SO SÁNH KERBEROS VERSION 4 VÀ VERSION 5Giống nhau: - Kerberos 4 sử dụng DES, trong một giao thức khá tỷ mỷ để có được dịch vụ chứng thực.. Kerberos version 5 dựa trên nền tảng kiến trúc
Trang 1SO SÁNH KERBEROS VERSION 4 VÀ VERSION 5
Giống nhau:
- Kerberos 4 sử dụng DES, trong một giao thức khá tỷ mỷ để có được dịch vụ
chứng thực Kerberos version 5 dựa trên nền tảng kiến trúc của version 4 nên nó cũng sử dụng lại những giao thức hay cấu hình của version 4 nhưng được cải tiến hơn so với version 4
- Cả hai phiên bản đều phải chịu các tấn công vào mật khẩu
Khác nhau: Kerberos 5 chủ yếu nhằm vào việc giải quyết các thiếu sót, hạn chế
của Kerberos 4 gồm hai lĩnh vực: các hạn chế về môi trường và sự lệ thuộc kỹ thuật Kerberos 4 được phát triển để sử dụng trong môi trường dự án Athena, vì thế nó không nhằm vào tính đa chức năng như cần thiết
KERBEROS VERSION 4 KERBEROSVERSION 5 Phụ thuộc giao
thức Internet
Sử dụng các địa chỉ giao thức InternetProtocol (IP)
Các kiểu địa chỉ khác như địa chỉ mạng ISO không được hỗ trợ
Được gắn thẻ bằng kiểu và chiều dài, cho phép dùng bất
cứ loại địa chỉ mạng và chiều dài nào ví dụ MAC address)
Phụ thuộc hệ
thống mã hoá
Kerberos 4 đòi hỏi sử dụng DES Điều này ẩn chứa những hạn chế vốn có của DES cùng những hoài nghi về sức mạnh của DES
Kerberos 5 , ciphertext được gắn thẻ nhận diện kiểu mã hoá, cho nên dùng hình thức
mã hoá nào cũng được Các khoá mã hoá được gắn thẻ bằng kiểu và chiều dài, cho phép cùng một khoá có thể
sử dụng được với các thuật toán khác nhau, chấp nhận các chỉ định kỹ thuật của nhiều kiểu loại thuật toán mã hoá
Thời gian sống
của Ticket
Các giá trị Lifetime trong Kerberos 4 được ghi bằng một số 8-bit tính theo đơn vị năm phút Do đó, thời gian sống tối đa có thể biểu biễn
là 2 x5 12808 phút, tức là chỉ khoảng 21 giờ Con số này không thoả đáng trong một số ứng dụng (ví dụ, một phép mô phỏng dài mà nó cần chứng thực hợp lệ liên tục của Kerberos trong suốt thời gian thi hành dài)
Trong Kerberos 5, các ticket gồm chứa các giá trị bắt đầu và hết hạn một cách tường minh, cho phép ticket
có thời gian sống tuỳ ý
Trang 2Trình tự byte
trong thông
điệp
Trong Kerberos 4, người gửi thông điệp phải có cách thông báo ngay trong thông điệp
để thể hiện kiểu trình tự sắp xếp địa chỉ là byte thấp nhất đi trước hay byte cao nhất đi trước
Kỹ thuật này làm việc tốt nhưng lại không tuân theo quy ước
Trong Kerberos 5, tất cả các cấu trúc thông điệp đều được định nghĩa bởiAbstract Syntax Notation One (ASN.1) và Basic Encoding Rules (BER), nó cung cấpmột trình tự byte không mơ hồ
Chuyển tiếp
chứng thực
Kerberos 4 không cho phép chuyển tiếp một client sang host khác Tính năng chuyển tiếp này hữu ích
ở chỗ server đã chứng thực cho client này sẽ thay mặt client truy xuất tới các server khác Ví dụ, một client gửi một yêu cầu tới mộtserver quản lý in ấn;
server này truy xuất tới một server quản lý file bằng quyền truy xuấtcủa client
Kerberos 4 không cung cấp kiểu chuyển tiếp chứng thực này
Kerberos 5 lại hỗ trợ tính năng này
Chứng thực
liên miền
Trong Kerberos 4, tính năng phối hợp giữa N miền (realm) đòi hỏi quan hệ bậc
2
N giữa các máy chủ Kerberos
Kerberos 5 hỗ trợ phương thức mà nó đòi hỏi ít quan
hệ hơn Bên cạnh những hạn chế môi trường, còn có tính
lệ thuộc kỹ thuật trong Kerberos 4 phiên bản 5
nỗ lực loại trừ các hạn chế này
Mã hoá
PCBC
Việc mã hoá trong Kerberos
4 dùng một chế độ DES không chuẩn, gọi là dây chuyền mật mã khối truyền lan (PCBC) Chế độ này đã từng cho thấy sự yếu kém trong việc chống lại một kiểu tấn công thay đổi thứ tự các khốiciphertext
PCBC được xây dựng với mục đích làm một thành
Kerberos 5 cung cấp các cơ chế kiểm tra tínhtoàn vẹn một cách cụ thể với chế độ hoạt động CBC chuẩn Cụ thể là, một mã checksum hay
mã hash được đính kèm vào thông điệp trước khi nó được cung cấp cho CBC để mã hoá
Trang 3phần của hoạt động mã hoá cung cấp phép kiểm tra tính toàn vẹn
Các khoá phiên Mỗi ticket bao gồm một khoá
phiên được dùng bởi client để
mã hoá mã chứng thực gửi tới dịch vụ gắn liền với ticket
đó Thêm nữa, khoá phiên còn được client dùng ngay sau đó để bảo về các thông điệp truyền đi trong phiên
Tuy nhiên, do cùng một ticket được dùng nhiều lần
để lấy dịch vụ từ một server nào đó, sẽ tồn tại nguy cơ khi kẻnào đó nhại lại các thông điệp từ phiên cũ tới client hoặc server
Trong Kerberos 5, rất có khả năng cho một người dùng
và server lấy một khoá phiên con, mà nó chỉ được dùng cho một kết nối Truy xuất mới của client sẽ lại dùng một khoá phiên con khác