Hệ phân bố khĩa Kerberos

Một phần của tài liệu Tìm hiểu được một số giải thuật chính như DES, ECB, CBC, RSA, MD5 (Trang 39 - 41)

2. Phân bố các khĩa bảo mật

2.2.Hệ phân bố khĩa Kerberos

- Do vấn đề khơng an tồn khi sử dụng cùng một khĩa trong một thời gian dài, cho nên thường sử dụng một phương pháp trực tuyến thích hợp hơn mà trong đĩ khĩa liên lạc mới được tạo ra cho mỗi cặp user muốn truyền thơng (tính chất làm tươi khĩa).

- Nếu sự phân bố khĩa trực tuyến được sử dụng thì khơng cần thiết cho bất kỳ user trong mạng phải lưu trữ khĩa để truyền thơng với user khác (mỗi user sẽ tham gia một khĩa với TA). Các khĩa phiên liên lạc sẽ được truyền theo yêu cầu của TA.

- Kerberos là một hệ thống phục vụ khĩa phổ biến dựa trên hệ mật mã khĩa bí mật (khơng dựa vào mã hĩa khĩa cơng khai). Mỗi user U tham gia một khĩa bí mật (DES) KU với

TA, trong hầu hết các version của Kerberos, tất cả đoạn tin khi truyền được mã hĩa sử dụng kiểu CBC (Cipher Block Chain).

- Khi cĩ yêu cầu về khĩa phiên liên lạc được gởi tới TA, TA sẽ tạo một khĩa phiên liên lạc ngẫu nhiên K. TA sẽ ghi thời gian mà tại đĩ yêu cầu được thực hiệngọi là thời gian

timestamp T và mơ tả khoảng thời gian sống L mà khĩa K cịn hợp lệ (từ T tới T+L). Tất cả các thơng tin này được mã hĩa và được truyền tới U và V. Giao thức truyền khĩa phiên liên lạc như sau:

1. U yêu cầu TA cho một khĩa phiên liên lạc để truyền thơng với V. 2. TA chọn một khĩa phiên liên lạc ngẫu nhiên K, timestamp T và L.

3. TA tính: m1 = eKu (K, ID(V), T, L) và m2 = eKv (K, ID(U), T, L) và gởi m1, m2 tới U. 4. U sử dụng hàm giải mã dKu để tính K, T, L và ID(V) từ m1.

Sau đĩ tính: m3 = eK (ID(U), T) Và gởi m3 tới V cùng với m2 mà đã nhận từ TA. 5. U sử dụng hàm giải mã dKv để tính K, T, L và ID(U) từ m2.

Sau đĩ sử dụng dK để tính T và ID(U) từ m3, rồi kiểm tra xem hai giá trị Của T và hai giá trị của ID(U) cĩ giống nhau khơng? Nếu thỏa thì tính: m4 = eK (T+1). Và gởi m4 tới U.

6. U giải mã m4 sử dụng dK và làm rỏ rằng kết quả là T+1. Nếu đúng thì K đã được truyền thành cơng tới V.

Trong đĩ:

. KU, KV : khĩa tham gia của U và V với TA. . U (V) sử dụng của mình để giải mã eKu (eKv).

. m1, m2 : cung cấp sự bảo mật trong khi truyền khĩa K. . m3, m4 : cung cấp sự xác nhận khĩa.

- Mục đích của T và L là nhằm ngăn cản đối phương chủ động từ việc lưu trữ đoạn tin cũ cho việc tái truyền ở lần sau. Các khĩa sẽ khơng đươc coi là hợp lệ một khi chúng đã hết hạn.

- Một trong những nhược điểm của Kerberos là tất cả user trong mạng phải cĩ đồng hồ đồng bộ bởi vì thời gian hiện tại được sử dụng để xác định khi nào một khĩa phiên liên lạc đã cho là hợp lệ. Trong thực tế rất khĩ khăn để cung cấp sụ đồng bộ hồn hảo bởi vì thường trong máy sự thay đổi một lượng thời gian phải được cho phép.

Một phần của tài liệu Tìm hiểu được một số giải thuật chính như DES, ECB, CBC, RSA, MD5 (Trang 39 - 41)

(96 trang)