El Kerberos es el nombre de un protocolo de la autentificación de la red de ordenadores, que permite a individuos que comunican sobre una red non-secure para probar su identidad a una otra de una manera segura. Es también una habitación del software libre publicado por el Instituto de Tecnología de Massachusetts (MIT) ese los instrumentos este protocolo. Sus diseñadores apuntaron sobre todo a un modelo del servidor de cliente, y proporciona el &mdash de la autentificación mutua; el usuario y el servidor verifican identidad de cada uno. Los mensajes de gestión de protocolo del Kerberos se protegen contra el que escucha detras de las puertas y la respuesta ataca

Los emplear del Kerberos la criptografía dominante simétrica y requieren un de tercera persona confiado en . Las extensiones al Kerberos pueden prever el uso de la criptografía de la Público-llave durante ciertas fases de autentificación.

Historia y desarrollo

El MIT desarrolló el Kerberos para proteger a servicios en red proporcionados por el proyecto Athena . El protocolo fue nombrado después del Kerberos mitológico griego (o Cerberus ) del carácter, sabido en la mitología griega como siendo el perro de protector tres-dirigido monstruoso del Hades . Varias versiones del protocolo existen; versiones 1– 3 ocurrieron solamente interno en el MIT.

Steve Miller y Clifford Neuman, los diseñadores primarios de la versión 4 del Kerberos, publicados esa versión a el final de los '80, aunque la hubieran apuntado sobre todo para el proyecto Athena .

Versión 5, diseñada por Juan Kohl y Clifford Neuman, aparecido como RFC 1510 de 1993 (hecho obsoleto por RFC 4120 de 2005), con la intención de superar las limitaciones y los problemas de seguridad de la versión 4.

el MIT hace una puesta en práctica del Kerberos libremente disponible, bajo permisos de los derechos reservados similares a ésos usados para DEB .

Autoridades en el Kerberos clasificado de Estados Unidos como municiones y prohibido su exportación porque utilizó el algoritmo de encripción del DES (con 56 llaves del pedacito). una puesta en práctica del Kerberos 4, KTH-KRB desarrollado en el Instituto de Tecnología real en el Suecia, hizo el sistema disponible fuera de los E. cambió sus regulaciones de la exportación de la criptografía ( circa 2000). La puesta en práctica sueca fue basada en una versión llamada los Ebone. los Ebone fueron basados en los huesos exportados del MIT lanzan (pelado de las funciones de la encripción y de las llamadas a ellas) basado en el remiendo-nivel 9. del Kerberos 4 de la versión. Este Kerberos algo limitado fue llamado el lanzamiento de los Ebone. Una puesta en práctica de la versión 5 del Kerberos, Heimdal, fue lanzada por básicamente el mismo grupo de personas que lanzaba KTH-KRB.

Windows 2000, Windows Xp, servidor 2003 de Windows, Windows Vista y Kerberos del uso del servidor 2008 de Windows como su método de autentificación del defecto. Algunas adiciones de Microsoft a la habitación del Kerberos de protocolos se documentan en " del RFC 3244; Contraseña 2000 del cambio del Kerberos de Microsoft Windows y contraseña Protocols" del sistema;. El RFC 4757 documenta el uso de Microsoft de la cifra RC4 . Mientras que Microsoft utiliza el protocolo del Kerberos, no utiliza el software del MIT. El mac de Apple OS x también utiliza el Kerberos en sus versiones del cliente y del servidor.

El en fecha 2005, el grupo de trabajo del Kerberos del IETF está poniendo al día las especificaciones. Las actualizaciones recientes incluyen:
" Encripción y suma de comprobación Specifications" (RFC 3961),
" Encripción estándar de la encripción avanzada (AES) para Kerberos 5" (RFC 3962),
Una nueva edición del " de la especificación del Kerberos V5; El " del servicio de autentificación de la red del Kerberos (V5); (RFC 4120). Este RFC 1510 de los obsoletes de la versión, aclara los aspectos del protocolo y del uso previsto en una explicación más detallada y más clara,
Una nueva edición del " de la especificación GSS-API ; El mecanismo genérico del Application Program Interface del servicio de seguridad de la versión 5 del Kerberos (GSS-API): Versión 2.

