Client/Server-Systeme

Transkript

1 Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2006/2007 Teil 5 Authentifizierung css0601 ww6 sch 10-96

2 Aufgaben der Darstellungsschicht (presentation Layer, Schicht 6) Einheitliche Datenstrukturen Datenkomprimierung Verschlüsselung Authentifizierung Sicherheit Namens/Directory - Dienste Zeitdienste cs 0416u ww6 wgs 07-99

3 Elektronische (Digitale) Unterschrift Empfänger kann die angebliche Identität des Senders verifizieren. Späteres Nichtanerkennen der Nachricht durch den Sender ist ausgeschlossen Realisierung mit asymmetrischen Verfahren mit den beiden Verschlüsselungsalgorithmen D (geheim) und E (öffentlich) möglich, wenn M = D(E(M)) und M = E(D(M)) Rechner 1 Rechner 2 Kd f(kd) Ke C = D Kd (M) M D E M = D Kd (C) Jeder, der Ke besitzt, kann M dechiffrieren keine Geheimhaltung Nur wer Kd kennt, kann M generiert haben Authentizität Empfänger speichert C - Beweis für den Empfang cs0617 ww6 wgs 09-98

4 Elektronische Unterschrift Verwendet asymetrisches Chiffriervervahren, z.b. RSA. Normalerweise wird mit dem öffentlichen Schlüssel verschlüsselt und mit dem privaten Schlüssel entschlüsselt. Es ist aber genauso möglich, mit dem privaten Schlüssel zu verschlüsseln und mit dem öffentlichen Schlüssel zu entschlüsseln. Personen (Sender) werden durch ihren allgemein zugänglichen öffentlichen Schlüssel eindeutig identifiziert (z.b. durch ein Feld auf ihrer WWW Homepage). Wenn jemand eine Nachricht empfängt, die mit diesem öffentlichen Schlüssel dechiffriert werden kann, dann kann der Absender nur derjenige sein, der den dazugehörigen geheimen Schlüssel besitzt. Im Zweifelsfall muß sich der Sender nachsagen lassen, daß nur er die verschlüsselte Nachricht hat senden können, die mit seinem öffentlichen Schlüssel dechiffriert werden konnte. Der Empfänger hebt als Beweismittel die Nachricht in dechiffrierter und chiffrierter Form auf. cs 0606 ww6 wgs 01-98

5 Sender Empfänger Ke f(kd) Kd C = E Ke (M) M E D M = D Kd (C) Asymetrische Verschlüsselung Sender Empfänger Kd f(kd) Ke C = D Kd (M) M D E M = E Ke (C) Digitale Unterschrift M = D(E(M)) und M = E(D(M)) cs 0654 ww6 wgs 10-01

6 Asymmetisches Chiffrierverfahren Mit dem öffentlichen Schlüssel wird chiffriert Mit dem geheimen Schlüssel wird dechiffriert Empfänger (normalerweise Server) gibt öffentlichen Schlüssel Ke be bekannt. Sender (normalerweise Klient) verschlüsselt mit öffentlichen Schlüssel, nur Empfänger kann Geheimtext mit privaten Schlüssel Kd entschlüsseln. Elektronische Unterschrift Mit dem geheimen Schlüssel wird chiffriert Mit dem öffentlichen Schlüssel wird dechiffriert Sender gibt öffentlichen Schlüssel Ke bekannt, verschlüsselt mit geheimen Schlüssel Kd. Jeder kann Geheimtext entschlüsseln. Die Nachricht muß von demjenigen stammen, der den öffentlichen Schlüssel Ke generiert hat. cs0618 ww6 wgs 09-98

7 Digitale (Elektronische) Unterschrift Sender Empfänger 1. berechnet öffentlichen und geheimen Schlüssel 2. gibt öffentlichen Schlüssel bekannt 3. sendet Nachricht, die mit dem geheimen Schlüssel chiffriert wurde 4. dechiffriert Nachricht mit öffentlichem Schlüssel Wer immer einen öffentlichen Schlüssel bekannt gibt, ist als Absender einer Nachricht, die damit dechiffriert werden kann, eindeutig identifiziert. cs 0604 ww6 wgs 01-98

