Što je Kerberos?

Kerberos je protokol za provjeru autentičnosti računalne mreže. Dizajniran je na MIT-u kako bi omogućio sigurne mrežne resurse. U ovom ćemo članku vidjeti raspravu o Kerberosovom konceptu i njegovom radu uz pomoć primjera.

Kako djeluje Kerberos?

Kerberos djeluje u tri koraka. A sada razmotrimo ta tri koraka jedan po jedan.

Korak 1:

Prijaviti se

Klijent svoje ime upisuje na proizvoljnoj radnoj stanici. Tada radna stanica šalje ime poslužitelju za provjeru autentičnosti u obliku teksta.
Kao odgovor, poslužitelj provjere autentičnosti izvodi neke radnje. Prvo, stvara paket korisničkog imena tj. Klijenta i generira sesijski ključ. Šifrira ovaj paket simetričnim ključem koji poslužitelj za provjeru identiteta dijeli sa TGS-om. Rezultat ovog postupka naziva se ulaznica za dodjelu tiketa (TGT). Tada poslužitelj za provjeru identiteta kombinira i TGT i ključ sesije te ih kriptira zajedno simetričnim ključem koji je izveden iz lozinke klijenta.

Napomena: TGT se može otvoriti samo upotrebom TGS-a, a konačni izlaz može otvoriti samo klijent.

Nakon primitka ove poruke, korisnička radna stanica traži lozinku. Kad korisnik ili klijent unese svoju lozinku, radna stanica generira simetrični ključ izveden iz lozinke autentifikacijskog poslužitelja. Ovaj se ključ koristi za izdvajanje sesijskog ključa i TGT. Nakon toga radna stanica uništava lozinku klijenta za pamćenje kako bi se spriječio napad.
Napomena: Korisnici ne mogu otvoriti ulaznicu za dodjelu ulaznica.

Korak 2:

Stjecanje karte za uslugu.

Pretpostavimo da korisnik nakon uspješne prijave želi komunicirati s drugim korisnicima putem poslužitelja pošte. Za to klijent informira svoju radnu stanicu da želi kontaktirati drugog korisnika X. Dakle, klijent treba karticu za komunikaciju s X. U ovom trenutku, radna stanica klijenta stvara poruku namijenjenu poslužitelju za dodjelu karata, koja sadrži dolje navedene stavke -
• ulaznica za dodjelu ulaznica
• ID X za čije su usluge klijenti zainteresirani.
• Trenutna vremenska oznaka treba biti šifrirana istim ključem sesije.

Davanje ulaznica, ulaznica se šifrira samo s tajnim ključem poslužitelja za dodjelu karata, stoga samo poslužitelj za dodjelu karata može otvoriti kartu za dodjelu ulaznica. Zbog toga poslužitelj za dodjelu karata vjeruje da poruka dolazi od zaista klijenta. Sertifikat za provjeru ulaznice i ključ sesije kriptirao je poslužitelj za provjeru sesije.

Poslužitelj za provjeru autentičnosti šifrira ga tajnim ključem koji je izveden iz lozinke klijenta. Stoga jedini klijent može otvoriti paket i preuzeti kartu za dodjelu karte
Jednom kada je poslužitelj za dodjelu karata zadovoljan detaljima koje je klijent unio, ulaznica za dodjelu karata stvara ključ sesije KAB kako bi klijent obavio sigurnu komunikaciju s X. Server za dodjelu tiketa šalje ga dvaput klijentu - prvi put ga šalje kada je kombiniran s X-ovim ID-om i šifriranim ključem sesije, drugi put ga šalje u kombinaciji s ID-om klijenta i šifriranim X-ovim tajnim ključem KB.

U ovom slučaju, Napadač može pokušati dobiti prvu poruku koju mu je poslao klijent i može pokušati odgovor na napad. Međutim, ovo neće uspjeti jer poruka klijenta sadrži šifriranu vremensku oznaku i napadač ne može zamijeniti vremensku oznaku jer nema ključ sesije.

3. korak:

Korisnički kontakti X za pristup poslužitelju.

Klijent šalje KAB u X radi kreiranja sesije s X. Za sigurnu komunikaciju, klijent KAB šifriran X-ovim tajnim ključem u X. X može pristupiti KAB-u. Da bi se zaštitio od napada odgovora, klijent šalje vremensku oznaku X koja je šifrirana s KAB.

X koristi svoj tajni ključ za dobivanje podataka, pomoću tih podataka koristi KAB za dešifriranje vrijednosti pečata. Tada X dodaje 1 u vrijednost vremenske oznake i kriptira ga pomoću KAB-a i šalje ga klijentu. Klijent tada otvara paket i ovjerava pečat koji je povećao X. Tijekom ovog postupka klijent osigurava da je X primio isti KAB koji mu je poslao klijent.

Sada klijent i X mogu sigurno međusobno komunicirati. Oboje koriste zajednički tajni ključ KAB, i šifriraju podatke u vrijeme slanja i dešifriraju poruku istim ključem. Pretpostavimo da klijent možda želi komunicirati s drugim poslužiteljem Y, u tom slučaju klijent samo n3d dobiva drugi tajni ključ s poslužitelja za dodjelu ulaznica. Nakon što dobije tajni ključ, može komunicirati s Y slično kao što smo raspravljali i u slučaju X. Ako klijent može komunicirati ponovo s X-om, može upotrijebiti isti prethodni ključ, nema potrebe svaki put generirati kartu. Samo prvi put treba dobiti kartu.

Prednosti i nedostaci Kerberosa

Ispod su prednosti i nedostaci:

Prednosti Kerberosa

  1. U Kerberosu su klijenti i usluge međusobno ovjereni.
  2. Podržavaju ga različiti operativni sustavi.
  3. Ulaznice u Kerberosu imaju ograničeno razdoblje. Također, ako se karta ukrade, teško je ponovo upotrijebiti kartu zbog jakih potreba za autentifikacijom.
  4. Lozinke se nikada ne šalju preko mreže nekodirano.
  5. U Kerberosu se dijele tajni ključevi koji su učinkovitiji od dijeljenja javnih ključeva.

Nedostaci Kerberosa

  1. Ranjiva je na slabe ili ponovljene lozinke.
  2. Omogućuje samo provjeru autentičnosti za usluge i klijente.

Zaključak

U ovom smo članku vidjeli što je Kerberos, kako djeluje zajedno s njegovim prednostima i nedostacima. Nadam se da će vam ovaj članak biti od pomoći.

Preporučeni članci

Ovo je vodič za Kerberos. Ovdje smo razgovarali o tome što je Kerberos, kako djeluje Kerberos i njegove prednosti i nedostaci. Možete i proći kroz naše druge predložene članke da biste saznali više -

  1. Vrste web hostinga
  2. Što je web aplikacija?
  3. Što je Zvjezdana shema?
  4. Nizi u Java programiranju

Kategorija:

Razvoj softvera