Kerberos (Protokoll)

Aus Byte-Welt Wiki
Zur Navigation springenZur Suche springen

Kerberos ist ein Sicherheitsprotokoll, das vom MIT entwickelt wurde. Es dient der Autorisierung von Benutzern auf einem Server. Eine zentrale Rolle bildet das Kerberos-Distribution-Center, dieses stellt den Authentication Service (AS) und den Ticket Granting Server (TGS) zur Verfügung.

Ablauf

  1. Der Client fordert ein Ticket Granting Ticket (TGT) vom AS an, dazu sendet er seine ID.
  2. Der AS sendet daraufhin das TGT, mit seinem geheimen Schlüssel verschlüsselt an den Client.
  3. Der Client sendet das TGT an den TGS um für einen bestimmten Server den Zugang zu erhalten.
  4. Der TGS sendet dem Client das Ticket für den Server zurück.
  5. Der Server empfängt das Ticket und lässt den Client so arbeiten.


Vorteil

Da die Nachrichten 3 und 5, die der Client verschickt mit einem Zeitstempel (Authentikatoren) versehen wurden, ist eine Replay-Attacke nahezu nicht möglich. Man-In-The-Middle-Angriffe sind genauso wenig möglich, da sich der Client gegenüber dem Server und dem Kerberos Server autentifiziert und umgekehrt.

Nachteil/Schwachstellen

Da die Authentikatoren teilweise längere Zeit gültig sind und die Uhren nicht 100%ig synchron laufen, ist unter gewissen umständen eine Replay-Attacke möglich.

Geschichte

  • 1988 wurde Kerberos 4 veröffentlicht, alle Versionen davor waren MIT interne Versionen.
  • 1993 wurde Kerberos 5 veröffentlicht, hier wurde die Verschlüsselung nicht mehr festgelegt (3DES) sondern kann beliebig sein.