Hvad er fordelene ved Kerberos?

Indlæg af Hanne Mølgaard Plasc

  Kerberos er en netværksgodkendelsesprotokol udviklet hos Massachusetts Institute of Technology (MIT), der bruger en klient-server-model til at give gensidig identifikation. Serveren og brugeren skal både verificere deres identitet, med beskyttelse mod afspilningsangreb og aflytning. Protokollen giver mulighed for public key-kryptering til godkendelse og er afhængig af en betroet tredjepart. Protokollen er opkaldt efter Kerboros af den græske mytologi, Gades Hades trehovedede monsterhund.

Adgangskodebeskyttelse

Kerberos-protokolens primære innovation er, at brugeradgangskoder ikke skal sendes via et netværk , enten i almindelig tekst eller under kryptering. Protokollen er i stedet afhængig af hemmelige nøgler, der transmitteres i en kryptering, der ikke kan opfanges. Hvis netværkssikkerheden er kompromitteret, er det stadig ikke muligt for overtrædelser at fortolke indholdet af netværkskommunikation Brugerautentificering og måltjenester forbliver sikre.

Client / Server Authentication

Inden for Kerberos skal klienten og serveren hver godkende til den anden. Kommunikationen brydes ned, hvis hver side ikke kan autentificere modparten.

Klient / serverbilletcertificering

Ud over den gensidige godkendelse har billetterne passeret fra server til klient og omvendt, timestamped og inkluderer livstidsinformation. Varigheden af ​​godkendelse er således begrænset. Varigheden af ​​en brugerimplementering kan modificeres ved design, men grænsen er generelt lav nok til at sikre, at afspilningsangreb (og brute force attacks) ikke er gennemførlige. Ved at sikre, at levetiden er mindre end nogen teoretisk mulig krypteringsbrydningstid, forbliver kommunikationen helt sikker.

Holdbarhed og genbrugelighed

Godkendelser ved hjælp af Kerberos-protokollen er holdbare og genanvendelige. Når en bruger har godkendt brug af protokollen, kan godkendelsen genbruges for billetets levetid. Det er med andre ord muligt at forblive autentificeret via Kerberos-protokollen uden at skulle indtaste et brugernavn og kodeord på tværs af netværket (indtil godkendelsen udløber).

Generering af nøglesøgning

Fordi Kerberos-modellen bruger en krypteringsmetode med to nøgler, den service sessionsnøgle, der resulterer i, giver også en særlig forbindelse mellem klienten og tjenesten, som er helt sikker. Denne særlige 'hemmelige' forbindelse kan bruges som en krypteringsnøgle til klient / service samtale, som giver ekstra sikkerhed til Kerberos-baserede kommunikationer.

Internetstandarder

Kerberos-protokollen er helt afhængig af åbne internetstandarder og er ikke begrænset til proprietære koder eller godkendelsesmekanismer. Dette giver udviklere mulighed for at stole på et hvilket som helst antal gratis og åbne reference implementeringer via offentlige midler. Desuden kan billige kommercielle implementeringer købes eller udvikles uafhængigt.

Ubiquity

Måske er Kerberos største styrke 'styrke i tal'. Fordi Kerberos er blevet så udbredt og betroet af topudviklere, sikkerhedseksperter og kryptologer, vil eventuelle nye svagheder eller brud sandsynligvis blive identificeret og overvindes straks. I modsætning til et usædvanligt proprietært system er der nok investering i Kerberos, at dets sikkerhed har nået en kritisk masse, der ville være næsten umuligt at overvinde.