Шта је Керберос?

Керберос је протокол за проверу идентитета рачунарске мреже. Дизајниран је на МИТ-у како би омогућио сигурне мрежне ресурсе. У овом чланку ћемо видети дискут Керберос концепта и његово функционисање уз помоћ примера.

Како делује Керберос?

Керберос ради у три корака. Сада разговарајмо та три корака један по један.

Корак 1:

Пријавите се

Клијент уноси своје име на произвољној радној станици. Затим радна станица шаље име серверу за аутентификацију у обичном текстуалном формату.
Као одговор, сервер за потврђивање идентитета извршава неку радњу. Прво, креира пакет корисничког имена, тј. Клијент и генерише сесијски кључ. Он шифрира овај пакет симетричним кључем који сервер за потврду идентитета дели са ТГС-ом. Резултат овог процеса назива се улазница за издавање тикета (ТГТ). Тада сервер за аутентификацију комбинује и ТГТ и кључ сесије и шифрира их заједно помоћу симетричног кључа који је изведен из лозинке клијента.

Напомена: ТГТ се може отворити само коришћењем ТГС-а, а коначни излаз може бити отворен само од стране клијента.

Након примања ове поруке, корисничка радна станица тражи лозинку. Када корисник или клијент унесе своју лозинку, радна станица генерише симетрични кључ изведен из лозинке сервера за потврду идентитета. Овај кључ користи се за издвајање сесијског кључа и ТГТ. Након тога радна станица уништава лозинку клијента у меморији да би се спречио напад.
Напомена: Корисници не могу отворити улазницу за одобравање улазница.

Корак 2:

Добијање услуге за одобравање карте.

Претпоставимо да након успешне пријаве корисник жели да комуницира са другим корисницима путем сервера поште. За то клијент обавештава своју радну станицу да жели да контактира другог корисника Кс. Дакле, клијенту је потребна карта за комуникацију са Кс. У овом тренутку, радна станица клијента креира поруку намењену серверу за одобравање карата, која садржи доле наведене ставке -
• улазница за одобравање улазница
• ИД Кс за чије услуге клијенти занимају.
• Тренутна временска марка треба да се шифрује истим сесијским кључем.

Давање улазница, улазница се шифрира само тајним кључем сервера за одобравање карата, стога само сервер за издавање улазница може отворити карту за издавање улазница. Због овог сервера за одобравање карата верује да порука долази од заиста клијента. Сертификат за потврду сесије је шифрирао улазницу и кључ сесије.

Сервер за потврду идентитета га шифрира помоћу тајног кључа који је изведен из лозинке клијента. Стога једини клијент може отворити пакет и преузети карту за издавање карте
Једном када је сервер за давање карата задовољан детаљима које је клијент унео, карта за издавање карата креира кључ сесије КАБ за клијента да изврши сигурну комуникацију са Кс. Сервер за давање тикета шаље га два пута клијенту - први пут га шаље када је комбинован са Кс-овим ИД-ом и шифрованим кључем сесије, други пут се шаље када се комбинује са ИД-ом клијента и шифрује се са Кс-овим тајним кључем КБ.

У овом случају, нападач може покушати добити прву поруку коју му је послао клијент и покушати одговор на одговор. Међутим, ово неће успети, јер порука клијента садржи шифрирану временску ознаку и нападач не може заменити временски жиг јер нема кључ за сесију.

3. корак:

Кориснички контакти Кс за приступ серверу.

Клијент шаље КАБ у Кс да креира сесију са Кс. За сигурну комуникацију, клијент прослеђује КАБ шифриран Кс-овим тајним кључем у Кс. Кс може приступити КАБ-у. Да би се заштитио од напада одговора, клијент шаље временску ознаку Кс-у који је шифрован са КАБ-ом.

Кс користи свој тајни кључ за добијање информација, од њих користи КАБ за дешифровање вредности печата. Тада Кс додаје 1 у вредност временске ознаке и шифрира је помоћу КАБ-а и шаље га клијенту. Клијент затим отвара пакет и проверава печат који је повећао Кс. Током овог поступка, клијент осигурава да је Кс примио исти КАБ који му је послао клијент.

Сада клијент и Кс могу међусобно сигурно да комуницирају. Обоје користе заједнички тајни кључ КАБ, када шифрују податке у тренутку слања и дешифрују поруку користећи исти кључ. Претпоставимо да клијент можда жели да комуницира са другим сервером И, у том случају клијент је само н3д да би добио други тајни кључ са сервера за давање тикета. Након што добије тајни кључ, може комуницирати с И слично као што смо разговарали у случају Кс. Ако клијент може поново комуницирати са Кс, може користити исти претходни кључ, нема потребе да генерише карту сваки пут. Само по први пут мора добити карту.

Предности и недостаци Кербероса

Испод су предности и недостаци:

Предности Кербероса

  1. У Керберосу, клијенти и услуге се међусобно потврђују.
  2. Подржавају га различити оперативни системи.
  3. Карте у Керберос имају ограничен период. Такође, ако се карта украде, тешко је поново искористити карту због снажних потреба за аутентификацијом.
  4. Лозинке се никада не шаљу преко мреже некодирано.
  5. У Керберосу се деле тајни кључеви који су ефикаснији од дељења јавних кључева.

Недостаци Кербероса

  1. Рањива је на слабе или понављане лозинке.
  2. Омогућава само аутентификацију за услуге и клијенте.

Закључак

У овом чланку смо видели шта је Керберос, како делује заједно са својим предностима и недостацима. Надам се да ће вам овај чланак бити од помоћи.

Препоручени чланци

Ово је водич за Керберос. Овде смо разговарали о томе шта је Керберос, како функционише Керберос и његове предности и недостаци. Можете и да прођете кроз друге наше предложене чланке да бисте сазнали више -

  1. Врсте веб хостинга
  2. Шта је веб апликација?
  3. Шта је Звездана шема?
  4. Низи у Јава програмирању

Категорија:

Развој софтвера