8 Probleme mit der digitalen Unterschrift 1. Digitale Unterschrift besteht aus der verschlüsselten Nachricht (z.b. 50 MByte) plus öffentlichen Schlüssel (z.b. 256 Byte). Unhandlich. Normale Unterschrift unter ein 50 MByte langen Vertrag ist nur wenige Byte lang. Lösung: Secure Hash Funktion. 2. Wie stellt man sicher, dass ein öffentlicher Schlüssel tatsächlich Herrn Fritz Müller und nicht einem Eindringling gehört? Lösung: Trust Center, Certification Authority. cs 0573 ww6 wgs 11-03

9 Hashing Ein einfaches Beispiel: Nachricht 64 Bit 64 Bit 64 Bit 64 Bit 64 Bit 64 Bit 64 Bit 64 Bit 64 Bit Hashwert Beispiel: Nachricht in gleichlange Teile (hier 64 Bit) zerlegen Teile mit Exclusive Oder verknüpfen Es ist leicht, eine andere Nachricht mit dem gleichen Hashwert zu erzeugen Ein weit verbreitetes Verfahren ist der Cyclic Redundancy Check. (CRC), z.b. Ethernet Rahmen (sehr gute Fehlererkennung) 8 Byte 6 Byte 6 Byte 2 B B. 4 Byte Präambel Empfänger Sender Typ Daten CRC Adresse Adresse cs 0553 ww6 wgs 11-00

10 Secure Hash Funktion Message Digest Function Hash Funktionen erzeugen von längeren Nachrichten einen digitalen Fingerabdruck (Hashwert, Message Digest). Sie bilden einen unbeschränkten Wertebereich ( alle möglichen Nachrichten ) in einen endlichen Wertebereich ab. Sichere Hash Funktionen sind unumkehrbar und kollisionsfrei. Eine Hash Funktion H(M) ist unumkehrbar, wenn es praktisch unmöglich ist, für einen vorgegebenen Hash Wert eine sinnvolle Nachricht zu finden. Es sit nicht machbar, für einen Haschwert h eine sinnvolle Nachricht M mit H(M) = h zu finden. Eine Hash Funktion ist zusätzlich kollisionsfrei, wenn es praktisch nicht möglich ist,. für eine gegebene Nachricht eine zweite Nachricht zu finden, die den gleichen message digest erzeugt. Es ist praktisch nicht möglich, zu einer gegebenen Nachricht M eine zweite Nachricht M zu berechnen mit H(M) = H(M ). Ein derartiger Hashwert wird als digitale Unterschrift (digital Signature) bezeichnet. Der Algorithmus ist bekannt. Jeder kann aus einer beliebigen Nachricht den Hashwert (digitalen Fingerabdruck) erzeugen. Niemand kann aus einen gegebenen Hashwert eine vernünftige Nachricht erzeugen. cs0518 ww6 wgs 09-98

11 Beispiele für sichere Hash Funktionen Bekannte Hash Funktionen sind: MD5 128 Bit Hash Wert. Wird u. A. von PGP eingesetzt. SHA-1 (Secure Hash Algorithm) Vom USA Geheimdienst entwickelt. 160 Bit Hash Wert RIPE-MD160 Europäische Entwicklung, für PGP vorgesehen. 160 Bit Hash Wert MD5 Beispiel: M = There is $1500 in the blue box H(M) = 05f8cfc03f4e58cbee731aa4a14b3f03 M = There is $1100 in the blue box H(M) = d6dee11aae89661a45eb9d21e30d34cd cs 0623 ww6 wgs 01-99

12 Sender AAA Krypto Hash Funkt. Digital Signature Digital verschlüsseln Signature Internet AAA s privater Schlüssel Empfänger BBB Krypto Hash Funkt. Digital Signature entschlüsseln AAA s Compare öffentlicher Schlüssel Message Digest als elektronische Unterschrift cs0557 ww6 wgs 09-98

13 Sender AAA BBB s öffentlicher Schlüssel verschlüsseln Krypto Hash Funkt. verschlüsseln Digital Signature Digital Signature AAA s privater Schlüssel Internet Krypto Hash Funkt. Digital Signature entschlüsseln entschlüsseln BBB s privater Schlüssel AAA s Compare öffentlicher Schlüssel Empfänger BBB cs0539 ww6 wgs 09-98

