Kerberos on todennusprotokolla, joka toimii tietokoneverkossa.[1] Kerberoksen avulla käyttäjät voivat todistaa henkilöllisyytensä toisilleen verkon yli ja se on suunniteltu käytettäväksi Internetin kaltaisissa verkoissa, joissa ei suoraan ole salausmenetelmää käytössä. Kerberos perustuu Needhamin ja Schroederin avaintenjakomalliin. Käyttäjien todennuksen lisäksi Kerberos estää salakuuntelun ja tunnistaa, jos viestiä on muokattu matkalla.
Protokolla voidaan kuvata seuraavalla keskustelulla, jossa A todistaa henkilöllisyytensä B:lle palvelinta S käyttäen:
Protokollan turvallisuus nojaa vahvasti aikaleimojen toimintaan viestinvaihdon tuoreuden ilmaisimina (katso BAN-logiikka). Nämä tarvitaan toistohyökkäysten estämiseen.
Kerberos sai alkunsa 1980-luvulla IBM:n, MIT:n ja DEC:n yhteisprojektissa Project Athena, jonka visiona oli että opiskelijat ja opetushenkilökunta voisivat käyttää mitä hyvänsä tietokonetta, joka olisi kätevin tai sopivin heidän työhönsä.[2][3] Samassa projektissa sai alkunsa myös X Window System.[3][4]
Athena-projektiin kuului noin 850 tietokonetta: näistä 450 oli yleisessä käytössä olevia työasemia (ilman tiettyä käyttäjää), 100 palvelinta ja loput tietylle henkilölle varattuja työasemia.[2] Puolet työasemista olivat VAXstation II ja VAXstation 2000 -malleja; toinen puoli oli IBM RT/PC -malleja.[2]
Tätä artikkelia tai sen osaa on pyydetty päivitettäväksi, koska sen sisältö on osin vanhentunut. Voit auttaa Wikipediaa parantamalla artikkelia. Lisää tietoa saattaa olla keskustelusivulla. Tarkennus: IETF on julkaissut paljon tämän kirjoittamisen jälkeen |
Aikaisemmin Kerberos luokiteltiin sotatarvikkeeksi eikä sen toteutuksia saanut viedä pois Yhdysvalloista vientikiellon takia. Ruotsissa kehitettiin ulkopuolinen toteutus, jonka ansiosta Kerberos on ollut saatavilla USA:n ulkopuolella jo ennen kuin Yhdysvallat muutti vientimääräyksiään. Tällä hetkellä Kerberos on melko vapaasti käytettävissä.
Hieman epästandardi versio Kerberoksesta on mukana Microsoftin Windows 2000-käyttöjärjestelmässä ja sitä kautta Kerberoksesta on tullut kaupallisesti merkittävä.lähde? IETF on standardoimassa omaa versiotaan Kerberos-protokollasta, mutta työ ei ole edennyt kovin ripeästi muun muassa sen takia, että protokollan turvallisuudesta on esitetty epäilyjä. RFC-dokumentti RFC 4120 kuvaa Kerberoksen version viisi.
Kerberoksesta on saatavissa vapaasti käytettävissä olevia toteutuksia ja muun muassa MIT-yliopiston alkuperäinen toteutus on vapaasti saatavissa.[5]