Criptografía II profundización

EJE 2

Carlos Triviño Poveda

Carlos Arturo Sanabria

Fundación universitaria del Área Andina

Ingeniería en Sistemas
Marzo de 2020
 Objetivo de aprendizaje
Al finalizar esta actividad, el estudiante deberá ser capaz de construir modelos explicativos
que permitan diferenciar los mecanismos de autenticación estudiados.

Descripción de la tarea
En este taller se espera reconocer las diferencias y similitudes de los mecanismos de
autenticación de Kerberos y PKI identificando las ventajas, desventajas y mecanismos de
implementación de cada uno de estos.

Requisitos para la tarea

• Realice la lectura del referente de pensamiento del eje I y eje II además de las lecturas
complementarias.
• Revise otros documentos asociados con las características y mecanismos de
implementación de Kerberos y PKI.
• Lea con atención la rúbrica de evaluación.
• Conformar equipo de 2 o 3 estudiantes.
 Instrucciones
1. Realicen búsquedas de textos en bases de datos de la universidad y fuentes en internet,
referencien al final del documento un listado de las fuentes consultadas.
2. Organicen grupos de dos o tres estudiantes.
3. Identifiquen las principales características de PKI y Kerberos, sus diferencias y similitudes
a través de la creación de un cuadro comparativo.
4. Argumente adecuadamente los mecanismos de implementación, además de las ventajas
y desventajas de cada técnica de autenticación de forma comparativa.
5. Presenten los resultados en un documento.
6. Recuerden ilustrar sus ideas con representaciones gráficas, así mismo integrar una breve
introducción y las conclusiones teóricas y metodológicas del ejercicio.
7. Envíen un documento de Word al espacio de tareas del módulo.
 Desarrollo de la actividad

Kerberos VS PKI

La autenticación de usuarios a través de los servicios de red a través de un protocolo

inseguro ha demostrado ser una tarea peligrosa y, como tal, la transferencia de contraseñas
a través de una red a través del protocolo Telnet tradicional o FTP puede exponer a
cualquier organización a un gran peligro de interceptar dicha información que se puede
utilizar contra cualquier organización para obtener acceder y tomar un control total sobre
sus redes. Con un protocolo como el protocolo Kerberos, se pueden eliminar los métodos
inseguros de autenticación y definitivamente mejorar y garantizar la seguridad de la red.
Kerberos es un protocolo de red que utiliza criptografía de clave simétrica para autenticar
a los usuarios para acceder a los servicios de red donde la contraseña nunca se enviará a
través de la red (Dadighat, 2010).

Dadighat (2010) explicó que Kerberos proporciona una autenticación entre un cliente y un
servidor mediante una criptografía de clave compartida en la que tanto el cliente como el
servidor tienen acceso a la misma clave o contraseña utilizada para identificar al cliente en
el servidor. El proceso para autenticar al cliente requiere los siguientes pasos:

 El sistema del cliente envía una solicitud del sistema para acceder al servidor y
solicita al servicio de autenticación que cree un ticket con la información del cliente
junto con la información de la sesión al servidor. Tanto Kerberos como el cliente
verifican la información utilizando la contraseña del cliente.
  Kerberos envía el ticket encriptado al servidor con una contraseña que solo el
servidor y Kerberos conocen.
 El servidor verifica si la información tiene los datos correctos de Kerberos y el cifrado
correcto para verificar la identidad del usuario. El ticket se valida por tan solo cinco
minutos, y agregar la marca de tiempo al ticket proporciona otro punto de
verificación para que el servidor se asegure de que la solicitud sea válida.

Kouril y Prochazka (2006) explicaron que las principales arquitecturas seguras que se
pueden implementar dentro de cualquier organización para asegurar las interacciones de
red son Kerberos o Infraestructura de clave pública (PKI). La siguiente tabla ilustra la
diferencia clave entre Kerberos y PKI:

Kerberos PKI

Representa la criptografía simétrica. Representa la criptografía asimétrica.

Con dicha arquitectura, cada usuario tiene

un par de claves, clave privada y clave
Los tickets se utilizan para autenticar a pública. Cuando la clave pública se publica
los usuarios, y los tickets son problemas a los usuarios, la clave privada se
a través del Centro de distribución de mantiene en secreto. La clave privada se
claves (KDC) en línea. usa para generar una firma digital,
mientras que la clave pública se usa para
verificar dicha firma

La clave privada se usa para autenticar a

Se requiere contraseña para autenticar a
los usuarios. La clave privada se almacena
los usuarios.
en el disco y la mantienen los usuarios.
 El Centro de distribución de claves (KDC)
No es necesario registrarse previamente
debe registrar a todos los usuarios para
en este caso.
poder tener acceso a la red.

La confidencialidad garantiza que solo el

destinatario legítimo tenga acceso a los
datos.
La autenticación asegura que el
destinatario de un mensaje y su
La autenticación de Kerberos tiene dos
remitente son los que realmente tienen
fases: una autenticación inicial que
acceso a los datos y tienen una
permite que se lleven a cabo todas las
identidad electrónica verificada.
autenticaciones posteriores y las
La integridad garantiza la no alteración
autenticaciones posteriores en sí mismas.
accidental o intencional del mensaje.
El no repudio garantiza que el autor de
un mensaje no puede ser desacreditado
bajo ninguna circunstancia.

