Kerberos

De Wikipedia, la enciclopedia libre

Para Kerberos como personaje de Sakura Card Captor.

Kerberos es un protocolo de autenticación de redes de ordenador que permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura. Kerberos evita eavesdropping y ataques de Replay, y garantiza la integridad de datos. Sus diseñadores se concentraron primeramente en un modelo de cliente-servidor, y brinda autenticación mutua: tanto cliente como servidor verifican la identidad uno del otro.

Kerberos se basa en criptografía de clave simétrica y requiere un tercero de confianza.

[editar] Historia y desarrollo

El Instituto Tecnológico de Massachusetts (MIT) desarrolló Kerberos para proteger los servicios de red proporcionados por el proyecto Athena. El proyecto recibió el nombre debido al personaje mitológico griego Kerberos (o Can Cerberos), el perro guardián de tres cabezas de Hades. Existen varias versiones del protocolo. Las versiones 1 a 3 se desarrollaron solo dentro del ambiente del MIT.

Steve Miller y Clifford Neuman, los principales diseñadores de la versión 4 de Kerberos, publicaron esa versión al final de la década de 1980, aunque la había orientado principalmente para el proyecto Athena.

La versión 5, diseñada por John Kohl y Clifford Neuman, apareció como la RFC 1510 en 1993 (que quedó obsoleta por la RFC 4120 en 2005), con la intención de eliminar las limitaciones y problemas de seguridad presentes en la versión 4.

El MIT distribuye una implementación de Kerberos libremente bajo una licencia similar a la de BSD.

Autoridades de los Estados Unidos clasificaron a Kerberos como munición y prohibieron su exportación porque usa el algoritmo de cifrado DES (con clave de 56 bits). Una implementación no estadounidense de Kerberos 4, KTH-KRB, desarrollada en Suecia, puso el sistema a disposición fuera de los Estados Unidos antes de que éste cambiara sus políticas de exportación de criptografía (alrededor del año 2000). La implementación sueca se basó en una versión llamada eBones, la cual se basaba en la versión exportada MIT Bones (a la que se le habían quitado las funciones de cifrado y las llamadas a ellas), basada a su vez en Kerberos 4, nivel de corrección 9. El australiano Eric Young, autor de numerosas librerías criptográficas, puso nuevamente las llamadas a funciones y usó su librería de cifrado libdes. Esta versión algo limitada de Kerberos se llamó versión eBones. Una implementación de Kerberos en su versión 5, Heimdal, se lanzó por básicamente el mismo grupo de gente que lanzó KTH-KRB.

Windows 2000, Windows XP y Windows Server 2003 usan una variante de Kerberos como su método de autenticación por defecto. Algunos agregados de Microsoft al conjunto de protocolos de Kerberos están documentados en la RFC 3244 "Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols" (Protocolos de cambio y seteo de clave de tipo Kerberos en Microsoft Windows 2000). Mac OS X de Apple también usa Kerberos tanto en sus versiones de cliente y de servidor.

Hasta el año 2005, el grupo de trabajo de Kerberos de la IETF se encuentra actualizando las especificaciones [1]. Actualizaciones recientes incluyen:

"Especificación de cifrado y código de chequeo de errores" (RFC 3961),
Cifrado por "AES para Kerberos 5" (RFC 3962),
Una nueva versión de la especificación de Kerberos 5: "El servicio de autenticación Kerberos (V5)" (RFC 4120). Esta versión hace obsoleta a la RFC 1510, clarifica aspectos del protocol y de su uso esperado en mayor detalle y una explicación más clara,
Una nueva edición de la especificación de la interfaz de programa de aplicación de servicios de seguridad genéricos: "El mecanismo de interfaz de programa de aplicación de servicios de seguridad genéricos (GSS-API) de Kerberos Version 5: Version 2." (RFC 4121).

[editar] ¿Qué es Kerberos?

Kerberos es un protocolo de autenticación de red que permite que individuos comunicándose sobre una red insegura prueben su identidad a otro en una manera segura.

Evita ataques de escucha (eavesdropping) o repetición (replay), y asegura la integridad de los datos, ya que puede proporcionar integridad y confidencialidad.

Está basado en criptografía de clave simétrica, y necesita de un tercero confiable (KDC o Key Distribution Center) el cual consiste de dos partes lógicas : un servidor de autenticación (AS) y un Servidor de Otorgamiento de Tickets (TGS).

Kerberos trabaja sobre la base de “tickets” los cuales sirven para probar la identidad de los usuarios. El sistema mantiene una base de datos de claves secretas, las cuales corresponden cada una a una entidad en la red.

Esta clave es conocida solo por la entidad y Kerberos.

El conocimiento de esta clave permite probar la identidad de una entidad de la red. Para comunicación entre dos entidades, Kerberos genera una clave de sesión (el ticket) el cual utilizan para validar sus interacciones.

Una versión gratuita de este protocolo está disponible en el Massachusetts Institute of Technology.

Internet no es un lugar seguro. Muchos de los protocolos usados en Internet no proporcionan características de seguridad. Es habitual que piratas informáticos maliciosos empleen herramientas para rastrear y conseguir contraseñas de la red. Por lo tanto, las aplicaciones que envían una contraseña no cifrada por la red son sumamente vulnerables. Peor aún, algunas aplicaciones de cliente/servidor dependen de la honestidad del usuario que las está usando acerca de su identidad .

Algunos sitios intentan solucionar los problemas de seguridad de la red con cortafuegos (Firewall) . Desafortunadamente, el uso exclusivo de cortafuegos se basa en la suposición de que los "villanos" están en el exterior, lo que es a menudo una suposición incorrecta y peligrosa. Un buen número de los más graves delitos informáticos son ejecutados desde dentro de la propia corporación atacada. Los cortafuegos también adolecen de una desventaja importante, ya restringen cómo pueden usar Internet los usuarios de la red por ellos protegida. Después de todo, los cortafuegos son sólo un ejemplo menos extremista del dictamen de que no hay nada más seguro que una computadora que está desconectada de la red. Pero en muchos casos, estas restricciones son simplemente inasumibles.

Kerberos fue creado por el MIT como una solución para estos problemas de seguridad de la red. El protocolo de Kerberos usa una criptografía fuerte con el propósito de que un cliente pueda demostrar su identidad a un servidor (y viceversa) a través de una conexión de red insegura. Después de que un cliente/servidor han conseguido a través de Kerberos demostrar su identidad, también pueden cifrar todas sus comunicaciones para garantizar la privacidad y la integridad de los datos intercambiados.

Kerberos está disponible gratuitamente en el MIT, bajo permisos de derechos de autor muy similares a aquellos que usaron para el sistema operativo de BSD y el X Window System. El MIT provee el código fuente de Kerberos con el propósito de que quienquiera que desee usarlo pueda estudiar el código y así asegurarse de que el código es digno de confianza. Además, para aquellos que prefieren depender de un producto con un soporte profesional, Kerberos está disponible a través de muchos distribuidores diferentes como producto comercial.

En el resumen, Kerberos es una solución para ciertos problemas de seguridad de la red. Provee las herramientas de autentificación y criptografía reforzada a través de la red para ayudar a asegurar que los sistemas de información de una empresa o corporación están bien resguardados.