Você está na página 1de 20

Kerberos

Lucas C. Ferreira

Jun - 1997

Roteiro
Introduo/Apresentao Modelo Modo de funcionamento:
tipos de credenciais Mensagens trocadas Requisies

Tipos de comunicao Limitaes


Lucas C. Ferreira - 1997 2

Introduo
Tipos de autenticao em redes:
confiar em cada mquina:
mquina autentica usurio independentemente autenticar cada mquina cada mquina deve se autenticar e depois indicar
qual usurio fez a requisio

autenticar cada usurio


usurio deve se autenticar a cada requisio de
servio
Lucas C. Ferreira - 1997 3

Apresentao

Sistema para autenticao Uso transparente Desenvolvido no MIT Arbitrador confivel Criptografia simtrica Servidor Kerberos conhece todas as chaves Possibilidade de usar servidores escravos
Lucas C. Ferreira - 1997 4

Modelo
Principal (cliente do Kerberos):
usurio ou aplicao servidor

Kerberos mantm BD de chaves


chaves derivadas de senhas permite convencer principals acerca da
identidade de outro principal

Kerberos gera chave de seo


Lucas C. Ferreira - 1997 5

Funcionamento
Kerberos TGS

2 1

3 4

Cliente 5
Lucas C. Ferreira - 1997

Servio

Funcionamento - 2
1 - Requisio do ticket granting ticket 2 - Ticket granting ticket 3 - Requisio de ticket para um servio 4 - Ticket para o servio 5 - Requisio de servio

Lucas C. Ferreira - 1997

Abreviaes
c cliente s servio a endereo v tempo de validade t timestamp Kx chave secreta de x Kx,y chave de seo para x e y {m}Kx m criptografado usando Kx Tx,y ticket para que x acesse os servios de y A x,y autenticador de x para y

Lucas C. Ferreira - 1997

Credenciais - 1
Tickets
Tc,s = s, {c, a, v, Kc,s}Ks

um para cada par cliente-servio pode ser usado vrias vezes

Lucas C. Ferreira - 1997

Credenciais - 2
Autenticadores:
Ac,s = {c, t, key}Kc,s

um para cada requisio key opcional usado apenas uma vez prova que cliente conhece Kc,s timestamp previne ataques por repetio
Lucas C. Ferreira - 1997 10

Tipos de mensagem
1 - cliente Kerberos:
c, tgs

2 - Kerberos cliente:
{kc,tgs}Kc , {Tc,tgs}Ktgs

3 - Cliente TGS:
{Ac,tgs}Kc,tgs , {Tc,tgs}Ktgs , s

4 - TGS cliente:
{Kc,s}Kc,tgs , {Tc,s}Ks

5 - cliente servio:
{Ac,s}Kc,s , {Tc,s}Ks
Lucas C. Ferreira - 1997 11

Conseguindo o ticket inicial - 1


senha prova a identidade senha no passa pela rede
Passo 1:

cliente manda pedido contendo:


nome do cliente tgs a ser usado

Lucas C. Ferreira - 1997

12

Conseguindo o ticket inicial -2


Passo 2:

Kerberos gera chave de seo e TGT Kerberos envia:


chave de seo criptografada TGT

Passo 3:

cliente obtm chave de seo e armazena TGT cliente apaga senha


Lucas C. Ferreira - 1997 13

Obtendo tickets para servios - 1


Passo 1:

cliente manda requisicao para o TGS contendo:


autenticador, TGT e nome do servio

Passo 2:

TGS decifra TGT e autenticador TGS compara ticket e autenticador TGS verifica timestamp TGS armazena timestamp para evitar repetio
Lucas C. Ferreira - 1997 14

Obtendo tickets para servios - 2


Passo 3:

TGS gera chave de seo TGS gera ticket requisitado TGS envia dados para o cliente
Passo 4:

cliente obtm chave de seo cliente armazena ticket


Lucas C. Ferreira - 1997 15

Requisitando um servio - 1
Passo 1:

cliente gera autenticador cliente cifra autenticador


Passo 2:

servidor decifra dados servidor verifica dados

Lucas C. Ferreira - 1997

16

Requisitando um servio - 2
Em caso de autenticao mtua: Passo 3:

servidor devolve (timestamp + 1) cifrado com a


chave de seo

Lucas C. Ferreira - 1997

17

Tipos de comunicao
Normal:
autenticao no incio do processo

Safe messages
autenticao a cada troca de mensagens

Private messages
autenticao a cada mensagem mensagens criptografadas
Lucas C. Ferreira - 1997 18

Limitaes
No adequado para autenticao host-to
host Apenas um usurio por estao Chaves ficam no /tmp Relgios devem estar em sincronismo Ataques por adivinhao de senhas Integridade dos programas usados
Lucas C. Ferreira - 1997 19

Bibliografia
Steiner, J. G., Neuman, C., Schiller, J. I. Kerberos: An Authentication Service for Open Network Systems, Usenix Conference Proceedings, 1988 Bellovin, S. M., Merritt, M. Limitations of the Kerberos Authentication System, Usenix, Winter 1991 Ferreira, L. C., Carvalho, M. L. B. Autenticao de Grupos em Redes Unix, Relatrio Tcnico RT.021/96, DCC-UFMG Schneier, B. Applied Cryptography: Protocols, Algorithms and Source Code in C, John Wiley, 1995

Lucas C. Ferreira - 1997

20

Você também pode gostar