Aracılığıyla paylaş

Anahtar Dağıtımı

  • Makale

Gizli anahtar kimlik doğrulama tekniği, istemci ve sunucunun gizli oturum anahtarını birbirleriyle oturumlarda kullanmak nasıl edindiğini açıklamaz. Eğer insanlarsa, gizli gizli buluşup anahtarı kabul ederler. Ancak istemci bir iş istasyonunda çalışan bir programsa ve sunucu bir ağ sunucusunda çalışan bir hizmetse, bu yöntem çalışmaz.

bir istemci birçok sunucuyla iletişim kurmak isteyecektir ve her biri için farklı anahtarlara ihtiyaç duyar. Bir sunucu birçok istemciyle iletişim kurar ve her biri için farklı anahtarlara da ihtiyaç duyar. Her istemcinin her sunucu için farklı bir anahtara ihtiyacı varsa ve her sunucu her istemci için farklı bir anahtara ihtiyaç duyuyorsa, anahtar dağıtımı sorun haline gelir. Buna ek olarak, birçok bilgisayarda birçok anahtarı depolama ve koruma gereksinimi muazzam bir güvenlik riski oluşturur.

Kerberos protokolünün adı anahtar dağıtımı sorununa çözüm önerir. Kerberos (veya Cerberus), klasik Yunan mitolojisindeki bir figürdü. Mitolojik koruyucu gibi Kerberos protokolünü de üç tura sahiptir: bir istemci, bir sunucu ve aralarında aracılık yapmak için güvenilir bir üçüncü taraf. Bu protokoldeki güvenilir aracı Anahtar Dağıtım Merkezi'dir (KDC).

KDC, fiziksel olarak güvenli bir sunucuda çalışan bir hizmettir. Kendi alanındatümgüvenlik sorumluları için hesap bilgilerini içeren bir veritabanı tutar. Bölge, Windows'daki bir etki alanının Kerberos eşdeğeridir.

KDC, her güvenlik sorumlusu hakkındaki diğer bilgilerle birlikte yalnızca sorumlu ve KDC tarafından bilinen bir şifreleme anahtarı depolar. Bu, her güvenlik sorumlusu ile KDC arasındaki değişimlerde kullanılan ana anahtarı. Kerberos protokolünün çoğu uygulamasında, bu ana anahtar bir güvenlik sorumlusunun parolasından karma işlevi kullanılarak türetilir.

İstemci bir sunucuyla güvenli bir bağlantı oluşturmak istediğinde, istemci ulaşmak istediği sunucuya değil, KDC'ye bir istek göndererek başlar. KDC, istemci ve bir sunucunun birbirlerinin kimliğini doğrulamak için kullanması için benzersiz bir oturum anahtarı oluşturur ve istemciye gönderir. KDC hem istemcinin ana anahtarına hem de sunucunun ana anahtarına erişebilir. KDC, sunucunun ana anahtarını kullanarak sunucunun oturum anahtarının kopyasını ve istemcinin kopyasını istemcinin ana anahtarını kullanarak şifreler.

KDC, oturum anahtarını doğrudan ilgili güvenlik sorumlularının her birine göndererek güvenilir aracı rolünü yerine getirebiliyordu, ancak uygulamada bu yordam birkaç nedenden dolayı çalışmayacaktır. Bunun yerine, KDC her iki şifrelenmiş oturum anahtarını da istemciye gönderir. Sunucunun oturum anahtarı, biroturum biletine eklenir.