Différence entre l'authentification SSL et Kerberos?

j'essaie de comprendre quelle est la différence réelle entre les Authentifications SSL et Kerberos, et pourquoi parfois j'ai à la fois du trafic SSL et Kerberos. Ou est-ce que Kerberos utilise SSL d'une manière ou d'une autre?

<!-- N'importe qui pourrait aider? Je vous remercie!

35
demandé sur Layla 2008-09-21 20:44:32

7 réponses

SSL utilise la cryptographie à clé publique:

  1. vous (ou votre navigateur) avez un clavier public/privé
  2. Le serveur a une clé publique/privée ainsi
  3. vous générez une clé de session symétrique
  4. vous cryptez avec la clé publique du serveur et envoyez cette clé de session cryptée au serveur.
  5. Le serveur déchiffre la clé de session chiffrée avec la clé privée.
  6. vous et le serveur commencez à communiquer en utilisant le symétrique clé de session (essentiellement parce que les clés symétriques sont plus rapides).

Kerberos n'utilise pas la cryptographie à clé publique. Il utilise une confiance 3ème partie. Voici un croquis:

  1. Vous (serveur et client) prouvez votre identité à un tiers de confiance (via un secret).
  2. lorsque vous voulez utiliser le serveur, vous vérifiez et voyez que le serveur est fiable. En attendant, le serveur vérifie que vous êtes digne de confiance. Maintenant, mutuellement assuré de chaque d'autres' identité. Vous pouvez communiquer avec le serveur. 2
29
répondu Chris 2008-09-21 20:06:44

Kerberos et SSL sont les deux protocoles, Kerberos est un protocole d'authentification, mais SSL est un protocole de cryptage. Kerberos utilise UDP SSL utilise (la plupart du temps) TCP. L'authentification SSL est fait par la vérification du serveur et du client RSA ou ECDSA clés intégrées dans quelque chose appelé certificats X. 509. Vous êtes authentifié par votre certificat et la clé correspondante. Avec Kerberos, vous pouvez être authentifié par votre mot de passe, ou d'une autre façon. Windows utilise Kerberos par exemple, lorsqu'il est utilisé dans le domaine.

note connexe: les versions récentes de SSL sont appelées TLS pour Transport Layer Security.

29
répondu KovBal 2017-02-05 20:34:54

pour simplifier, Kerberos est un protocole pour établir la confiance mutuelle d'identité, ou authentification, pour un client et un serveur, via un tiers de confiance, tandis que SSL assure l'authentification du serveur seul, et seulement si sa clé publique a déjà été établie comme fiable via un autre canal. Les deux permettent une communication sécurisée entre le serveur et le client.

plus formellement (mais sans entrer dans les preuves mathématiques), compte tenu d'un client C, serveur S, et un tiers T C et S confiance:

après l'authentification Kerbeos, il est établi que:

  • C pense S qui est-il destiné à contacter
  • S pense C est ce qu'elle prétend être
  • C croit qu'il a une connexion sécurisée à S
  • C croit que S croit avoir une connexion sécurisée à C
  • S croit qu'il a une connexion sécurisée à C
  • S croit que C croit avoir une connexion sécurisée à S

SSL, par contre, établit seulement que:

  • C croit S qui est-il destiné à contacter
  • C croit avoir une connexion sécurisée à S
  • S croit avoir une connexion sécurisée à C

de toute évidence, Kerberos établit une relation de confiance plus solide et plus complète.

en Outre, pour établir l'identité de l' S over SSL, C nécessite des connaissances préalables sur S, ou un externe pour confirmer cette confiance. Pour l'usage quotidien de la plupart des gens, cela se présente sous la forme de certificats racine, et la mise en cache de S's certificat de référencement dans l'avenir.

sans cette connaissance préalable, SSL est susceptible à l'attaque de l'homme-au-milieu, où un tiers est en mesure de prétendre être S C en relayant la communication entre eux en utilisant 2 canaux sécurisés séparés à C et S. De compromis d'authentification Kerberos, l'espion doit passer T S et C. Notons, cependant, que l'ensemble des trusts est encore intact selon le but de Kerberos, puisque l'état final est encore correct selon la condition préalable " C et S fiducies T".

enfin, comme il a été souligné dans un commentaire, Kerberos peut être et a été étendu pour utiliser un mécanisme de type SSL pour établir la connexion sécurisée initiale entre C et T.

