Passa al contenuto principale

4. Encryption and Checksum Specifications (Specifiche di cifratura e checksum)

4. Encryption and Checksum Specifications (Specifiche di cifratura e checksum)

Panoramica

Questa sezione specifica i meccanismi di cifratura e di checksum usati nel protocollo Kerberos. Kerberos V5 è progettato per supportare più algoritmi di cifratura e di checksum, consentendo agilità crittografica.

Concetti chiave

Encryption types (tipi di cifratura)

Kerberos usa vari algoritmi di cifratura identificati da numeri encryption type (etype). Ogni encryption type specifica:

  • l'algoritmo di cifratura
  • il metodo di generazione della chiave
  • modalità e parametri del cifrario

Checksum types (tipi di checksum)

I meccanismi di checksum (integrità) sono identificati da numeri checksum type. I checksum forniscono:

  • protezione dell'integrità
  • rilevamento di manomissioni
  • autenticazione (quando sono keyed)

Requisiti crittografici

Principi generali

  • tutta la cifratura deve usare algoritmi ben definiti e registrati
  • le chiavi devono essere generate e gestite correttamente
  • i valori casuali devono usare generatori di numeri casuali crittograficamente robusti
  • le implementazioni dovrebbero supportare agilità crittografica

Profili di algoritmo

Ogni algoritmo di cifratura usato con Kerberos deve specificare:

  • procedure di cifratura e decifratura
  • generazione della chiave da password o da dati casuali
  • calcolo del cryptographic checksum
  • calcolo del message integrity code (MIC)
  • pseudo-random function (PRF) per la key derivation

Implementazioni obbligatorie

Alcuni encryption type sono richiesti per l'interoperabilità. Vedere la Sezione 8 per i requisiti specifici.

Key usage numbers

I diversi usi delle chiavi nel protocollo sono identificati da key usage numbers, così che le chiavi usate per uno scopo non possano essere riusate per un altro, prevenendo attacchi cross-protocol.

Profili crittografici

I profili crittografici dettagliati sono definiti in documenti separati (RFC 3961, RFC 3962, RFC 4757, ecc.) e sono incorporati per riferimento.

Riferimento

Per i dettagli tecnici completi e le specifiche degli algoritmi, vedere:

Ultimo aggiornamento il