Übung 9

chris_tanase
Erstie
Erstie
Beiträge: 22
Registriert: 23. Okt 2008 18:08

Übung 9

Beitrag von chris_tanase »

Hi,
hab mal meine Gedanken zu Übung 9 aufgeschrieben. Bin für jede Anregung dankbar :)

1) Kerberos
a)
1.
Die Challenge ist das Senden der Zufallszahl (Nonce) mit der hier der KDC aufgefordert wird sich zu authentifizieren.
2.
Die verschlüsselte Nonce in der Response zeigt dann, dass die Nachricht tatsächlich vom KDC stammt.

Die Authentifikation des Clients findet doch dadurch statt, dass er den erhaltenen K(Joe) mit seinem vorab eingegeben Passwort korrekt entschlüsselt und damit die Kommunikation zum TGS verschlüsselt, richtig?^^
)
b)
Der Client benutzt das Ticket, das er vom TGS erhalten hat in Kombination mit dem Authenticator A(Joe) um sich beim NFS zu authentifizieren.

c)
Im angegeben Protokoll garnicht. Wäre jedoch möglich durch eine passende Antwort von NFS an Client (zB timestamp+1)

d)
Authentifizierung von Client ggü. TGS durch verschlüsselten (Joe/TGS) Authenticator

2) SSL
a)
Der Server authetifiziert sich beim Client, aber was genau sind hier Challenge/Response?

b)
Dadurch wird eine Man-in-the-Middle Attacke möglich, da erst das Zertifikat beweist, dass der public key tatsächlich von diesem Server stammt.

Viele Grüße,
Chris

c-3po
Erstie
Erstie
Beiträge: 11
Registriert: 4. Nov 2010 17:16

Re: Übung 9

Beitrag von c-3po »

Die Authentifikation des Clients findet doch dadurch statt, dass er den erhaltenen K(Joe) mit seinem vorab eingegeben Passwort korrekt entschlüsselt und damit die Kommunikation zum TGS verschlüsselt, richtig?^^
Ich glaub du vermischst hier ein paar Dinge. Durch das eingegebene Passwort authentifiziert sich der User (Joe) beim Client. Dadurch ist der Client nun also automatisch im Besitz des Master-Keys K(Joe). Diesen Key benutzt er zB. dazu, die Nachricht vom KDC in Schritt (2) zu entschlüsseln.
Um Nachrichten zwischen sich und dem TGS zu ver- bzw. entschlüsseln benutzen sowohl Client, als auch TGS den gemeinsamen Key K(Joe, TGS).
Was du mit "Authentifikation des Clients" meinst, weiß ich nicht genau. Aber der Client authentifiziert sich zwei Mal. In Schritt (3) und (5). Was vor Schritt (1) passiert, ist der Login, und dabei authentifiziert sich Joe beim Client. Afaik ^^.

Aufgabe 1
---------

a.1) Keine Einwände.
a.2) Keine Einwände.

b) Der Client authentifiziert sich beim NFS über das vom TGS ausgestellte Ticket und seinen selbst erstellten Authentikator. Im Ticket ist der gemeinsame Schlüssel zwischen Client und NFS enthalten, welcher zur Entschlüsselung des Authentikators benötigt wird. Nach Entschlüsselung des Tickets kann der NFS also den Authentikator entschlüsseln und auf Aktualität und Echtheit überprüfen.

c) Keine Einwände

d) Analog zu b).

Aufgabe 2
---------

a.1) Der Server authentifiziert sich beim Client. Letzterer fordert ein Zertifikat vom Server an (Challenge).

a.2) Die Response wird als ClientKeyExchange gesendet, in der der Client dem Server den Pre-Master-Key zukommen lässt.
Der Unterschied zu dem in der Vl vorgestellten CR-Verfahren ist, das hier nicht wie für gewöhnlich eine zuvor verschlüsselte Nonce entschlüsselt wird und auf Übereinstimmung geprüft wird, sondern dass die Challenge darin besteht, ein gültiges Zertifikat zu liefern.

b) Keine Einwände

plo1234
BASIC-Programmierer
BASIC-Programmierer
Beiträge: 116
Registriert: 14. Nov 2009 18:51

Re: Übung 9

Beitrag von plo1234 »

chris_tanase hat geschrieben:Hi,
1) Kerberos
a)
1.
Die Challenge ist das Senden der Zufallszahl (Nonce) mit der hier der KDC aufgefordert wird sich zu authentifizieren.
2.
Die verschlüsselte Nonce in der Response zeigt dann, dass die Nachricht tatsächlich vom KDC stammt.
Könnte das wer ein bisschen ausführen?
Es könnte doch jeder ankommen und die erste Nachricht (Client -> KDC) abfangen und mit dem Public Key des Clients die 2. Nachricht fälschen. Klar, dann wäre der \(K_{Joe,TGS}\) ungültig, aber das wüsste der Client da noch nicht. Es hätte eben auch in den ersten beiden Schritten keine Authetifikation stattgefunden.

Unsere Idee war, dass sich der Client authtifiziert, da er eben der einzige ist, der die Antwort von KDC entschlüsseln kann. Allerdings würde die Authentifikation dann erst in Schritt 3 oder so geschehen.
Grüße

arne.lottmann
Mausschubser
Mausschubser
Beiträge: 99
Registriert: 4. Okt 2010 16:25

Re: Übung 9

Beitrag von arne.lottmann »

Soweit ich das verstanden habe, wird bei Kerberos vorrangig symmetrische Kryptographie verwendet, d.h. insbesondere \(K_Joe\) ist ein symmetrischer Schlüssel, der nur dem Client bekannt ist, nachdem sich Joe dort mittels Passwort eingeloggt hat, und dem KDC. Damit kann nur das KDC die Antwort (insbesondere die Nonce) mit \(K_Joe\) verschlüsseln.

Antworten

Zurück zu „Archiv“