Ako poskytuje spoločnosť Kerberos tajné kľúčové autentifikáciu a bezpečnú distribúciu?

Kerberos poskytuje tajné kľúčové autentifikáciu a bezpečné rozdelenie prostredníctvom sofistikovaného systému zahŕňajúceho dôveryhodnú tretiu stranu, kľúčové distribučné centrum (KDC) a použitie kryptografických techník. Tu je porucha:

1. Autentifikácia tajného kľúča:

* symetrické šifrovanie: Kerberos sa vo veľkej miere spolieha na symetrické šifrovanie, čo znamená, že klient aj server zdieľajú tajný kľúč. Tento kľúč je * nikdy * prenášaný v jasnom. Všetka komunikácia je šifrovaná pomocou tohto zdieľaného kľúču. To zaisťuje dôvernosť a integritu.

* lístok na udeľovanie lístkov (TGT): Jadrom Kerberosu je TGT. Keď klient spočiatku overuje KDC, dokazuje svoju identitu (zvyčajne používa heslo). KDC potom vygeneruje kľúč relácie (jedinečný, dočasný kľúč) a šifruje tento kľúč pomocou dlhodobého tajného klávesu klienta (odvodený z hesla). Tento šifrovaný kľúč relácie spolu s ďalšími informáciami je zabalený do TGT. Je dôležité, že * iba klient môže dešifrovať TGT *, pretože iba má zodpovedajúci dlhodobý tajný kľúč.

* kľúče relácie: TGT sa používa na získanie kľúčov relácie pre jednotlivé služby. Klient predstavuje TGT služby poskytujúcim lístok (TGS), súčasť KDC, aby získal *servisný lístok *. Tento lístok obsahuje kľúč relácie zdieľaného medzi klientom a konkrétnou službou, ku ktorej chce získať prístup. Tento kľúč relácie je opäť šifrovaný, tentokrát s použitím klávesu odvodeného z TGT.

* Vzájomné overenie: Proces zvyčajne zahŕňa vzájomnú autentifikáciu. Klient dokazuje svoju identitu KDC a KDC dokazuje svoju totožnosť klientovi šifrovaním TGT s dlhodobým tajným kľúčom klienta. Podobne, keď klient požiada o servisný lístok, TGS preukáže svoju totožnosť šifrovaním servisného lístka pomocou klávesu relácie z TGT. Nakoniec služba dokazuje svoju totožnosť klientovi šifrovaním správy pomocou klávesu relácie zo servisného lístka.

2. Zabezpečená distribúcia:

* šifrovaná komunikácia: Všetka komunikácia medzi klientom, KDC a službou je šifrovaná. Vstupenky na TGT a servis sú šifrované, čo bráni odpočúvaniu a manipulácii. Heslo klienta sa nikdy neprenáša cez sieť; Iba jeho kryptografický hash je.

* Dôveryhodná tretia strana: KDC pôsobí ako dôveryhodná tretia strana. Je zodpovedný za bezpečné ukladanie a správu dlhodobých tajných kľúčov klientov a služieb. Tento ústredný úrad zjednodušuje správu kľúčov v porovnaní s distribuovaným systémom, v ktorom by každý klient a server museli navzájom spravovať kľúče.

* Synchronizácia času: Kerberos sa spolieha na synchronizované hodiny, aby zabránil útokom na prehrávanie (kde útočník nahradí predtým zachytený lístok). Vstupenky majú obmedzenú životnosť (obdobia platnosti), ktoré presadzujú časovo citlivú autentifikáciu.

Stručne povedané, Kerberos zaisťuje autentifikáciu a kľúčové rozdelenie podľa:

* Použitie symetrického šifrovania na ochranu všetkej komunikácie.

* Zamestnanie dôveryhodnej tretej strany (KDC) na správu kľúčov.

* Používanie časovo obmedzených lístkov na zmiernenie útokov na prehrávanie.

* Implementácia vzájomnej autentifikácie na potvrdenie identity na oboch koncoch.

Táto kombinácia techník zaisťuje, že iba autorizovaní klienti majú prístup k špecifickým službám a že komunikácia medzi nimi zostáva dôverná a neoprávnená.

• Predchádzajúca strana: Čo robí príkaz Switchport Port-Security Commant? 
• Ďalšia strana: Aké sú nevýhody umiestnenia šifrovania do aplikačnej vrstvy?