Zaštita podataka primenom kriptografskih metoda - Univerzitet u Nišu
Zaštita podataka primenom kriptografskih metoda - Univerzitet u Nišu
Zaštita podataka primenom kriptografskih metoda - Univerzitet u Nišu
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
5.Upravljanje ključevima<br />
geografskim i logičkim oblastima. Na nivou Level-2 se nalaze CA-ovi koji operišu nad manjim<br />
oblastima. CA-ove u okviru ovog nivoa mogu da sertifikuju CA-ovi koji se nalaze na nivou više.<br />
Ovakvom hijerarhijom upravlja Root CA, tako da svi korisnici imaju poverenje u njega. Za razliku<br />
od Root CA ostalim CA-ima mogu, a i ne moraju verovati svi korisnici. Na primer, ako osoba A traži<br />
sertifikat osobe B može ga pribaviti od bilo kog CA, ali mu ne mora verovati. Ukoliko mu ne veruje<br />
osoba A može zatražiti sertifikat od CA koji se nalazi u nekom višem nivou. Traganje za validnim<br />
sertifikatom se može nastaviti u pravcu Root-a.<br />
5.2.2.4 Kerberos<br />
Kerberos je istovremeno autentifikacioni protokol i KDC. U poslednje vreme jako popularan, i<br />
koristi se u velikom broju aplikacija i operativnih sistema.<br />
Kerberos se može opisati kao siguran protokol za autentifikaciju koji koristi prijavljivanje tipa<br />
„prijavi se samo jednom“ (eng. Single Sign On) što omogućava veliku efikasnost u radu. Korisnicima je<br />
omogućeno da se samo jednom prijave na sistem i da nakon toga, u skladu sa svojim ovlašćenjima,<br />
imaju pristup resursima u sistemu ili mreži [32].<br />
Postoji više implementacija Kerberos protokola, koje su razvijane za različite namene:<br />
• Osnovnu verziju kerberosa je formirao MIT (Massachusetts Institute of Technology) ranih<br />
devedesetih godina. Do danas se pojavilo više verzija ovog protokola, a najpopularnije su MIT<br />
verzija 4 i verzija 5.<br />
• Heimdal kerberos je Švedska kopija MIT Kerberos-a sa kojim je u potpunosti kompatibilan.<br />
• Aktivni direktorijum je razvio Microsoft i sam po sebi nije Kerberos ali sadrži neke njegove<br />
elemente u kombinaciji sa drugim servisima, kao što je LDAP (eng. Lightweight Directory<br />
Access Protocol). Treba napomenuti da Aktivni direktorijum nije kompatibilan sa MIT i Heimdal<br />
Kerberosom.<br />
• Trust Broker predstavlja komercijalnu implementaciju Kerberos protokola. Ovu implementaciju<br />
podržava većina operativnih sistema. Uz to, Trust Broker je potpuno kompatibilna sa svim<br />
navedenim implementacijama Kerberos protokola, što je čini jako fleksibilnom.<br />
• Shishi je GNU implementacija MIT Kerberosa verzije 5.<br />
U cilju razumevanja redosleda operacija i načina rada Kerberos protokola, najpre je potrebno<br />
objasniti nekoliko pojmova vezanih za njega. Komunikacije između entiteta u okviru Kerberos protokola<br />
se baziraju na razmeni tiketa. Tiket predstavlja vrstu kriptovanih <strong>podataka</strong> koji se prenose putem mreže,<br />
i dostavljaju klijentu koji ih čuva i kasnije koristi kao propusnicu za uspostavljanje komunikacije sa<br />
odgovarajućim serverom. Prilikom kriptovanja poruka/tiketa Kerberos protokol koristi simetrični DES<br />
algoritam ili njegove varijante kao što je 3DES a Kerberos verzija 5 koristi isključivo AES algoritam za<br />
kriptovanje. Okruženje Kerberosa čine tri servera i to: server za autentifikaciju (eng. Authentication<br />
server, AS), server za izdavanje tiketa (eng. Ticket-Granting Server) i server za podatke koji se štiti<br />
opšteg tipa. Na Slici 1 je prikazan odnos između pomenutih servera [32],.<br />
53