Kerberos

Kerberos ist ein vom Massachusetts Institute of Technology (MIT) entwickelter Authentifizierungsmechanismus, der für das MIT-Projekt Athena entwickelt wurde. Es handelt sich um ein Verschlüsselungsverfahren, das zuerst auf symmetrischer Verschlüsselung basierte, später für die anfängliche Authentifizierung auch um asymmetrische Verschlüsselung erweitert wurde. Neben der Verschlüsselung von geheimen Daten verhindert Kerberos das Abhören oder Verfälschen des Schlüssels oder der Daten, wozu die Informationen mit dem DES-Algorithmus codiert werden.


Kerberos hat sich als Standardprotokoll für Single-Sign-On (SSO) in Unix- und Windows-Netzwerken etabliert. Dabei authentifiziert sich ein Benutzer einmal beim zentralen Key Distribution Center (KDC), die weitere Authentifizierung gegenüber anderen Diensten erfolgt automatisch ohne Interaktion des Anwenders.

Kerberos-Architektur

Kerberos-Architektur

Die Keberos-Architektur kennt das Key Distribution Center (KDC), das die Schlüsselgenerierung und -verwaltung für eine Kerberos-Session übernimmt, und das aus dem Authentication Server (AS) und dem Ticket Granting Server (TGS) besteht.

Kerberos-Terminologie

Kerberos-Terminologie

Der Kerberos-Client startet die Login-Anfrage an den Authentication Server, der aus dem Passwort des Benutzers den Schlüssel berechnet und diesen zusammen mit dem Session-Key als Ticket Granting Ticket (TGT) an den Kerberos-Client sendet. Für die Benutzung eines Kerberos-Dienstes wie dem POP-Protokoll benötigt er ein Service Ticket (ST), das er vom Ticket Granting Server auf Anfrage erhält. Nach Erhalt des Ticket Granting Ticket und des Session Key, die der Kerberos-Client an den Kerberos-Server sendet, wird der Client nach der Authentifizierung mit dem Server für eine Session verbunden. Das Passwort konvertiert der Kerberos-Client zu einem DES-Schlüssel, mit dem er das Ticket Granting Ticket entschlüsselt.

Kerberos existiert in mehreren Versionen. Version 4 ist in RFC 1411 als Telnet-Option beschrieben. Mit dieser Option wird beim Verbindungsaufbau die Authentifikationsinformation zwischen einem Telnet-Client und einem Telnet-Server übermittelt. Bei der Version 5, die in RFC 1510 beschrieben ist, handelt es sich um ein Keberos Network Authentication System.

Neben dem MIT-Kerberos gibt es freie Implementierungen. Außerdem wird es als Teil von Active Directory Services von Microsoft eingesetzt.

http://web.mit.edu/kerberos

Informationen zum Artikel
Deutsch: Kerberos
Englisch: Kerberos
Veröffentlicht: 18.01.2012
Wörter: 330
Tags: #Sicherheitsprotokolle
Links: ADS (active directory service), Asymmetrische Verschlüsselung, Authentifikations-Server, Authentifizierung, Client