A. PENDAHULUAN
Kerberos merupakan salah satu sistem autentikasi jaringan dalam Ilmu Sekuriti Komputer, pada awalnya sistem yang digunakan dalam perancangan suatu Sistem Autentikasi Open-Network ini dinamakan "Charon." yang dibuat dengan karakter Athena dan Euripides dan sistem ini masih menemukan permasalahan dari keamanan yang tidak bisa dipisahkan didalam suatu lingkungan jaringan terbuka / Open Network. tiap masalah harus ditujukan di perancangan Charon, dan meningkatkan disain maka. Athena dan Euripides tidak dapat menyelesaikan pekerjaannya. Ketika mereka menyelesaikan perancangan sistem ini, Athena merubah nama sistem ini menjadi "Kerberos," sistem autentikasi yang telah dirancang dan diterapkan pada Athena Proyek MIT (Massachusetts Institute of Technology) sebuah Layanan Autentikasi untuk Sistem Jaringan Terbuka / Open Network.
Autentikasi, Integritas, Kerahasiaan, dan Authorization/Otorisasi, Autentikasi adalah verifikasi dari identitas dari suatu gabungan beberapa data yang digenerate, dan integritas dari data tersebut. Pada prinsipnya autentikasi ini adalah gabungan identitas yang diverifikasi. Data integritas menjamin bahwa data yang diterima adalah sama seperti dihasilkan. Mekanisme autentikasi berbeda pada jaminan yang disediakan: beberapa hal menunjukkan bahwa data telah dihasilkan pada beberapa poin sebelumnya, beberapa hal menunjukkan bahwa data utama ditampilkan ketika data telah dikirim, dan yang lain menunjukkan bahwa data yang diterima dihasilkan oleh system ini. Mekanismenya juga berbeda di banyaknya verifikasi, beberapa verifikasi didukung beberapa verifikator.
Oleh karena perbedaan ini mempengaruhi performa, maka adalah penting memahami persyaratan dari suatu aplikasi ketika memilih suatu metoda. Sebagai contoh, autentikasi untuk electronic mail diperlukan dukungan untuk para penerima dan tidak menolak, pada dasarnya, performa yang buruk akan menyebabkan permasalahan autentikasi pada seringnya respon di server.
Security Service yang lain meliputi kerahasiaan dan otorisasi. Kerahasiaan adalah perlindungan dari informasi dari gangguan orang-orang yang tidak berhak menerima itu. Metoda autentikasi paling kuat secara bebas pilih menyediakan kerahasiaan. Otorisasi adalah proses dimana seseorang menentukan apakah diijinkan untuk melaksanakan suatu operasi. Otorisasi pada umumnya dilakukan setelah dibuktikan keasliannya, dan mungkin didasarkan pada informasi yang lokal, atau didasarkan pada statemen orang lain.
Selanjutnya kita akan berkonsentrasi pada autentikasi secara real-time, untuk layanan interaktif yang ditawarkan pada dalam jaringan komputer. Kita menggunakan istilah real-time dengan bebas berarti bahwa suatu proses klien sedang menantikan suatu respon yang sama dengan query atau perintah untuk menampilkan hasilnya kepada pemakai., atau jika tidak melanjutkan fungsi yang diperlukan. Layanan ini meliputi remote login, pembacaan dan penulisan file sistem, dan pengembalian informasi untuk aplikasi seperti Mosaik.
B. Definisi dan Terminologi Kerberos
Kerberos adalah suatu layanan autentikasi terdistribusi yang mengijinkan suatu proses ( klien ) menjalankan perintah untuk membuktikan identitasnya secara benar ( suatu aplikasi server, atau server) tanpa mengirimkan data ke seberang jaringan yang mungkin mengijinkan suatu penyerang atau pemeriksa untuk memainkan penyamaran. Kerberos secara optional menyediakan integritas dan kerahasiaan untuk data yang dikirim antara klien dan server. Kerberos telah dikembangkan pada pertengahan tahun 80-an sebagai bagian dari Proyek Athena MIT. Sebagaimana penggunaan dari Kerberos tersebar di lingkungan yang lain, perubahan diperlukan untuk mendukung kebijakan baru. Untuk mewujudkan hal ini maka, perancangan Versi 5 dari Kerberos (V5) dimulai tahun 1989. Meskipun yang Versi 4 masih berjalan pada banyak sisi, Versi 5 dianggap sebagai Kerberos yang baku.
