TY - JOUR ID - TI - Adding Perfect Forward Secrecy To Kerberos AU - Wameedh Nazar Flayyih PY - 2010 VL - 16 IS - 1 SP - 4593 EP - 4605 JO - Journal of Engineering مجلة الهندسة SN - 17264073 25203339 AB - Kerberos system is a powerful and widely implemented authentication system. Despite this fact it has several problems such as the vulnerability to dictionary attacks which is solved with the use of public key cryptography. Also an important security feature that is not found in Kerberos is perfect forward secrecy. In this work the lack of this feature is investigated in Kerberos in its original version. Also a public key based modification to Kerberos is presented and it is shown that it lacks the prefect forward secrecy too. Then some extensions are proposed to achieve this feature. The extensions are based on public key concepts (Diffie-Hellman) with the condition of keeping the password based authentication; this requires little modifications to the original Kerberos. Four extensions are proposed; two of them modify the (Client-Authentication Server) exchange achieving conditional perfect forward secrecy, while the remaining two modify the Client-Server exchange achieving perfect forward secrecy but with increased overhead and delay.

نظام Kerberos هو نظام قوي و فعال و مستخدم بصورة واسعة. لكن هناك عدة مشاكل يعاني منها هذا النظام، إحداها ضعفه أمام هجمات القاموس و قد تم حل هذه المشكلة بالاعتماد على التشفير بالمفتاح العام (public key). لكن هناك خاصية أمنية مهمة غير متوفرة في هذا النظام وهي السرية الأمامية التامة (أو السرية المستقبلية التامة). هذا البحث يقوم بدراسة النظام من ناحية وجود هذه الخاصية أم لا بالإضافة إلى دراسة احد الأنظمة المحورة عن النظام الأصلي باستخدام التشفير بالمفتاح العام (public key)، ويظهر البحث افتقار النظامين الأصلي و المحسن لهذه الخاصية. ثم يقدم البحث مقترحات تتضمن بعض التعديلات على نظام (Kerberos) من اجل تحقيق السرية الأمامية التامة. التعديلات تستند على مبادئ التشفير بالمفتاح العام (public key) طريقة (ديفي-هلمان) بشرط المحافظة على خاصية التعريف بالاعتماد على كلمة السر و هذا يضمن كون التعديلات قليلة على النظام الأصلي و سهلة التطبيق. يعرض البحث أربعة تعديلات، اثنتان منها تغير الحوار بين العميل و خادم التعريف (Client-Authentication Server) محققة السرية الأمامية الشرطية، بينما تغير الاثنتان الأخريان الحوار بين العميل و الخادم (Client-Server) محققة السرية الأمامية التامة لكن مع زيادة التأخير. ER -