Appendix B. Changes since RFC 1510 (RFC 1510からの変更点)

Appendix B. Changes since RFC 1510 (RFC 1510からの変更点)

このドキュメント (RFC 4120) は, RFC 1510を廃止し, Kerberos V5プロトコルの明確化と更新を提供します。この付録は, RFC 1510からの主な変更点をまとめています。

明確化と説明の改善

多くの変更は, プロトコルの機能を明確にするためのものです:

• プロトコルの動作に関するより詳細な説明
• 曖昧な部分の明確化
• 実装ガイダンスの追加
• セキュリティ考慮事項の拡張

新しい機能と拡張

新しいチケットフラグ

• ok-as-delegate: 委任に適したサーバーを示すフラグ (フラグビット13)
• transited-policy-checked: KDCがtransitedフィールドを検証したことを示すフラグ (フラグビット12)

新しい事前認証メカニズム

• 追加の事前認証タイプのサポート
• PA-DATAの使用に関する明確化

エンタープライズプリンシパル名

• NT-ENTERPRISE名前タイプ (値10) の追加
• クロスレルム環境での柔軟な認証をサポート

プロトコルの変更

暗号化フレームワーク

• RFC 3961への参照による暗号化フレームワークの更新
• 鍵使用値 (key usage) の導入
• 新しい暗号化タイプのサポート

アドレス処理

• ネットワークアドレス変換 (NAT) のサポート改善
• 方向性アドレスタイプの導入
• アドレスレスチケットに関するガイダンス

クロスレルム認証

• transitedフィールドの処理の明確化
• クロスレルムパスの検証要件
• クロスレルム信頼に関するセキュリティガイダンス

ASN.1 定義の変更

型定義の明確化

• Int32とUInt32の制約の明確化
• オプションフィールドの処理の改善
• 空のSEQUENCE OFの処理

エンコーディング規則

• DER (Distinguished Encoding Rules) の使用の明確化
• タグ番号の処理に関するガイダンス
• 30より大きいタグ番号のサポート

セキュリティの改善

事前認証

• 事前認証の使用に関する強い推奨
• オフライン辞書攻撃への対策
• 追加の事前認証メカニズム

暗号化アルゴリズム

• 弱い暗号化タイプの非推奨化
• より強力な暗号化アルゴリズムの推奨
• 暗号化アジリティのサポート

クロック同期

• クロックスキューのセキュリティへの影響の明確化
• セキュアな時刻同期の推奨

実装要件の明確化

必須実装機能

• 相互運用性のために実装すべき機能の明確化
• MUSTとSHOULDの使用の一貫性

オプション機能

• オプション機能とその使用例の明確化
• 拡張メカニズムのガイダンス

エラー処理

新しいエラーコード

• 追加のエラーコードの定義
• エラー処理の明確化
• エラーメッセージの改善

エラー応答

• エラー応答の処理の明確化
• クライアントとサーバーのエラー処理要件

相互運用性の改善

RFC 1510との互換性

• 下位互換性に関するガイダンス
• 移行戦略
• 互換性の問題と解決策

拡張可能性

• 将来の拡張のためのメカニズム
• 未知のフィールドの処理
• バージョン管理

ドキュメント構造の改善

• セクションの再構成による読みやすさの向上
• より多くの例とユースケース
• 改善された索引と参照

削除または変更された内容

• 曖昧または誤解を招く記述の削除
• 時代遅れの情報の更新
• 実装経験に基づく修正

実装への影響

これらの変更の多くは:

• 既存の実装との互換性を維持
• プロトコルの明確化に焦点
• 新しい機能はオプションまたは後方互換

実装者は, RFC 1510からRFC 4120への移行時に以下を考慮すべきです:

• 新しい暗号化フレームワークのサポート
• 新しいチケットフラグの処理
• 改善されたエラー処理
• セキュリティの推奨事項への準拠

完全な変更リストと詳細については, RFC 4120の本文とこの付録を参照してください。