Kerberos mis en scène - IRISA · Kerberos mis en sc ene S ebastien Gambs (d’apr es un cours de Fr ed eric Tronel) [email protected] 25 novembre 2015 S ebastien Gambs Autour de l’authenti

Une piece de theatreScene 1Scene 2Scene 3Scene 4

Resume du fonctionnement

Kerberos mis en scene

Sebastien Gambs (d’apres un cours de Frederic Tronel)

[email protected]

25 novembre 2015

Sebastien Gambs Autour de l’authentification : cours 4 1



Une piece de theatre

Scene 1

Scene 2

Scene 3

Scene 4





Introduction

Une piece de theatre




Introduction

Introduction

I Piece de theatre qui explique le fonctionnement de Kerberos 4.

I Ecrit a l’origine par Bill Bryant en fevrier 1988.

I Nettoye et mis en ligne par Theodore Ts’o, en fevrier 1997.

I Disponible sur http://web.mit.edu/kerberos/www/dialogue.html


http://web.mit.edu/kerberos/www/dialogue.html



Introduction

Dramatis personaeAthena

Une developpeuse systeme tout juste embauchee.




Introduction

Dramatis personaeEuripides

Un developpeur experimente et un peu excentrique.




Scene 1




A: He Rip, ce systeme se traıne. Je ne peux pas travailler car il ya deja quelqu’un de connecte.

E: Ne t’en prends pas a moi, je n’y peux rien.

A: Tu sais ce qu’il nous faudrait ? C’est donner a chaqueutilisateur sa propre station de travail pour qu’il n’ait pas a sesoucier du partage du temps de calcul. Et en plus on pourraitutiliser le reseau pour que les utilisateurs puissentcommuniquer.

E: Bien. De quoi a-t-on besoin, un millier de stations de travail?

A: Plus ou moins.

E: Est-ce que tu connais la taille d’un disque de station detravail? Il n’y aura jamais suffisamment de place pour tous leslogiciels disponibles sur un systeme central.








A: Plus ou moins.









A: Plus ou moins.









A: Plus ou moins.









A: Plus ou moins.









A: Plus ou moins.





A: J’y ai deja pense. On peut garder les copies des logiciels surdes serveurs. Quand tu te connectes a une station, elle accedeaux logiciels installes sur les serveurs via le reseau. Commetoutes les stations utilisent les memes logiciels cela simplifieles mises a jour.

E: D’accord. Et que fais-tu des fichiers personnels? Avec unsysteme centralise, je peux me connecter et avoir acces a mesfichiers depuis n’importe quel terminal. Est-ce que je pourraiavoir la meme chose avec les stations de travail ? Ou biendevrai-je garder mes fichiers sur un support externe ? J’espereque non.

A: Je pense que l’on peut utiliser d’autres serveurs pour stockerles fichiers personnels. Tu te connectes a une station etcomme ca tu as acces a tes fichiers.
















E: Et pour les imprimantes ? Est-ce que chaque station devraavoir sa propre imprimante? Tu as pense au cout ? Et pour lesemails ? Tu vas devoir distribuer le mail a toutes ces stations?

A: Ah ... bon on n’a pas les moyens d’acheter une imprimantepar station, mais on pourrait avoir des serveurs dedies auximpressions. Tu leurs envoies un document, et ils l’imprimentpour toi. Tu pourrais faire la meme chose pour les emails.

E: Ton systeme semble vraiment bien Tina. Quand j’aurais accesa ma station tu sais ce que je vais faire ? Je vais trouver tonlogin et je vais me faire passer pour toi. Et puis je vais pouvoirlire ton mail, et je vais effacer tes fichiers personnels et ...

A: Tu peux faire ca ?

























E: Bien sur ! Comment tous ces serveurs pourront savoir que jene suis pas toi ?

A: Pfff je sais pas. Je dois y reflechir.

E: Ouais en effet. Tiens moi au courant.
















Scene 2




Bureau de Euripides, le lendemain matin. Euripides est assis a sonbureau, en train de lire son courrier. Athena frappe a la porte.

A: Bon j’ai trouve comment securiser un reseau ouvert afin queles personnes indelicates comme toi, ne puissent pas se fairepasser pour quelqu’un d’autre.

E: Ah bon ? Assieds-toi.

Elle s’assoit.

A: Avant de commencer, puis-je fixer les bases de cettediscussion ?

E: Quelles sont-elles ?







Elle s’assoit.









Elle s’assoit.









Elle s’assoit.









Elle s’assoit.









Elle s’assoit.






A: Bien suppose que je veuille obtenir mon courrier electronique.Je dois me connecter au serveur de mail et lui demanderd’envoyer mon courrier vers ma station de travail. En realitece n’est pas moi qui me connecte au serveur de courrier, maisj’utilise un programme qui se connecte au serveur et retrouvemon courrier. Ce programme est un client du serveur de mail.Donc quand je dis je fais ci et ca, en fait il faut entendrequ’un programme client fait les choses en mon nom. Ok ?

E: Evidemment, sans probleme.




A: Bien suppose que je veuille obtenir mon courrier electronique.Je dois me connecter au serveur de mail et lui demanderd’envoyer mon courrier vers ma station de travail. En realitece n’est pas moi qui me connecte au serveur de courrier, maisj’utilise un programme qui se connecte au serveur et retrouvemon courrier. Ce programme est un client du serveur de mail.Donc quand je dis je fais ci et ca, en fait il faut entendrequ’un programme client fait les choses en mon nom. Ok ?

E: Evidemment, sans probleme.




A: Bien. On est d’accord, je commencerai par definir le problemeque je veux resoudre. Dans un systeme ouvert en reseau, lesmachines qui fournissent des services doivent etre capables deverifier l’identite des personnes qui les utilisent. Si je contacteun serveur de mail, et que je lui demande mes emails, celui-cidoit pouvoir verifier que je suis bien celle que je pretends etred’accord ?

E: D’accord.

A: On pourrait resoudre ce probleme de maniere brutale enobligeant le serveur de courrier a demander un mot de passeavant de pouvoir l’utiliser. Je prouve mon identite en donnantmon mot de passe.





E: D’accord.






E: D’accord.





E: C’est lourd. Dans un tel systeme, chaque serveur doitconnaıtre les mots de passe. S’il y a un millier d’utilisateurs,chaque serveur doit connaıtre un millier de mots de passe. Situ veux changer ton mot de passe, il doit etre mis a jour surchaque serveur. J’espere que ton idee est moins stupide.

