Scribd Logo
Importer

Bienvenue sur Scribd !

  • Kerberos

    Transféré par

    hala kammoun
    21 vues24 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    21 vues24 pages

    Kerberos

    Transféré par

    hala kammoun

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 24

    1

    Kerberos
    Yousfi Souheib
    Partage de secret simple basé sur une
    authentification cryptographique

    Yousfi Souheib
    Yousfi Souheib 2
    Une authentification mutuelle

    Yousfi Souheib
    Yousfi Souheib 3
    Présence d’un Key Distribution
    Center (KDC)

    Yousfi Souheib
    Yousfi Souheib 4
    Présence d’un Key Distribution
    Center (KDC)

    Yousfi Souheib
    Yousfi Souheib 5
    Présence d’un Key Distribution
    Center (KDC)

    Yousfi Souheib
    Yousfi Souheib 6
    Présence d’un Key Distribution
    Center (KDC)

    Yousfi Souheib
    Yousfi Souheib 7
    Needham Schroeder
    ! "
    !$#$%&

    '%&$#$(!"$'(!"$!)("#)(!#
    #
    '(!"$!)("#

    '%*)(!"

    '%*+,)(!"

    Yousfi Souheib
    Yousfi Souheib 8
    Contrôle
    avec estampilles

    < '(. $!)( #


    !" "#
    !"
    #
    &%( #$%&'
    )*
    -./012345 '%.*)(.!"
    +"
    67893:2;5(.!"
    '%.*+,)(.!"

    Yousfi Souheib
    Yousfi Souheib 9 9
    Otway et Rees
    Le protocole de Otway et Rees

    ! #
    %$!$#$'%&$%$!$#)(!#

    " %$!$#$'%&$%$!$#)(!#$'%*$%$!$#)("#

    %$'%&$(!")(!#$'%*$(!")("#
    %$'%&$(!")(!#

    '4;82;1)(!"

    Yousfi Souheib
    Yousfi Souheib 10
    Kerberos
    n Basé sur le protocole de Needham Schroeder, mais utilise
    des estampilles temporelles en plus des nonces.

    n Kerberos nécéssite une synchronisation des horloges entre


    toutes les entités participantes

    n Étymologie : The 3-headed dog that guards the entrance


    to Hades

    Yousfi Souheib
    Yousfi Souheib 11
    Kerberos

    Yousfi Souheib Yousfi Souheib


    Yousfi Souheib 12
    Needham Schroeder

    Yousfi Souheib
    Yousfi Souheib 13
    Kerberos
    n Développé au MIT (Massachusetts Institute of
    Technology), dans le cadre du projet Athena au début
    des années 80.
    n Principes
    n Basé sur la notion de « Ticket »

    n Cryptographie à Clés secrètes

    n Authentification mutuelle

    n Tickets limités dans le temps

    n Mécanismes antirejeux

    Yousfi Souheib
    Yousfi Souheib
    Yousfi Souheib 14
    Kerberos
    n L’architecture de Kerberos constitue une architecture 3
    tiers :
    n un client

    n un serveur de ressources

    n une autorité approuvée

    n L’autorité approuvée :
    n est un serveur dit « de confiance »

    n reconnu comme tel par le client et le serveur

    n et dont on présuppose qu’il est parfaitement sécurisé

    Yousfi Souheib
    Yousfi Souheib 15
    Kerberos
    n Un « principal » Kerberos :
    n est un client Kerberos, identifiable par un nom
    unique.
    n Un utilisateur, un client, un serveur sont des
    « principaux » Kerberos
    n Une autorité approuvée :
    n stocke les informations de sécurité relatives aux
    principaux
    n génère et gère les clés de session
    Yousfi Souheib
    Yousfi Souheib
    16
    Kerberos
    n Un « royaume » Kerberos :
    n est une organisation logique dans laquelle
    s'exécute au moins une Autorité
    d’authentification,
    n est capable d’authentifier les principaux
    déclarés sur ce serveur.
    n Un KDC (Key Distribution Center):
    n est le nom donnée à l’autorité approuvée.
    Yousfi Souheib
    Yousfi Souheib 17
    Kerberos
    Notion de ticket
    !" #$%&'# '(# )"' (#*)%#)*' +' +,""-'(
    %,"(#$#)-' +.)"' /0*#$' %1$22*-' '# +.)"' /0*#$'
    %30$*'4
    5'( #$%&'#( ('*6'"# 7 0)#1'"#$2$'* 3'( *'8)9#'(
    +'( /*$"%$/0):
    ;'): #</' +' =$%&'#( >
    =$%&'# ?*0"#$"@ =$%&'# A=?=B
    C'*6$%' =$%&'# AC=B
    Yousfi Souheib
    Yousfi Souheib 18
    Kerberos
    Services Kerberos
    n Deux types de services sont requis :
    n un service d’authentification: AS
    n un service d’octroi de tickets (TGS ou Ticket
    Granting Service)
    n Ces services ne tournent pas nécessairement
    sur le même serveur

    Yousfi Souheib
    Yousfi Souheib 19
    Kerberos
    Clés cryptographiques
    n Dans Kerberos, un KDC génère et stocke les clés secrètes
    (Ksec) des principaux qui lui sont rattachés.

    n Pour des raisons de sécurité, ces clés secrètes ne servent


    que lors de la phase initiale d’authentification

    Yousfi Souheib
    Yousfi Souheib 20
    Kerberos
    Authentification initiale
    ,5=5>;?3@1;56.&31A;01/B/8&1/90

    C5=5DE/44/9056.305F/8G;15FHF

    La requête initiale contient (en clair) l’identité du requérant et le serveur

    pour lequel on demande un TGT.

    Le serveur émet un TGT pour le client

    La partie chiffrée est cryptée par la clef Ksec du client = seul le bon

    client peut déchiffrer cette partie


    Yousfi Souheib
    Yousfi Souheib
    21
    Kerberos
    Demande d’un ST
    ,5=5>;?3@1;56;51/8G;156;54;2:/8;

    C5=5DE/44/9056.305F/8G;15"F

    On utilise le TGT obtenu précédemment pour requérir un ST

    Le serveur émet un ST pour le client et pour le service considéré

    Yousfi Souheib
    Yousfi Souheib 22
    Kerberos
    Accès au service
    ,5=5>;?3@1;56;54;2:/8;

    C5=5I93243/1;56;4578A&0J;4

    On utilise le ST obtenu précédemment pour accéder au service

    Le serveur de ressources valide alors (ou non) la requête

    Yousfi Souheib
    Yousfi Souheib 23
    Kerberos
    Résumé
    !"5";2:/8; FH"5";2:/8;

    3 0")*&1"'1"
    !.
    2 ./.

    1 4 !.
    ,%&&"-$%&

    5 0")*&1"'1 2*334#
    *5'#"(6$3"

    6
    ";2:;3256;
    7*+$1*8$%&
    2;449328;
    Yousfi Souheib
    Yousfi Souheib 24

    Vous aimerez peut-être aussi