Bài tập nhà 03 Môn : Giới thiệu an ninh mạng SOSÁNHKERBEROSVERSIONVÀVERSION Giống nhau: - Kerberos sử dụng DES, giao thức tỷ mỷ để có dịch vụ chứng thực Kerberosversion dựa tảng kiến trúc version nên sử dụng lại giao thức hay cấu hình version cải tiến so với version - Cả hai phiên phải chịu công vào mật Khác nhau: Kerberos chủ yếu nhằm vào việc giải thiếu sót, hạn chế Kerberos gồm hai lĩnh vực: hạn chế môi trường lệ thuộc kỹ thuật Kerberos phát triển để sử dụng môi trường dự án Athena, khơng nhằm vào tính đa chức cần thiết KERBEROSVERSION Phụ thuộc giao Sử dụng địa giao thức Internet thức InternetProtocol (IP) Các kiểu địa khác địa mạng ISO không hỗ trợ KERBEROSVERSION Được gắn thẻ kiểu chiều dài, cho phép dùng loại địa mạng chiều dài ví dụ MAC address) Phụ thuộc hệ Kerberos đòi hỏi sử dụng thống mã hoá DES Điều ẩn chứa hạn chế vốn có DES hồi nghi sức mạnh DES Kerberos , ciphertext gắn thẻ nhận diện kiểu mã hoá, dùng hình thức mã hố Các khố mã hoá gắn thẻ kiểu chiều dài, cho phép khố sử dụng với thuật toán khác nhau, chấp nhận định kỹ thuật nhiều kiểu loại thuật toán mã hoá Trong Kerberos 5, ticket gồm chứa giá trị bắt đầu hết hạn cách tường minh, cho phép ticket có thời gian sống tuỳ ý Thời gian sống Các giá trị Lifetime Ticket Kerberos ghi số 8-bit tính theo đơn vị năm phút Do đó, thời gian sống tối đa biểu biễn 28 x5 1280 phút, tức khoảng 21 Con số không thoả đáng số ứng dụng (ví dụ, phép mơ dài mà cần chứng thực hợp lệ liên tục Kerberos suốt thời gian thi hành dài) SVTH: Nguyễn Thị Thanh Phương - Lớp D17TMT1 Trang Bài tập nhà 03 Môn : Giới thiệu an ninh mạng Trình tự byte thơng điệp Trong Kerberos 4, người gửi thơng điệp phải có cách thơng báo thơng điệp để thể kiểu trình tự xếp địa byte thấp trước hay byte cao trước Kỹ thuật làm việc tốt lại không tuân theo quy ước Trong Kerberos 5, tất cấu trúc thông điệp định nghĩa bởiAbstract Syntax Notation One (ASN.1) Basic Encoding Rules (BER), cung cấpmột trình tự byte không mơ hồ Chuyển tiếp chứng thực Kerberos không cho phép chuyển tiếp client sang host khác Tính chuyển tiếp hữu ích chỗ server chứng thực cho client thay mặt client truy xuất tới server khác Ví dụ, client gửi yêu cầu tới mộtserver quản lý in ấn; server truy xuất tới server quản lý file quyền truy xuấtcủa client Kerberos không cung cấp kiểu chuyển tiếp chứng thực Trong Kerberos 4, tính phối hợp N miền (realm) đòi hỏi quan hệ bậc N máy chủ KerberosKerberos lại hỗ trợ tính Chứng thực liên miền Mã hoá PCBC Việc mã hoá Kerberos dùng chế độ DES không chuẩn, gọi dây chuyền mật mã khối truyền lan (PCBC) Chế độ cho thấy yếu việc chống lại kiểu công thay đổi thứ tự khốiciphertext PCBC xây dựng với mục đích làm thành Kerberos hỗ trợ phương thức mà đòi hỏi quan hệ Bên cạnh hạn chế môi trường, có tính lệ thuộc kỹ thuật Kerberos phiên nỗ lực loại trừ hạn chế Kerberos cung cấp chế kiểm tra tínhtồn vẹn cách cụ thể với chế độ hoạt động CBC chuẩn Cụ thể là, mã checksum hay mã hash đính kèm vào thơng điệp trước cung cấp cho CBC để mã hố SVTH: Nguyễn Thị Thanh Phương - Lớp D17TMT1 Trang Bài tập nhà 03 Môn : Giới thiệu an ninh mạng phần hoạt động mã hoá cung cấp phép kiểm tra tính tồn vẹn Các khố phiên Mỗi ticket bao gồm khoá phiên dùng client để mã hoá mã chứng thực gửi tới dịch vụ gắn liền với ticket Thêm nữa, khố phiên client dùng sau để bảo thông điệp truyền phiên Tuy nhiên, ticket dùng nhiều lần để lấy dịch vụ từ server đó, tồn nguy kẻnào nhại lại thơng điệp từ phiên cũ tới client server Trong Kerberos 5, có khả cho người dùng server lấy khố phiên con, mà dùng cho kết nối Truy xuất client lại dùng khoá phiên khác SVTH: Nguyễn Thị Thanh Phương - Lớp D17TMT1 Trang ... quyền truy xuấtcủa client Kerberos không cung cấp kiểu chuyển tiếp chứng thực Trong Kerberos 4, tính phối hợp N miền (realm) đòi hỏi quan hệ bậc N máy chủ Kerberos Kerberos lại hỗ trợ tính Chứng... Trong Kerberos 4, người gửi thơng điệp phải có cách thơng báo thơng điệp để thể kiểu trình tự xếp địa byte thấp trước hay byte cao trước Kỹ thuật làm việc tốt lại không tuân theo quy ước Trong Kerberos. .. dựng với mục đích làm thành Kerberos hỗ trợ phương thức mà đòi hỏi quan hệ Bên cạnh hạn chế môi trường, có tính lệ thuộc kỹ thuật Kerberos phiên nỗ lực loại trừ hạn chế Kerberos cung cấp chế kiểm