A: Mon idee n’est pas aussi stupide. Voici comment je procede.Les utilisateurs doivent avoir un mot de passe, c’est entendu,mais les serveurs doivent aussi en posseder un. Chaqueutilisateur connaıt uniquement son mot de passe, de memeque chacun de serveurs, et il y a un serviced’authentification qui connaıt tous les mots de passe (ceuxdes utilisateurs, mais aussi ceux des serveurs). Ce servicestocke ces mots de passe dans une base de donnees unique etcentralisee.




E: C’est lourd. Dans un tel systeme, chaque serveur doitconnaıtre les mots de passe. S’il y a un millier d’utilisateurs,chaque serveur doit connaıtre un millier de mots de passe. Situ veux changer ton mot de passe, il doit etre mis a jour surchaque serveur. J’espere que ton idee est moins stupide.

A: Mon idee n’est pas aussi stupide. Voici comment je procede.Les utilisateurs doivent avoir un mot de passe, c’est entendu,mais les serveurs doivent aussi en posseder un. Chaqueutilisateur connaıt uniquement son mot de passe, de memeque chacun de serveurs, et il y a un serviced’authentification qui connaıt tous les mots de passe (ceuxdes utilisateurs, mais aussi ceux des serveurs). Ce servicestocke ces mots de passe dans une base de donnees unique etcentralisee.




E: Est-ce que tu l’as baptise ce service d’authentification ?

A: Je n’y ai pas encore songe. Tu as des idees ?

E: C’est quoi le nom du gars qui transporte les morts a travers leStyx ?

A: Charon ?

E: Ouais c’est lui. Il ne te laisse pas passer tant que tu ne lui asprouve ton identite.

A: C’est bien toi ca Rip, encore en train de recrire la mythologiegrecque. Charon se moque de l’identite des morts. Il s’assuresimplement qu’ils sont bien morts.

E: Tu as une meilleure idee ?

Apres un moment de reflexion.

A: Non pas vraiment.

E: Alors appelons le “Charon”.







A: Charon ?













A: Charon ?













A: Charon ?













A: Charon ?













A: Charon ?













A: Charon ?













A: Charon ?













A: Charon ?













A: Charon ?










A: Ok. Je pense qu’il faudrait que je le decrive hein ?

Disons que tu veuilles utiliser un service, le service de courrierpar exemple.

Dans mon systeme tu ne peux l’utiliser tant que Charon n’apas informe ce service que tu es bien qui tu pretends etre.

Et tu ne peux obtenir cette autorisation qu’apres t’etreauthentifie aupres de Charon.

Pour cela, tu dois dire a Charon le service dont tu as besoin.

Charon te demande alors de prouver ton identite. Tu le fais enfournissant ton mot de passe.

Charon compare alors ce mot de passe avec celui qu’il possededans sa base de donnees.

Si les deux mots de passe concordent, Charon considere quetu as prouve ton identite.

















































































A: Charon doit a present convaincre le service du courrier que tues bien qui tu pretends etre.

Puisque Charon connaıt tous les mots de passe, il connaıt enparticulier celui du serveur de mail.

Il est concevable que Charon te donne ce mot de passe, quetu fournis au service de mail comme preuve que tu t’es dejaauthentifie aupres de Charon.

Le probleme c’est que Charon ne peut pas te donnerdirectement le mot de passe, sans quoi il n’est plus secret.

Et tu n’aurais plus besoin a l’avenir de t’authentifier aupres deCharon pour utiliser le courrier.

Tu pourrais meme outrepasser ton identite.

















































A: Donc plutot que de te donner le mot de passe du serveur,Charon va te donner un ticket pour le service de courrier.

Ce ticket contient une version de ton login qui a ete encryptea l’aide du mot de passe du serveur.

Ce ticket en main, tu peux maintenant demander d’acceder auservice de courrier.

Tu fais des lors ta requete au serveur de mail en lui donnantton identite, ainsi que le ticket qui prouve que tu es bien quitu pretends etre.

Le serveur utilise son mot de passe pour decrypter le ticket, etretrouver le nom d’utilisateur que Charon a mis dans le ticket.

Le serveur peut alors comparer ton nom avec celui contenudans le ticket. S’ils sont identiques, tu as prouve ton identite.

Qu’en penses-tu ?










Qu’en penses-tu ?










Qu’en penses-tu ?










Qu’en penses-tu ?










Qu’en penses-tu ?










Qu’en penses-tu ?










Qu’en penses-tu ?




E: J’ai des questions.

A: Je m’en doutais. En avant.

E: Quand un service decrypte un ticket, comment s’assure-t-ilqu’il a correctement decrypte le ticket.

A: Je ne sais pas.

E: Peut-etre que tu pourrais ajouter le nom du service dans leticket. De cette maniere lorsque le service decrypte le ticket, ilpeut juger facilement du succes de l’operation en verifiant sonnom a l’interieur du ticket.

A: ca me paraıt bien. Donc le ticket ressemble a ca :

TICKET− {username‖servicename}







A: Je ne sais pas.










A: Je ne sais pas.










A: Je ne sais pas.










A: Je ne sais pas.










A: Je ne sais pas.







E: Donc le ticket ne contient que le nom de l’utilisateur et celuidu service ?

A: Oui, encryptes avec la cle du service.

E: Je ne pense pas que cela suffise a rendre le ticket sur.

A: Qu’entends-tu par la ?

E: Suppose que tu demandes a Charon un ticket pour le serveurde courrier.

Charon prepare un ticket avec ton login “tina” a l’interieur.

Suppose que je copie ce ticket lors de son transit sur le reseau.

Et suppose que je convainc ma station que je m’appelle“tina”. Mon client de mail pensera aussi que je m’appelle“tina”.

Le serveur decrypte mon ticket et verifie qu’il est valide.




































































































E: Le nom dans le ticket correspond en effet au nom del’utilisateur qui demande le service. Et je retrouve ton courrier...

A: Oh ! ca ne vas pas du tout.

E: Mais je pense que je connais un moyen de resoudre ceprobleme. Ou tout du moins une facon de le resoudrepartiellement.

Je pense que Charon devrait inclure plus d’information dansles tickets qu’il produit. En plus du nom de l’utilisateur, leticket devrait aussi contenir l’adresse reseau depuis laquellel’utilisateur a demande un ticket a Charon. Cela te donne unniveau de securite supplementaire. Je m’explique.

























E: Suppose que je te vole un ticket. Le ticket contient l’adressereseau de ta station, et cette adresse est differente de lamienne. Si je transmets ce ticket frauduleux au serveur demail, celui va pouvoir extraire un nom d’utilisateur mais aussiune adresse reseau du ticket. Si le nom d’utilisateurcorrespond bien, l’adresse reseau n’est pas bonne. Le serveurpeut rejeter le ticket car il a ete vole de maniere evidente.

