55

SSL と Kerberos 認証の実際の違いと、SSL トラフィックと Kerberos の両方が存在することがある理由を理解しようとしています。または、Kerberos は何らかの方法で SSL を使用しますか?

誰でも助けることができますか?ありがとうございました!

4

7 に答える 7

40

SSLは公開鍵暗号を使用します。

  1. あなた(またはあなたのブラウザ)はパブリック/プライベートキーペアを持っています
  2. サーバーには公開鍵/秘密鍵もあります
  3. 対称セッションキーを生成します
  4. サーバーの公開鍵で暗号化し、この暗号化されたセッション鍵をサーバーに送信します。
  5. サーバーは、暗号化されたセッションキーをその秘密キーで復号化します。
  6. ユーザーとサーバーは、対称セッションキーを使用して通信を開始します(基本的に、対称キーの方が高速であるため)。

Kerberosは公開鍵暗号を使用しません。信頼できるサードパーティを使用しています。スケッチは次のとおりです。

  1. あなたの両方(サーバーとクライアント)は、信頼できるサードパーティに(シークレットを介して)自分のIDを証明します。
  2. When you want to use the server, you check and see that the server is trustworthy. Meanwhile, the server checks to see that you are trustworthy. Now, mutually assured of each others' identity. You can communicate with the server. 2
于 2008-09-21T20:06:44.547 に答える
37

KerberosSSLはどちらもプロトコルですが、Kerberos は認証プロトコルですが、SSL は暗号化プロトコルです。Kerberos は通常UDPを使用し、SSL は (ほとんどの場合) TCPを使用します。SSL 認証は通常、X.509 証明書と呼ばれるものに埋め込まれたサーバーとクライアントのRSAキーまたはECDSAキーをチェックすることによって行われます。証明書と対応するキーによって認証されます。Kerberos を使用すると、パスワードまたはその他の方法で認証できます。たとえば、ドメインで使用する場合、Windows は Kerberosを使用します。

注意: SSL の最近のバージョンは、Transport Layer Security の TLS と呼ばれます。

于 2008-09-21T19:11:52.277 に答える
29

簡単に言うと、Kerberos は、信頼できるサードパーティを介して、クライアントとサーバーの相互 ID 信頼または認証を確立するためのプロトコルです。一方、SSL は、公開鍵が既に確立されている場合にのみ、サーバーのみの認証を保証します。別のチャネルを介して信頼できるものとして。どちらも、サーバーとクライアント間の安全な通信を提供します。

クライアントC、サーバーS 、およびCSの両方が信頼するサードパーティTが与えられた場合、より形式的に (ただし数学的証明には入らない) :

Kerbeos 認証の後、次のことが確立されます。

  • Cは、 Sが本来の連絡先であると信じている
  • Sは、 Cが自分の主張する人物であると信じている
  • Cは、 Sへの安全な接続があると信じている
  • Cは、SがCへの安全な接続を持っていると信じていると信じている
  • Sは、 Cへの安全な接続があると信じている
  • Sは、Sへの安全な接続があるとCは信じていると信じている

一方、SSL は次のことのみを確立します。

  • Cは、 Sが本来の連絡先であると信じている
  • Cは、 Sへの安全な接続があると信じている
  • SはCへの安全な接続があると信じている

明らかに、Kerberos はより強力で完全な信頼関係を確立します。

さらに、 SSL 経由でSの ID を確立するために、 CはSに関する事前の知識、またはこの信頼を確認するための外部の方法を必要とします。ほとんどの人が日常的に使用する場合、これはルート証明書の形で提供され、将来の相互参照のためにSの証明書をキャッシュします。

この事前知識がないと、SSL は中間者攻撃の影響を受けやすくなり、サードパーティはCSへの 2 つの別個の安全なチャネルを使用して両者間の通信を中継することで、 SからCのふりをすることができます。Kerberos 認証を危険にさらすには、盗聴者はSCの両方に対してTになりすます必要があります。ただし、前提条件「CおよびSはTを信頼する」に従って、最終状態が依然として正しいため、信頼のセットは Kerberos の目標に従ってまだ壊れていないことに注意してください。

最後に、コメントで指摘されているように、Kerberos はCT間の最初の安全な接続を確立するために SSL のようなメカニズムを使用するように拡張できます。

于 2008-10-27T07:53:16.390 に答える
3

簡単な答え: SSL と Kerberos はどちらも暗号化を使用しますが、SSL はセッション中に変更されないキーを使用しますが、Kerberos はクライアントとクライアント間の通信を暗号化するために複数のキーを使用します。

SSL では、暗号化は通信の両端で直接処理されますが、Kerberos では、暗号化キーはクライアントとサーバーの間のサード パーティ (ある種の中間体) によって提供されます。

于 2008-09-21T16:55:56.033 に答える
2

http://web.mit.edu/kerberos/から: Kerberos は、これらのネットワーク セキュリティの問題に対する解決策として MIT によって作成されました。Kerberos プロトコルは強力な暗号化を使用するため、クライアントは、セキュリティで保護されていないネットワーク接続を介してサーバーに対して ID を証明できます (逆も同様)。クライアントとサーバーは、Kerberos を使用して身元を証明した後、すべての通信を暗号化して、業務を遂行する際のプライバシーとデータの整合性を保証することもできます。

一方、SSL は、公開鍵暗号化によるサーバー<-->サーバー認証の確立に使用されます。

于 2015-02-03T15:58:04.707 に答える
2

https://www.eldos.com/security/articles/7240.php?page=allから、

Kerberos と TLS は比較対象ではありません。彼らは異なる目的と異なる方法を持っています。記事の冒頭で、「どちらが優れているか」や「何を選択するか」などのよくある質問について説明しました。前者はまったく問題ではありません。正しい方法で使用すれば、これ以上良いものはなく、すべてが良いものです。後者の質問は真剣に検討する価値があります。何を選択するかは、持っているものと欲しいものによって異なります。

誰もそれを読み取ったり改ざんしたりできないという意味で通信を保護したい場合、おそらく正しい選択は、TLS またはそれに基づく他のプロトコルを使用することです。HTTP によって伝送される World Wide Web トラフィックを保護するために TLS を使用する良い例は、HTTPS を使用することです。安全なファイル転送には FTPS を使用できますが、SMTP (「安全」ではなく「単純な」メール転送プロトコルを表します) も TLS で保護されている可能性があることを考慮してください。

一方、サービスへのユーザー アクセスを管理する必要がある場合は、Kerberos を使用することをお勧めします。たとえば、Web サーバー、FTP、SMTP、SQL サーバーなどの複数のサーバーがあり、オプションで他のサーバーがあり、すべてが 1 つのホストにあるとします。一部のクライアントは SMTP と HTTP の使用を許可されていますが、FTP の使用は許可されていません。他のクライアントは FTP を使用していてもデータベースへのアクセス権を持っていません。これはまさに Kerberos が使用されるようになったときの状況です。認証サーバーにユーザー権限と管理ポリシーを記述するだけで済みます。

于 2016-04-14T09:21:03.183 に答える