14 Digest als Digitale Unterschrift PGP Verfahren 1. Hash Verfahren MD5 erzeugt Digest des Dokumentes (MD5) stellt sicher, daß aus dem Digest der Ursprungstext nicht ermittelt werden kann). 2. Digest wird mit privatem Schlüssel des Senders verschlüsselt. 3. Empfänger entschlüsselt Digest mit öffentlichen Schlüssel und verifiziert Übereinstimmung mit dem Dokument. 4. Empfänger weiß nun, daß das Dokument von demjenigen kommen muß, von dem er den öffentlichen Schlüssel erhalten hat. Der Sender kann nicht leugnen, daß er das Dokument geschickt hat, da nur er den Digest mit seinem privaten Schlüssel verschlüsselt haben kann. Problem : Der Sender streitet ab, daß der öffentliche Schlüssel von ihm stammt. Lösung: die öffentlichen Schlüsel werden in einem Trust Center hinterlegt. cs0525 ww6 wgs 09-98

15 Sicherheit von MD5 und SHA und 2005 wurden erfolgreiche Angriffe für MD5 und SHA-1 bekannt. Betreffen Kollisionen, (noch) nicht Unumkehrbarkeit. Zunächst noch kein Problem für digitale Unterschriften. SHA-2 mit Digest-Längen von 224, 256, 384 und 512 Bit standatdisiert in Andere Bezeichnungen sind SHA-224, SHA-256, SHA-384, SHA-512. Keine bekannten Angriffe. SHA-224 angepasst an Triple-DES (112 Bit Schlüssel).

16 Verifizierung von gespeicherten Daten Mit Hilfe einer Secure Hash Funktion kann überprüft werden, ob gespeicherte Daten böswillig oder auf Grund eines Fehlers verändert wurden. Hierfür existiert ein Command Line Public Domain Programm, das unter Linux oder Windows benutzt werden kann. Es generiert und verifiziert Nachrichten unter Benutzung des MD5 Algorithmus.

17 cs 0575 ww6 wgs 12-04

18 Certification Authority (CA) Trust Center (TC) Wie verifiziert der Empfänger, daß der für die elektronische Unterschrift verwendete öffentliche Schlüssel Ke tatsächlich von dem richtigen Sender stammt? Die Certification Authority garantiert, daß ein öffentlicher Schlüssel zu einer bestimmten Person gehört. Ein Trust Center im EU-Sinne verlangt gleichzeitig die Hinterlegung des privaten Schlüssels. Eine Certification Authority verlangt dies nicht. Zur Authentifizierung eines Kommunikationspartners wendet sich ein Interessent an eine CA. Von dort erhält der Interessent ein mit deren privatem Schlüssel der CA signiertes Zertifikat, was mit dem öffentlichen Schlüssel der CA entschlüsselt werden kann. Im Netscape Browser sind hierfür die öffentlichen Schlüssel verschiedener CA s hinterlegt. Das Certifikat bestätigt den öffentlichen Schlüssel des Kommunikationspartners. Woher weiß man, daß die CA selbst vertrauenswürdig ist? Der X.509 Standard spezifiziert eine Public Key Infrastruktur, die aus einer Hierarchie von CA s besteht. In Deutschland ist die Wurzel dieses Baums die Regierungsbehörde für Telekommunikation und Post. Secure Socket Layer (SSL) arbeitet mit den X.509 Standard. cs0537 ww6 wgs 09-98

19 Trust Center (TC) Certification Authority (CA) Annahme: der Kommunikationspartner hat sich zu einem früheren Zeitpunkt zertifizieren lassen. Er hat sich persönlich identifiziert und eine Kopie seines öffentlichen Schlüssels hinterlegt. 2 3 TC/ CA 1 Interessent 4 Kommunikationspartner 1. Interessent erfragt vom Kommunikationspartner dessen öffentlichen Schlüssel 2. Anfrage an TC/CA: Ist der Kommunikationspartner derjenige, der er vorgibt zu sein 3. Bestätigung durch TC/CA mit signiertem Zertifikat 4. Transaktion mit elektronischen Unterschriften cs0538 ww6 wgs 09-98

20

21 Zertifikat Version Serien Nr. Trust Center Name Gültig bis Subject Subject Public Key Signatur Algorithmus Hash Algorithmus MD5/SHA-1 Hashwert Verschlüsselung mit dem privaten Schlüssel des Trust Centers Signature Aufbau eines X.509 Zertifikates Definiert in der Abstract Syntay Notation One (ASN.1) Derzeitiger Standard (2003) ist Version X.509 v 3 cs 0566 wgs 11-02

