ケルベロス認証

出典: フリー百科事典『ウィキペディア(Wikipedia)』
ケルベルス認証から転送)
曖昧さ回避 Kerberos」はこの項目へ転送されています。その他の用法については「ケルベロス (曖昧さ回避)」をご覧ください。
Kerberos
最新版
krb5-1.21.2[1] / 2023年8月14日 (7か月前) (2023-08-14)
プログラミング
言語		 C
対応OS クロスプラットフォーム
公式サイト web.mit.edu/kerberos/
テンプレートを表示
インターネットセキュリティ
プロトコル
キーマネジメント
アプリケーション層
DNS
インターネット層

ケルベロス認証(ケルベロスにんしょう、Kerberos - )は、ネットワーク認証方式の一つ[2]シングルサインオンシステムを提供する[2]。ケルベロス認証は1989年から使われている[2]

ケルベロス認証は、X Window Systemの開発で知られるマサチューセッツ工科大学 (MIT) のAthenaプロジェクトによって開発され、現在もMITで保守されている。その仕様は RFC 4120 で標準化されている。

マイクロソフトActive Directoryでの推奨の認証機構となっている[2]。また、macOSでは、Heimdalで実装されている[3]

名称はギリシャ神話おける地獄の番犬ケルベロスに由来し[4]、日本ではギリシア語読みにならって「ケルベロス」とするが、英語では[ˈkərbərɒs](「カーバラス」に近い発音[5])となる。

プロトコル概要[編集]

Kerberos サーバーを運用したい組織は、独自の 「レルム」を構築する。レルムに属するマシンやサービスはプリンシパルと呼ばれる。レルムにはKDC(key distribution center、直訳:鍵配送センター)と呼ばれる権限者が存在する。KDCはAS(Authentication Server、直訳:認証サーバ)というサーバとTGS(Ticket Granting Server、意訳:チケット発行許諾サーバ)というサーバがある。

ユーザがレルムにログインする際には、まず自身の持つクライアント端末からID/パスワードなどで認証を受け、認証が受理されたらクライアント端末はこのパスワードを利用して秘密鍵Kを生成する。クライアントはユーザのIDを平文でASに送り、ASはユーザのIDを自身のデータベースに問い合わせる事でユーザの秘密鍵Kを得る。

次にASはTGT(ticket-granting ticket、意訳:チケット発行許諾チケット)と、クライアント/TGSセッション鍵とをKで共通鍵暗号化してクライアント端末に送る。TGTはユーザがTGSから「チケット」というデータを受け取るための、いわば大本となるチケットであり、クライアント/TGSセッション鍵はTGSからチケットを受け取る際に用いるセッション鍵である。ASはTGSにもTGTとクライアント/TGSセッション鍵とを渡しておく。なお共通鍵暗号としては、バージョン4においては56bitDES暗号を用いる。

その後ユーザがレルム内にあるプリンシパルAが提供しているサービスを利用したくなったら、ユーザのクライアント端末はTGTをAのサービスを使いたい旨とともにTGSに送る。この際の通信はクライアント/TGSセッション鍵で共通鍵暗号化しておく。TGSはTGTの正当性を確認し、チケットという、Aのサービスを利用する許可証をクライアント端末に送り、さらにAとの通信で用いるセッション鍵もクライアント端末に送る。

チケットに記載された有効期限内にチケットを(セッション鍵で暗号化して)プリンシパルAに送れば、クライアント端末はAの提供するサービスを利用できる。

以上のようにKerberosでは、ユーザがID/パスワードを使うのは最初にASから認証を受ける時だけ、以後はTGTを使って(TGSから)認証を受ける。このようにID/パスワードの利用を最小限に抑える事で、Kerberosではパスワードの漏洩を防いでいる。

またクライアント端末がプリンシパルAのサービスを使うためにAから認証を受ける際には、ASから受け取ったTGTを直接プリンシパルAに送信する事はしていない。その代わりに一旦権限者であるTGSにTGTを送ることで認証を受けてから、Aへのアクセスのみに利用できるチケットを発行してもらい、このチケットをAに送信する事でAの認証を受け、サービスを利用する。このような方法を取るのは、TGTを直接Aに送ってしまうと、AがTGTを使ってユーザになりすまして別のプリンシパルBのサービスを利用する事ができてしまうからである。