A: Bravo, bravo ! J’aurais aime avoir cette idee.

E: Bon disons que c’est mon metier.

A: Donc le nouveau ticket ressemble a ca :

TICKET− {username‖address‖servicename}




























A: Je suis vraiment enthousiaste. Construisons Charon et voyonss’il fonctionne bien.

E: Pas si vite. J’ai d’autres questions.

A: D’accord.

Athena se penche en avant dans son siege. Vas-y.

E: Il semble que l’on doive obtenir un nouveau ticket chaque foisque l’on veut utiliser un service. Si je considere une journee detravail ordinaire, je vais probablement consulter mes emailsplus d’une fois. Est-ce que je dois obtenir un nouveau ticket achaque fois ? Si c’est le cas je n’aime pas ton systeme.






A: D’accord.








A: D’accord.








A: D’accord.








A: D’accord.






A: Euh ... et bien je ne vois pas ce qui empeche les tickets d’etrereutilisables. Si tu as un ticket pour le service de courrier, tuas le droit de l’utiliser encore et encore. Par exemple, lorsquele client de mail fait une requete au serveur de mail, iltransmet une copie du ticket au serveur.

E: C’est mieux. Mais j’ai toujours des problemes. Tu semblesdire que je dois donner mon mot de passe a Charon, chaquefois que je souhaite utiliser un service pour lequel je nepossede pas encore de ticket.




A: Euh ... et bien je ne vois pas ce qui empeche les tickets d’etrereutilisables. Si tu as un ticket pour le service de courrier, tuas le droit de l’utiliser encore et encore. Par exemple, lorsquele client de mail fait une requete au serveur de mail, iltransmet une copie du ticket au serveur.

E: C’est mieux. Mais j’ai toujours des problemes. Tu semblesdire que je dois donner mon mot de passe a Charon, chaquefois que je souhaite utiliser un service pour lequel je nepossede pas encore de ticket.




E: Je me connecte et je veux acceder a mes fichiers. Jetransmets une requete a Charon pour le service idoine, etdonc je dois fournir mon mot de passe. Apres je veux lire mesemails. Encore une requete a Charon, et donc encore monmot de passe. Et maintenant je veux imprimer un des mails.Encore une requete et mon mot de passe. Tu vois ...

A: Pff oui je vois.

E: Et encore ce n’est rien, mais tu sembles dire que lorsque jem’authentifie aupres de Charon, je dois transmettre mon motde passe en clair sur le reseau. Les gens intelligents commetoi, savent ecouter le reseau et donc copier les mots de passe.Si j’ai ton mot de passe, je peux me faire passer pour toi.

A: Ce sont des problemes serieux ! Je crois que je dois retournerreflechir.





A: Pff oui je vois.







A: Pff oui je vois.







A: Pff oui je vois.






Scene 3




Le lendemain matin, Athena croise Euripides au cafe. Elle lui tapesur l’epaule comme il se sert une tasse de cafe.

A: J’ai une nouvelle version de Charon qui resout nos problemes.

E: Vraiment ? ca n’a pas tarde.

A: Et bien, tu sais, c’est le genre de casse-tete qui me tienteveillee toute la nuit.

E: C’est pas plutot ta mauvaise conscience. Et si on allait dansla petite salle de reunion ?

A: Pourquoi pas ?









A: Pourquoi pas ?









A: Pourquoi pas ?









A: Pourquoi pas ?









A: Pourquoi pas ?









A: Pourquoi pas ?




Ils se dirigent vers la salle de reunion.

A: Je vais commencer par rappeler les problemes que nousavions, mais je vais inverser le point de vue en lestransformant en proprietes du systeme.

Athena s’eclaircit la voie.

A: La premiere propriete : les utilisateurs ne doivent avoir aentrer leur mot de passe qu’une seule fois au demarrage deleur session. Ceci implique que l’on ne doit pas avoir aredonner son mot de passe chaque fois que l’on a besoin d’unticket de service.

A: La seconde propriete : les mots de passe ne doivent pascirculer en clair sur le reseau.

E: Ok.









E: Ok.









E: Ok.









E: Ok.









E: Ok.









E: Ok.




A: Je vais commencer par la premiere propriete. On ne doitdonner son mot de passe qu’une seule fois. J’ai resolu ceprobleme en inventant un nouveau service. C’est le ticketgranting service. Un service qui fournit des tickets Charonaux utilisateurs qui se sont deja authentifies aupres de Charon.

Tu peux utiliser ce service, si tu possedes un ticket adequatappele le ticket granting ticket (TGT).

Le ticket granting service fait partie de Charon a part entierepuisqu’il peut acceder a la base de donnees de mot de passe.C’est une partie de Charon qui permet de s’authentifier al’aide d’un ticket plutot que d’un mot de passe.
















A: Le systeme fonctionne desormais de la facon suivante : tu teconnectes a la station, puis tu utilises un programme appelekinit pour contacter le serveur Charon. Tu prouves tonidentite a Charon, et kinit te retournes un TGT.

Disons que tu veuilles maintenant lire ton courrier. Tu n’aspas encore de ticket pour le serveur de courrier. Donc tuutilises le TGT afin d’obtenir un ticket pour le serveur decourrier. Tu n’as pas a utiliser ton mot de passe pour obtenirce nouveau ticket.




A: Le systeme fonctionne desormais de la facon suivante : tu teconnectes a la station, puis tu utilises un programme appelekinit pour contacter le serveur Charon. Tu prouves tonidentite a Charon, et kinit te retournes un TGT.

Disons que tu veuilles maintenant lire ton courrier. Tu n’aspas encore de ticket pour le serveur de courrier. Donc tuutilises le TGT afin d’obtenir un ticket pour le serveur decourrier. Tu n’as pas a utiliser ton mot de passe pour obtenirce nouveau ticket.




E: Est-ce que tu dois obtenir un nouveau TGT a chaque fois quetu as besoin d’acceder a un nouveau service ?

A: Non. Souviens-toi que nous etions tombes d’accord hier sur lefait que les tickets peuvent etre reutilises. Une fois acquis unTGT, tu n’as pas besoin d’en demander un nouveau. Tuutilises ce ticket afin d’obtenir les autres tickets dont tu asbesoin.

E: Ok, c’est coherent. Et puisque l’on peut reutiliser les tickets,des que tu as obtenu un ticket pour un service particulier, tupeux le conserver pour la suite.