22 Certificate: Data: Version: 1 (0x0) Serial Number: 7829 (0x1e95) Signature Algorithm: md5withrsaencryption Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Server CA/ =server-certs@thawte.com Validity Not Before: Jul 9 16:04: GMT Not After : Jul 9 16:04: GMT Subject: C=US, ST=Maryland, L=Pasadena, O=Brent Baccala, OU=FreeSoft, CN= Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:b4:31:98:0a:c4:bc:62:c1:88:aa:dc:b0:c8:bb: 33:35:19:d5:0c:64:b9:3d:41:b2:96:fc:f3:31:e1: 66:36:d0:8e:56:12:44:ba:75:eb:e8:1c:9c:5b:66: 70:33:52:14:c9:ec:4f:91:51:70:39:de:53:85:17: 16:94:6e:ee:f4:d5:6f:d5:ca:b3:47:5e:1b:0c:7b: c5:cc:2b:6b:c1:90:c3:16:31:0d:bf:7a:c7:47:77: 8f:a0:21:c7:4c:d0:16:65:00:c1:0f:d7:b8:80:e3: d2:75:6b:c1:ea:9e:5c:5c:ea:7d:c1:a1:10:bc:b8: e8:35:1c:9e:27:52:7e:41:8f Exponent: (0x10001) Signature Algorithm: md5withrsaencryption 93:5f:8f:5f:c5:af:bf:0a:ab:a5:6d:fb:24:5f:b6:59:5d:9d: 92:2e:4a:1b:8b:ac:7d:99:17:5d:cd:19:f6:ad:ef:63:2f:92: ab:2f:4b:cf:0a:13:90:ee:2c:0e:43:03:be:f6:ea:8e:9c:67: d0:a2:40:03:f7:ef:6a:15:09:79:a9:46:ed:b7:16:1b:41:72: 0d:19:aa:ad:dd:9a:df:ab:97:50:65:f5:5e:85:a6:ef:19:d1: 5a:de:9d:ea:63:cd:cb:cc:6d:5d:01:85:b5:6d:c8:f3:d9:f7: 8f:0e:fc:ba:1f:34:e9:96:6e:6c:cf:f2:ef:9b:bf:de:b5:22: 68:9f X.509 Certificate Beispiel

23 Beispiel: Die Hamburger TC TrustCenter AG ist durch die Regulierungsbehörde für Telekommunikation und Post (RegTP) als Zertifizierungsstelle für digitale Signaturen gemäß dem deutschen Signaturgesetz akkreditiert. Dies ist zusätzlich zu internationalen Gütestandards wie Identrus und SET. TC TrustCenter AG plant gemeinsam mit der HypoVereinsbank eine multifunktionale EC-Karte zur Anwendung der digitalen Signatur an Privatkunden ausgeben. cs0558 ww6 wgs 01-02

24 Signaturangebot für Kleinunternehmen Mit der Deutschen Post AG bietet das dritte deutsche Unternehmen Kleinunternehmen und Privatkunden ein Signaturpaket für Windows (ab 98SE) an. Es besteht aus der Software von Openlimit und einem Kartenleser der Firma Cherry. Das Signtrust-Paket kostet einmalig 139 Euro netto, in den folgenden Jahren fallen jeweils 39 Euro Verwaltungskosten an. Signtrust war früher Teil der im Jahr 2000 gegründeten Posteigenen ebusiness GmbH wollte der Konzern Signtrust zunächst auflösen, entschloss sich dann jedoch zum Weiterbetrieb des Trustcenters unter eigener Regie. Eine Zeitlang vertrieb es jedoch Zertifikate für Endkunden nur ohne Hard- und Software, während die Konkurrenten D-Trust und Telesec mit Komplettpaketen aufwarten konnten. Ähnliches gibt es von der Datev eg für Steuerberater und Rechtsanwälte. Die Firma wird jedoch 2007 den Betrieb ihres Trustcenters der Deutschen Post AG übergeben, da die Nachfrage zu gering war. Die Produkte eignen sich zum qualifizierten elektronischen Signieren von Dokumenten und zum Prüfen von Signaturen nach den Vorschriften des Signaturgesetzes. Allerdings gibt es bislang nur wenige Anwendungen für diese Unterschriften außerhalb von Großbetrieben. Für die vom Umsatzsteuergesetz vorgeschriebene qualifizierte Signatur beim elektronischen Versand von Rechnungen eignet sich das Signtrust-Paket ebenso wie die vergleichbaren Angebote der Konkurrenz nur bedingt, da es keinen automatischen Betrieb ermöglicht. Es lässt sich also nur für kleine Rechnungsmengen einsetzen. (ck/ix)

