ssl - que - tls protocolo
¿Diferencia entre SSL y autenticación de Kerberos? (7)
Desde http://web.mit.edu/kerberos/ : Kerberos fue creado por MIT como una solución a estos problemas de seguridad de red. El protocolo Kerberos usa criptografía fuerte para que un cliente pueda probar su identidad en un servidor (y viceversa) a través de una conexión de red no segura. Después de que un cliente y un servidor hayan utilizado Kerberos para probar su identidad, también pueden encriptar todas sus comunicaciones para garantizar la privacidad y la integridad de los datos a medida que realizan su trabajo.
Mientras tanto: SSL se usa para establecer la autenticación del servidor <-> a través del cifrado de clave pública.
Estoy tratando de entender cuál es la diferencia real entre las autenticaciones SSL y Kerberos, y por qué a veces tengo tráfico SSL y Kerberos. ¿O Kerberos usa SSL de alguna manera?
¿Alguien podría ayudar? ¡Gracias!
Desde https://www.eldos.com/security/articles/7240.php?page=all ,
Kerberos y TLS no son las cosas para comparar. Tienen diferentes objetivos y diferentes métodos. Al principio de nuestro artículo, mencionamos las preguntas más frecuentes, como "qué es mejor" y "qué elegir". El primero no es una pregunta en absoluto: nada es mejor y todo está bien si lo usa de manera correcta. La última pregunta merece una consideración seria: qué elegir depende de lo que tenga y de lo que desee.
Si desea proteger sus comunicaciones en el sentido de que nadie puede leerlas o manipularlas, tal vez la opción correcta sea usar TLS u otros protocolos basados en ellas. Un buen ejemplo de uso de TLS para asegurar el tráfico de la World Wide Web transportado por HTTP es usar HTTPS. Para la transferencia segura de archivos puede usar FTPS y tener en cuenta que SMTP (aunque representa un protocolo de transferencia de correo "simple", no "seguro") también puede estar protegido con TLS.
Por otro lado, si necesita administrar el acceso de los usuarios a los servicios, es posible que desee usar Kerberos. Imagine, por ejemplo, que tiene varios servidores como servidor web, FTP, SMTP y servidores SQL, y opcionalmente algo más, todo en un host. Algunos clientes pueden usar SMTP y HTTP, pero no pueden usar FTP, otros pueden usar FTP pero no tienen acceso a sus bases de datos. Esta es exactamente la situación cuando se está utilizando Kerberos, solo tiene que describir los derechos de usuario y su política administrativa en el Servidor de autenticación.
En breve:
Por lo general, Kerberos no encripta los datos de transferencia, pero SSL y TLS sí.
"No hay API estándar para acceder a estos mensajes. A partir de Windows Vista, Microsoft no proporciona un mecanismo para que las aplicaciones de los usuarios produzcan mensajes KRB_PRIV o KRB_SAFE". - de http://www.kerberos.org/software/appskerberos.pdf
Al contrario, SSL y TLS por lo general no transfieren ni prueban el nombre de inicio de sesión del dominio de Windows en el servidor, pero Kerberos sí.
En pocas palabras, Kerberos es un protocolo para establecer confianza de identidad mutua, o autenticación, para un cliente y un servidor, a través de un tercero confiable, mientras que SSL garantiza la autenticación del servidor solo, y solo si su clave pública ya se ha establecido como confiable a través de otro canal. Ambos proporcionan una comunicación segura entre el servidor y el cliente.
Más formalmente (pero sin entrar en pruebas matemáticas), dado un cliente C , servidor S y un tercero T en el que confían tanto C como S :
Después de la autenticación de Kerbeos, se establece que:
- C cree que S es quien tenía la intención de contactar
- S cree que C es quien dice ser
- C cree que tiene una conexión segura con S
- C cree que S cree que tiene una conexión segura con C
- S cree que tiene una conexión segura a C
- S cree que C cree que tiene una conexión segura con S
SSL, por otro lado, solo establece que:
- C cree que S es quien tenía la intención de contactar
- C cree que tiene una conexión segura a S
- S cree que tiene una conexión segura a C
Claramente, Kerberos establece una relación de confianza más sólida y completa.
Además, para establecer la identidad de S sobre SSL, C necesita conocimiento previo sobre S , o una forma externa de confirmar esta confianza. Para el uso diario de la mayoría de las personas, esto se presenta en forma de certificados raíz y almacenamiento en caché del certificado de S para referencias cruzadas en el futuro.
Sin este conocimiento previo, SSL es susceptible al ataque man-in-the-middle, donde un tercero puede pretender ser S a C retransmitiendo la comunicación entre ellos usando 2 canales seguros separados para C y S. Para comprometer una autenticación de Kerberos, el espía debe enmascararse como T a S y C. Sin embargo, tenga en cuenta que el conjunto de fideicomisos sigue intacto de acuerdo con el objetivo de Kerberos, ya que el estado final sigue siendo correcto de acuerdo con la precondición " C y S confían en T ".
Finalmente, como se ha señalado en un comentario, Kerberos puede y ha sido extendido para usar un mecanismo similar al SSL para establecer la conexión segura inicial entre C y T.
SSL usa criptografía de clave pública:
- Usted (o su navegador) tiene un par de llaves público / privado
- El servidor tiene una clave pública / privada también
- Generas una clave de sesión simétrica
- Cifras con la clave pública del servidor y envías esta clave de sesión cifrada al servidor.
- El servidor descifra la clave de sesión cifrada con su clave privada.
- Usted y el servidor comienzan a comunicarse utilizando la clave de sesión simétrica (básicamente porque las claves simétricas son más rápidas).
Kerberos no usa la criptografía de clave pública. Utiliza un tercero de confianza. Aquí hay un boceto:
- Ambos (servidor y cliente) prueban su identidad a un tercero de confianza (a través de un secreto ).
- Cuando quiera usar el servidor, verifique y verifique que el servidor sea confiable. Mientras tanto, el servidor comprueba que eres confiable. Ahora, mutuamente seguros de la identidad de los demás. Puede comunicarse con el servidor. 2
Si bien Kerberos y SSL son ambos protocolos, Kerberos es un protocolo de autenticación, pero SSL es un protocolo de cifrado. Kerberos usa UDP , SSL usa (la mayoría de las veces) TCP . La autenticación SSL generalmente se realiza al verificar las claves RSA o ECDSA del servidor y del cliente integradas en algo llamado certificados X.509 . Estás autenticado por tu certificado y la clave correspondiente. Con Kerberos, puede ser autenticado por su contraseña, o de alguna otra manera. Windows usa Kerberos, por ejemplo, cuando se usa en el dominio.
Nota relacionada: Las versiones recientes de SSL se llaman TLS para Transport Layer Security.
Una respuesta corta: tanto SSL como Kerberos usan cifrado, pero SSL usa una clave que no se modifica durante una sesión, mientras que Kerberos usa varias claves para cifrar la comunicación entre un cliente y un cliente.
En SSL, el cifrado se maneja directamente por los dos extremos de la comunicación, mientras que en Kerberos, la clave de cifrado la proporciona un tercero, una especie de intermediario, entre el cliente y el servidor.