Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Technika uwierzytelniania klucza tajnego nie wyjaśnia, w jaki sposób klient i serwer uzyskują klucz tajny sesji do użycia w sesjach ze sobą. Jeśli są ludźmi, mogą spotkać się w tajemnicy i zgodzić się na klucz. Jeśli jednak klient jest programem uruchomionym na stacji roboczej, a serwer jest usługą działającą na serwerze sieciowym, ta metoda nie będzie działać.
Klient będzie chciał komunikować się z wieloma serwerami i będzie potrzebował różnych kluczy dla każdego z nich. Serwer komunikuje się z wieloma klientami i potrzebuje różnych kluczy dla każdego z nich. Jeśli każdy klient potrzebuje innego klucza dla każdego serwera, a każdy serwer potrzebuje innego klucza dla każdego klienta, dystrybucja kluczy staje się problemem. Ponadto potrzeba przechowywania i ochrony wielu kluczy na wielu komputerach stwarza ogromne zagrożenie bezpieczeństwa.
Nazwa protokołu Kerberos sugeruje rozwiązanie problemu dystrybucji kluczy. Kerberos (lub Cerberus) był postacią w klasycznej greckiej mitologii — zaciętym, trzygłowym psem, który mieszkał intruzów przed wejściem do Underworld. Podobnie jak mityczny strażnik, protokół Kerberos ma trzy głowy: klienta, serwera i zaufanej innej firmy do pośrednicowania między nimi. Zaufanym pośrednikiem w tym protokole jest Centrum dystrybucji kluczy (KDC).
Centrum dystrybucji kluczy to usługa uruchomiona na serwerze fizycznie bezpiecznym. Przechowuje bazę danych z informacjami o koncie dla wszystkich podmiotów zabezpieczeń w jego obszarze. Obszar to odpowiednik protokołu Kerberos domeny w systemie Windows.
Oprócz innych informacji na temat każdego podmiotu zabezpieczeń centrum dystrybucji kluczy przechowuje klucz kryptograficzny znany tylko podmiotowi zabezpieczeń i centrum dystrybucji kluczy. Jest to klucz główny używany w wymianach między każdym podmiotem zabezpieczeń a centrum dystrybucji kluczy. W większości implementacji protokołu Kerberos ten klucz główny jest uzyskiwany przy użyciu funkcji skrótu z hasła podmiotu zabezpieczeń.
Gdy klient chce utworzyć bezpieczne połączenie z serwerem, klient rozpoczyna się od wysłania żądania do centrum dystrybucji kluczy, a nie do serwera, z którym chce nawiązać połączenie. Centrum dystrybucji kluczy tworzy i wysyła do klienta unikatowy klucz sesji dla klienta i serwera do uwierzytelniania się nawzajem. Centrum dystrybucji kluczy ma dostęp zarówno do klucza głównego klienta, jak i klucza głównego serwera. Centrum dystrybucji kluczy szyfruje kopię klucza sesji serwera przy użyciu klucza głównego serwera, a kopia klienta przy użyciu klucza głównego klienta.
Centrum dystrybucji kluczy może pełnić rolę zaufanego pośrednika, wysyłając klucz sesji bezpośrednio do każdego z zaangażowanych podmiotów zabezpieczeń, ale w praktyce ta procedura nie będzie działać z wielu powodów. Zamiast tego centrum dystrybucji kluczy wysyła oba zaszyfrowane klucze sesji do klienta. Klucz sesji serwera znajduje się w bilecie sesji .