards<br>
><br>
> Chaoyi Huang ( Joe Huang )<br>
><br>
><br>
><br>
> *From:*Adam Young [mailto:<a href="javascript:;" onclick="_e(event, 'cvml', 'ayoung@redhat.com')">ayoung@redhat.com</a>]<br>
> *Sent:* Monday, March 16, 2015 10:52 PM<br>
> *To:* <a href="javascript:;" onclick="_e(event, 'cvml', 'openstack-dev@lists.openstack.org')">openstack-dev@lists.openstack.org</a><br>
> *Subject:* Re: [openstack-dev] [opnfv-tech-discuss]<br>
> [Keystone][Multisite] Huge token size<br>
><br>
><br>
><br>
> On 03/16/2015 05:33 AM, joehuang wrote:<br>
><br>
>     [Topic]: Huge token size<br>
><br>
><br>
><br>
>     Hello,<br>
><br>
><br>
><br>
>     As you may or may not be aware of, a requirement project proposal<br>
>     Multisite[1] was started in OPNFV in order to identify gaps in<br>
>     implementing OpenStack across multiple sites.<br>
><br>
><br>
><br>
>     Although the proposal has not been approved yet, we’ve started to<br>
>     run some experiments to try out different methods. One of the<br>
>     problem we identify in those experiments is that, when we want  to<br>
>     use a shared KeyStone for 101 Regions ( including ~500 endpoints ).<br>
>     The token size is huge (The token format is PKI), please see details<br>
>     in the attachments:<br>
><br>
><br>
><br>
>     token_catalog.txt, 162KB: catalog list included in the token<br>
><br>
>     token_pki.txt, 536KB: non-compressed token size<br>
><br>
>     token_pkiz.txt, 40KB: compressed token size<br>
><br>
><br>
><br>
>     I understand that KeyStone has a way like endpoint_filter to reduce<br>
>     the size of token, however this requires to manage many (hard to id<br>
>     the exact number) endpoints can be seen by a project, and the size<br>
>     is not easy to exactly controlled.<br>
><br>
><br>
><br>
>     Do you guys have any insights in how to reduce the token size if PKI<br>
>     token used? Is there any BP relates to this issue? Or should we fire<br>
>     one to tackle this?<br>
><br>
><br>
><br>
> Right now there is an effort for non-multisite to get a handle on the<br>
> problem.  The Fernet token format will make it possible for a token to<br>
> be ephemeral.  The scheme is this:<br>
><br>
> Encode the minimal amount of Data into the token possible.<br>
><br>
> Always validate the token on the Keystone server.<br>
><br>
> On the Keystone server, the token validation is performed by checking<br>
> the message HMAC, and then expanding out the data.<br>
><br>
> This concept is expandable to multi site in two ways.<br>
><br>
> For a completely trusted and symmetric multisite deployement, the<br>
> keystone servers can share keys.  The Kite project was<br>
> <a href="http://git.openstack.org/cgit/openstack/kite" target="_blank">http://git.openstack.org/cgit/openstack/kite</a> origianlly spun up to<br>
> manage this sort of symmetric key sharing, and is a natural extension.<br>
><br>
> If two keystone server need to sign for and validate separate serts of<br>
> data (future work)  the form of signing could be returned to Asymmetric<br>
> Crypto.  This would lead to a minimal tokne size of about 800 Bytes (I<br>
> haven't tested exactly).  It would mean that any service responsible for<br>
> validating tokens would need to fetch and cache the responses for things<br>
> like catalog and role assignments.<br>
><br>
> The epehemeral nature of the Fernet specification means that revocation<br>
> data needs to bepersisted separate from the token, so it is not 100%<br>
> ephemeral, but the amount of stored data should be (I estimate) two<br>
> orders of magnatude smaller, maybe three.  Password changes, project<br>
> deactivations,  and role revocations will still cause some traffic<br>
> there.  These will need to be synchronized across token validation servers.<br>
><br>
> Great topic for discussion in Vancouver.<br>
><br>
><br>
><br>
><br>
><br>
><br>
><br>
><br>
> [1]<a href="https://wiki.opnfv.org/requirements_projects/multisite" target="_blank">https://wiki.opnfv.org/requirements_projects/multisite</a><br>
><br>
><br>
><br>
> Best Regards<br>
><br>
> Chaoyi Huang ( Joe Huang )<br>
><br>
><br>
><br>
><br>
><br>
><br>
><br>
><br>
> __________________________________________________________________________<br>
><br>
> OpenStack Development Mailing List (not for usage questions)<br>
><br>
> Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a> <mailto:<a href="javascript:;" onclick="_e(event, 'cvml', 'OpenStack-dev-request@lists.openstack.org')">OpenStack-dev-request@lists.openstack.org</a>?subject:unsubscribe><br>
><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
><br>
><br>
><br>
><br>
><br>
> __________________________________________________________________________<br>
> OpenStack Development Mailing List (not for usage questions)<br>
> Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
><br>
<br>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</blockquote>