Cryptoshop Help! Cryptoshop Contact! Cryptoshop Memo! Cryptoshop Shopping Cart! Place your order! Change to german site!
+ Products
· · · · · · · · · · · · · · · · · · · · · · ·
+ Solution
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Security Targets  
  Security Governance  
  Cryptography  
  Technology  
  Smart Card  
  Smart Card Terminals  
  Standards  
  Protocols  
  E-Mail Standards  
  File Encryption  
  Smart Card applications  
  Authentication  
  PKI  
  How to  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 

SSL - TLS  |  Remote Desktop Protocol

Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding!

Kerberos
 
INFO & KNOWLEGDE
 
Das Authentifizierungs- und Schlüsselverteilsystem Kerberos basiert auf den Protokollen von Needham und Schroeder und ist am MIT (Massachusetts Institute of Technology) entwickelt worden. Die aktuelle Version Kerberos V5 ist auch als RFC 1510 standardisiert.

Dreh- und Angelpunkt bei Kerberos ist das Key Distribution Center (KDC) welches das Authentication Service und das Ticket Granting Service betreibt und als Trusted Third Party fungiert.
Kerberos

Kerberos http://web.mit.edu/kerberos/


Kerberos Terminologie
Ticket: serverbezogener Berechtigungsnachweis, den ein Client benutzt um sich bei einem Server zu authentisieren.
Ticket Granting Ticket: besonderes Ticket vom Authentication Service ausgestellt um das Ticket Granting Service nutzen zu können.
Principal: eine Einheit, der ein Ticket zugewiesen werden kann, was sowohl ein Benutzer als auch ein Dienst sein kann.
Authenticator: ein mit Session Key verschlüsselter Zeitstempel, um Replay-Attacken zu verhindern und den Besitz des Session Keys nachzuweisen.





Funktionsprinzip
Das Authentication Service kennt die Master Secrets (Schlüssel) der einzelnen Principals. Bei der Authentifizierung bekommt der Principal den Session Key für die Kommunikation mit dem Ticket Granting Service (TGS), mit diesem Master Secret verschlüsselt, übermittelt. Bei Passwort basiertem Kerberos wird dieses Secret aus dem Passwort abgeleitet.

Gleichzeitig erhält man ein Ticket Granting Ticket (TGT) für die Nutzung des Ticket Granting Service - dieses Ticket beinhaltet ebenfalls diesen Session Key, das Ticket ist aber mit dem Master Secret des Ticket Granting Service verschlüsselt.

Für die Kommunikation mit dem Ticket Granting Service übermittelt der Principal ebendieses TGT und einen Authenticator (Session Key verschlüsselter Zeitstempel). Das Ticket Granting Service kann das TGT mit seinem eigenen Master Secret entschlüsseln und mit dem erhaltenen Session Key den Zeitstempel prüfen - damit erkennt das TGS das der Principal vom Authentication Service erfolgreich authentifiziert worden ist.
Will Principal Alice mit Principal Bob authentifiziert und vertraulich kommunizieren, fordert Sie vom TGS ein entsprechendes Ticket an. Das TGS schickt an Alice einen Session Key für die Kommunikation mit Bob, und ein Ticket, das mit dem Master Secret von Bob verschlüsselt ist, das ebenso diesen Session Key beinhaltet.

Für die Kommunikation mit Bob übermittelt Alice ebendieses Ticket an Bob und einen Authenticator (Session Key verschlüsselter Zeitstempel). Bob kann dieses Ticket mit seinem eigenen Master Secret entschlüsseln und mit dem erhaltenen Session Key den Zeitstempel prüfen - damit erkennt Bob, dass Alice vom Authentication Service erfolgreich authentifiziert worden ist.

PKinit
In den Anfangszeiten von Kerberos war alles auf symmetrischer Verschlüsselung aufgebaut. Erst später wurde Kerberos um asymmetrische Kryptographie, vor allem bei der initialen Authentisierung, erweitert. Mit Protokollerweiterungen namens PKinit wurde die Verwendung von Zertifikaten in Kerberos integriert. Eine weitere Erweiterung existiert mit PKCross für die Cross-Realm Authentifizierung mittels Zertifikaten.

Bei PKinit wird ein signierter Authenticator vom Kerberos Client (Principal) zusammen mit seinem Zertifikatsdaten an das Authentication Service übermittelt. Nach erfolgreicher Verifizierung antwortet das Authentication Service in üblicher Weise, die Verschlüsselung der Antwort unterscheidet sich aber etwas. Bei der Verwendung von Diffie Hellman wird ein ephemeral - ephemeral Diffie Hellman Schlüssel verwendet, ansonsten wird ein zufällig generierter Schlüssel verwendet, der mit dem öffentlichen Schlüssel des Principal verschlüsselt, und mit dem privaten Schlüssel des Authentication Service, bzw. KDC signiert ist.

Linktipps
Kerberos am MIT
Kerberos FAQ
Kerberos IETF Working Group
Draft PKinit für Kerberos



Smart Card Logon in W2K+


PKI


Back to previous page!Top of page!To the startpage of Cryptoshop.com!
  Smart Card Logon in W2K+  
  PKI  
 
  Challenge Response with PKI  
  Symmetric  
  Asymmetric  
  Key Management  
  Authentication  
 
Legal notice Terms and Condtitions Consumer notice Privacy Newsletter Copyright © 2004 CRYPTAS. All rights reserved