Kerberos (tietotekniikka)

Kerberos on todennusprotokolla, joka toimii tietokoneverkossa.^[1] Kerberoksen avulla käyttäjät voivat todistaa henkilöllisyytensä toisilleen verkon yli ja se on suunniteltu käytettäväksi Internetin kaltaisissa verkoissa, joissa ei suoraan ole salausmenetelmää käytössä. Kerberos perustuu Needhamin ja Schroederin avaintenjakomalliin. Käyttäjien todennuksen lisäksi Kerberos estää salakuuntelun ja tunnistaa, jos viestiä on muokattu matkalla.

Protokolla voidaan kuvata seuraavalla keskustelulla, jossa A todistaa henkilöllisyytensä B:lle palvelinta S käyttäen:

${\displaystyle A\to S:A,B}$

${\displaystyle S\to A:\{T_S,L,K_{AB},B,\{T_S,L,K_{AB},A{\}}_{K_{BS}}{\}}_{K_{AS}}}$

${\displaystyle A\to B:\{T_S,L,K_{AB},A{\}}_{K_{BS}},\{A,T_A{\}}_{K_{AB}}}$

${\displaystyle B\to A:\{T_A+1{\}}_{K_{AB}}}$

Protokollan turvallisuus nojaa vahvasti aikaleimojen toimintaan viestinvaihdon tuoreuden ilmaisimina (katso BAN-logiikka). Nämä tarvitaan toistohyökkäysten estämiseen.

Kerberos sai alkunsa 1980-luvulla IBM:n, MIT:n ja DEC:n yhteisprojektissa Project Athena, jonka visiona oli että opiskelijat ja opetushenkilökunta voisivat käyttää mitä hyvänsä tietokonetta, joka olisi kätevin tai sopivin heidän työhönsä.^[2][3] Samassa projektissa sai alkunsa myös X Window System.^[3][4]

Athena-projektiin kuului noin 850 tietokonetta: näistä 450 oli yleisessä käytössä olevia työasemia (ilman tiettyä käyttäjää), 100 palvelinta ja loput tietylle henkilölle varattuja työasemia.^[2] Puolet työasemista olivat VAXstation II ja VAXstation 2000 -malleja; toinen puoli oli IBM RT/PC -malleja.^[2]

Malline:Korjattava/päivitys Aikaisemmin Kerberos luokiteltiin sotatarvikkeeksi eikä sen toteutuksia saanut viedä pois Yhdysvalloista vientikiellon takia. Ruotsissa kehitettiin ulkopuolinen toteutus, jonka ansiosta Kerberos on ollut saatavilla USA:n ulkopuolella jo ennen kuin Yhdysvallat muutti vientimääräyksiään. Tällä hetkellä Kerberos on melko vapaasti käytettävissä.

Hieman epästandardi versio Kerberoksesta on mukana Microsoftin Windows 2000-käyttöjärjestelmässä ja sitä kautta Kerberoksesta on tullut kaupallisesti merkittävä.Malline:Lähde IETF on standardoimassa omaa versiotaan Kerberos-protokollasta, mutta työ ei ole edennyt kovin ripeästi muun muassa sen takia, että protokollan turvallisuudesta on esitetty epäilyjä. RFC-dokumentti Malline:RFC kuvaa Kerberoksen version viisi.

Kerberoksesta on saatavissa vapaasti käytettävissä olevia toteutuksia ja muun muassa MIT-yliopiston alkuperäinen toteutus on vapaasti saatavissa.^[5]

• Malline:RFC The Kerberos Network Authentication Service (V5) [Obsolete]
• Malline:RFC The Kerberos Version 5 GSS-API Mechanism
• Malline:RFC Encryption and Checksum Specifications for Kerberos 5
• Malline:RFC Advanced Encryption Standard (AES) Encryption for Kerberos 5
• Malline:RFC The Kerberos Network Authentication Service (V5) [Current]
• Malline:RFC The Kerberos Version 5 Generic Security Service Application Program Interface (GSS-API) Mechanism: Version 2
• Malline:RFC Kerberos Cryptosystem Negotiation Extension
• Malline:RFC Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)
• Malline:RFC Online Certificate Status Protocol (OCSP) Support for Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)
• Malline:RFC The RC4-HMAC Kerberos Encryption Types Used by Microsoft Windows [Obsolete]
• Malline:RFC Extended Kerberos Version 5 Key Distribution Center (KDC) Exchanges over TCP
• Malline:RFC Elliptic Curve Cryptography (ECC) Support for Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)
• Malline:RFC Problem Statement on the Cross-Realm Operation of Kerberos
• Malline:RFC Generic Security Service Application Program Interface (GSS-API): Delegate if Approved by Policy
• Malline:RFC Additional Kerberos Naming Constraints
• Malline:RFC Anonymity Support for Kerberos
• Malline:RFC A Generalized Framework for Kerberos Pre-Authentication
• Malline:RFC Using Kerberos Version 5 over the Transport Layer Security (TLS) Protocol
• Malline:RFC The Unencrypted Form of Kerberos 5 KRB-CRED Message
• Malline:RFC Kerberos Version 5 Generic Security Service Application Program Interface (GSS-API) Channel Binding Hash Agility
• Malline:RFC One-Time Password (OTP) Pre-Authentication
• Malline:RFC Deprecate DES, RC4-HMAC-EXP, and Other Weak Cryptographic Algorithms in Kerberos
• Malline:RFC Kerberos Options for DHCPv6
• Malline:RFC Camellia Encryption for Kerberos 5
• Malline:RFC Kerberos Principal Name Canonicalization and Cross-Realm Referrals
• Malline:RFC An Information Model for Kerberos Version 5

Malline:Viitteet

• https://kerberos.org