CƠ SỞ AN TỒN THƠNG TIN Giao thức xác thực Kerberos Nhóm 8: Đặng Đình Hồng Nguyễn Minh Hồng Trịnh Minh Hoàng Nội dung  Tổng quan  Lịch sử phát triển  Mục tiêu yêu cầu  Đánh giá  Nguyên tắc hoạt động  Các nguy công Tổng quan  Kerberos giao thức xác thực dựa mã hóa khóa đối xứng cho ứng dụng Client/Server đường truyền mạng khơng an tồn  Nó có khả chống nghe hay cơng gửi lại gói tin cũ đảm bảo tính tồn vẹn liệu Lịch sử phát triển Version 13 Version Version Phát triển MIT, sử dụng nội MIT Steve Miller Clifford Neuman công bố vào cuối thập niên 80 John Kohl Clifford Neuman thiết kế năm 1993 để khắc phục vấn đề bảo mật Lịch sử phát triển – cập nhật gần RFC 3961 Quy định mã hóa Checksum RFC 3962 Mã hóa AES cho Kerberos RFC 4120 RFC 4121 Phiên tiêu chuẩn Kerberos, làm rõ vấn đề giao thức cách sử dụng Bản tiêu chuẩn GSS-API Mục tiêu Đảm bảo mật người dùng không thất lạc mạng Mật người dùng ln mã hóa sở liệu máy chủ dịch vụ Người sử dụng có yêu cầu nhập mật lần phiên làm việc (SSO) Yêu cầu Bảo mật Đáng tin cậy Trong suốt Khả mở rộng Ưu điểm    Mật không truyền dạng rõ mà ln mã hóa Sử dụng SSO giúp hạn chế nguy ăn cắp liệu Tất trao đổi máy chứa timestamp giúp chống lại Replay Attack  Kerberos có khả tương thích cao Nhược điểm  Độ bảo mật hệ thống phụ thuộc vào an tồn hệ thống KDC  Địi hỏi máy tính hệ thống phải đồng thời gian để chế xác thực hoạt động  Với chế SSO, máy tính rơi vào tay kẻ cơng có nguy cho tồn hệ thống Nguyên tắc hoạt động Pha 1: Kết nối với AS để lấy TGT Người dùng đăng nhập Username Password Phía Client tiến hành băm chiều Password Client gửi gói tin đến AS gói tin rõ với thơng điệp AS_REQ AS tiến hành kiểm tra thông tin Database, có gửi gói tin AS_REP:  Gói A: “Khóa phiên TGS/Client” mã hóa với khóa bí mật người dùng  Gói B: TGT mã hóa với khóa bí mật TGS Sau nhận gói Client giải mã gói A để có khóa phiên với TGS, người dùng tiến hành xác thực với TGS Pha 2: Kết nối với TGS để lấy vé dịch vụ Khi yêu cầu dịch vụ, người dùng gửi gói tin đến TGS với thơng điệp TGS_REG:  Gói C: TGT từ gói B ServiceID dịch vụ  Gói D: Phần chứng thực mã hóa với “Khóa phiên TGS/Client” từ gói A TGS giải mã so sánh Timestamp thời hạn vé, thỏa mãn gửi gói TGS_RES:  Gói E: Service Ticket  Gói F: “Khóa phiên Server/Client” mã hóa với khóa phiên “TGS /Client” Pha 3: Chứng thực Client/Server Client giải mã gói F để lấy khóa phiên tiến hành gửi AP_REQ:  Gói E: Service Ticket  Gói G: Chứng thực Client Server dịch vụ mã hóa khóa phiên  Service Name SS giải mã Service Ticket dùng khóa phiên giải mã gói G để xác minh Timestamp, hợp lệ gửi thông điệp AP_REP:  Gói H: Timestamp cơng thêm 1, mã hóa khóa phiên 10.Client giải mã H xác nhận Timestamp để bắt đầu gửi yêu cầu sử dụng dịch vụ 11 SS cung cấp dịch vụ cho người dùng