Académique Documents
Professionnel Documents
Culture Documents
Kerberos
Yousfi Souheib
Partage de secret simple basé sur une
authentification cryptographique
Yousfi Souheib
Yousfi Souheib 2
Une authentification mutuelle
Yousfi Souheib
Yousfi Souheib 3
Présence d’un Key Distribution
Center (KDC)
Yousfi Souheib
Yousfi Souheib 4
Présence d’un Key Distribution
Center (KDC)
Yousfi Souheib
Yousfi Souheib 5
Présence d’un Key Distribution
Center (KDC)
Yousfi Souheib
Yousfi Souheib 6
Présence d’un Key Distribution
Center (KDC)
Yousfi Souheib
Yousfi Souheib 7
Needham Schroeder
! "
!$#$%&
'%&$#$(!"$'(!"$!)("#)(!#
#
'(!"$!)("#
'%*)(!"
'%*+,)(!"
Yousfi Souheib
Yousfi Souheib 8
Contrôle
avec estampilles
Yousfi Souheib
Yousfi Souheib 9 9
Otway et Rees
Le protocole de Otway et Rees
! #
%$!$#$'%&$%$!$#)(!#
" %$!$#$'%&$%$!$#)(!#$'%*$%$!$#)("#
%$'%&$(!")(!#$'%*$(!")("#
%$'%&$(!")(!#
'4;82;1)(!"
Yousfi Souheib
Yousfi Souheib 10
Kerberos
n Basé sur le protocole de Needham Schroeder, mais utilise
des estampilles temporelles en plus des nonces.
Yousfi Souheib
Yousfi Souheib 11
Kerberos
Yousfi Souheib
Yousfi Souheib 13
Kerberos
n Développé au MIT (Massachusetts Institute of
Technology), dans le cadre du projet Athena au début
des années 80.
n Principes
n Basé sur la notion de « Ticket »
n Authentification mutuelle
n Mécanismes antirejeux
Yousfi Souheib
Yousfi Souheib
Yousfi Souheib 14
Kerberos
n L’architecture de Kerberos constitue une architecture 3
tiers :
n un client
n un serveur de ressources
n L’autorité approuvée :
n est un serveur dit « de confiance »
Yousfi Souheib
Yousfi Souheib 15
Kerberos
n Un « principal » Kerberos :
n est un client Kerberos, identifiable par un nom
unique.
n Un utilisateur, un client, un serveur sont des
« principaux » Kerberos
n Une autorité approuvée :
n stocke les informations de sécurité relatives aux
principaux
n génère et gère les clés de session
Yousfi Souheib
Yousfi Souheib
16
Kerberos
n Un « royaume » Kerberos :
n est une organisation logique dans laquelle
s'exécute au moins une Autorité
d’authentification,
n est capable d’authentifier les principaux
déclarés sur ce serveur.
n Un KDC (Key Distribution Center):
n est le nom donnée à l’autorité approuvée.
Yousfi Souheib
Yousfi Souheib 17
Kerberos
Notion de ticket
!" #$%&'# '(# )"' (#*)%#)*' +' +,""-'(
%,"(#$#)-' +.)"' /0*#$' %1$22*-' '# +.)"' /0*#$'
%30$*'4
5'( #$%&'#( ('*6'"# 7 0)#1'"#$2$'* 3'( *'8)9#'(
+'( /*$"%$/0):
;'): #</' +' =$%&'#( >
=$%&'# ?*0"#$"@ =$%&'# A=?=B
C'*6$%' =$%&'# AC=B
Yousfi Souheib
Yousfi Souheib 18
Kerberos
Services Kerberos
n Deux types de services sont requis :
n un service d’authentification: AS
n un service d’octroi de tickets (TGS ou Ticket
Granting Service)
n Ces services ne tournent pas nécessairement
sur le même serveur
Yousfi Souheib
Yousfi Souheib 19
Kerberos
Clés cryptographiques
n Dans Kerberos, un KDC génère et stocke les clés secrètes
(Ksec) des principaux qui lui sont rattachés.
Yousfi Souheib
Yousfi Souheib 20
Kerberos
Authentification initiale
,5=5>;?3@1;56.&31A;01/B/8&1/90
C5=5DE/44/9056.305F/8G;15FHF
La partie chiffrée est cryptée par la clef Ksec du client = seul le bon
C5=5DE/44/9056.305F/8G;15"F
Yousfi Souheib
Yousfi Souheib 22
Kerberos
Accès au service
,5=5>;?3@1;56;54;2:/8;
C5=5I93243/1;56;4578A&0J;4
Yousfi Souheib
Yousfi Souheib 23
Kerberos
Résumé
!"5";2:/8; FH"5";2:/8;
3 0")*&1"'1"
!.
2 ./.
1 4 !.
,%&&"-$%&
5 0")*&1"'1 2*334#
*5'#"(6$3"
6
";2:;3256;
7*+$1*8$%&
2;449328;
Yousfi Souheib
Yousfi Souheib 24