A: Ouais, c’est elegant non ?

E: Ok je l’adopte ... si tu n’envoies pas les mots de passe en clairsur le reseau pour obtenir le TGT.




































A: Comme je l’ai dit, j’ai aussi resolu ce probleme. Il est vrai quelorsque je dis que tu dois contacter Charon pour obtenir leTGT, on a l’impression que je dis que tu dois envoyer ton motde passe en clair sur le reseau. Mais ce n’est pas le cas. Voicice qui se passe. Lorsque tu utilises kinit pour obtenir tonTGT, celui-ci n’envoie pas ton mot de passe a Charon, maisseulement ton nom.

E: Parfait.




A: Comme je l’ai dit, j’ai aussi resolu ce probleme. Il est vrai quelorsque je dis que tu dois contacter Charon pour obtenir leTGT, on a l’impression que je dis que tu dois envoyer ton motde passe en clair sur le reseau. Mais ce n’est pas le cas. Voicice qui se passe. Lorsque tu utilises kinit pour obtenir tonTGT, celui-ci n’envoie pas ton mot de passe a Charon, maisseulement ton nom.

E: Parfait.




A: Charon utilise ce nom d’utilisateur pour retrouver le mot depasse.

Puis il construit le TGT.

Mais avant de l’envoyer sur le reseau, il l’encrypte a l’aide deton mot de passe.

Ta station recoit le ticket encrypte.

Tu donnes ton mot de passe a kinit, et il tente de le decrypter.

S’il reussit, tu es correctement authentifie et tu possedes unTGT qui te permet d’obtenir d’autres tickets.

Magique non ?










Magique non ?










Magique non ?










Magique non ?










Magique non ?










Magique non ?










Magique non ?




E: Je ne sais pas ... J’essaye de reflechir. Je crois que certainesparties du systeme que tu viens de decrire sont vraiment bien.Ton systeme permet de s’authentifier qu’une seule fois. Aprescela, Charon peut me delivrer automatiquement des tickets.

E: Mais il y a quelque chose qui m’embete un peu dans laconception des tickets de service. C’est lie au fait que lestickets sont reutilisables. Je suis d’accord sur le fait qu’ilsdoivent etre reutilisables. Mais ca les rend tres dangereux.

A: Que veux-tu dire ?
















E: Regarde. Suppose que tu utilises une station et que durant tasession tu obtiennes des tickets pour le courrier, pour lesimpressions et pour l’acces a tes fichiers. Suppose que parinadvertance tu laisses ces tickets sur la station en partant.Maintenant imagine que je me connecte apres toi et que jetrouve tes tickets. Je me sens d’humeur a te causer desproblemes. Je fais croire a la station que je suis toi. Puisqueles tickets sont a ton nom, je peux lire ton courrier, je peuxeffacer tes fichiers et je peux imprimer de grande quantite dedocuments sur ton compte. Tout ca parce que les tickets ontete laisses par inadvertance. Et rien ne m’empeche deconserver ces tickets, ce qui fait que je peux continuer de lesutiliser pour l’eternite.




A: Mais c’est facile a resoudre. Il suffit d’ecrire un programmequi detruit les tickets des utilisateurs a la fin de leur session.Tu ne peux plus reutiliser leurs tickets.

E: Oui evidemment ton systeme a besoin d’un tel programme,mais il n’est pas raisonnable de faire reposer la securite dusysteme sur cela. Tu ne peux pas compter sur les utilisateurspour qu’ils se souviennent de bien utiliser ce programme a lafin de leurs sessions. Et meme si tu fais cette hypothese, voiciun nouveau probleme.




A: Mais c’est facile a resoudre. Il suffit d’ecrire un programmequi detruit les tickets des utilisateurs a la fin de leur session.Tu ne peux plus reutiliser leurs tickets.

E: Oui evidemment ton systeme a besoin d’un tel programme,mais il n’est pas raisonnable de faire reposer la securite dusysteme sur cela. Tu ne peux pas compter sur les utilisateurspour qu’ils se souviennent de bien utiliser ce programme a lafin de leurs sessions. Et meme si tu fais cette hypothese, voiciun nouveau probleme.




E J’ai programme qui permet d’ecouter le reseau et de copier lestickets lorsqu’ils traversent le reseau.

Suppose que je te choisisse comme victime. J’attends que tucommences une session et j’utilise mon programme pourcopier tes tickets. J’attends que tu termines ta session et quetu partes.

Ensuite je modifie l’adresse reseau de ma station afin qu’ellecorresponde a l’adresse de la station dont tu viens de te servirpour acquerir des tickets. Puis je me fais passer pour toi.

J’ai tes tickets, ton nom d’utilisateur, et la bonne adresse surle reseau. Je peux rejouer ces tickets et utiliser des servicesen ton nom.

























E Le fait que tu aies detruit tes tickets a la fin de ta session n’adonc aucune importance.

Les tickets que j’ai voles sont toujours valides et je peux lesutiliser aussi longtemps que je veux. Parce que la conceptionmeme des tickets n’indique aucune limite sur le nombre defois que je peux utiliser un meme ticket, ou bien sur le tempspendant lequel un ticket reste valide.




E Le fait que tu aies detruit tes tickets a la fin de ta session n’adonc aucune importance.

Les tickets que j’ai voles sont toujours valides et je peux lesutiliser aussi longtemps que je veux. Parce que la conceptionmeme des tickets n’indique aucune limite sur le nombre defois que je peux utiliser un meme ticket, ou bien sur le tempspendant lequel un ticket reste valide.




A: Oh je vois ce que tu veux dire! Les tickets ne doivent pas etrevalides pour l’eternite parce que cela constituerait alors ungros risque pour la securite. On doit donc restreindre le tempspendant lequel un ticket peut etre utilise. Peut-etre peut-onleur donner une sorte de date d’expiration.

E: Exactement. Je pense que chaque ticket doit transporter deuxinformations supplementaires. Une duree de vie qui indiquependant combien de temps un ticket est valide, et uneestampille qui indique la date et l’heure a laquelle Charon aproduit ce ticket. Un ticket ressemblerait donc a cela :

TICKET−{username‖address‖servicename‖lifespan‖timestamp}




A: Oh je vois ce que tu veux dire! Les tickets ne doivent pas etrevalides pour l’eternite parce que cela constituerait alors ungros risque pour la securite. On doit donc restreindre le tempspendant lequel un ticket peut etre utilise. Peut-etre peut-onleur donner une sorte de date d’expiration.

