Le protocole d’authentification Kerberos/Κέρϐερος Le protocole d’authentification
Présentation: C’est un protocole d'authentification réseau qui repose sur un mécanisme. de clés secrètes et l’utilisation de tickets. Créé au MIT par Miller et Neuman (1994). Version 5 normalisée par l’IETF (Internet Engineering Task Force). L’objet de Kerberos est la mise en place de serveur d’authentification (AS/Authentification Server).
Chiffrement Symétrique La cryptographie symétrique, également dite à clé secrète est la plus ancienne forme de chiffrement. L'un des concepts fondamentaux de la cryptographie symétrique est la clé. Une clé est une donnée qui, traitée par un algorithme, permet de chiffrer et de déchiffrer un message. La clé de chiffrement symétrique (cryptographie symétrique) utilise la même clé pour chiffrer et déchiffrer. Contrairement à la clé Asymétrique (cryptographie asymétrique), dans ce cas on utilise deux clés différentes, la clé de chiffrement est publique alors que celle servant au déchiffrement est gardée secrète (la clé secrète, ou clé privée, ne peut pas se déduire de la clé publique).
Exemple de chiffrement Symétrique: Si Anne (A) veut envoyer un message chiffré à Bob (B) elle doit lui communiquer un mot de passe (Clé). Comme l'algorithme de chiffrement est symétrique, on a la relation suivante : TexteChiffré(codé) = Chiffrement (clé, texte)
Exemple de chiffrement Asymétrique: La propriété des algorithmes asymétriques est qu'un message chiffré par une clé publique n'est lisible que par le propriétaire de la clé privée correspondante. A l'inverse, un message chiffré par la clé privée sera lisible par tous ceux qui possèdent la clé publique. Ainsi avec sa clé privée, Anne : signe ses messages lit (déchiffre) les messages qui lui sont adressés
Le certificat électronique: Il contient: au moins une clé publique des informations d'identification, par exemple : noms, localisation, E-mails au moins une signature ; de fait quand il n'y en a qu'une, l'entité signataire est la seule autorité permettant de prêter confiance (ou non) à l'exactitude des informations du certificat. A un cycle de vie
Fonctionnement: Le protocole Kerberos répons sur un système de cryptographie à base de clés secrètes, avec l'algorithme DES. Le principe de fonctionnement de Kerberos repose sur la notion de « tickets » : Afin d'obtenir l'autorisation d'accès à un service, un utilisateur distant doit envoyer son identifiant au serveur d'authentification. Le serveur d'authentification vérifie que l'identifiant existe et envoie un ticket initial au client distant, chiffré avec la clé associée au client. Le ticket initial contient : une clé de session, faisant office de mot de passe temporaire pour chiffrer les communications suivantes un ticket d'accès au service de délivrement de ticket. Le client distant déchiffre le ticket initial avec sa clé et obtient ainsi un ticket et une clé de session. Grâce à son ticket et sa clé de session, le client distant peut envoyer une requête chiffrée au service de délivrement de ticket, afin de demander l'accès à un service. Par ailleurs, Kerberos propose un système d'authentification mutuelle permettant au client et au serveur de s'identifier réciproquement. L'authentification proposée par le serveur Kerberos a une durée limitée dans le temps, ce qui permet d'éviter à un pirate de continuer d'avoir accès aux ressources : on parle ainsi d'anti rejeu.* *Une attaque par rejeu (ou replay attack) est une forme d'attaque réseau dans laquelle une transmission est malicieusement ou frauduleusement répétée par une tierce partie interceptant les paquets sur la ligne.
Exemple d’un réseau utilisant Kerberos :
Le D.E.S. (Data Encryption Standard) C’est un système de chiffrement par bloc: Cela signifie que D.E.S. ne chiffre pas les données à la volée quand les caractères arrivent, mais il découpe virtuellement le texte clair en blocs de 64 bits qu’il code séparément, puis qu'il concatène. Un bloc de 64 bits du texte clair entre par un coté de l'algorithme et un bloc de 64 bits de texte chiffré sort de l'autre coté. L’algorithme est assez simple puisqu’il ne combine en fait que des permutations et des substitutions. On parle en cryptologie de techniques de confusion et de diffusion. C’est un algorithme de cryptage à clef secrète. La clef sert donc à la fois à crypter et à décrypter le message. Cette clef a ici une longueur de 64 bits, c’est-à-dire 8 caractères, mais seulement 56 bits sont utilisés. On peut donc éventuellement imaginer un programme testant l’intégrité de la clef en exploitant ces bits inutilisés comme bits de contrôle de parité.
Protocoles/Application utilisable avec Kerberos: Apache Eudora FileZilla (version 2) Mac OS X (10.2 et suivants) Microsoft Windows (2000 et suivant) l'utilise comme protocole d'authentification par défaut NFS Openfire utilisé conjointement avec Spark OpenSSH PAM Samba SOCKS