Pengenalan Autentikasi Kerberos yang membahas permasalahan yang dihubungkan dengan autentikasi kata sandi yang didasarkan pada bagaimana kata sandi dapat dikumpulkan dengan eavesdropping. Sebagai tambahan terhadap perhatian keamanan, autentikasi yang berdasar pada kata sandi akan merepotkan karena para pemakai tidak mau memasukkan suatu kata sandi setiap kali mereka mengakses suatu jaringan. Ini telah mendorong penggunaan autentikasi yang lebih lemah atas jaringan komputer : Authentication by assertion / autentikasi dengan pernyataan.
Pada saatnya akan lebih menyenangkan bagi pemakai, autentikasi dengan pernyataan akan lebih rumit mengkwalifikasikan sebagai autentikasi pada semuanya. Contoh meliputi Berkeley R-Command deretan dan IDENT protokol. Autentikasi dengan pernyataan, aplikasi ini menyatakan identitas dari pemakai dan server percaya itu. Autentikasi seperti itu mudah dirintangi dengan memodifikasi aplikasinya. Ini memerlukan akses khusus pada sistem, dimana dengan mudah diperoleh pada PC dan personal workstation. kebanyakan penggunaan dari autentikasi dengan pernyataan memerlukan suatu koneksi dari “trusted'' network address, pada banyak jaringan, alamat-alamat yaitu hanya pernyataannya sendiri.
Metoda autentikasi lebih kuat didasarkan pada perlunya ilmu Cryptography. Pada penggunaan crytography autentikasi yang didasarkan pada, suatu penyerang yang masuk jaringan tidak akan memungkinkan untuk dengan curang memakai identitas yang lain. Kerberos adalah contoh yang paling umum digunakan pada autentikasi teknologi jenis ini. Tetapi sayangnya teknologi autentikasi yang kuat ini tidak digunakan sebagaimana seharusnya, walaupun situasi adalah secara berangsur-angsur meningkat.
C. Batasan Kerberos
Pengertian dan Istilah dari Kerberos telah diuraikan di atas. Meskipun demikian sesuatu pilihan yang berlaku pada Versi 4 dan awal draft dari Versi 5, beberapa hal akan dibahas di sini. Khususnya, Kerberos tidaklah efektif melawan terhadap kata sandi dari serangan orang lain, jika seorang pemakai memilih suatu kata sandi yang lemah, kemudian penyerang menebak kata sandi dapat menyamar sebagai pemakai tersebut. Dengan cara yang sama, Kerberos memerlukan suatu trusted path dimana kata sandi dimasukkan. Jika pemakai memasukkan suatu kata sandi persis sama secara benar, program yang telah dimodifikasi oleh suatu penyerang (Trojan horse), atau jika path antara pemakai dan program autentikasi awalnya dapat dimonitor, kemudian penyerang bisa memperoleh informasi cukup untuk menyamar sebagai pemakai tersebut. Kerberos dapat dikombinasikan dengan teknik yang lain, seperti diuraikan kemudian, menunjuk pembatasan ini.
Supaya berguna, Kerberos harus terintegrasi dengan bagian lain dari sistem tersebut. Hal ini tidak melindungi semua pesan yang dikirim antara dua computer, ini hanya melindungi pesan dari perangkat lunak yang telah ditulis atau dimodifikasi untuk menggunakannnya. Memungkinkan digunakan untuk pertukaran kunci enkripsi, menetapkan enkripsi berhubungan dengan tingkatan keamanan jaringan, hal ini diperlukan perubahan pada perangkat lunak jaringan yang melibatkan host.
Kerberos tidak menyediakan otorisasi sendiri, tetapi Versi 5 Kerberos melalui informasi otorisasi yang dihasilkan oleh service yang lain. Dengan cara ini, Kerberos dapat digunakan sebagai sebagai suatu dasar untuk membangun Layanan Otorisasi yang terdistribusi.
