Rabu, 05 Mei 2010

TUGAS KEAMANAN KOMPUTER PERTEMUAN 3

Kerberos

Kerberos adalah suatu layanan otentikasi yang dikembangkan sebagai bagian dari proyek Athena di MIT, dan salah satu sistem distribusi kunci (key) pihak ketiga yang dipercaya (trusted third party) yang diketahui terbaik (the best) dan diimplementasikan.

Kerberos menyediakan suatu server otentikasi terpusat yang fungsinya adalah untuk mengotentikasi pengguna ke server dan server ke pengguna. Tidak seperti kebanyakan skema otentikasi lain, Kerberos bersandar secara eksklusif pada enkripsi simetris, tidak menggunakan enkripsi public-key. Dua versi Kerberos yang umum digunakan adalah v4 & v5.

Kerberos untuk melindungi layanan jaringan yang disediakan oleh Proyek Athena. protokol ini dinamai Kerberos setelah karakter mitologi Yunani (atau Cerberus), dikenal dalam mitologi Yunani sebagai yang mengerikan berkepala tiga penjaga anjing Hades. Beberapa versi dari protokol yang ada; versi 1-3 hanya terjadi secara internal di MIT. Steve Miller dan Clifford Neuman, para desainer utama versi, Kerberos 4 diumumkan bahwa versi di akhir 1980-an, meskipun mereka telah ditargetkan terutama untuk Proyek Athena. Versi 5, dirancang oleh John Kohl dan Clifford Neuman, muncul sebagai RFC 1510 pada tahun 1993 (dibuat usang oleh RFC 4120 pada tahun 2005), dengan tujuan untuk mengatasi keterbatasan dan masalah keamanan versi 4.

Kerberos menggunakan sebagai dasar Protokol Needham-Schroeder simetris. Itu membuat penggunaan pihak ketiga yang terpercaya, disebut pusat distribusi kunci (KDC), yang terdiri dari dua bagian yang terpisah secara logis: sebuah Authentication Server (AS) Tiket Pemberian dan Server (TGS). Kerberos bekerja atas dasar "tiket" yang berfungsi untuk membuktikan identitas pengguna. The KDC memelihara sebuah database kunci rahasia; setiap entitas pada jaringan - apakah klien atau server - saham kunci rahasia yang hanya diketahui oleh dirinya sendiri dan ke KDC. Pengetahuan tentang kunci ini berfungsi untuk membuktikan identitas suatu entitas. Untuk komunikasi antara dua entitas, yang KDC menghasilkan kunci sesi yang mereka dapat gunakan untuk mengamankan interaksi mereka. Keamanan protokol bergantung pada peserta mempertahankan sinkron longgar waktu dan pernyataan singkat keaslian Kerberos disebut tiket.

Layanan otentifikasi X.509

X.509 awalnya diterbitkan pada tanggal 3 Juli 1988 dan dimulai pada asosiasi dengan standar X.500. Ini mengasumsikan suatu sistem hirarkis yang ketat dari otoritas sertifikat (CA) untuk menerbitkan sertifikat. Hal ini bertentangan dengan web model kepercayaan, seperti PGP, dan setiap orang (CA tidak hanya khusus) dapat mendaftar dan dengan demikian membuktikan validitas sertifikat kunci orang lain '. Versi 3 dari X.509 termasuk fleksibilitas untuk mendukung topologi lainnya seperti jembatan dan jerat (RFC 4158). Hal ini dapat digunakan dalam peer-to-peer, web OpenPGP seperti kepercayaan, tetapi dijarang digunakan pada tahun 2004. sertifikat terpercaya Sebuah organisasi dapat didistribusikan kepada seluruh karyawan sehingga mereka dapat menggunakan sistem perusahaan PKI. Browser seperti Internet Explorer, Netscape / Mozilla, Opera, Safari dan Chrome datang dengan sertifikat akar pra-instal, jadi sertifikat SSL dari vendor besar akan bekerja langsung; yang berlaku pengembang browser 'menentukan CA dipercaya pihak ketiga untuk browser' pengguna. X.509 juga meliputi standar untuk daftar sertifikat pembatalan (CRL) implementasi, suatu aspek yang sering diabaikan sistem PKI. Cara IETF-disetujui untuk memeriksa validitas sertifikat adalah Online Certificate Status Protocol (OCSP). Firefox 3 memungkinkan pengecekan OCSP secara default bersama dengan versi Windows termasuk Vista dan kemudian.

Needham-Schroeder_protocol

Istilah protokol Needham-Schroeder dapat merujuk pada salah satu dari dua protokol komunikasi yang dirancang untuk digunakan melalui jaringan tidak aman, baik yang diusulkan oleh Roger Needham dan Michael Schroeder. [1] Ini adalah:

  • The Needham-Schroeder Symmetric Key Protokol didasarkan pada algoritma enkripsi simetris. Ini membentuk dasar untuk protokol Kerberos. Protokol ini bertujuan untuk membentuk kunci sesi antara dua pihak di dalam sebuah jaringan, biasanya untuk melindungi komunikasi lebih lanjut.
  • The Needham-Schroeder-Kunci Publik Protokol, berdasarkan kriptografi kunci publik. Protokol ini dimaksudkan untuk memberikan otentikasi antara dua pihak yang saling berkomunikasi pada jaringan, tetapi dalam bentuk yang diusulkan adalah tidak aman.

PUBLIC KEY CERTIFICATE.

