Kerberos

De Wiki info-lab.fr
Aller à : Navigation, rechercher

Sommaire

Présentation

Kerberos est un système centralisé d'authentification, développé au MIT dans le cadre du projet ATHENA.
Le but de Kerberos est de pouvoir authentifier des demandes d'accès à des services, des répertoires et fichiers ou toute autre ressource disponible dans un réseau ouvert.
Dans le cahier des charges initial, Kerberos devait remplir les 3 rôles suivants (les 3 têtes du cerbère) :

  • Authentification centralisée
  • Comptabilité des authentifications
  • Service d'audits

La comptabilité et l'audit n'ayant jamais été réellement implémentés, Kerberos n'est pas un vrai Service AAA.

Fonctionnement

Architecture modulaire à trois parties :

  1. Les clients demandeurs d'authentification
  2. Les ressources non accessibles sans authentification.
  3. Le centre de distribution des clés ou KDC (tiers de confiance).

Le centre de distribution des clés ou KDC

Clé de voûte de l'architecture, il est constitué d'un serveur d'authentification (AS) et d'un serveur d'émission de tickets (TGS). L'AS détient une base qui contient l'UID de chaque client et un condensat d'un mot de passe de ce client qui lui servira à vérifier l'identité du client lors des demandes d'accès aux ressources en ligne. Quand l'authentification est réussie, le TGS octroie un jeton (ticket) permettant l'accès à la ressource puisque le TGS possède une clé secrète commune avec chaque ressource disponible en ligne soumise à autorisation par Kerberos. Ce ticket d'une durée de vie définie peut être réutilisable.
Un KDC avec l'ensemble des utilisateurs et des ressources en ligne est appelé "royaume Kerberos" ou "domaine Kerberos" ou "champ d'action Kerberos".
Plusieurs royaumes Kerberos peuvent interagir entre eux si les KDC correspondants partagent des clés secrètes communes.

Versions de Kerberos

Les versions 1 à 3 de Kerberos sont des versions internes de développement non destinées à la mise en production.

Kerberos v4

  • Impose le chiffrement par DES, en mode PCBC moins robuste que CBC.
  • La durée de vie des tickets est d'environ 21 heures.
  • Il n'y a pas de réexpdédition d'authentification.
  • Authentification inter royaumes lourde : Pour N royaumes nécessite N² relations.
  • Double chiffrement des tickets envoyés au clients : Lourd et n'apporte pas grand chose à la sécurité.
  • Possibilité de réutiliser des clés de session, ce qui facilite l'attaque par rejeu.
  • Vulnérabilité aux attaques par dictionnaire.
  • Numérotation des tickets attribués simpliste facile à deviner (incémentation à +1).

Encore utilisé par certains systèmes.

Kerberos v5

  • Le client peut réclamer authentification mutuelle.
  • Horodatage complexe compliquant les attaques par rejeu.
  • Fin du monopole de DES, d'autres algorithmes de chiffrement symétrique sont autorisés.
  • Authentification inter royaumes plus légère : nécessite moins de N² relations pour N royaumes .
  • Autorise la réexpdédition d'authentification à des tiers.
  • Non réutilisation des clés de session, ou sinon utilisation en parallèle d'une sous clé se session à usage unique.
  • Moins vulnérable que la v4 aux attaques par dictionnaire.
  • Numérotation des tickets attribués complexe, pratiquement impossible à deviner.

Non exempte de défauts, la version 5 corrige néanmoins de nombreuses faiblesses.

Outils personnels
Espaces de noms

Variantes
Actions
Navigation
Outils