Estoy tratando de entender lo que es la verdadera diferencia entre SSL y Kerberos autenticación, y por qué a veces tengo tanto tráfico SSL y Kerberos.
O ¿Kerberos usar SSL de alguna manera?

Cualquiera podría ayudar?
Gracias!

InformationsquelleAutor Layla | 2008-09-21

7 Comentarios

  1. 32

    Mientras Kerberos y SSL son ambos protocolos, Kerberos es un protocolo de autenticación, pero SSL es un protocolo de encriptación. Kerberos utiliza UDP, SSL utiliza (la mayoría del tiempo) TCP. La autenticación SSL es generalmente hace mediante la comprobación del servidor y del cliente RSA o ECDSA claves incrustado en algo que se llama X. 509 certificados. Estás autenticado por el certificado y la clave correspondiente. Con Kerberos, puede ser autenticados por su contraseña, o de alguna otra manera. Windows utiliza Kerberos por ejemplo, cuando se utiliza en el dominio.

    Nota relacionada: las últimas versiones de SSL son llamados TLS para la Seguridad de Capa de Transporte.

    • Primero de todo, SSL no requiere TCP. Se puede ejecutar a través de cualquier medio de transporte siempre que el transporte que garantiza la entrega, y hay DTL, que es una ligera modificación de TLS para ejecutarse en UDP. Siguiente, SSL, permite la autenticación utilizando no sólo los certificados, pero contraseñas, claves openpgp etc.
    • En adición a lo @Eugene, dijo, no está basado en Kerberos conjuntos de cifrado de TLS demasiado.
  2. 31

    SSL utiliza criptografía de clave pública:

    1. Usted (o su navegador web) tiene un público/privado par de claves
    2. El servidor tiene una clave pública/privada, así
    3. Generar una clave de sesión simétrica
    4. Cifrar con la clave pública del servidor y enviar esta clave de sesión cifrada con el servidor.
    5. El servidor descifra la clave de sesión cifrada con su clave privada.
    6. Usted y el servidor de comenzar a comunicarse utilizando la clave de sesión simétrica (básicamente porque claves simétricas son más rápidos).

    Kerberos no hace uso de la criptografía de clave pública. Utiliza una confianza 3 ª parte. He aquí un boceto:

    1. Ambos (cliente y servidor) acreditar su identidad a una confianza 3 ª parte (a través de un secreto).
    2. Cuando se desea utilizar el servidor, comprobar y ver que el servidor es digno de confianza. Mientras tanto, el servidor comprueba que son dignos de confianza. Ahora, mutua asegurada de cada una de la identificación de otros. Usted se puede comunicar con el servidor.
      2
    • Kerberos puede utilizar criptografía de clave pública para sus claves de sesión. La norma fue extendido a partir de la clave compartida mecanismos de 2006, consulte ietf.org/rfc/rfc4556.txt para obtener más detalles
    • Supongo que yo estaba hablando acerca de los mayores protocolo Kerberos. Y otro punto sería hacer una distinción acerca de cómo en SSL estás dar fe por sí mismo (a través de la clave pública/privada), mientras que en Kerberos, incluso con la PKC de claves de sesión, el servidor sigue prometiendo para usted.
  3. 24

    Poner simplemente, Kerberos es un protocolo para el establecimiento de la identidad común de la confianza, o la autenticación, para que un cliente y un servidor, a través de un tercero de confianza, mientras que SSL garantiza la autenticación del servidor solo, y solo si su clave pública ya se ha establecido como digno de confianza a través de otro canal. Tanto proporciona una comunicación segura entre el servidor y el cliente.

    De manera más formal (pero sin entrar en pruebas matemáticas), dado que un cliente C, servidor S, y una tercera parte que T que tanto C y S confianza:

    Después de Kerbeos de autenticación, se establece que:

    • C cree S es que la intención del contacto
    • S cree C es quien dice ser
    • C cree que tiene una conexión segura a S
    • C cree que S cree que tiene una conexión segura a C
    • S cree que tiene una conexión segura a C
    • S cree que C cree que tiene una conexión segura a S

    SSL, por otro lado, sólo establece que:

    • C cree S es que la intención del contacto
    • C cree que tiene una conexión segura a S
    • S cree que tiene una conexión segura a C

    Claramente, Kerberos establece un fuerte, la más completa relación de confianza.

    Además, para establecer la identidad de S a través de SSL, C necesidades de conocimiento previo acerca de S, o una forma externa para confirmar esta confianza. Para la mayoría de la gente el uso diario, esto viene en la forma de Certificados de Raíz, y el almacenamiento en caché de S‘s certificado de referencias cruzadas en el futuro.

    Sin este conocimiento previo, SSL es susceptible de ser hombre en el ataque medio, donde una tercera parte que es capaz de fingir ser S a C por la retransmisión de la comunicación entre ellos mediante 2 canales seguros independientes para C y S. Para el compromiso de autenticación de Kerberos, el intruso debe enmascararse como T tanto S y C. Nota, sin embargo, que el conjunto de relaciones de confianza es aún ininterrumpida de acuerdo a la meta de Kerberos, como el estado final aún es correcta de acuerdo a la condición de «C y S fideicomisos T«.

