Jaké jsou výhody ověřování pomocí protokolu Kerberos?

Kerberos je síťový ověřovací protokol, který používá šifrované tikety k předávání informací přes nezabezpečené sítě. Ověřování pomocí protokolu Kerberos představuje několik výhod oproti jiným metodám ověřování v síti, takže uzly komunikující mezi sebou mohou věřit, že informace, které dostávají, jsou autentické a spolehlivé a že budoucí relace budou mít stejnou autenticitu.

Vzájemné ověřování

Když dva uzly - například klient a server nebo server a server - zahájí komunikaci, předají zašifrované tikety prostřednictvím důvěryhodného systému třetí strany zvaného Centrum distribuce klíčů. KDC předá tajný lístek s dešifrovacím klíčem do obou uzlů. Uzly si pak navzájem předávají zašifrovaná časová razítka a pomocí klíče je dešifrují. Pokud tak učiní úspěšně, ověří své protějšky a mohou si navzájem důvěřovat, dokud relace zůstane otevřená.

Hesla

Když se server pokusí ověřit klientský počítač pomocí protokolu Kerberos, klient nemusí zasílat heslo - díky vzájemnému ověřování mají klient i server potřebné informace potřebné k dešifrování lístků. To znamená, že jakýkoli sledovač paketů odposlouchávající komunikaci nebude mít přístup k heslům klienta nebo serveru, natož k jakýmkoli dalším informacím předávaným během relace.

Integrované relace

Když je klientský uzel ověřen v síti podporované protokolem Kerberos, obdrží lístek klienta s časovým razítkem vypršení platnosti. Dokud lístek nevypršel, může jej klient použít k přístupu k jakékoli jiné síťové službě, která podporuje ověřování pomocí protokolu Kerberos, aniž by se musel znovu ověřovat. Pokud je relace klienta v síti stále aktivní, ale platnost lístku vyprší, může klient požádat o nový lístek.

Obnovitelné relace

Jakmile se klient a server navzájem autentizují, už to nemusí dělat znovu. V rámci vzájemného ověřování klient obdrží pověření od serveru. Když klient zahájí budoucí relaci, odešle své přihlašovací údaje na server, který je rozpozná a klienta okamžitě ověří. To eliminuje potřebu KDC, takže dva uzly mohou navázat zabezpečené připojení ještě rychleji, než tomu bylo během jejich první relace.