Descripción

Aplicaciones del Kerberos como su base el protocolo de Needham-Schroeder . Hace uso de un confiaba en de tercera persona, llamado un el centro de distribución dominante (KDC), que consiste en dos porciones lógicamente separadas: un servidor de la autentificación (AS) y un servidor de concesión del boleto (TGS). El Kerberos trabaja en base de " tickets" qué servicio para probar la identidad de usuarios.

El KDC mantiene una base de datos de llaves secretas; cada entidad en el &mdash de la red; si un cliente o un &mdash del servidor; comparte una llave secreta sabida solamente a sí mismo y al KDC. El conocimiento de esta llave sirve probar la identidad de una entidad. Para la comunicación entre dos entidades, el KDC genera una llave de sesión que ella pueda utilizar para asegurar sus interacciones.

Aplicaciones

El software siguiente puede utilizar el Kerberos para la autentificación:
servidor de VMware ESX
AFS
Apache 1 (con el módulo del mod_auth_kerb)
Apache 2 (usar libapache-MOD-auth-bordillo)
Ranuradores e interruptores de Cisco que funcionan con IOS
Sistema de ficheros del Coda
Eudora
Autentificación integrada de Windows el protocolo de autentificación del defecto del Windows 2000 y más adelante
IBM AIX - servicio de autentificación nombrado producto de la red de IBM
Mac OS x
Aplicaciones de Microsoft Windows (2000 y más adelante) como protocolo de autentificación del defecto
Mora, cliente de email desarrollado por Cyrusoft, Inc.
NFS (desde NFSv3)
OpenSSH (con Kerberos v5 o más alto)
Oracle RDBMS
PAM (con el módulo pam_krb5)
Comando de copia alejado del RCP en linux y unix
Samba desde v3.x
El PEGA (desde SOCKS5)
Netatalk
GSS-API
Las puestas en práctica del sistema de la ventana X
Indirectamente, cualquie software que permita el uso SASL para la autentificación, tal como OpenLDAP, servidor IMAP4 y POP3 del palomar, mail server del posfijo
La habitación de software del Kerberos también viene con los clientes y los servidores Kerberos-permitidos para el rsh, ftp, y telnet
Cualquier software basado Java (puesto que 1.2) usar JAAS/JGSS puede utilizar el Kerberos para la seguridad, considera http://java.com/javase/6/docs/technotes/guides/security/jgss/single-signon.html

Protocolo

La seguridad del protocolo confía pesadamente en los participantes que mantienen tiempo libremente sincronizado y en aserciones de breve duración de los boletos llamados autenticidad del Kerberos del .

Qué sigue es una descripción simplificada del protocolo. Las abreviaturas siguientes serán utilizadas:
COMO = servidor de la autentificación
TGS = servidor de concesión del boleto
SS = servidor del servicio.
TGT = boleto de concesión del boleto

Breve, el cliente authentica a COMO usar un secreto compartido de largo plazo del y recibe un del boleto de COMO. El cliente puede utilizar más adelante este boleto para conseguir los boletos adicionales para los SS sin el recurso a usar el secreto compartido. Estos boletos se pueden utilizar para probar la autentificación a los SS.

Más detalladamente:

El usuario Cliente-basó pasos de la conexión: El usuario del

A incorpora un username y una contraseña en el cliente .

  • El cliente realiza una función unidireccional en la contraseña incorporada, y ésta se convierte en la llave secreta del cliente.

    Pasos de la autentificación de cliente:

    el cliente envía un mensaje del texto claro a COMO pedir servicios a nombre del usuario. Mensaje de la muestra: " El usuario XYZ quisiera pedir el services". Nota: Ni la llave secreta ni la contraseña se envía a COMO.