25 Authentifizierung Überprüfung der Identität des Benutzers authentisch ( αυϑεντικoς ) echt, den Tatsachen entsprechend und daher glaubwürdig authentifizieren (authentisch + facere) beglaubigen, die Echtheit von etwas bezeugen authentisieren (autenticare) glaubwürdig, rechtsgültig machen authenticate to prove or serve to prove the authenticity X.509 Zertifikate sind eine Form der Authentifizierung Ein-Weg-Authentifizierung (klassisch) Der Benutzer muß seine Identität gegenüber dem System beweisen, aber nicht umgekehrt Zwei-Wege-Authentifizierung Auch der Server muß sich gegenüber dem Benutzer ausweisen Die Authentisierung ist das Nachweisen einer Identität, die Authentifizierung deren Überprüfung. Im Englischen wird zwischen den beiden Begriffen nicht unterschieden cs 0542u ww6 wgs 10-99

26 Authentifizierung Ein-Weg-Authentifizierung (klassisch) Der Klient muß seine Identität gegenüber dem Server beweisen, aber nicht umgekehrt Zwei-Wege-Authentifizierung Auch der Server muß sich gegenüber dem Klienten ausweisen cs0533 ww6 wgs 09-98

27 Authentifizierung ist eines von drei Dingen: etwas, was Du weißt etwas, was Du hast etwas, was Du bist (ID, Paßwort) (Chip Karte) (Finger Abdruck, Retina Scan) two-factor authentication Beispiel Geldausgabeautomat Kreditkarte und PIN Nummer cs 0554 ww6 wgs 11-00

28 Ein-Weg-Mechanismus: Passwort Risiken Beim Eingeben: Über die Schulter sehen Beim Speichern im Rechner: Passwortdatei im Rechner stellt ein hohes Sicherheitsrisiko dar Verschlüsselte Speicherung: Durch Directory Guesses können Passwörter dennoch schnell geraten werden Aufbewahrung vom Benutzer: Wenn vom Benutzer gewählt - oft leicht zu erraten wenn vom System gewählt - Benutzer schreibt auf Änderungen durch den Benutzer: gefährlich, wenn nicht der gesamte Datenpfad sicher ist. cs0534 ww6 wgs 09-98

29 Challenges Der Server fragt beim Klienten Informationen ab, von der er weiß, dass nur der Klient über diese Informationen verfügt. Beispiel Nenne mir die Namen von 3 Schulkameraden, die mit Dir im 3. Grundschuljahr in die gleiche Klasse gingen. css0604 ww6 wgs 10-96

30 3 initiate Authentication Process 7 Response übertragen 8 authorise access Arbeitsplatz Rechner 2 login Radius Client Radius 7 Client PIN 4 Challenge 3 6 Response eingeben Corporate Network Secure Radius Server Token based Authentication System Challenge - Response Verfahren Radius Remote Authentication Dial-In User Service cs 0625 ww6 wgs 09-99

31 two-factor authentication Beispiel Geldausgabeautomat, Kreditkarte und PIN Nummer Beispiel: RSA Security SecurID Key FOB Eingebaute Quarzuhr Zufallszahlengenerator generiert alle 60 Sekunden neue Zufallszahl. Seed Number (PIN Nummer) ist geheim, nur dem Server bekannt. Server kann jederzeit nachvollziehen, welche Ziffer der Key FOB gerade wiedergibt. Aladdin E-Token: Einmalpasswort Digitale Zertifikate

32 Biometrische Authentifizierung Physiologische Lösungen Fingerabdruck Handflächenerkennung Gesichtserkennung Iris Erkennung Retina Erkennung Sprachanalyse unauffällig sehr sicher, sehr teuer Zukünftige Physiologische Lösungen Ohr Geometrie Fingerkuppenaufbau Körpergeruch Geometrische Anordnungen der Arterien in der menschlichen Hand Verhaltenslösungen Spracherkennung Handschriftendynamik Akustische Erkennung der Handschrift cs0621 ww6 wgs 09-98

