Kerberos (Protokoll): Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: Kerberos ist ein Sicherheitsprotokoll, das vom MIT entwickelt wurde. Es dient der Autorisierung von Benutzern auf einem Server. ==Geschichte== * 1988 wurde Ke...) |
|||
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
− | Kerberos ist ein [[Sicherheitsprotokoll]], das vom [[MIT]] entwickelt wurde. Es dient der Autorisierung von Benutzern auf einem Server. | + | Kerberos ist ein [[Sicherheitsprotokoll]], das vom [[MIT]] entwickelt wurde. Es dient der Autorisierung von Benutzern auf einem Server, auf Basis des [[Needham-Schroeder-Protokoll]]s. Eine zentrale Rolle bildet das Kerberos-Distribution-Center, dieses stellt den Authentication Service (AS) und den Ticket Granting Server (TGS) zur Verfügung. |
+ | ==Ablauf== | ||
+ | # Der Client fordert ein Ticket Granting Ticket (TGT) vom AS an, dazu sendet er seine ID. | ||
+ | # Der AS sendet daraufhin das TGT, mit seinem geheimen Schlüssel verschlüsselt an den Client. | ||
+ | # Der Client sendet das TGT an den TGS um für einen bestimmten Server den Zugang zu erhalten. | ||
+ | # Der TGS sendet dem Client das Ticket für den Server zurück. | ||
+ | # Der Server empfängt das Ticket und lässt den Client so arbeiten. | ||
+ | |||
+ | |||
+ | ==Vorteil== | ||
+ | Da die Nachrichten 3 und 5, die der Client verschickt mit einem Zeitstempel (Authentikatoren) versehen wurden, ist eine [[Replay-Attacke]] nahezu nicht möglich. [[Man-In-The-Middle-Angriff]]e sind genauso wenig möglich, da sich der Client gegenüber dem Server und dem Kerberos Server autentifiziert und umgekehrt. | ||
+ | |||
+ | ==Nachteil/Schwachstellen== | ||
+ | Da die Authentikatoren teilweise längere Zeit gültig sind und die Uhren nicht 100%ig synchron laufen, ist unter gewissen umständen eine Replay-Attacke möglich. | ||
==Geschichte== | ==Geschichte== | ||
* 1988 wurde Kerberos 4 veröffentlicht, alle Versionen davor waren MIT interne Versionen. | * 1988 wurde Kerberos 4 veröffentlicht, alle Versionen davor waren MIT interne Versionen. | ||
* 1993 wurde Kerberos 5 veröffentlicht, hier wurde die Verschlüsselung nicht mehr festgelegt ([[3DES]]) sondern kann beliebig sein. | * 1993 wurde Kerberos 5 veröffentlicht, hier wurde die Verschlüsselung nicht mehr festgelegt ([[3DES]]) sondern kann beliebig sein. | ||
+ | |||
+ | [[Kategorie:Protokolle]] | ||
+ | [[Kategorie:Sicherheitsprotokolle]] | ||
+ | [[Kategorie:Authentifizierungsprotokolle]] |
Aktuelle Version vom 25. Januar 2008, 22:25 Uhr
Kerberos ist ein Sicherheitsprotokoll, das vom MIT entwickelt wurde. Es dient der Autorisierung von Benutzern auf einem Server, auf Basis des Needham-Schroeder-Protokolls. Eine zentrale Rolle bildet das Kerberos-Distribution-Center, dieses stellt den Authentication Service (AS) und den Ticket Granting Server (TGS) zur Verfügung.
Inhaltsverzeichnis
Ablauf
- Der Client fordert ein Ticket Granting Ticket (TGT) vom AS an, dazu sendet er seine ID.
- Der AS sendet daraufhin das TGT, mit seinem geheimen Schlüssel verschlüsselt an den Client.
- Der Client sendet das TGT an den TGS um für einen bestimmten Server den Zugang zu erhalten.
- Der TGS sendet dem Client das Ticket für den Server zurück.
- Der Server empfängt das Ticket und lässt den Client so arbeiten.
Vorteil
Da die Nachrichten 3 und 5, die der Client verschickt mit einem Zeitstempel (Authentikatoren) versehen wurden, ist eine Replay-Attacke nahezu nicht möglich. Man-In-The-Middle-Angriffe sind genauso wenig möglich, da sich der Client gegenüber dem Server und dem Kerberos Server autentifiziert und umgekehrt.
Nachteil/Schwachstellen
Da die Authentikatoren teilweise längere Zeit gültig sind und die Uhren nicht 100%ig synchron laufen, ist unter gewissen umständen eine Replay-Attacke möglich.
Geschichte
- 1988 wurde Kerberos 4 veröffentlicht, alle Versionen davor waren MIT interne Versionen.
- 1993 wurde Kerberos 5 veröffentlicht, hier wurde die Verschlüsselung nicht mehr festgelegt (3DES) sondern kann beliebig sein.