E: Exactement. Je pense que chaque ticket doit transporter deuxinformations supplementaires. Une duree de vie qui indiquependant combien de temps un ticket est valide, et uneestampille qui indique la date et l’heure a laquelle Charon aproduit ce ticket. Un ticket ressemblerait donc a cela :

TICKET−{username‖address‖servicename‖lifespan‖timestamp}




E: Maintenant lorsqu’un service decrypte un ticket, il verifie nonseulement que le nom d’utilisateur, et l’adresse reseaucontenus dans le ticket sont en accord avec ceux envoyes parl’utilisateur, mais aussi que le ticket n’a pas expire.

A: D’accord. Quelle duree de vie typique devrait avoir un ticket ?

E: Je ne sais pas. Probablement la duree d’une session de travailtypique, disons 8 heures.

A: Donc si je reste assise devant ma station pendant plus de 8heures, tous mes tickets vont expirer. Ceci inclut aussi monTGT. Je devrai donc me reauthentifier aupres de Charontoutes les 8 heures.

E: Ce n’est pas deraisonnable non ?




































A: Je ne pense pas. On est donc fixe, les tickets expirent apres 8heures. Maintenant j’ai une question pour toi. Suppose quej’ai copie tes tickets a partir du reseau.

E: Oh Tina! Tu ne ferais pas ca quand meme ?

A: Ce n’est qu’une supposition. J’ai copie tes tickets.Maintenant j’attends que tu te deconnectes.

Supposons que tu aies un rendez-vous chez le docteur, oubien un cours a donner, ce qui fait que tu te deconnectes aubout de deux heures. Tu es malin et tu as detruit les copies detes tickets a la deconnexion.

























A: Mais j’ai vole tes tickets et ils sont encore valides pour un peumoins de 6 heures. Cela me laisse amplement le temps depiller tes fichiers et d’imprimer un bon millier de copies a tonnom. Tu vois la duree de vie des tickets permet biend’empecher le rejeu des tickets apres qu’ils ont expire. Mais sile voleur les rejoue avant cela ...

E: Euh oui ... bien sur tu as raison.

A: Je pense que l’on a un gros probleme (soupire-t-elle).

Silence.

E: J’imagine que tu vas etre occupee cette nuit. Un peu de cafe ?

A: Pourquoi pas.







Silence.


A: Pourquoi pas.







Silence.


A: Pourquoi pas.







Silence.


A: Pourquoi pas.







Silence.


A: Pourquoi pas.







Silence.


A: Pourquoi pas.




Scene 4




Le lendemain matin dans le bureau de Euripides. Athena frappe laporte.

E: Tu as des cernes sous les yeux, ce matin.

A: Ben tu sais, encore une de ses longues nuits.

E: As-tu resolu le probleme du rejeu des tickets ?

A: Je crois.

E: Assieds-toi.

Elle prend place.

A: Comme d’habitude, je souhaiterais reformuler le probleme.Les tickets sont reutilisables durant une periode de tempsdonnee, disons 8 heures. Si quelqu’un vole tes tickets etdecide de les rejouer avant qu’ils n’expirent, on ne peut rienfaire pour l’arreter.








A: Je crois.

E: Assieds-toi.

Elle prend place.









A: Je crois.

E: Assieds-toi.

Elle prend place.









A: Je crois.

E: Assieds-toi.

Elle prend place.









A: Je crois.

E: Assieds-toi.

Elle prend place.









A: Je crois.

E: Assieds-toi.

Elle prend place.









A: Je crois.

E: Assieds-toi.

Elle prend place.









A: Je crois.

E: Assieds-toi.

Elle prend place.





E: C’est precisement le probleme.

A: On pourrait resoudre le probleme en decidant que les ticketsne sont pas reutilisables.

E: Mais alors on devrait obtenir un nouveau ticket chaque foisque l’on souhaite utiliser un service.

A: Oui. Cela serait au mieux lourd-dingue.

Silence.

A: Comment exposer mon argumentation ?

Elle reflechit un moment.








Silence.










Silence.










Silence.










Silence.










Silence.










Silence.






A: Bon je vais de nouveau reformuler le probleme sous la formedes proprietes attendues.

Un service reseau doit etre capable de prouver qu’unepersonne qui possede un ticket est bien la personne a qui ceticket a ete attribue.

Laisse-moi retracer le processus d’authentification tel qu’on l’adefini, et voir si on peut en retirer une maniere d’illustrer masolution a ce probleme.
















A: Je veux utiliser un certain service. J’accede a ce service endemarrant un programme client sur ma station. Le clientenvoie trois choses au serveur.

I Mon nom.I L’adresse de ma station de travail.I Le ticket approprie.

Le ticket encrypte par Charon a l’aide de la cle du servicecontient :

I Le nom de la personne a qui il a ete attribue.I L’adresse de la station de la personne a qui il a ete attribue.I Une date de validite.





I Mon nom.

I L’adresse de ma station de travail.I Le ticket approprie.







I Mon nom.I L’adresse de ma station de travail.

I Le ticket approprie.























I Le nom de la personne a qui il a ete attribue.

I L’adresse de la station de la personne a qui il a ete attribue.I Une date de validite.







I Le nom de la personne a qui il a ete attribue.I L’adresse de la station de la personne a qui il a ete attribue.

I Une date de validite.











A: Notre schema d’authentification actuel repose sur les troistests suivants :

I Le service peut-il decrypter le ticket ?I Le ticket a-t-il expire ?I Est-ce que le nom d’utilisateur ainsi que l’adresse de la station

correspondent entre ceux contenus dans le ticket et ceuxcontenus dans la requete ?

Que prouvent ces tests ?





I Le service peut-il decrypter le ticket ?

I Le ticket a-t-il expire ?I Est-ce que le nom d’utilisateur ainsi que l’adresse de la station







I Le service peut-il decrypter le ticket ?I Le ticket a-t-il expire ?

I Est-ce que le nom d’utilisateur ainsi que l’adresse de la stationcorrespondent entre ceux contenus dans le ticket et ceuxcontenus dans la requete ?



















Premier test: decryptage du ticket.

A: Ce test permet de determiner si le ticket a ete produit parCharon ou pas.

Si le ticket ne peut pas etre decrypte par le service, il n’a pasete fabrique par Charon.

Le vrai Charon aurait en effet encrypte le ticket avec la cleappartenant au service. Charon et le service concerne sont lesseuls a connaıtre cette cle.

Si le ticket peut etre correctement decrypte, alors il provientde Charon.

Ce test empeche entre autres la construction de faux tickets.









































Decryptage du ticket⇔ Ticket produit par Charon




Deuxieme test: date de validite.

