Was ist das Kerberos-Protokoll?
Kerberos ist ein Authentifizierungsprotokoll für Computernetzwerke, das auf der Grundlage von Tickets arbeitet, um Knoten, die über ein unsicheres Netzwerk kommunizieren, gegenseitig ihre Identität auf sichere Weise nachzuweisen.
Kerberos baut auf Kryptografie mit symmetrischen Schlüsseln auf und erfordert einen vertrauenswürdigen Drittanbieter und kann optional in bestimmten Phasen der Authentifizierung Kryptografie mit öffentlichem Schlüssel verwenden. Kerberos verwendet standardmäßig den UDP-Port 88.
Kerberos Version 4 ist ein Authentifizierungssystem, das die DES-Verschlüsselung verwendet, um einen Benutzer beim Anmelden am System zu authentifizieren. Die Authentifizierung basiert auf der Fähigkeit des sendenden Systems, den gemeinsamen Schlüssel zum Verschlüsseln der aktuellen Uhrzeit zu verwenden, den das empfangende System entschlüsseln und gegen seine aktuelle Uhrzeit prüfen kann.
Kerberos funktioniert durch die Authentifizierung des Anmeldekennworts des Benutzers. Ein Benutzer gibt den Befehl kinit ein , der ein Ticket, das für die Dauer der Sitzung (oder acht Stunden, die Standardsitzungszeit) gültig ist, vom Kerberos-Authentifizierungsserver abruft. Wenn sich der Benutzer abmeldet, kann das Ticket zerstört werden (mit dem Befehl kdestroy ).
Das Kerberos-Protokoll der Version 5 ist sowohl in 2000 als auch in Windows XP implementiert und wird verwendet, um einen einzelnen Authentifizierungsdienst in einem verteilten Netzwerk bereitzustellen. Die Kerberos-Interoperabilität bietet ein gemeinsames Protokoll, das es einer einzigen Benutzerkontendatenbank zur Authentifizierung von Benutzern auf allen Unternehmenscomputerplattformen ermöglicht, auf alle Dienste in einer heterogenen Umgebung zuzugreifen.
Unterschiede zwischen Kerberos Version 4 und Version 5 in Tabellenform
| VERGLEICHSGRUNDLAGE | KERBEROS-VERSION 4 | KERBEROS-VERSION 5 |
| Jahr der Veröffentlichung | Kerberos Version 4 wurde in den 1980er Jahren veröffentlicht, bevor Version 5 veröffentlicht wurde. | Die Kerberos Version 5 wurde 1993 veröffentlicht, 13 Jahre nach der Veröffentlichung von Kerberos Version 4. |
| Hauptname | Kerberos Version 4 Verwendet teilweise den Prinzipnamen. | Kerberos Version 5 verwendet den gesamten Prinzipalnamen. |
| Verschlüsselungstechniken | Kerberos Version 4 verwendet DES-Verschlüsselungstechniken. | In Kerberos Version 5 wird der Chiffriertext mit einem Verschlüsselungstyp-Identifikator versehen und daher kann jeder Verschlüsselungstyp verwendet werden. |
| Codierung | Kerberos Version 4 verwendet das Kodierungssystem „Empfänger macht richtig“. | Die Kerberos-Version 5 verwendet das Codierungssystem ASN.1. |
| Ticketlebensdauer | In Kerberos Version 4 muss die Ticketlebensdauer in Einheiten von 5 Minuten angegeben werden. | In Kerberos Version 5 kann Ticket One Lifetime eine explizite Start- und Endzeit angeben, die eine beliebige Lebensdauer erlaubt. |
| Ticket-Support | Die Ticketunterstützung ist in dieser Version zufriedenstellend. | Der Ticket-Support ist gut ausgebaut. Erleichtert das Weiterleiten, Erneuern und Nachdatieren von Tickets. |
| IP-Adressen | Kerberos Version 4 enthält nur wenige IP-Adressen und andere Adressen für Arten von Netzwerkprotokollen. | Kerberos Version 5 enthält mehrere IP-Adressen für Arten von Netzwerkprotokollen. |
| Taste | Da derselbe Schlüssel wiederholt verwendet wird, um einen Dienst von einem bestimmten Server zu erhalten, besteht die Gefahr, dass ein Angreifer Nachrichten von einer alten Sitzung an den Client oder Server abspielen kann. | In Kerberos Version 5 wird dies vermieden, indem ein Sub-Session-Key benötigt wird, der nur für eine Verbindung verwendet wird. |
