You are on page 1of 9

KERBEROS

DEFINICIÓN

 Kerberos es un protocolo de autenticación de redes de


computadoras creado por el MIT (Massachusetts Institute of
Technology) que permite a dos coputadoras en una red
insegura demostrar su identidad mutuamente de manera
segura.
Kerberos - Funcionamiento
Cliente
Clave Hash

Authentication Service Server


Server (AS) (SS)

Un usuario ingresa su nombre de usuario y El cliente envía un mensaje en texto plano


password en el cliente. al AS solicitando servicio en nombre del
El cliente genera una clave hash a partir del usuario. Nota: ni la clave secreta ni el
password y la usará como la clave secreta password son enviados, solo la petición del
del cliente. servicio.

Ticket Granting
Server (TGS)
Kerberos - Funcionamiento
Cliente
Clave Hash

Authentication A Service Server


Server (AS) (SS)
B

El AS comprueba si el cliente está en su Mensaje A: Client/TGS session key cifrada


base de datos. Si es así, el AS genera la usando la clave secreta del usuario
clave secreta utilizando la función hash con
Mensaje B: Ticket-Granting Ticket (que
la password del cliente encontrada en su
incluye el ID de cliente, la dirección de red
base de datos. Entonces envía dos
del cliente, el período de validez y el
mensajes al cliente:
Client/TGS session key) cifrado usando la
Ticket Granting clave secreta del TGS.
Server (TGS)

Una vez que el cliente ha recibido los mensajes, descifra el mensaje A para obtener el client/TGS session key. Esta session
key se usa para las posteriores comunicaciones con el TGS. (El cliente no puede descifrar el mensaje B pues para cifrar
éste se ha usado la clave del TGS). En este momento el cliente ya se puede autenticar contra el TGS y le envía los
siguientes mensajes.
Kerberos - Funcionamiento
Cliente
Clave Hash

Authentication A Service Server


Server (AS) (SS)
B

Mensaje C: Compuesto del Ticket-Granting C D Mensaje D: Autenticador (compuesto por


Ticket del mensaje B y el ID del servicio el ID de cliente y una marca de tiempo),
solicitado. cifrado usando el client/TGS session key.

Ticket Granting
Server (TGS)

Cuando recibe los mensajes anteriores, el TGS descifra el mensaje D (autenticador) usando el client/TGS session key y
envía los siguientes mensajes al cliente.
Kerberos - Funcionamiento
Cliente
Clave Hash

Authentication A Service Server


Server (AS) (SS)
B

Mensaje E: Client-to-server ticket (que C D E F Mensaje F: Client/server session key


incluye el ID de cliente, la dirección de red cifrada usando el client/TGS session key.
del cliente, el período de validez y una
Client/Server session key) cifrado usando
la clave secreta del servicio.
Ticket Granting
Server (TGS)

Cuando el cliente recibe los mensajes E y F, ya tiene suficiente información para autenticarse contra el SS. El cliente se
conecta al SS y envía los siguientes mensajes:
Kerberos - Funcionamiento
Cliente
Clave Hash E
Authentication A G Service Server
Server (AS) (SS)
B

Mensaje E del paso anterior. C D E F Mensaje G: un nuevo Autenticador que


incluye el ID de cliente, una marca de
tiempo y que está cifrado usando el
client/server session key.

Ticket Granting
Server (TGS)

El SS descifra el ticket usando su propia clave secreta y envía el siguiente mensaje al cliente para confirmar su
identidad:
Kerberos - Funcionamiento
Cliente
Clave Hash E
Authentication A G Service Server
Server (AS) (SS)
B H

Mensaje H: la marca de tiempo C D E F


encontrada en el último Autenticador
recibido del cliente más uno, cifrado con el
client/server session key.

Ticket Granting
Server (TGS)

El cliente descifra la confirmación usando el client/server session key y chequea si la marca de tiempo está
correctamente actualizada. Si esto es así, el cliente confiará en el servidor y podrá comenzar a usar el servicio que este
ofrece. El servidor provee del servicio al cliente.
Muchas Gracias

You might also like