A: Le second test verifie la date de la validite du ticket.

S’il a expire, le service rejette le ticket.

Ce test empeche d’utiliser des tickets trop anciens, qui ontpeut-etre ete voles.



















Date de validite⇔ Ticket recemment produit




Troisieme test: nom d’utilisateur et adresse reseau.

A: Le troisieme test verifie si le nom et l’adresse contenu dans leticket correspondent avec ceux envoyes dans la requete.

Si le test echoue, le ticket a ete subtilise, et il est rejete.

S’il reussit, que prouve-t-il ?

Rien. Un pirate peut voler le ticket sur le reseau, changerl’adresse reseau de sa station et son login de maniereappropriee, et utiliser les ressources des utilisateurs.

Comme je l’ai montre hier, les tickets peuvent etre rejouesaussi longtemps qu’ils sont valides.

Et ils peuvent etre rejoues car le service ne peut pas etablir sila personne qui a emise le ticket est bien son proprietairelegitime.























































Nom et adresse reseau⇐ Ticket non usurpe




Tests

Decryptage du ticket ⇔ Ticket produit par CharonDate de validite ⇔ Ticket recemment produitNom et adresse reseau ⇐ Ticket non usurpe




A: Le service ne peut pas determiner cela car il ne possede pas desecret qu’il partagerait seulement avec l’utilisateur.

Voici ce que je veux dire. Imagine que je monte la garde auchateau de Elsinore, mais si tu sais le chateau dans Hamlet.Et tu es suppose me relever.

J’ai pour ordre de ne te laisser ma place que si tu peux medonner le mot de passe.

Voici un exemple typique de situation ou deux personnespartagent un secret.

Et c’est probablement un secret fabrique par une tiercepersonne a l’intention des gardes.




































A: Donc je me disais la nuit derniere, pourquoi Charon nefabriquerait-il pas un mot de passe pour le possesseur legitimedu ticket qu’il partageraient avec le service ?

Charon pourrait donner une copie de cette cle de session auservice et a l’utilisateur.

Lorsque le service recoit un ticket d’un utilisateur, il pourraitutiliser cette cle de session pour tester l’identite del’utilisateur.

E: Attends une seconde. Comment Charon va-t-il donner achaque participant cette cle de session ?

























A: Le possesseur du ticket obtient cette cle de session a l’interieurde la reponse envoyee par Charon. Celle-ci ressemble donc a :

REPONSE CHARON− [sessionkey‖ticket]

La copie de la cle de session destinee au service est mise al’interieur du ticket, et il l’obtient lorsqu’il decrypte le ticket.Donc le ticket ressemble maintenant a :

TICKET−{sessionkey‖username‖address‖servicename‖lifespan‖timestamp}

























A: Lorsque tu veux obtenir un service, le programme client doitmaintenant construire ce que j’appelle un authentifieur. Cetauthentifieur contient le nom de l’utilisateur ainsi que l’adressede la station. Le client encrypte alors cet authentifieur a l’aidede la cle de session, dont il a recu une copie avec le ticket.

AUTHENTICATOR− {username ‖ address}




A: Lorsque tu veux obtenir un service, le programme client doitmaintenant construire ce que j’appelle un authentifieur. Cetauthentifieur contient le nom de l’utilisateur ainsi que l’adressede la station. Le client encrypte alors cet authentifieur a l’aidede la cle de session, dont il a recu une copie avec le ticket.

AUTHENTICATOR− {username ‖ address}




A: Apres avoir construit un authentifieur, le client l’envoie avec leticket au service. Celui-ci ne peut pas decrypter l’authentifieurtout de suite, car il n’a pas encore la cle de session.

Cette cle est contenue dans le ticket, donc le service doitcommencer par decrypter celui-ci. Apres avoir decrypte leticket, le service obtient les informations suivantes :

I La validite du ticket.I Le nom du possesseur du ticket.I L’adresse reseau de l’utilisateur.I La cle de session.












I La validite du ticket.

I Le nom du possesseur du ticket.I L’adresse reseau de l’utilisateur.I La cle de session.






I La validite du ticket.I Le nom du possesseur du ticket.

I L’adresse reseau de l’utilisateur.I La cle de session.






I La validite du ticket.I Le nom du possesseur du ticket.I L’adresse reseau de l’utilisateur.

I La cle de session.










A: Le service verifie si le ticket n’a pas expire. Si ce n’est pas lecas, le service peut utiliser la cle de session pour decrypterl’authentifieur.

Si le decryptage est possible, le service obtient :

I Un nom d’utilisateur.I Une adresse reseau.

Le service peut alors comparer le nom d’utilisateur et l’adressereseau trouves dans le ticket et ceux trouves dansl’authentifieur.

Si tout correspond, le service a determine que l’emetteur duticket est bien son proprietaire legitime.





Si le decryptage est possible, le service obtient :

I Un nom d’utilisateur.I Une adresse reseau.







Si le decryptage est possible, le service obtient :I Un nom d’utilisateur.

I Une adresse reseau.







Si le decryptage est possible, le service obtient :I Un nom d’utilisateur.I Une adresse reseau.




















Athena marque une pause, s’eclaircit la voix et avale une gorgee decafe.

A: Je pense que la cle de session et l’authentifieur permettentd’eviter les attaques par rejeu.

E: Peut-etre. Mais je me demande ... Pour casser cette versiondu systeme, je dois avoir le bon authentifieur pour le service.

A: Non. Tu dois posseder l’authentifieur et le ticket pour leservice. L’authentifieur seul n’est d’aucune utilite sans leticket car le service ne peut decrypter l’authentifieur, sans lacle de session qu’il n’obtient qu’apres avoir decrypte le ticket.

E: Ok, je comprends cela, mais n’as-tu pas dit que lorsqu’unprogramme client contacte un serveur, il envoie le ticket etl’authentifieur correspondant ensemble ?

A: Oui, je crois que c’est ce que j’ai dit.

















































E: Dans ce cas, qu’est-ce qui m’empeche de voler le ticket et sonauthentifieur ensemble ? Je suis sur de pouvoir ecrire un telprogramme. Si j’ai le ticket et son authentifieur, je crois queje peux utiliser les deux du moment que le ticket n’a pasexpire. J’ai simplement a modifier mon nom d’utilisateur etl’adresse reseau de ma station. Non ?

A: Vrai (se mordant la levre). C’est desesperant.