Dalam kriptografi, sertifikat kunci publik (juga dikenal sebagai sertifikat digital atau sertifikat identitas) adalah dokumen elektronik yang menggunakan tanda tangan digital untuk mengikat kunci publik dengan identitas - informasi seperti nama orang atau organisasi, mereka alamat, dan sebagainya. Sertifikat ini dapat digunakan untuk memverifikasi bahwa kunci publik milik individu. Dalam infrastruktur utama khas publik (PKI) skema, tanda tangan akan dari otoritas sertifikat (CA). Dalam web skema kepercayaan, signature-nya baik pengguna (sertifikat ditandatangani sendiri) atau pengguna lain ("dukungan. Untuk keamanan dibuktikan ini ketergantungan pada sesuatu di luar sistem tersebut memiliki konsekuensi bahwa setiap skema sertifikasi kunci publik harus bergantung pada beberapa asumsi konfigurasi khusus, seperti adanya otoritas sertifikat.

Sertifikat dapat dibuat untuk server berbasis Unix dengan alat seperti OpenSSL's ssl-ca atau gensslcert SuSE's. Ini dapat digunakan untuk menerbitkan sertifikat unmanaged, Sertifikasi Authority (CA) sertifikat untuk mengelola sertifikat lainnya, dan pengguna dan / atau permintaan komputer sertifikat harus ditandatangani oleh CA, serta sejumlah sertifikat fungsi-fungsi terkait. Demikian pula, Microsoft Windows 2000 Server dan Windows Server 2003 berisi Sertifikasi Authority (CA) sebagai bagian dari Layanan Sertifikat untuk pembuatan sertifikat digital. Pada Windows Server 2008 CA dapat diinstal sebagai bagian dari Layanan Direktori Aktif Sertifikat. CA digunakan untuk mengelola dan terpusat sertifikat masalah bagi pengguna dan / atau komputer. Microsoft juga menyediakan beberapa utilitas sertifikat yang berbeda, seperti SelfSSL.exe untuk membuat sertifikat unmanaged, dan Certreq.exe untuk membuat dan mengajukan permintaan sertifikat harus ditandatangani oleh CA, dan certutil.exe untuk beberapa fungsi yang berhubungan dengan sertifikat lainnya.

Isi dari sertifikat digital yang khas

Serial Number: Digunakan untuk secara unik mengidentifikasi sertifikat.

Subject: Orang, atau entitas yang diidentifikasi.

Signature Algoritma: Algoritma yang digunakan untuk membuat tanda tangan.

Penerbit: The entitas yang diverifikasi informasi dan menerbitkan sertifikat.

Valid-Dari: Tanggal sertifikat pertama berlaku dari.

Valid-Untuk: Tanggal kadaluarsa.

Kunci-Penggunaan: Tujuan dari kunci publik (encipherment misalnya, tanda tangan, sertifikat penandatanganan ...).

Public Key: Kunci publik untuk mengenkripsi pesan kepada subjek bernama atau untuk memverifikasi tanda tangan dari subjek bernama.

Cap jempol Algoritma: Algoritma yang digunakan untuk hash sertifikat.

Cap jempol: The hash itu sendiri untuk memastikan bahwa sertifikat tersebut belum dirusak.

Sertifikat Bidang Opsional

Perihal Nama Alternatif (SAN): Menyediakan banyak identitas yang sertifikat tersebut dapat mengotentikasi. Sistem yang dapat beroperasi di bawah banyak identitas, seperti peternakan server, dan beberapa platform perangkat lunak, seperti Microsoft Exchange, dapat menggunakan SAN untuk menyederhanakan sertifikat dukungan dari lingkungan.

PUBLIC KEY INFRASTRUKTUR


Peran utama dari CA adalah untuk mempublikasikan kunci terikat ke pengguna tertentu. Hal ini dilakukan dengan menggunakan kunci CA sendiri, sehingga kepercayaan pada kunci pengguna bergantung pada kepercayaan seseorang dalam validitas kunci CA. Mekanisme yang mengikat kunci untuk pengguna disebut Otorita Pendaftaran (RA), yang mungkin atau mungkin tidak terpisah dari CA. User-kunci mengikat didirikan, tergantung pada tingkat pengikatan jaminan telah, oleh perangkat lunak atau di bawah pengawasan manusia. Istilah ini dipercaya pihak ketiga (TTP) juga dapat digunakan untuk otoritas sertifikat (CA). Selain itu, PKI itu sendiri sering digunakan sebagai sinonim untuk implementasi CA.

Pendekatan alternatif untuk masalah umum informasi otentikasi kunci publik adalah web skema kepercayaan, yang menggunakan sertifikat diri attestations ditandatangani dan pihak ketiga sertifikat tersebut. Web jangka tunggal Trust tidak menyiratkan adanya web satu kepercayaan, atau jalur umum kepercayaan, melainkan sejumlah potensial menguraikan "web dari kepercayaan". Contoh implementasi dari pendekatan ini adalah PGP (Pretty Good Privacy) dan GnuPG (sebuah implementasi OpenPGP, spesifikasi standar dari PGP). Karena implementasi PGP dan memungkinkan penggunaan tanda tangan digital e-mail untuk diri-publikasi informasi kunci publik, yang relatif mudah untuk mengimplementasikan satu Web sendiri dari Trust. Salah satu manfaat dari Web of Trust, seperti di PGP, adalah bahwa hal itu dapat interoperate dengan PKI CA-dipercaya sepenuhnya oleh semua pihak dalam domain (seperti CA internal perusahaan) yang bersedia untuk menjamin sertifikat, sebagai introducer terpercaya. Hanya jika web "kepercayaan" benar-benar dipercaya, dan karena sifat web kepercayaan, percaya satu sertifikat adalah memberikan kepercayaan kepada semua sertifikat di web itu.

2. Sun Microsystems, Apple, Google, Microsoft dan Centrify Corporation,

3. [IANS90] dan [MITC90]




Tidak ada komentar:

Posting Komentar