33 Biometrische Authentifizierung 1.Aufnahme von Gesicht, Iris, Fingerabdruck, oder anderem Merkmal 2.Umrechnen der Daten in ein Template 3.Vergleich des aktuellen Template mit Daten in einer Datenbank 4.Errechnen der Abweichung von gespeicherten Daten 5.Vergleich der Abweichung mit einem vorher definierten Schwellwert (Akzeptanzschwelle) 6.Erkennung (Match) oder Nichterkennung (kein Match) der Person

34

35 Sicherheitsprotokolle Ein Sicherheitsprotokoll kombiniert kryptographische Methoden, elektronische Unterschriften und/oder Authentifizierungsverfahren voll symmetrisch Kerberos asymmetrische Authentifizierung Schicht 6 SSL PGP SSH OSI Schicht 2,3 IPsec PPTP cs 0574 ww6 wgs 12-03

36 Problem In einem Netz mit n Rechnern müssen (n-1) + (n-2)... 1 = 0,5 n (n-1) Schlüssel verteilt werden. Bei Verwendung eines Key-Distribution-Servers genügen n Schlüssel. für 5 Rechner sind 0,5 x 5 x 4 = 10 Schlüssel erforderlich cs 0655 ww6 wgs 01-02

37 Schüsselverteilungsserver Key Distribution Server Session Key: Schlüssel, der für die Kommunkation zwischen 2 Partnern für eine begrenzte Dauer benutzt wird. Annahme: Teilnehmer A und B haben noch nie miteinander kommuniziert. Beide verfügen über einen (individuellen) privaten Schlüssel, der nur für die Kommunikation mit einem Key Distribution Server (KDS) verwendet wird. Diese Schlüssel sind in dem KDS hinterlegt. Teilnehmer A erhält von KDS eine Kopie des Session Key, der mit dem Privaten Key von A verschlüsselt ist. Teilnehmer B erhält von KDS eine Kopie des Session Key, der mit dem Privaten Key von B verschlüsselt ist. Wird von der USA Regierung eingesetzt. Problem (tatsächlich vorgekommen): Mitarbeiter verkauft private Schlüssel, die in dem KDC hinterlegt sind. cs0519u ww6 wgs 09-98

38 KDS Key Distribution Server E Ka (Ks) E Kb (Ks) A E E B Klient Ka Kb Server Ks Ks M C = E Ks (M) M A E E B Klient Server Schlüsselverteilung Schlüssel werden durch Schlüsselverteilungsserver KDS verteilt. Jeder Partner hat einen eigenen Schlüssel Ka bzw. Kb, der nur zum Nachrichtenaustausch mit KDS verwendet wird. Zu Beginn einer Nachrichtenübertragung erhalten beide Partner vom KDS einen Sitzungsschlüssel Ks. Die Philosophie ist, daß es einem Eindringling nicht möglich ist, genügend viel Geheimtext zu sammeln um Ks zu entschlüsseln. cs0628u ww6 wgs 09-98

39 Zugriffsberechtigung in verteilten Systemen Kernel des Servers überprüft Zugriffsberechtigung des Klienten. Klient und Server müssen gemeinsam Passwort und kryptographischen Schlüssel kennen. Für eine erstmalige Kommunikation muss Schlüssel und Passwort auf einem sicheren Weg an beide Partner übermittelt werden. Public Key Verfahren ist unzureichend, da ein Einbrecher sich als legitimer Benutzer tarnen kann. Authentication Server. vs1120 ww wgs 06-94

40 Kerberos Authentifizierungs- und Schlüsselverteildienste für partizipierende Teilnehmer. Nicht jeder Knotentechner in einem Netz muß die Kerberos Dienste in Anspruch nehmen. Jeder partizipierende Teilnehmer hat einen individuellen Schlüssel, der nur ihm und Kerberos bekannt ist, und der nur für den Nachrichtenaustausch mit Kerberos verwendet wird. Kerberos Kerberos Kerberos Authentication Ticket granting Key Service Service Distribution Center A T 1,2 3,4 C Klient 5,6 S Server cs 0631u ww wgs 06-99

41 Kerberos Key Distribution Center A Authentication Service T Ticket Granting Service 3 4 Request for Server Server Ticket Ticket 1 2 Request TGS for TGS Ticket Ticket Login Setup Server Session 5 Setup Service Request C/S Communication Service Response 6 Client C Service Funktion Server S Kerberos System Architektur cs 0632u wgs 09-99