C. Fungsi dan Cara Kerja Kerberos
Sistem Autentikasi Kerberos menggunakan satu rangkaian pesan yang ter-enkripsi, untuk membuktikan kebenarannya suatu klien yang berjalan atas nama pemakai tertentu. Protokol Kerberos didasarkan pada sebagian Needham dan Schroeder protokol autentikasi, tetapi dengan perubahan untuk mendukung perlunya lingkungan yang telah dikembangkan. Diantara perubahan tersebut penggunaan dari timestamps untuk mengurangi banyaknya pesan yang diperlukan sebagai dasar autentikasi, penambahan dari layanan “ticket-granting'' untuk mendukung autentikasi yang berikut tanpa re-entry dari suatu kata sandi pemakai, dan pendekatan yang berbeda pada autentikasi cross-realm (autentikasi seseorang didaftarkan pada suatu server autentikasi yang berbeda kemudian diverifikasi).
Bagian ini menguraikan tentang protocol kerberos. Uraian ini disederhanakan untuk kejelasan bidang tambahan yang di tampilkan pada protokol aktual. Pembaca perlu berkonsultasi tentang RFC 1510 untuk lebih meguraikan yang lebih jelas tentang protokol Kerberos.
Meskipun demikian secara konseptual, Autentikasi Kerberos membuktikan bahwa suatu klien yang dijalankan atas nama pemakai tertentu, suatu statemen yang lebih tepat adalah bahwa klien mempunyai pengetahuan dari suatu kunci enkripsi yang diketahui hanya oleh pemakai dan server autentikasi. Di dalam Kerberos, kunci enkripsi pemakai berasal dari penentuan pemakai sebagai kata sandi, Dengan cara yang sama, masing-masing server aplikasi memberikan suatu kunci enkripsi dengan server autentikasi, kita bias menamakan kunci ini sebagai kunci server.
Enkripsi dalam implementasinya saat ini dari Kerberos menggunakan Data Encryption Standard (DES). Ini merupakan suatu property DES yang mana jika ciphertext (data yang ter-enkrip) didekripsi dengan kunci yang sama digunakan untuk mengenkrip-nya, plaintext (data yang asli) muncul. Jika kunci enkripsi yang berbeda digunakan untuk enkripsi dan dekripsi, atau jika ciphertext dimodifikasi, hasilnya akan tidak dapat dipahami, dan checksum di Kerberos pesan tidak akan memenuhi data. Kombinasi ini dari enkripsi dan checksum menyediakan integritas dan kerahasiaan untuk mengenkripsi Pesan Kerberos.
Aplikasi Request dan Respon
Pesan 3 dan 4 di dalam figur 1 pertunjukan aplikasi meminta dan menanggapi, hal-hal paling mendasar pertukaran protocol Kerberos. Ini akan menukar bahwa suatu klien membuktikan kebenarannya bahwa itu mengetahui kunci sesi menempelkan Tiket brown Kerberos. Ada dua jenis permintaan aplikasi, suatu karcis (yang diuraikan di atas) dan suatu autentikator. Autentikator meliputi, antar bidang yang lain: waktu arus, suatu checksum, dan suatu encryption yang kunci opsional, semua dienkrisi dengan kunci sesi dari karcis yang ada, berikut ini gambar alurnya :
Pada Saat menerima permintaan aplikasi, pemeriksa decrypts karcis, menyuling/menyadap kunci sesi ini, dan menggunakan kunci sesi ke autentikator dekrisi. Jika yang kunci yang sama telah digunakan untuk enkripsi, Autentikator enkripsi digunakan untuk dekripsi, checksum akan ditemukan dan pemeriksa dapat mengasumsikan authenticator telah dihasilkan oleh sesi yang dinamai karcis dan untuk kunci sesi yang telah dikeluarkan. Ini adalah tidak dengan sendirinya cukup untuk autentikasi suatu penyerang dapat menginterupsi suatu authenticator dan memainkan lagi kemudian untuk menyamar sebagai pemakai / user. Karena alasan ini pemeriksa yang memeriksa timestamp untuk meyakinkan bahwa authenticator bersih. Jika timestamp adalah di dalam suatu ditetapkan jendela (secara khas 5 beberapa menit) yang memusat di sekitar waktu arus dengan diam-diam pemeriksa, dan jika timestamp belum dilihat pada permintaan yang lain di dalam jendela itu, pemeriksa menerima permintaan asli. Suatu diskusi dari manfaat dan kelemahan bagi penggunaan dari timestamps di dalam protokol pengesahan dapat ditemukan di dalamnya.
