Kerberos (Protokoll): Unterschied zwischen den Versionen
Aus Byte-Welt Wiki
Die Seite wurde neu angelegt: Kerberos ist ein Sicherheitsprotokoll, das vom MIT entwickelt wurde. Es dient der Autorisierung von Benutzern auf einem Server. ==Geschichte== * 1988 wurde Ke... |
Keine Bearbeitungszusammenfassung |
||
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
Kerberos ist ein [[Sicherheitsprotokoll]], das vom [[MIT]] entwickelt wurde. Es dient der Autorisierung von Benutzern auf einem Server. | Kerberos ist ein [[Sicherheitsprotokoll]], das vom [[MIT]] entwickelt wurde. Es dient der Autorisierung von Benutzern auf einem Server, auf Basis des [[Needham-Schroeder-Protokoll]]s. Eine zentrale Rolle bildet das Kerberos-Distribution-Center, dieses stellt den Authentication Service (AS) und den Ticket Granting Server (TGS) zur Verfügung. | ||
==Ablauf== | |||
# Der Client fordert ein Ticket Granting Ticket (TGT) vom AS an, dazu sendet er seine ID. | |||
# Der AS sendet daraufhin das TGT, mit seinem geheimen Schlüssel verschlüsselt an den Client. | |||
# Der Client sendet das TGT an den TGS um für einen bestimmten Server den Zugang zu erhalten. | |||
# Der TGS sendet dem Client das Ticket für den Server zurück. | |||
# Der Server empfängt das Ticket und lässt den Client so arbeiten. | |||
==Vorteil== | |||
Da die Nachrichten 3 und 5, die der Client verschickt mit einem Zeitstempel (Authentikatoren) versehen wurden, ist eine [[Replay-Attacke]] nahezu nicht möglich. [[Man-In-The-Middle-Angriff]]e sind genauso wenig möglich, da sich der Client gegenüber dem Server und dem Kerberos Server autentifiziert und umgekehrt. | |||
==Nachteil/Schwachstellen== | |||
Da die Authentikatoren teilweise längere Zeit gültig sind und die Uhren nicht 100%ig synchron laufen, ist unter gewissen umständen eine Replay-Attacke möglich. | |||
==Geschichte== | ==Geschichte== | ||
* 1988 wurde Kerberos 4 veröffentlicht, alle Versionen davor waren MIT interne Versionen. | * 1988 wurde Kerberos 4 veröffentlicht, alle Versionen davor waren MIT interne Versionen. | ||
* 1993 wurde Kerberos 5 veröffentlicht, hier wurde die Verschlüsselung nicht mehr festgelegt ([[3DES]]) sondern kann beliebig sein. | * 1993 wurde Kerberos 5 veröffentlicht, hier wurde die Verschlüsselung nicht mehr festgelegt ([[3DES]]) sondern kann beliebig sein. | ||
[[Kategorie:Protokolle]] | |||
[[Kategorie:Sicherheitsprotokolle]] | |||
[[Kategorie:Authentifizierungsprotokolle]] | |||
Aktuelle Version vom 25. Januar 2008, 22:25 Uhr
Kerberos ist ein Sicherheitsprotokoll, das vom MIT entwickelt wurde. Es dient der Autorisierung von Benutzern auf einem Server, auf Basis des Needham-Schroeder-Protokolls. Eine zentrale Rolle bildet das Kerberos-Distribution-Center, dieses stellt den Authentication Service (AS) und den Ticket Granting Server (TGS) zur Verfügung.
Ablauf
[Bearbeiten | Quelltext bearbeiten]- Der Client fordert ein Ticket Granting Ticket (TGT) vom AS an, dazu sendet er seine ID.
- Der AS sendet daraufhin das TGT, mit seinem geheimen Schlüssel verschlüsselt an den Client.
- Der Client sendet das TGT an den TGS um für einen bestimmten Server den Zugang zu erhalten.
- Der TGS sendet dem Client das Ticket für den Server zurück.
- Der Server empfängt das Ticket und lässt den Client so arbeiten.
Vorteil
[Bearbeiten | Quelltext bearbeiten]Da die Nachrichten 3 und 5, die der Client verschickt mit einem Zeitstempel (Authentikatoren) versehen wurden, ist eine Replay-Attacke nahezu nicht möglich. Man-In-The-Middle-Angriffe sind genauso wenig möglich, da sich der Client gegenüber dem Server und dem Kerberos Server autentifiziert und umgekehrt.
Nachteil/Schwachstellen
[Bearbeiten | Quelltext bearbeiten]Da die Authentikatoren teilweise längere Zeit gültig sind und die Uhren nicht 100%ig synchron laufen, ist unter gewissen umständen eine Replay-Attacke möglich.
Geschichte
[Bearbeiten | Quelltext bearbeiten]- 1988 wurde Kerberos 4 veröffentlicht, alle Versionen davor waren MIT interne Versionen.
- 1993 wurde Kerberos 5 veröffentlicht, hier wurde die Verschlüsselung nicht mehr festgelegt (3DES) sondern kann beliebig sein.