22
répondu Yang Zhao 2008-10-27 07:53:16

une réponse courte: SSL et Kerberos utilisent tous les deux le cryptage mais SSL utilise une clé qui est inchangée pendant une session tandis que Kerberos utilise plusieurs clés pour crypter la communication entre un client et un client.

en SSL, le cryptage est traité directement par les deux extrémités de la communication alors qu'à Kerberos, la clé de cryptage est fournie par un tiers - une sorte d'intermédiaire - entre le client et le serveur.

1
répondu Martin08 2008-09-21 17:02:04

http://web.mit.edu/kerberos/: Kerberos a été créé par le MIT comme solution à ces problèmes de sécurité réseau. Le protocole Kerberos utilise une cryptographie forte afin qu'un client puisse prouver son identité à un serveur (et vice versa) à travers une connexion réseau non sécurisée. Après Qu'un client et un serveur ont utilisé Kerberos pour prouver leur identité, ils peuvent également crypter toutes leurs communications pour assurer la vie privée et l'intégrité des données alors qu'ils vont affaires.

entre-temps: SSL est utilisé pour établir l'authentification du serveur<-->par cryptage à clé publique.

1
répondu SErik 2015-02-03 15:58:04

En bref:

Kerberos ne crypte généralement pas le transfert de données, mais SSL et TLS le font.

" il n'y a pas d'API standard pour accéder à ces messages. Comme d' Windows Vista, Microsoft ne fournit pas de mécanisme pour l'utilisateur applications pour produire des messages KRB_PRIV ou KRB_SAFE."- à partir de http://www.kerberos.org/software/appskerberos.pdf

à l'opposé, SSL et TLS ne transfèrent généralement pas et ne vérifient pas vos fenêtres domaine nom de connexion au serveur, mais Kerberos.

1
répondu Nashev 2017-07-26 14:30:24

https://www.eldos.com/security/articles/7240.php?page=all,

Kerberos et TLS ne sont pas des choses à comparer. Leur ont des objectifs différents et des méthodes différentes. Au début de notre article, nous avons mentionné les questions fréquemment posées comme "qui est le meilleur" et "ce qu'il faut choisir". L'ancien n'est pas une question à tous: rien de mieux et tout est bon si vous l'utilisez dans un droit chemin. Cette dernière question mérite une réflexion sérieuse: à choisir dépend de ce que vous avez et ce que vous voulez.

si vous voulez sécuriser vos communications dans un sens où personne ne peut les lire ou les altérer, peut-être que le bon choix est d'utiliser TLS ou d'autres protocoles basés sur eux. Un bon exemple d'utilisation de TLS pour sécuriser le trafic World Wide Web acheminé par HTTP est L'utilisation de HTTPS. Pour le transfert de fichier sécurisé, vous pouvez utiliser FTPS, et prendre en compte que SMTP (bien qu'il représente un "simple" protocole de transfert de courrier, pas "sécurisé") est également mai être protégé par TLS.

en revanche, si vous avez besoin de gérer l'accès des utilisateurs aux services, vous pouvez utiliser l'authentification Kerberos. Imaginez, par exemple, que vous ayez plusieurs serveurs comme le serveur Web, les serveurs FTP, SMTP et SQL, et éventuellement autre chose, tout sur un seul hôte. Certains clients sont autorisés à utiliser SMTP et HTTP, mais pas à utiliser FTP, d'autres peuvent utiliser FTP mais n'ont pas accès à vos bases de données. C'est exactement la situation quand Kerberos vient à utiliser, vous avez juste pour décrire les droits des utilisateurs et votre politique administrative dans le serveur D'authentification.

-1
répondu Ahmed MANSOUR 2016-04-14 09:21:03