C. Tool Yang Digunakan dalam Kerberos
Versi Software Kerberos yang terbaru dan digunakan saat ini adalah :
1. Kerberos V5 Release 1.6.1
2. Kerberos V5 Release 1.5.3 - maintenance release
MIT Kerberos untuk Windows 3.1
MIT Kerberos untuk Windows adalah suatu release Kerberos terintegrasi untuk system operasi Microsoft Windows. meliputi v4 perpustakaan, Kerberos v5 versi perpustakaan 1.4.4, Kerberos v5 GSS API perpustakaan, Kerberos 524 perpustakaan, KCLIENT API perpustakaan, Mengikat API perpustakaan, Network/Jaringan Identitas Manajer, kinit/klist/kdestroy/krb524init/ms2mit/aklog command-line surat kepercayaan para manajer, dan suatu in-memory credentials cache.
Kerberos untuk Windows 3.1 dirancang untuk 32-bit versi dari Windows 2000, XP, 2003, 2003 R2 atau lebih tinggi dan lingkungan WOW64.
MIT Kerberos for Windows (KfW) meliputi biner yang redistributable, suatu SDK, dokumentasi, source program, dan sebuah installer interaktif.
Mit Kerberos untuk Windows 2.6.5
Mit Kerberos For Windows (Kfw) meliputi Kerberos v4, Kerberos v5, Leash32, KCLIENT, in-memory credentials cache.
Kerberos untuk Windows 2.6.5 dirancang untuk Windows 98/ 98SE/ ME/NT4/2000/XP/2003. (Windows 95 tidak didukung).
MIT Kerberos for Windows (KfW) meliputi biner yang redistributable, suatu SDK, dokumentasi, source program, dan sebuah installer interaktif.
MIT Kerberos for Macintosh 4.0.3
Mac OS X 10.2 dan Mit Kerberos bundel untuk Macintosh. mendapatkan versi yang terakhir tentang Mit Kerberos untuk Macintosh, menyenangkan upgrade versi yang terakhir tentang Mac OS X yang tersedia dari Apple. download Kerberos Extras/Fasilitas Ekstra untuk Mac OS X 10.2 dan untuk memungkinkan Kerberos mendukung untuk CFM aplikasi.
Kerberos untuk Macintosh 4.0.3 adalah release untuk Mac OS X 10.1.x.
Kerberos untuk Macintosh 4.0.3 adalah release untuk Mac OS 8/9.
Saat ini hanya satu yang paket yang yang tersedia meliputi kedua installers, lepaskan biner dan SDKs. SDKs adalah untuk aplikasi dan perpustakaan para programmer untuk menambahkan Kerberos kemampuan kepada kode mereka atau membaharui ke versi yang lebih baru dari berbagai Kerberos APIS. Sumber kode untuk komponen dari pelepasan/release ini mungkin dibuat yang tersedia pada nantinya.
Sumber Referensi :
• B. Clifford Neuman and Theodore Ts'o, Kerberos: An Authentication Service for Computer Networks, IEEE Communications, 32(9) pp33–38. September 1994. [1]
• John T. Kohl, B. Clifford Neuman, and Theodore Y. T'so, The Evolution of the Kerberos Authentication System. Distributed Open Systems, pp78–94. IEEE Computer Society Press, 1994. [2] (Postscript format)
• Cisco Systems Security Configuration Guide Configuring Kerberos
• http://id.wikipedia.org/wiki/Kerberos
• http://web.mit.edu/kerberos
• http://ubvms.cc.buffalo.edu/~tkslen/kerberos.html
