Welcome to Scribd. Sign in or start your free trial to enjoy unlimited e-books, audiobooks & documents.Find out more
Download
Standard view
Full view
of .
Look up keyword
Like this
1Activity
0 of .
Results for:
No results containing your search query
P. 1
Pkinit vs MD5

Pkinit vs MD5

Ratings: (0)|Views: 6|Likes:
Published by Sylvain MARET


P a s c a l G a c h e t –E I V D pascal.gachet@eivd.ch mai 2002

Résumé
Ce document décrit les différences qui interviennent au niveau protocolaire entre une version de kerberos 5 standard et une version mettant en œuvre Pkinit, dans le cas très concret de Microsoft Windows 2000 serveur. Ce document est prévu pour des lecteurs qui ont déjà une bonne connaissance de protocole Kerberos.

Pkinit
Un des principaux objectifs du standard Pkinit est de permettre une interaction entre un


P a s c a l G a c h e t –E I V D pascal.gachet@eivd.ch mai 2002

Résumé
Ce document décrit les différences qui interviennent au niveau protocolaire entre une version de kerberos 5 standard et une version mettant en œuvre Pkinit, dans le cas très concret de Microsoft Windows 2000 serveur. Ce document est prévu pour des lecteurs qui ont déjà une bonne connaissance de protocole Kerberos.

Pkinit
Un des principaux objectifs du standard Pkinit est de permettre une interaction entre un

More info:

Published by: Sylvain MARET on Jul 09, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

10/25/2012

pdf

text

original

 
 
Pkinit vs MD5
Pascal Gachet –EIVD
pascal.gachet@eivd.ch
mai 2002
 
 
 Résumé
Ce document décrit les différences qui interviennent au niveau protocolaire entre uneversion de kerberos 5 standard et une version mettant en œuvre
Pkinit
, dans le castrès concret de Microsoft Windows 2000 serveur. Ce document est prévu pour deslecteurs qui ont déjà une bonne connaissance de protocole Kerberos.
Pkinit
Un des principaux objectifs du standard
Pkinit
est de permettre une interaction entreune infrastructure à clés publique PKI et le protocole de gestion de clé Kerberos.Les utilisateurs du domaine seront en mesure de s’authentifier auprès du KDCMicrosoft 2000 en utilisant un certificat x509 à la place du classique
login
et mot depasse.Le protocole
Pkinit
ne modifie pas la procédure de Kerberos permettant d’obtenir leticket
TGT
1
, mais il modifie uniquement le mécanisme d’authentification auprès duservice d’authentification
AS
2
de Kerberos.Dans un système conventionnel n’utilisant pas
Pkinit
, la procédured’authentification de Kerberos suit les étapes suivantes :Le client désirant obtenir un ticket
TGT
pour le serveur
TGS
3
,
doit en premier lieus’authentifier après du service d’authentification
AS
.Cette authentification s’effectue dans le message
AS_req
. La méthoded’authentification peut varier suivant les implémentations du protocole, les différentesalternatives sont décrites dans le RFC 1510.
1
Ticket Granting Ticket
2
Autentication Service
3
Ticket Granting Service
ASTGS
KDC
AS_RepAS_Req
Client W2K
 
De manière générique, l’authentification suit le déroulement suivant. Le message
AS_req
contient deux informations : d’une part le nom de l’utilisateur et le nom duservice auquel il désire accéder, dans ce cas il s’agit du
TGS
; et d’autre part uneinformation qui permet au
AS
de s’assurer que le client connaît son mot de passe.Un champ de pré-authentification est prévu pour transporter le mot de passeutilisateur. Le mot de passe n’est pas transmis en clair, mais le champ pré-authentification contient un identificateur chiffré avec la
master key
, la
master key
 étant générée à l’aide d une fonction de hachage
MD5
sur le mot de passe utilisateur.Le
AS
connaît le mot de passe du client, il peut donc générer la même fonction dehachage sur le mot de passe et donc s’assurer que le client est bien celui qu’il prétendêtre en déchiffrant l’identificateur.Le protocole
Pkinit
ne modifie que les messages contenus dans les champs pré-authentification des messages échangés entre le client et le service d’authentification
AS
.Dans un système
Pkinit
, le mécanisme d’authentification suit le déroulementsuivant :Le client envoie toujours un message
AS-Req
au serveur
AS
, ce message contientdans le champ pré-authentification une liste de certificats de confiance, unauthentificateur signé (avec sa clé privée), et le certificat client.L’authentificateur dépend de l’implémentation de kerberos, il contient généralementle nom du KDC, une estampille temporelle et un Nonce.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->