M04 - Bezpečnost operačního systému a síťové komunikace
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu PDF.
vat, aby server prokázal svou identitu. Takový případ se označuje jako vzá-
jemná autentizace.
Schéma Kerberos autentizace lze stručně shrnout do následujících bodů:
• Autentizační proces (operační systém) získá heslo uživatele v otevřené ne-
chráněné podobě. Obsah hesla převede na hlavní klíč (dlouhodobý) pro
pozdější šifrování.
• Autentizační klient odesílá serveru požadavek, který je vpodstatě žádostí
o lístek pro přidělování lístků (Ticket–Granting Ticket, TGT). Součástí
požadavku jsou identifikátor uživatele a tzv. autentikátor, které prokazují
13
Informatika
jeho identitu. Autentikátor obsahuje časovou značku a je šifrován hlavním
klíčem klienta odvozeným ze zadaného hesla.
• Server po obdržení požadavku dešifruje autentikátor, protože má přístup k
informacím, ze kterých je schopen odvodit hlavní klíč klienta (má přístup
k zašifrované podobě hesla uložené v Active Directory).
• Pokud je dešifrovaný obsah autentikátoru relevantní, generuje KDC lístek
TGT.
Po úspěšném přihlášení klient obdrží lístek pro přidělování lístků TGT. V něm
se nachází klíč relace, který je určen pouze pro komunikaci mezi klientem a
KDC. Je platný po celou dobu trvání relace přihlášení. Lístek TGT je zašif-
rován hlavním klíčem KDC. Klient získává od KDC rovněž svou kopii klíče
relace šifrovanou jeho hlavním klíčem. Pouze on je schopen dešifrovat jeho ob-
sah. Dále již není nutné, aby klient při komunikaci s KDC používal svůj hlavní
klíč. Tímto mechanismem je minimalizováno použití nejcitlivější informace,
kterou je dlouhodobý hlavní klíč klienta.
Z popisu je patrná další výhoda protokolu Kerberos. Služba KDC ani žádná
jiná služba nemusí uchovávat kopie klíčů relací. Tyto kopie služby získávají od
klientů formou lístků – KDC prostřednictvím TGT a ostatní služby formou
lístků relací (Session Tiket). Lístek TGT klient používá, chce-li získat přístup k
dalším službám. Současně se žádostí odesílá také TGT. Služba KDC generuje
nový klíč relace, který šifruje klíčem obsaženým v TGT a současně vytváří
odpovídající lístek relace. Ten podobně jako TGT obsahuje kopii klíče relace
určenou pro službu, ke které klient požaduje přístup a je šifrovanou jejím
hlavním klíčem. Klient od KDC vždy získává svou kopii klíče relace a lístek
relace určený pro zvolenou službu. Pomocí autentikátoru a vystaveného lístku
relace se následně klient prokazuje při navazování spojení se službou.