    Finalmente, como se ha señalado en un comentario, Kerberos puede ser y ha sido extendida para utilizar SSL-como mecanismo para establecer la conexión segura inicial entre C y T.

    • SSL es perfectamente capaz de establecer la identidad del cliente mediante certificados de cliente.
    • Sé que esto es una vieja pregunta, pero he estado tratando de averiguar una de las «mejores prácticas» conjunto de directrices para utilizar la hora de elegir SSL vs Kerberos. Esta respuesta es, en mi humilde opinión, la mejor respuesta no sólo a esta pregunta, pero la mejor respuesta de Google hacia atrás. Período. Kudos.
    • Es claro cómo certificados SSL de cliente puede establecer la identidad del cliente equipo, pero no está claro cómo se puede establecer la identidad del cliente usuario. Por ejemplo, si el usuario selecciona un dispositivo diferente, o se conecta a través de doble salto a un servicio. Kerberos hace que sin embargo, en una muy baja fricción manera.
    • Para mí, es la CA raíz de la 3ª parte. Por lo que es similar. Y en Kerberos, ¿cómo C y S de confianza T?
  4. 4

    En resumen:

    Kerberos no suele cifrar la transmisión de datos, pero SSL y TLS hacer.

    «no hay ningún estándar Api para acceder a estos mensajes. Como de
    Windows Vista, Microsoft no proporciona un mecanismo para que el usuario
    aplicaciones para producir KRB_PRIV o KRB_SAFE mensajes.» – de
    http://www.kerberos.org/software/appskerberos.pdf

    Por el contrario, SSL y TLS por lo general no la transferencia y la prueba de la Suya de dominio de Windows nombre de inicio de sesión para el servidor, pero Kerberos no.

  5. 2

    Una respuesta corta: SSL y Kerberos tanto con cifrado SSL utiliza una clave que no se modifica durante una sesión, mientras que los Kerberos utiliza varias claves para cifrar la comunicación entre un cliente y un cliente.

    En SSL, el cifrado es tratada directamente por los dos extremos de la comunicación, mientras que en Kerberos, la clave de cifrado es proporcionado por un tercero algún tipo de intermedio entre el cliente y el servidor.

    • Esto no es exactamente así – la clave se puede cambiar sobre la marcha en TLS (esto es a menudo llamado re-keying).
  6. 1

    De http://web.mit.edu/kerberos/:
    Kerberos fue creado por el MIT como una solución a estos de la red los problemas de seguridad. El protocolo Kerberos utiliza criptografía fuerte para que un cliente pueda demostrar su identidad a un servidor (y viceversa) a través de una conexión de red insegura. Después de que un cliente y un servidor se ha usado Kerberos para demostrar su identidad, también puede cifrar todas sus comunicaciones para asegurar la privacidad y la integridad de los datos de sus negocios.

    Mientras tanto:
    SSL se utiliza para establecer el servidor:<–>la autenticación de servidor a través de cifrado de clave pública.

  7. 1

    De https://www.eldos.com/security/articles/7240.php?page=all,

    Kerberos y TLS no están las cosas para comparar. Tienen diferentes objetivos y métodos. En el comienzo de nuestro artículo hemos mencionado las preguntas como «qué es mejor» y «lo que hay que elegir». La primera no es una cuestión en absoluto: no hay nada mejor y todo es bueno si se utiliza en una manera correcta. La última pregunta se merece una seria consideración: ¿cuál elegir depende de lo que tienes y lo que quieres.

    Si quieres asegurar sus comunicaciones en un sentido de que nadie puede leer o manipular, tal vez la mejor elección es para usar TLS o algunos otros protocolos basados en ella. Un buen ejemplo de uso de TLS para proteger la World Wide Web, el tráfico de HTTP es el uso de HTTPS. Para asegurar la transferencia de archivos puede utilizar FTPS, y tomar en cuenta que el servidor SMTP (a pesar de que representa una «simple» protocolo de transferencia de correo, no es «seguro») también pueden ser protegidos con TLS.

    Por otro lado, si usted necesita para gestionar el acceso de usuarios a los servicios, puede que desee utilizar Kerberos. Imaginemos, por ejemplo, que tiene varios servidores como servidor Web, FTP, SMTP y servidores de SQL, y, opcionalmente, algo más, todo en un host. Algunos clientes se les permite el uso de SMTP y HTTP, pero no se permite el uso de FTP, otros pueden utilizar FTP, pero no tienen acceso a sus bases de datos. Esta es exactamente la situación cuando Kerberos está llegando a utilizar, sólo tienes que describir los derechos de usuario y su política administrativa en el Servidor de Autenticación.

    • Por qué iba yo a querer a «gestionar el acceso de usuarios a los servicios» (es decir, dar diferentes permisos para «el mismo de usuario» para los diferentes recursos)? ¿Por qué no crear una «cuenta de usuario» con un conjunto de permisos para cada servicio, la combinación de usuario? No veo ninguna ventaja para el usuario único filosofía, aparte de la facilidad de uso en beneficio de tener que recordar sólo una contraseña pero esta facilidad de uso puede ser proporcionada en un nivel superior por parte de los administradores de contraseñas. También no entiendo cómo los servicios «en la que uno de los anfitriones» no tiene nada que ver con la autenticación.

Dejar respuesta

Please enter your comment!
Please enter your name here