  • COMO comprueba ver si el cliente está en su base de datos. Si es, COMO envía detrás los dos mensajes siguientes al cliente:
  • * Mensaje A: Llave de sesión del Client/TGS cifrada usar la llave secreta del usuario.
  • * Mensaje B: El boleto de Boleto-Concesión (que incluye la identificación del cliente, dirección de red del cliente, período de la validez del boleto, y la llave de sesión del client/TGS ) del cifró usar la llave secreta del TGS.
  • Una vez que el cliente recibe los mensajes A y B, descifra el mensaje A para obtener la llave de sesión del client/TGS . Esta llave de sesión se utiliza para otras comunicaciones con TGS. (Nota: El cliente no puede descifrar el mensaje B, pues se cifra usar la llave secreta de TGS.) A este punto, el cliente tiene bastante información para authenticarse al TGS.

    Pasos de la autorización del servicio del cliente:

    al pedir servicios, el cliente envía los dos mensajes siguientes al TGS:

  • * Mensaje C: Integrado por el boleto de Boleto-Concesión mensaje B y la identificación del servicio pedido.
  • * Mensaje D: Authenticator (que se compone de la identificación del cliente y del reloj fechador), cifrado usar la llave de sesión del client/TGS .
  • Sobre la recepción de los mensajes C y D, el TGS recupera el mensaje B fuera del mensaje C. Descifra el mensaje B usar la llave del secreto de TGS. Esto le da el " key" de la sesión de client/TGS;. Usar esta llave, el TGS descifra el mensaje D (Authenticator) y envía los dos mensajes siguientes al cliente:
  • * Mensaje E: el boleto (que del Cliente-a-servidor del incluye la identificación del cliente, la dirección de red del cliente, el período de la validez y el cliente del /la llave de sesión del servidor ) cifró usar la llave secreta del servicio.
  • * Mensaje F: Llave de sesión del cliente/del servidor del cifrada con la llave de sesión del client/TGS .

    Pasos de la petición del servicio del cliente:

    sobre la recepción de los mensajes E y F de TGS, el cliente tiene bastante información para authenticarse a los SS. El cliente conecta con los SS y envía los dos mensajes siguientes:

  • * Mensaje E del paso anterior (el boleto del cliente-a-servidor del, cifrado usar la llave secreta del servicio).
  • * Mensaje G: un nuevo Authenticator, que incluye la identificación del cliente, reloj fechador y se cifra usar la llave de sesión del cliente/del servidor del .
  • Los SS descifran el boleto usar su propia llave secreta y envían el mensaje siguiente al cliente para confirmar su identidad y buena voluntad verdaderas de servir al cliente:
  • * Mensaje H: el reloj fechador encontró en el Authenticator reciente del cliente más 1, cifrado usar la llave de sesión del cliente/del servidor del .
  • El cliente descifra la confirmación usar la llave de sesión del cliente/del servidor del y comprueba si el reloj fechador está puesto al día correctamente. Si es así entonces el cliente puede confiar en el servidor y puede comenzar a publicar peticiones del servicio al servidor.
  • El servidor proporciona los servicios pedidos al cliente.

    Desventajas del Kerberos

    Monopunto de falta: Requiere disponibilidad continua de un servidor central. Cuando el servidor del Kerberos está abajo, nadie puede abrir una sesión. Esto puede ser atenuada usando los servidores múltiples del Kerberos.
    El Kerberos requiere los relojes de los anfitriones implicados ser sincronizado. Los boletos tienen período de la disponibilidad del tiempo y, si el reloj del anfitrión no se sincroniza con el reloj del servidor del Kerberos, la autentificación fallará. La configuración de defecto requiere que los tiempos de reloj no sean no más de 10 minutos aparte. En la práctica, emplean a los demonios del NTP generalmente para mantener los relojes del anfitrión sincronizados.
    El protocolo de la administración no se estandardiza, y diferencia entre las puestas en práctica de servidor. Los cambios de la contraseña se describen en RFC 3244.

    • Ver también


    solo sign-on del


    Gerencia de la identidad
    SPNEGO
    S/Key
    Protocolo alejado seguro (SRP) de la contraseña
    Application Program Interface genérico (GSS-API) de los servicios de seguridad

    .

  • Zenithic
  • Seabound
    Random links:Exeland, Wisconsin | Pudong | Steve Tesich | Aer Lualdi | Ben Reitman

    • © 2007-2008 enciclopediaespana.com; article text available under the terms of GFDL, from en.wikipedia.org
    ="http://pagead2.googlesyndication.com/pagead/show_ads.js">