1 / 15

Kerberos

Kerberos. Servicio de autentificación desarrollado en el Massachusetts Institute of Technology (MIT). Perro de tres cabezas y cola de serpiente según mitología griega, guardián de la entrada del Templo de Hades.

moses
Download Presentation

Kerberos

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Kerberos Servicio de autentificación desarrollado en el Massachusetts Institute of Technology (MIT) • Perro de tres cabezas y cola de serpiente según mitología griega, guardián de la entrada del Templo de Hades. • Tres componentes guardarán la puerta: Autentificación, Contabilidad y Auditoría. Las dos últimas cabezas nunca han sido implementadas.

  2. Kerberos: Introducción (1) • Proyecto Athena. MIT 1980. • Basado en el protocolo de clave compartida basado en el protocolo de Needham y Schroeder. • Los usuarios necesitan acceder a servicios remotos. • Existen tres tipos de amenazas: • Un usuario se hace pasar por alguien más. • Un usuario altera la dirección de red de un host. • Usuario usa técnicas de eavesdrop y replay attack.

  3. Kerberos: Introducción (2) • Provee un server (centralizado) de autentificación para autentificar usuarios en servers y servers a usuarios. • Utiliza criptografía convencional. • 2 versiones: 4 y 5. • La versión 4 utiliza DES.

  4. Kerberos v. 4 Notación: • C = cliente • AS = servidor de autentificación • V = servidor • IDc = identificador del usuario en C • IDv = identificador de V • Pc = password del usuario en C • ADc= dirección de red de C • Kv= clave secreta de encripción compartida por AS y V • TS = estampilla de tiempo • || = concatenación

  5. Diálogo de Autentificación simple • C AS: IDc || Pc || IDv • AS  C: Ticket • C  V: IDc || Ticket Ticket = EKv[IDc || Pc || IDv]

  6. Diálogo de Autentificación v. 4 • Problemas: • El tiempo de vida asociado con los tickets. • Si es muy corto: se deberá entrar el password repetidas veces. • Si es muy largo: mayor oportunidad de replay. • La amenaza: • Que el atacante robe el ticket y lo use antes de que expire. • Denial of Service: clock o TGS

  7. Diálogo de Autentificación v. 4 Authentication Service Exhange: Para obtener Ticket-Granting Ticket • C AS: IDc || IDtgs ||TS1 • AS  C: EKc [Kc,tgs|| IDtgs || TS2 || Lifetime2 || Tickettgs] Ticket-Granting Service Echange: Para obtener Service-Granting Ticket (3) C  TGS: IDv ||Tickettgs ||Authenticatorc (4) TGS  C: EKc [Kc,¨v|| IDv || TS4 || Ticketv] Client/Server Authentication Exhange: Para obtener Service (5) C  V: Ticketv || Authenticatorc (6) V  C: EKc,v[TS5 +1]

  8. Kerberos: Vista General Kerberos Pedido de ticket-granting ticket AS DB Ticket +session key Pedido de service-granting ticket TGS Pedido de servicio Ticket +session key

  9. Pedido de servicio en otro Realm

  10. Diferencias entre las versiones 4 y 5 • Dependencia del sistema de encripción (V.4 DES) • Dependencia del protocolo de red • Orden de los bytes en el mensaje • Tiempo de vida de los tickets • Forwarding de autentificación • Autentificación interrealm

  11. Encripción en Kerberos

  12. Modo PCBC

  13. Kerberos en la Práctica • Dos versiones de Kerberos: • 4 : un solo realm • 5 : permite inter-realm • Kerberos v5 es un Internet standard • RFC1510, utilizado por muchas aplicaciones • Para usar Kerberos: • Necesita tener un KDC en su red • Necesita aplicaciones kerberizadas • Exportación fuera de US!

  14. Autentificación en Windows 2000 • MS adopta y extiende kerberos para su Win2K. • Extensión: criptografía pública para proteger los mensajes cliente/AS (en lugar de passwords que protegen claves). • Esto permite smartcards. • Otra extensión: incluye la transmisión de privilegios de acceso (data auth field (en gral. vacío)). • Extensión no convencional hace que no sea compatible con aplicaciones no MS. • Raro?

  15. Kerberos en la WWW • http://www.google.com (buscar kerberos) • Bryant, W. Designing an Authentication System: A Dialogue in Four Scenes. http://web.mit.edu/kerberos/www/dialogue.html • Kohl, J.; Neuman, B. “The Evolution of the Kerberos Authentication Service” http://web.mit.edu/kerberos/www/papers.html • http://www.isi.edu/gost/info/kerberos/ • Capítulo 4 Stallings.

More Related