GSS-API

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 22. listopadu 2019; ověření vyžaduje 1 úpravu .

GSS-API ( GSS , GSSAPI , anglicky Generic Security Services API , společné programovací rozhraní bezpečnostních služeb ) - API pro přístup k bezpečnostním službám. Popsáno ve standardu IETF . Navrženo pro řešení problému nekompatibility podobných bezpečnostních služeb.

Popis

Samotné GSS-API neposkytuje bezpečnostní služby, místo toho poskytuje rozhraní mezi aplikacemi a implementacemi GSSAPI (obvykle knihovny). Tyto knihovny poskytují rozhraní kompatibilní s GSS-API, což vám umožňuje vytvářet aplikace, které mohou pracovat s různými knihovnami zabezpečení; umožňující výměnu knihoven bez nutnosti přepisování aplikací.

Charakteristickým rysem aplikací implementovaných pomocí GSSAPI je použití soukromých zpráv (tokenů), které skrývají detaily implementace před aplikacemi vyšší úrovně. Serverová a klientská strana aplikací jsou navrženy pro interakci pomocí tokenů GSSAPI. Tokeny lze obvykle přenášet přes nezabezpečenou (veřejnou) síť. Poté, co si strany (klient a server) vymění určitý počet zpráv, knihovna GSSAPI informuje obě strany o interakci o vytvoření zabezpečeného kontextu .

Jakmile je vytvořen bezpečný kontext, mohou být chráněné zprávy aplikace „zabaleny“ (zašifrovány) pomocí GSSAPI pro bezpečný přenos mezi serverem a klientem.

Typické bezpečnostní aspekty poskytované knihovnami, které implementují GSSAPI:

důvěrnosti
integrita
autentičnost obou stran výměny informací

GSSAPI popisuje přibližně 45 volání. Hlavní:

GSS_Acquire_cred - Získání uživatelského dokladu totožnosti (nejčastěji soukromý klíč, heslo)
GSS_Import_name - převod jména uživatele, hostitele do podoby, která umožňuje definovat objekt zabezpečení
GSS_Init_sec_context – vytvoří klientský token k odeslání na server (obvykle výzva v rámci modelu výzva-odpověď (autentizace) )
GSS_Accept_sec_context – zpracovává token vytvořený pomocí GSS_Init_sec_context a volitelně vrací token odpovědi
GSS_Wrap – Převádí data aplikace do zabezpečeného formuláře zprávy (obvykle šifrování)
GSS_Unwrap – extrahuje data aplikace z chráněné zprávy (obvykle dešifrování)

GSSAPI bylo standardizováno pro C ( RFC 2744 ) a Java ( JSR-072 ).

Mezi omezení GSSAPI patří, že standardizuje pouze autentizaci , nikoli autorizaci , a že předpokládá architekturu klient-server .

GSSAPI předvídá vznik nových bezpečnostních mechanismů a zahrnuje speciální pseudomechanismus SPNEGO , který umožňuje objevování a používání mechanismů, které v době vzniku aplikace neexistovaly.

Komunikace s Kerberos

GSSAPI se často používá ve spojení s Kerberos . Na rozdíl od GSSAPI není Kerberos API standardizováno (a existují nekompatibilní API). GSSAPI vám umožňuje používat různé implementace Kerberos beze změny kódu vaší aplikace.

Související technologie

POLOMĚR
SASL
TLS
SSPI
SPNEGO

Základní pojmy GSSAPI

Jméno (jméno) – binární řetězec pro označení identifikátoru (uživatelské jméno, aplikace atd.) Například Kerberos používá pro uživatele formát 'user@REALM a pro aplikace service/hostname@REALM .
Credential (identita) – informace, která prokazuje pravost objektu (obvykle heslo nebo soukromý klíč).
Kontext (kontext) - stav komunikačního kanálu
Token (token) - neprůhledná (aplikaci) zpráva, která je odeslána během fáze navazování spojení nebo během přenosu zabezpečené zprávy
Mechanismus – základní implementace GSSAPI, která poskytuje skutečný název, identitu a tokeny. Typické mechanismy: Kerberos, NTLM , DCE , SESAME , SPKM , LIPKEY .
Iniciátor / akceptor (iniciátor / příjemce) - strana, která posílá první token, je iniciátor ; opačnou stranou je příjemce . Obvykle je příjemcem server a iniciátorem je klient.

Historie

Červenec 1991: Pracovní skupina IETF CAT (Common Authentication Technology) se sešla v Atlantě pod vedením Johna Linna
Září 1993: Vydáno GSSAPI verze 1 ( RFC 1508 , RFC 1509 )
Květen 1995: Implementace SSPI uvolněna s Windows NT 3.51
Červen 1996: Vydán mechanismus Kerberos pro GSSAPI ( RFC 1964 )
Leden 1997: GSSAPI verze 2 ( RFC 2078 )
Říjen 1997: Vydán standard SASL, včetně mechanismu GSSAPI ( RFC 2222 )
Leden 2000: Aktualizace 1 pro GSSAPI verze 2 ( RFC 2743 , RFC 2744 )
Srpen 2004: Setkání pracovní skupiny KITTEN (pokračování CAT)
Květen 2006: Standardizované použití GSSAPI pro SSH ( RFC 4462 )

Viz také

PKCS#11

Odkazy

RFC 2743 The Generic Security Service API verze 2 aktualizace 1
RFC 2744 The Generic Security Service API verze 2: C-Bindings
RFC 1964 Mechanismus GSS-API Kerberos 5
RFC 4121 Mechanismus GSS-API Kerberos 5: Verze 2
RFC 4178 Jednoduchý a chráněný mechanismus vyjednávání GSS-API (SPNEGO)
RFC 2025 Jednoduchý mechanismus GSS-API s veřejným klíčem (SPKM)
RFC 2847 LIPKEY – Mechanismus veřejného klíče s nízkou infrastrukturou využívající SPKM
Pracovní skupina pro kotě — GSS-API nové generace
GSS-API Programming Guide—Sun Solaris 9, 2002
Psaní aplikací, které používají GSS-API – Oracle Solaris 11.4, Průvodce zabezpečením pro vývojáře, 2020