Kerberos (Protokoll): Unterschied zwischen den Versionen
Zeile 21: | Zeile 21: | ||
[[Kategorie:Protokolle]] | [[Kategorie:Protokolle]] | ||
[[Kategorie:Sicherheitsprotokolle]] | [[Kategorie:Sicherheitsprotokolle]] | ||
+ | [[Kategorie:Authentifizierungsprotokolle]] |
Version vom 25. Januar 2008, 11:32 Uhr
Kerberos ist ein Sicherheitsprotokoll, das vom MIT entwickelt wurde. Es dient der Autorisierung von Benutzern auf einem Server. Eine zentrale Rolle bildet das Kerberos-Distribution-Center, dieses stellt den Authentication Service (AS) und den Ticket Granting Server (TGS) zur Verfügung.
Inhaltsverzeichnis
Ablauf
- Der Client fordert ein Ticket Granting Ticket (TGT) vom AS an, dazu sendet er seine ID.
- Der AS sendet daraufhin das TGT, mit seinem geheimen Schlüssel verschlüsselt an den Client.
- Der Client sendet das TGT an den TGS um für einen bestimmten Server den Zugang zu erhalten.
- Der TGS sendet dem Client das Ticket für den Server zurück.
- Der Server empfängt das Ticket und lässt den Client so arbeiten.
Vorteil
Da die Nachrichten 3 und 5, die der Client verschickt mit einem Zeitstempel (Authentikatoren) versehen wurden, ist eine Replay-Attacke nahezu nicht möglich. Man-In-The-Middle-Angriffe sind genauso wenig möglich, da sich der Client gegenüber dem Server und dem Kerberos Server autentifiziert und umgekehrt.
Nachteil/Schwachstellen
Da die Authentikatoren teilweise längere Zeit gültig sind und die Uhren nicht 100%ig synchron laufen, ist unter gewissen umständen eine Replay-Attacke möglich.
Geschichte
- 1988 wurde Kerberos 4 veröffentlicht, alle Versionen davor waren MIT interne Versionen.
- 1993 wurde Kerberos 5 veröffentlicht, hier wurde die Verschlüsselung nicht mehr festgelegt (3DES) sondern kann beliebig sein.