E: Attends, attends ! Ce n’est peut-etre pas si grave. Les ticketssont reutilisables dans la limite de leur validite, mais celan’implique pas que les authentifieurs doivent etre eux-memesreutilisables. Supposons que l’on fasse en sorte que lesauthentifieurs ne soient valables qu’une seule fois. Est-ce queca nous aide ?
















A: Ca se pourrait bien. Voyons, le programme client construitl’authentifieur, il l’envoie avec le ticket au service.

Tu les copies tous deux lorsqu’ils passent sur le reseau. Maisils arrivent au serveur avant que tu n’aies pu envoyer ta copie.

Si l’authentifieur ne peut etre utilise qu’une seule fois, tacopie ne sert a rien, et ton attaque par rejeu echoue.

Ouf quel soulagement. Il ne nous reste plus qu’a inventer unemaniere de rendre l’authentifieur utilisable une fois et uneseule.

























E: Pas de probleme. Il suffit de leur mettre une duree de vie etde les estampiller.

Suppose qu’un authentifieur ait une duree de vie de quelquesminutes.

Lorsque tu utilises un service, ton programme client construitun authentifieur, l’estampille avec la date et l’heure courante.Puis il l’envoie avec le ticket au serveur.
















E Le serveur recoit le ticket et l’authentifieur, et commence sesverifications. Lorsque le serveur decrypte l’authentifieur, ilverifie que celui-ci n’a pas expire et si tout le reste est correctpar ailleurs, il considere que tu es authentifie.

Suppose que j’ai copie l’authentifieur et le ticket durant leurtrajet sur le reseau. Je dois tout d’abord changer l’adressereseau de ma station ainsi que mon nom d’utilisateur, et jedois le faire en moins de quelques minutes. C’est vraimentcourt. En fait je pense que c’est meme impossible. A moinsque ...




E Le serveur recoit le ticket et l’authentifieur, et commence sesverifications. Lorsque le serveur decrypte l’authentifieur, ilverifie que celui-ci n’a pas expire et si tout le reste est correctpar ailleurs, il considere que tu es authentifie.

Suppose que j’ai copie l’authentifieur et le ticket durant leurtrajet sur le reseau. Je dois tout d’abord changer l’adressereseau de ma station ainsi que mon nom d’utilisateur, et jedois le faire en moins de quelques minutes. C’est vraimentcourt. En fait je pense que c’est meme impossible. A moinsque ...




5 minutes pour rejouer un authentifieur ...

Est-ce trop court pour changer son adresse reseau et rejouerl’authentifieur et le ticket selon vous ?




E: Bon voici un probleme potentiel.

Suppose que plutot que de copier le ticket et son authentifieurlorsqu’ils traversent le reseau entre ta station et le serveur, jecopie le ticket originel provenant de Charon.

Ce paquet, si je me souviens bien, comprend deux copies de lacle de session. Une pour toi, et une pour le service. Celle pourle service est protegee dans le ticket et je ne peux pas y avoiracces.

Mais pour l’autre, celle avec laquelle tu construitsl’authentifieur ? Si je peux la copier, je peux construire mespropres authentifieurs, et donc je peux casser le systeme.

























A: C’est quelque chose auquel j’ai pense la nuit derniere. Je mesuis rememore le processus d’acquisition des tickets, et j’aitrouve un moyen d’empecher le vol des authentifieurs durantcette phase.

Tu es assis devant ta station et tu demarres le programmekinit afin d’obtenir ton TGT. Kinit te demande ton nomd’utilisateur, et transfere ta demande a Charon.

Charon utilise ton nom pour verifier dans sa base de mot depasses s’il te trouve. Si tel est le cas, il commence laconstruction du TGT.
















A: Pour cela, Charon cree une nouvelle cle de session, que tupartageras avec le TGS. Charon met une copie de cette cle desession dans le TGT, et une autre copie dans le paquet qu’ilva t’envoyer.

Mais avant d’envoyer ce paquet tel quel, il l’encrypte avec tonmot de passe. Charon envoie le paquet ainsi forme.

Tout le monde peut voler ce paquet lors de son transit sur lereseau, sans cependant pouvoir en faire quelque chose, car il aete encrypte avec ton mot de passe. Et donc en particulier,personne ne peut lire la cle de session que tu partagesmaintenant avec le TGS.
















A: Kinit recoit le paquet, et te demande ton mot de passe. Si tuentres le bon mot de passe, kinit est capable de decrypter lepaquet et donc d’extraire la cle de session.

Maintenant que tu es authentifie, tu veux pouvoir lire toncourrier. Tu demarres donc ton client de mail.

Celui-ci recherche un ticket pour le service de courrier, qu’il netrouve pas (apres tout, tu n’as pas encore essaye de lire toncourrier). Le client doit utiliser le TGT pour demander auTGS un ticket pour le service de courrier.

Le client construit un authentifieur qu’il encrypte a l’aide de lacle de session. Le client envoie alors a Charon l’authentifieuraccompagne du TGT, du nom de l’utilisateur, de l’adressereseau de la station et du nom du service demande (ici lecourrier).

























A: Le TGS recoit le paquet et commence les verifications. Sitoutes les verifications se passent bien, le TGS obtient la clede session qu’il partage avec toi (contenue dans le TGT).

Maintenant le TGS peut construire un ticket de service (TS),et pour cela il cree une nouvelle cle de session qui serapartagee par toi et le service de courrier.

Le TGS prepare alors sa reponse a ta requete. Cette reponsecontient le ticket et la cle de session pour le service decourrier. Mais avant de t’envoyer le paquet, il l’encrypte al’aide de la cle de session obtenue precedemment aupres del’AS. Le paquet peut etre envoye sur le reseau.
















A: Suppose qu’un pirate le copie lors de son transit sur le reseau.Pas de chance car le paquet est encrypte a l’aide de la cle desession que tu partages avec le TGS; et que vous etes parconsequent les seuls a connaıtre.

Puisque le pirate ne peut pas dechiffrer le ticket pour leservice de courrier, il ne peut pas avoir acces a la cle desession que tu partages avec le service de courrier. Sans cettecle, il ne peut pas utiliser les tickets que tu vas envoyer auservice de courrier par la suite. Donc je pense que noussommes proteges. Qu’en penses-tu ?




A: Suppose qu’un pirate le copie lors de son transit sur le reseau.Pas de chance car le paquet est encrypte a l’aide de la cle desession que tu partages avec le TGS; et que vous etes parconsequent les seuls a connaıtre.

Puisque le pirate ne peut pas dechiffrer le ticket pour leservice de courrier, il ne peut pas avoir acces a la cle desession que tu partages avec le service de courrier. Sans cettecle, il ne peut pas utiliser les tickets que tu vas envoyer auservice de courrier par la suite. Donc je pense que noussommes proteges. Qu’en penses-tu ?




