Cryptographic Protocol Verification Portal
Kerberos with forwardable ticket
目次
暗号プロトコルの基本情報
- 名前
- The Kerberos Network Authentication Service (V5), Kerberos with forwardable ticket
- 機能
- 信頼できる第三者機関(TTP, Trusted Third Party)の存在を前提とする、オープンなネットワークにおけるサーバ・クライアント間でのネットワーク認証・鍵交換プロトコル。 特徴は認証後にクライアントのIPアドレスを変更可能であること。暗号として共通鍵暗号を利用。
- 関連する標準
- RFC4120 (https://www.ietf.org/rfc/rfc4120.txt)
関連文献
- [cpvp_Kerberos-forwardable_abst] "Kerberos with forwardable ticketの概要," CPVP技術文書.
安全性の評価結果
ISO/IEC 29128 に従い形式手法に基づく検証を実施した結果を示します。なお、評価レベルのPAL4は、検証の際に暗号プロトコルの実行セッション数に制限が無く任意のセッション数を許す場合を指し、PAL3 は制限する場合を指します。よって、PAL3で攻撃が発見されなくとも、PAL4で攻撃が発見される場合があり、PAL4での評価が望ましいと考えられています。 なお、表ではPAL1〜4を★の数(1〜4)で表し、評価結果を色で区別しています。
現状安心して利用できる(本評価では攻撃が発見されず)
現状安心して利用できる(攻撃が発見されたが現時点では非現実的な脅威)
対策を施せば安心して利用できる(攻撃が発見されたが回避策がある)
もはや安心して利用できない(現実的な脅威のある攻撃が発見された)
| 評価結果 | 発見された攻撃 | 回避策 |
|---|---|---|
| ★★★★ [詳細1] | -- | -- |
| ★★★☆ [詳細2] | サーバの不正によりセッション鍵を漏洩させる攻撃が発見されましたが、この結果は Kerberosの安全性がサーバの信頼性に依拠しているという設計者の意図に合致したも のとなっており、通常の運用の際は問題ありません。 | 不要 |
関連文献
- [詳細1:cpvp_Kerberos-forwardable_p] "Kerberos with forwardable ticketのProVerifによる評価結果," CPVP技術文書.
- [詳細2:cpvp_Kerberos-forwardable_s] "Kerberos with forwardable ticketのScytherによる評価結果," CPVP技術文書.