Mavzu: Kalitlarni uzatish protokollari

 
Kerberos protokoli 
Ushbu bo'limda yagona ishonchli markazga ega tomonlar uchun autentifikatsiya 
protokoli tavsiflanadi. Kerberos tarmoq protokoli ishonchlilik va nosozliklarga 
chidamlilikni ta'minlash uchun bir nechta ishonchli markazlarni yagona tarmoqqa 
ulash uchun ushbu g'oyalardan foydalanadi. Kerberos tarmoq protokoli haqida 
ma'lumot olish uchun 12.1-bo'limga qarang. "Mahalliy tarmoq uchun Kerberos 
tizimi". 
Needham-Schroeder protokolida bo'lgani kabi, tashabbuskor abonent (Elis) faqat 
maxsus ishonchli markaz bilan muloqot qiladi, undan shifrlangan seans kaliti 
bo'lgan ikkita paketni oladi - biri o'zi uchun, ikkinchisi esa chaqirilgan abonent 
(Bob). Biroq, Needham-Schroederdan farqli o'laroq, ko'rib chiqilayotgan 
protokolda shifrlangan paketlar vaqt tamg'asi 
va sessiya kalitining amal qilish 
muddatini ham o'z ichiga oladi 
(ingliz tilidan boshlab) .- hayot 
davomiyligi). Bu, birinchi navbatda, oldingi bo'limda ko'rib chiqilgan takrorlash 
orqali hujumdan himoya qilish imkonini beradi. Va, ikkinchidan, ishonchli 
markazga abonentlarni ma'lum ma'noda nazorat qilish imkonini beradi va ularni 
oldindan belgilangan vaqtdan keyin yangi seans kalitlarini olishga majbur qiladi. 

Kerberos protokolidagi abonentlar va ishonchli markaz o'rtasidagi o'zaro aloqa 
sxemasi. Esda tutingki, uchinchi bosqich Bobdan tasodifiy emas, 
ishonchli markazdan vaqt tamg'asidan foydalanish tufayli protokolni bir bosqichga 
qisqartirish imkonini beradi. Needham-Shryoder protokoli. Shuningdek, vaqt 
tamg'asi mavjudligi Elis tomonidan tasodifiy vaqt tamg'asini oldindan yaratish va 
uni birinchi bosqichda uzatishni keraksiz qiladi. Shunisi qiziqki, paketlar 
formatida bir xil. Qaysidir ma'noda ularni Elis va Bob uchun sessiya kalit 
sertifikatlari deb atash mumkin. Bundan tashqari, barcha bunday paketlar juftligi 
oldindan yaratilishi mumkin (masalan, kunning boshida), jamoat resursiga 
joylashtirilishi, bepul foydalanish uchun taqdim etilishi va ishonchli markazni 
o'chirib qo'yishi mumkin (bularni yaratish orqali u allaqachon o'z ishini bajargan. 
paketlar). Va vaqt o'tishiga qadar, 
bu "sertifikatlardan" foydalanish 
mumkin. Agar siz haqiqiy qo'ng'iroq qiluvchi juftliklardan biri 
bo'lsangizgina. Albatta, bu g'oya amaliy emas - axir, bunday juftliklar soni 
obunachilar sonining kvadratiga ko'payadi. Biroq, bunday paketlarni oldindan 
yaratish mumkinligi qiziq. Ushbu g'oya ochiq kalit infratuzilmasini ( ommaviy 
kalit infratuzilmasi, PKI) ko'rib chiqishda foydali bo'ladi .