Autenticación inicial para una sesión Kerberos

 Pros y contras

Infraestructura de clave publica

La implementación de Kerberos dentro de cualquier infraestructura de red no viola ninguna

patente y se puede usar de forma gratuita. Además, el protocolo es de estándares abiertos
y se desarrolló abiertamente al público para su revisión e implementación (Casima, 2010).
Kerberos es un mecanismo de arquitectura abierta en el que se puede agregar cualquier
tecnología de autenticación a dicha arquitectura (por ejemplo, el algoritmo de la tarjeta
inteligente). Lo que se requerirá en tal caso es modificar el KDC y su modelo de adquisición
de tickets para que el cliente implemente la nueva autenticación (Casima, 2010).
La arquitectura Kerberos representa un ataque de un solo punto a través de la
implementación de KDC, y también representa un cuello de botella en lo que respecta al
rendimiento de la red (Kouril y Prochazka, 2006).
El protocolo Kerberos no necesita que la contraseña del cliente se envíe a través de la red,
ya sea encriptada o en texto sin formato, donde las claves secretas se transmiten en una
encriptación que no puede ser interceptada y en caso de que la red se vea comprometida,
es imposible para los atacantes. Para interpretar el contenido de la comunicación en red
(Aldinger, 2010).
En la arquitectura Kerberos, se debe verificar la autenticación mutua en ambas paridades
(cliente y servidor), también se deben pasar los tickets entre el cliente y el servidor y
viceversa, una marca de tiempo y se pasa una información de por vida entre las partes para
limitar la autenticación entre ellos, y es lo suficientemente baja como para garantizar que
el ataque de repetición nunca ocurrirá (Aldinger, 2010).
Kerberos proporciona reutilización y durabilidad. Una vez que el usuario se ha autenticado
utilizando el protocolo, dicha autenticación es reutilizable durante la vigencia del ticket
(Aldinger, 2010).
Con la popularidad y la amplia difusión de protocolos como Kerberos, que son mantenidos
por los principales desarrolladores de todo el mundo, cualquier nueva debilidad o brechas
de seguridad se pueden identificar y resolver rápidamente (Aldinger, 2010).

La criptografía PKI proporciona una implementación segura de seguridad donde las claves
privadas nunca tuvieron que transmitirse o revelarse en línea.
La criptografía PKI no implementa un sistema de clave secreta que requiere compartir un
secreto y también requiere un tercero, sino que proporciona una firma digital, y como tal;
la posibilidad de rechazar la autenticación de una parte que reclama por alguna razón que
el secreto compartido ha sido comprometido no existe en este caso.
La criptografía PKI impone un problema de velocidad y también puede estar sujeta a
vulnerabilidad, como la suplantación donde el ataque puede ocurrir en una autoridad de
certificación (Kouril y Prochazka, 2006).
Es posible conectar otra tecnología con PKI para implementarla junto con la certificación
digital como SSL, autenticación fuerte (Kopczynski, 2008).

Conclusiones
Se explicó que Kerberos es un protocolo diseñado para crear autenticación a través de la
red insegura donde se basa en un modelo de acuerdo cliente-servidor. El mecanismo
Kerberos identifica procedimientos que emplean la comunicación segura entre dos nodos
(computadoras). Kerberos proporciona dos servidores de terceros para autenticar e
identificar clientes en el servidor. El primer servidor se llama Authentication Server (AS)
mientras que el otro servidor se llama Ticket Granting Server (TGS). Estos dos servidores se
incluyen como partes lógicas de la red que monitorea los procesos de autenticación durante
la sesión de comunicación.
 Referencias
Abdullah, S. (2010) Una introducción a Kerberos [en línea].
Disponible en: http://www.ehow.com/facts_6855908_introduction-kerberos.html

Aldinger, T. (2010) ¿Cuáles son las ventajas de Kerberos? [En línea].

Disponible en: http://www.ehow.com/list_5981928_advantages-kerberos_.html.

Casima, R. (2010) Lo que comió los beneficios de Kerberos [en línea].

Disponible en: http://www.ehow.com/list_5983204_benefits-kerberos_.html.

Dadighat, U. (2010) Básico de Kerberos [en línea].

Disponible en: http://www.ehow.com/list_7494893_basics-kerberos.html.

Gavras, A. (2001) ¿Qué es PKI y cómo funciona? [En línea].

Disponible en: http://www.eurescom.eu/message/messageDec2001/publickey.asp

Kouril, D. y Prochazka, M. (2006) Kerberos y PKI Cooperation [en línea].

Disponible en: http://www.scribd.com/doc/6565973/Kerberos-PKI-Cooperation-A-Best-Practices-
Workshop-Masaryk-University.

Kopczynski, T. (2008) Los beneficios de PKI [en línea].

Disponible en: http://www.networkworld.com/community/node/23414.