42 Ticket Ein von Kerberos ausgegebenes Kennwort, welches bestätigt, daß ein spezifischer Benutzer kürzlich authentifiziert wurde. Nonce Ein "Nonce" (not but once) ist ein Integer, der die Frische einer Nachricht bestätigt. Ein Nonce kann als Paar { Datum, Uhrzeit } dargestellt werden. Sitzunggsschlüssel Ein von Kerberos per Zufallszahlengenerator herausgegebener (in der Regel symmetrischer) Schlüssel, der von 2 Partnern für eine begrenzte Zeit zum kryptographischen Nachrichtenaustausch verwendet wird. vs1123 ww wgs 06-94

43 Kerberos Protokoll (2) Kerberos Authentication Service A Kerberos Ticket granting Service T 1,2 3,4 C Client 5,6 S Server C A T S K C K T K S K CT K CS Client Kerberos Authentication Service Kerberos Ticket Granting Service Server privater Schlüssel von C, geht nie über das Netz privater Schlüssel von T, geht nie über das Netz privater Schlüssel von S, geht nie über das Netz in der Lebensdauer begrenzter Schlüssel für die Kommunikation zwischen C und T in der Lebensdauer begrenzter Schlüssel für die Kommunikation zwischen C und S R ticket (x,y) n Authentication Request von C Authentication Bestätigung für die Kommunikation von x nach y nonce css 0637 ww6 wgs 01-98

44 Kerberos Protokoll (3) Kerberos Authentication Service Kerberos Ticket granting Service 1,2 3,4 Klient 5,6 Server 1. C A C, T, n 2. A C { K CT, n }K C, { ticket (C,T) }K T A T K CT 3. C.T { R }K CT, { ticket (C,T) }K T,S 4. T.C { K CS }K CT, { ticket (C,S) }K S T.S { K CS }K S 5. C.S { R }K CS, { ticket (C,S) }K S,Request, n 6. S.C { n }K CS, Response css 0636 ww6 wgs 01-98

45 Kerberos Protokoll 1. C A C, T, n A besitzt private Schlüssel von C und T. Gehen nie über das Netz. 2. A C K CT, n ticket (C,T) A T K CT 3. C T R ticket (C,T) S, n 4. T C K CS, n ticket (C,S) T S K CS 5. C S R ticket (C,S) Request, n 6. S C n Response K C K T K S K CT privater Schlüssel von C privater Schlüssel von T privater Schlüssel von S Schlüssel für die Kommunikation zwischen C und T K CS Schlüssel für die Kommunikation zwischen C und S cs 0630u ww6 wgs 09-99

46 Kerberos Arbeitsweise Schritt 1 Klient sendet unverschlüsselt seinen Benutzernamen plus Nonce an den Authentication Service A des Kerberos Key Distribution Center KDC Schritt 2 KDC sendet an Klient Nachricht bestehend aus 3 Teilen: 1. Schlüssel K CT für Kommunikation mit Ticket Granting Service T 2. Nonce Bestätigung 3. Ticket welches der Authentifizierung des Benutzers gegenüber T dient Teil 1 und 2 sind mit dem Paßwort des Benutzers verschlüsselt. Teil 3 ist mit einem geheimen, dem Benutzer nicht bekannten Paßwort von T verschlüsselt. Die Nachricht von T wird als Challenge bezeichnet, weil der Klient nur bei Kenntnis des Benutzer Paßwortes damit etwas anfangen kann. Das Benutzer Paßwort selbst wird nie über das Netz übertragen. Schritt 3 Klient fordert von T ein Ticket für die Nachrichtenverbindung mit S an. Diese Nachricht ist mit K CT verschlüsselt. Schritt 4 T erstellt Schlüssel K CS für Kommunikation zwischen C und S. K CS wird nach einer begrenzten Zeit ungültig. cs 0646 wgs 09-00

47 cs 3016 ww6 wgs 11-04

48 Windows Kerberos Compatibility Windows supports Kerberos v5 for client authentication, an Internet-proposed standard (defined in RFC 1510). Microsoft has subtly altered Kerberos v5 so that it will not properly interoperate with other standard Kerberos v5 implementations. Microsoft Kerberos v5 servers will interoperate with non-microsoft standard Kerberos v5 clients, but Microsoft Kerberos v5 clients will not interoperate with non-microsoft standard Kerberos v5 servers. If you use Microsoft's version of Kerberos v5, you can verify non-microsoft clients, but if you're using a non-microsoft Kerberos server, you cannot verify a Microsoft client. cs 0577 ww6 e:\vorles\cs\sum0405\pubs wgs 01-05