E: Peut-etre bien.

A: Peut-etre ! C’est tout ce que tu trouves a dire !

E: (Riant) Ne t’enerve pas. Tu devrais me connaıtre maintenant.C’est dans ma nature, et tu n’as pas dormi de la nuit.

A: Pfff !!!

E: Ok seulement les trois quart de la nuit. Plus serieusement, lesysteme commence a sembler acceptable. Cette histoire de clede session permet de resoudre aussi un probleme auquel j’aipense la nuit derniere: celui de l’authentification mutuelle.

Silence.

E: Ca t’ennuie si je parle un peu.

A: (Un peu sechement.) Je t’en prie.




E: Peut-etre bien.



A: Pfff !!!


Silence.






E: Peut-etre bien.



A: Pfff !!!


Silence.






E: Peut-etre bien.



A: Pfff !!!


Silence.






E: Peut-etre bien.



A: Pfff !!!


Silence.






E: Peut-etre bien.



A: Pfff !!!


Silence.






E: Peut-etre bien.



A: Pfff !!!


Silence.






E: Peut-etre bien.



A: Pfff !!!


Silence.






E: Merci.

Euripides s’eclaircit la voix.

E: La nuit derniere, pendant que tu revais sans doute de cles desession et d’authentifieurs, j’essayais de trouver de nouveauxproblemes au systeme tel qu’on l’avait laisse hier. Et jepensais en avoir trouve un qui etait vraiment serieux.

Je vais l’illustrer par le scenario suivant. Supposons que tu asen marre de ton boulot actuel et que tu as decide de partir.Tu souhaites imprimer ton CV sur l’imprimante laser flambantneuve de l’entreprise, afin de faire bonne impression aupresdes chasseurs de tete et de tes futurs employeurs.




E: Merci.







E: Merci.







E: Merci.







E: Tu lances donc la commande d’impression en lui indiquant leserveur d’impression adequat. La commande obtient le ticketde service approprie, si tu ne le possedes pas deja, et l’envoieau serveur d’impression.

Tout du moins c’est ce que tu crois. Car en fait tu ne sais passi la requete aboutit au bon serveur.

Suppose par exemple qu’un hacker peu scrupuleux, tonemployeur par exemple, a detourne le systeme afin que tarequete et son ticket soient rediriges dans son bureau.

Son programme d’impression ne se preoccupe pas du ticket etde son contenu. Il jette le ticket, mais informe ta station quele ticket est bien valide, et que le serveur est pret a imprimerton document.

























E: En fait le systeme d’impression vient d’envoyer ton CV a unserveur d’impression detourne. Autrement dit, sans les cles desession et les authentifieurs, Charon peut proteger ses serveursdes utilisateurs frauduleux, mais il ne peut pas proteger sesutilisateurs de serveurs malveillants.

Le systeme a donc besoin de permettre aux clientsd’authentifier les serveurs avant qu’ils ne leurs envoient desinformations sensibles. Le systeme doit donc assurerl’authentification mutuelle des deux parties.

Mais en fait les cles de session permettent de resoudre leprobleme pour peu que les clients soient correctement concus.
















E: Revenons a mon exemple de serveur d’impression. Je veuxrendre le programme d’impression capable de s’assurer que leservice auquel il soumet les documents a imprimer soit bien leserveur legitime. Voici comment faire.

Je lance ma commande d’impression pour imprimer mon CV.Supposons que j’ai deja un ticket pour le service d’impression.Le programme client utilise la cle de session qui lui est associepour construire un authentifieur, puis envoie cet authentifieuraccompagne du ticket a ce qu’il pense etre le serveurd’impression.

Le client ne lui envoie pas le CV a imprimer immediatement; ilattend une reponse du service.
















E: Un serveur legitime qui recoit ce ticket et son authentifieur,peut decrypter le ticket et en extraire la cle de session qui aservi a encrypter l’authentifieur.

Cela fait, il peut tester que le ticket a bien ete emis par unutilisateur legitime. Supposons que ces tests confirme monidentite.

Le serveur d’impression prepare alors un paquet en reponseafin de prouver son identite au client d’impression.

Pour cela, il utilise la cle de session qu’il vient d’obtenir pourencrypter son paquet reponse, puis le renvoie au client.

























E: Le client recoit le paquet et tente de le decrypter a l’aide de lacle de session.

Si le paquet se decrypte correctement et redonne la reponseattendue, mon client d’impression sait que le serveur qui lui aenvoye ce paquet reponse est bien le serveur legitime.

A present le client peut envoyer le CV au service d’impression.
















E: Maintenant suppose que mon employeur a trafique le systemed’impression afin que l’on contacte son propre serveur plutotque le serveur legitime.

Mon client envoie son authentifieur et le ticket au serveurd’impression detourne et attend sa reponse.

Le faux serveur ne peut pas generer la reponse adequate car ilne peut pas decrypter le ticket qui lui permettrait d’obtenir lacle de session.

Mon client n’enverra le document a imprimer que s’il recoit lareponse adequate. Au bout d’un certain temps, le client vaabandonner. Mon impression n’aura pas abouti mais au moinselle ne finira pas sur les mains de l’ennemi.

Tu sais, je crois que l’on a la des bases solides pourcommencer l’implementation de Charon.




































A: Peut-etre ... En tout cas je n’aime pas son nom.

E: Ah bon ? Et depuis quand ?

A: Depuis le debut, car il est absurde. J’en ai parle a mon oncleHades, et il m’a suggere un autre nom, celui de son chien atrois tetes.

E: Oh tu veux dire “Cerberus”.

A: Certains l’appelent ainsi ...

E: Ce n’est pas son nom ?

A: Si tu etais romain oui ! Mais je suis une deesse grecque, cechien est Grec, et son nom c’est “Kerberos”, Kerberos avecun K.

E: Oups ne me foudroie pas. Je l’adopte. En fait ca sonne bien.Adieu Charon et vive Kerberos.

















































































Obtention d’un TGT




























Obtention d’un TS




Obtention d’un TS




Obtention d’un TS




Obtention d’un TS




Obtention d’un TS




Obtention d’un TS




Obtention d’un TS




Obtention d’un TS




Obtention d’un TS




Obtention d’un TS


Documents

Kerberos mis en scène - IRISA · Kerberos mis en sc ene S ebastien Gambs (d’apr es un cours de Fr ed eric Tronel) [email protected] 25 novembre 2015 S ebastien Gambs Autour de l’authenti