8/16/2019 Curs3.1Autentificari ASE Master Spesai Securitate 2015

1/3

Autentificare folosind Kerberos

A fost derivate din Needham Schreder prin mai multi pasi:· Se presupune ca intre calculatoare exita· In sistemele Kerberos se lucreaza cu 3 servere:

o Server de autentificare (AS- authentication servero Server pentru tichete care confirma identitatea (!"S # !ic$et "rantin% Servero Server &o%dan (Server de servicii

' In mesa)ul ' Ana se adreseaza serverului de autentificare pentru ca acesta sa iiacorde un tichet* prin care Ana sa poata comunica cu serverul !"S !ot criptat cu $e+

Anei Ka* acesta primeste si cheia de sesiune Ks pentru serverul AS Ana va da parolanumai in momentul in care primeste mesa)ul , Scopul acestui schimb este ca parola

Anei sa nu circule prin retea, u a)utorul parolei date de Ana se va %enera cheia Ka cu care va descifra

mesa)ul ,3 .arola Anei va sta in masina locala numai cateva milisec /aca !edi va incerca

sa se substituie Anei* el nu ar avea timp pentru o parola corecta si nu se va %enera

cheia Ka0 In mesa)ul 3 Ana va trimite pachetul primit de la AS Kt%s cu numele lui &o%dan inclar si cu o marca de timp Ks(t) servarul !"S va rasp trimitandu-i Annei criptat cucheia de sesiune Ks ii va trimite numele lui &o%dan si o noua cheie de sesiune Kabpentru comunicatia cu &o%dan !rimite criptat numele lui bo%dan pentru a evitainterventia lui !edi in mesa)ul 3 si modificare mesa)ului !edi chiar daca produce un atacprin replica la mesa)ul 3* el va primi mesa)ul 0 pe care oricum nu-l intele%e tot in mesa)ul

8/16/2019 Curs3.1Autentificari ASE Master Spesai Securitate 2015

2/3

0 Ana primeste un tichet de la & care este criptat cu cheia lui & si care contine numele Anei

1 Ii transmite lui & tichetul primit de la !"S si o mar$a de timp criptata cu cheia desesiune primita* la care & ii raspunde cu noua cheie de sesiune Kab cu o marca de timp

Avanta)ul acestei metode este ca Ana poate schimba servarul in si%uranta2ste posibil ca utilizatorii sa lucreze uneori pe domenii multiple Kerberos ofera si aceasta posibilitate cu conditia ca !"S local sa fie a%reat cu !"S aflat

la distanta si sa aibe o incredere reciproca Ana va primi un tichet pentru !"S remot la fel cum primeste &o%dan* ea putand dupa aceea sacontinue dialo%ul si sa lucreze cu un alt server de servicii alfat in domeniul de la distanta

Autentificarea folosind chei publice

' In mesa)ul ' Ana cripteaza cu cheia publica al lui & si un numar momentanaleatoriu a

, &o%dan raspunde cu cheia publica a Anei 2a* va cripta numele momentaal Anie* ii va trimite si el un nr momentan si o cheie de sesiune daca !edi ar fiincercat sa se substituie Anei* el nu ar fi putut numarul momentan a

3 /upa mesa)ul , Ana este convinsa ca lucreaza cu & si ii va trimite mesa)ul3 in care cu cheia secreta a sesiunii Ks ii va trimite numarul momentan lansat de&

Se presupune ca cei , interlocutori detin cheile publice

8/16/2019 Curs3.1Autentificari ASE Master Spesai Securitate 2015

3/3

/aca A si & sunt nevoiti insa sa schimbe acete chei publice prin retea* !edi ar puteaefectua un atac Man in the MiddleSolutie. a toate cheile publice sa se %aseasca intr-o baza de date accesibile tuturor*dar si aici !edi la un moment de timp s-ar putea interfera intre utilizator si &/Solutie 2ste cea propusa de ivest si Shamir* Metoda cu interblocare in care Ana vatrimite numai o parte din bitii mesa)ului in prima instanta (2x bitii impari la care&o%dan va raspunde tot cu bitii impari dupca care Ana ii va trimite si restul bitilor (pariiar bo%dan ar face acelas lucru /aca !edi s-ar pune 4an in the middle si va detinecheia de descifrare a mesa)ul* el nu va intele%e nimic din bitii pari* deci nu are cum sa iitrimita lui &* iar daca va trimite ceva aiurea* restul de biti de la A nu se vor protrivi sidevine suspicios