49 Kerberos im Detail: Zehn Schritte zur Identität im Netz Will sich ein Benutzer in einem mittels Kerberos verwalteten System beispielsweise am Mail- Server anmelden, sind drei verschiedene Rechner beteiligt: Neben dem Arbeitsplatzrechner (Client) des Benutzers sowie dem Mail-Server selbst spielt das Key Distribution Center (KDC) dabei eine zentrale Rolle. Beim KDC handelt es sich um einen besonders abgesicherten Computer innerhalb des Netzwerks, der nicht nur über sämtliche Benutzerpasswörter verfügt, sondern auch für jeden Netzwerkdienst auf jedem Server ein eigenes Passwort verwaltet. Erste Bekanntschaft mit Kerberos 1. Will der Anwender sich am Mail-System anmelden, teilt sein Client-PC dem KDC mit, dass ein bestimmter Benutzer sich authentifizieren möchte. 2. Das KDC schickt einen kryptografischen Schlüssel, Session Key 1, zurück an den Client. Genauer: Er schickt zwei Kopien dieses Schlüssels, die selbst wiederum verschlüsselt sind, die eine mit dem Passwort des Benutzers, die andere mit einem Passwort, das nur das KDC kennt. 3. Der Benutzer tippt auf dem Client-Rechner sein Passwort ein und kommt so in den Besitz von Session Key 1. Die zweite Kopie des Keys, das so genannte Ticket Granting Ticket (TGT), speichert er zur weiteren Verwendung. Anmeldung an einem Netzwerkdienst 4. Der Client schickt das TGT zurück an das KDC und teilt mit, dass der Benutzer seine Post am Mail-Server abrufen möchte. 5. Das KDC entschlüsselt das TGT mit Hilfe seines Server-Passworts und erhält so den Session Key 1 des Benutzers zurück. 6. Das KDC erzeugt einen neuen Session Key 2, speziell zum Abrufen der Post am Mail-Server. Wie-der wird der Key in zwei Kopien verschickt. Die ei-ne Kopie verschlüsselt er mit einem Passwort, das außer ihm nur der Mail-Server kennt. Für die andere verwendet er den ursprünglichen Session Key 1 aus dem TGT. Das komplette Paket mit den beiden Kopien wird auch Ticket genannt. 7. Der Client entschlüsselt mit Hilfe des ursprünglichen Session Key 1 den neuen Session Key 2 für den Mail-Server. 8. Der Client schickt die verschlüsselte zweite Kopie des Session Key 2 an den Mail-Server, um die Post des Benutzers abzurufen. 9. Der Mail-Server entschlüsselt den Session Key 2 mit Hilfe seines Server-Passworts. 10. Der Mail-Server verschlüsselt die weitere Kommunikation mit Session Key 2 und stellt so sicher, dass nur der passende Benutzer auf dem Client-Rechner sie entschlüsseln kann. Der Clou: Will sich der Benutzer für einen weiteren Netzwerkdienst anmelden, etwa an einem Web-Portal oder per ssh an einem anderen Computer, müssen lediglich die Schritte 4 bis 10 entsprechend wiederholt werden. Sie laufen völlig automatisch ab, ohne dass der Benutzer erneut sein Passwort eingeben muss jedenfalls so lange, bis der Benutzer sich ausloggt oder das TGT seine Gültigkeit verliert.

50 Probleme mit Kerberos Kerberos ist ein weit vertretetes leistungsfähiges Sicherheitsprotokoll. Schwächen: Kerberos schützt nicht gegen Änderungen im Betriebssystem des Arbeitsplatzrechners. Ein Einbrecher kann die System Software abändern, so daß jede Benutzername/Paßwort Kombination automatisch aufgezeichnet oder an eine dritte Maschine gesendet wird. Der Einbrecher kann sich so als ein legitimer Benutzer tarnen (Trojanisches Pferd). Kerberos benötigt einen sicheren Kerberos Server. Auf dem Kerberos Server sollte keine andere Anwendung laufen. Der Server muß unter Verschluß in einem physikalisch gesicherten Raum untergebracht werden. css0620 ww6 wgs 01-98