Kerberos is een netwerkverificatieprotocol dat versleutelde tickets gebruikt om informatie door te geven via niet-beveiligde netwerken. Kerberos-verificatie biedt verschillende voordelen ten opzichte van andere netwerkverificatiemethoden, zodat de knooppunten die met elkaar communiceren erop kunnen vertrouwen dat de informatie die ze ontvangen authentiek en betrouwbaar is, en dat toekomstige sessies dezelfde authenticiteit zullen hebben.
Wederzijdse authenticatie
Wanneer twee knooppunten - zoals een client en server of server en server - beginnen te communiceren, geven ze versleutelde tickets door aan een vertrouwd systeem van derden, het Key Distribution Center. Het KDC geeft een geheim ticket met een decoderingssleutel door aan beide knooppunten. De knooppunten geven vervolgens gecodeerde tijdstempels aan elkaar door en gebruiken de sleutel om ze te decoderen. Als ze dit met succes doen, authenticeren ze hun tegenhangers en kunnen ze elkaar vertrouwen zolang de sessie open blijft.
Wachtwoorden
Wanneer een server probeert een clientcomputer te authenticeren met behulp van het Kerberos-protocol, hoeft de client geen wachtwoord te verzenden - dankzij de wederzijdse authenticatie hebben zowel de client als de server de nodige informatie die nodig is om de tickets te decoderen. Dit betekent dat pakketsniffers die de communicatie afluisteren, geen toegang hebben tot client- of serverwachtwoorden, laat staan tot andere informatie die tijdens de sessie wordt doorgegeven.
Geïntegreerde sessies
Wanneer een clientknooppunt wordt geverifieerd op een door Kerberos ondersteund netwerk, ontvangt het een clientticket met een vervaltijdstempel. Zolang het ticket niet is verlopen, kan de client het gebruiken om toegang te krijgen tot elke andere netwerkservice die Kerberos-verificatie ondersteunt zonder zichzelf opnieuw te moeten verifiëren. Als de sessie van de klant op het netwerk nog steeds actief is, maar het ticket verloopt, kan de klant een nieuw ticket aanvragen.
Hernieuwbare Sessies
Zodra een client en server zich bij elkaar hebben geauthenticeerd, hoeven ze dit nooit meer te doen. Als onderdeel van de wederzijdse authenticatie ontvangt de client inloggegevens van de server. Wanneer de client een toekomstige sessie start, stuurt deze zijn inloggegevens naar de server, die ze herkent en de client onmiddellijk authenticeert. Dit elimineert de noodzaak van een KDC, zodat de twee nodes nog sneller een veilige verbinding tot stand kunnen brengen dan tijdens hun eerste sessie.