歴史[編集]

1980年代マサチューセッツ工科大学 (MIT) にて研究プロジェクトとして始まった[6]。MITのAthenaプロジェクトでは開始当初からクライアントサーバモデルを想定して設計されており、そのネットワーク認証のためにKerberosプロトコルが開発された[7][8]。この認証システムは、経路上での盗聴を防ぐために、認証サーバとその他のコンピュータとの間の認証のやりとりを暗号化している[7]

Kerberosバージョン3まではテストのために開発され、MIT内部でのみ使われた[9]。そして、1989年1月24日に初めてMIT外部にKerberosバージョン4として公開される[9]。Kerberosはいくつかのベンダーに採用されることとなった[9]

Kerberosバージョン4はDESを用いていたため、アメリカ政府の暗号化ソフトウェアに対する輸出規制に引っかかり、アメリカ国外の組織はMITから合法的にソフトウェアをダウンロードすることはできなかった[10]。そのため、MITの開発チームは、Kerberosのソフトウェアから暗号化のコードをすべて取り除き、骨格だけにした「Bones」を作成した[11]オーストラリアのエリック・ヤングがこのBonesに独自のDES実装を追加した「eBones」を開発したことで、アメリカ国外でも合法的にKerberosバージョン4を使うことができるようになった[11]

その後、Kerberosバージョン4に機能を追加し、セキュリティの強化を行ったバージョン5が開発される[11]。Kerberosバージョン5のプロトコルは RFC 1510 で文書化され、RFC 4120 に置き換えられた[11]

関連項目[編集]

脚注[編集]

[脚注の使い方]

出典[編集]

  1. ^ http://web.mit.edu/kerberos/krb5-1.21/
  2. ^ a b c d Jason Garman 著、桑村潤、我妻佳子 訳「はじめに」『Kerberos』(初版第1刷)オライリー・ジャパン、2004年5月28日、7頁。ISBN 4-87311-186-2 
  3. ^ Source Browser”. opensource.apple.com. 2019年8月12日閲覧。
  4. ^ Jason Garman 著、桑村潤、我妻佳子 訳「第1章 イントロダクション」『Kerberos』(初版第1刷)オライリー・ジャパン、2004年5月28日、2頁。ISBN 4-87311-186-2 
  5. ^ e-words IT用語辞典 Kerberos 【 ケルベロス 】
  6. ^ Jason Garman 著、桑村潤、我妻佳子 訳「第1章 イントロダクション」『Kerberos』(初版第1刷)オライリー・ジャパン、2004年5月28日、3頁。ISBN 4-87311-186-2 
  7. ^ a b Jason Garman 著、桑村潤、我妻佳子 訳「第1章 イントロダクション」『Kerberos』(初版第1刷)オライリー・ジャパン、2004年5月28日、5頁。ISBN 4-87311-186-2 
  8. ^ 編集人 小山 透『コンピュータ・サイエンス誌 bit』共立出版、1990年7月1日、66頁。 
  9. ^ a b c Jason Garman 著、桑村潤、我妻佳子 訳「第1章 イントロダクション」『Kerberos』(初版第1刷)オライリー・ジャパン、2004年5月28日、7頁。ISBN 4-87311-186-2 
  10. ^ Jason Garman 著、桑村潤、我妻佳子 訳「第1章 イントロダクション」『Kerberos』(初版第1刷)オライリー・ジャパン、2004年5月28日、7-8頁。ISBN 4-87311-186-2 
  11. ^ a b c d Jason Garman 著、桑村潤、我妻佳子 訳「第1章 イントロダクション」『Kerberos』(初版第1刷)オライリー・ジャパン、2004年5月28日、8頁。ISBN 4-87311-186-2 

外部リンク[編集]

ウィキメディア・コモンズには、ケルベロス認証に関連するメディアがあります。
スタブアイコン

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めていますPJ:コンピュータ/P:コンピュータ)。

https://ja.wikipedia.org/w/index.php?title=ケルベロス認証&oldid=99254636」から取得