GSS-API

GSS-API ( GSS , GSSAPI , angol  Generic Security Services API , közös biztonsági szolgáltatások programozási felülete ) - API a biztonsági szolgáltatások eléréséhez. Leírva az IETF szabványban . Úgy tervezték, hogy megoldja a hasonló biztonsági szolgáltatások inkompatibilitásának problémáját.

Leírás

Maga a GSS-API nem nyújt biztonsági szolgáltatásokat, hanem interfészt biztosít az alkalmazások és a GSSAPI implementációk (általában könyvtárak) között. Ezek a könyvtárak GSS-API-kompatibilis felületet biztosítanak, lehetővé téve olyan alkalmazások készítését, amelyek különböző biztonsági könyvtárakkal működnek; lehetővé teszi a könyvtárak cseréjét anélkül, hogy át kellene írnia az alkalmazásokat.

A GSSAPI használatával megvalósított alkalmazások megkülönböztető jellemzője a privát üzenetek (tokenek) használata, amelyek elrejtik a megvalósítás részleteit a magasabb szintű alkalmazások elől. Az alkalmazások szerver- és kliensoldalát úgy tervezték, hogy GSSAPI-tokenekkel működjenek együtt. A tokenek általában nem biztonságos (nyilvános) hálózaton keresztül vihetők át. Miután a felek (kliens és szerver) bizonyos számú üzenetet váltottak, a GSSAPI-könyvtár mindkét felet tájékoztatja az interakcióról egy biztonságos kontextus létrehozásáról .

A biztonságos kontextus létrehozása után a védett alkalmazásüzenetek "csomagolhatók" (titkosíthatók) a GSSAPI segítségével a biztonságos átvitel érdekében a szerver és a kliens között.

A GSSAPI-t megvalósító könyvtárak által biztosított tipikus biztonsági szempontok:

• titoktartás
• sértetlenség
• az információcsere mindkét oldalának hitelessége

A GSSAPI körülbelül 45 hívást ír le. Fő:

• GSS_Acquire_cred  – Felhasználói személyazonossági igazolás beszerzése (leggyakrabban privát kulcs, jelszó)
• GSS_Import_name  - a felhasználó, gazdagép nevének konvertálása olyan űrlapra, amely lehetővé teszi egy biztonsági objektum meghatározását
• GSS_Init_sec_context  – létrehoz egy kliens tokent, amelyet elküld a szervernek (általában kihívás, a kihívás-válasz (hitelesítési) modellen belül )
• GSS_Accept_sec_context – Kezeli a GSS_Init_sec_context paraméterrel  létrehozott tokent, és opcionálisan válasz tokent ad vissza
• GSS_Wrap  – Az alkalmazásadatokat biztonságos üzenetformátummá alakítja (általában titkosítással)
• GSS_Unwrap  – kivonja az alkalmazásadatokat egy védett üzenetből (általában dekódolás)

A GSSAPI szabványosított C ( RFC 2744 ) és Java ( JSR-072 ) számára.

A GSSAPI korlátai közé tartozik, hogy csak a hitelesítést szabványosítja, az engedélyezést nem , és kliens-szerver architektúrát feltételez .

Megelőlegezve az új biztonsági mechanizmusok megjelenését, a GSSAPI tartalmaz egy speciális pszeudo-mechanizmust , az SPNEGO -t , amely lehetővé teszi olyan mechanizmusok felfedezését és használatát, amelyek nem léteztek az alkalmazás készítésekor.

Kommunikáció a Kerberos-szal

A GSSAPI-t gyakran a Kerberos -szal együtt használják . A GSSAPI-val ellentétben a Kerberos API nincs szabványosítva (és léteznek nem kompatibilis API-k). A GSSAPI lehetővé teszi a Kerberos különböző implementációinak használatát az alkalmazáskód megváltoztatása nélkül.

Kapcsolódó technológiák

• SUGÁR
• SASL
• TLS
• SSPI
• SPNEGO

Alapvető GSSAPI kifejezések

• Név (név) – egy bináris karakterlánc, amely egy azonosítót (felhasználónév, alkalmazás stb.) jelöl. Például a Kerberos a „felhasználó@REALM” formátumot használja a felhasználóknál, és a szolgáltatás/gazdanév@REALM formátumot az alkalmazásoknál.
• Hitelesítési adat (identitás) - olyan információ, amely egy objektum hitelességét bizonyítja (általában jelszó vagy privát kulcs).
• Kontextus (kontextus) - a kommunikációs csatorna állapota
• Token (token) - átlátszatlan (az alkalmazáshoz) üzenet, amelyet a kapcsolatlétesítés fázisában vagy egy biztonságos üzenet továbbítása során küldenek.
• Mechanizmus – Az alapul szolgáló GSSAPI megvalósítás, amely biztosítja a tényleges nevet, identitást és tokeneket. Tipikus mechanizmusok: Kerberos, NTLM , DCE , SESAME , SPKM , LIPKEY .
• Kezdeményező / elfogadó (iniciátor / címzett) - az első tokent küldő fél a kezdeményező ; az ellenkező oldal a címzett . Általában a fogadó a szerver, a kezdeményező pedig a kliens.

Történelem

• 1991. július: Az IETF CAT (Common Authentication Technology) munkacsoport Atlantában ülésezett John Linn vezetésével.
• 1993. szeptember: A GSSAPI 1. verziója megjelent ( RFC 1508 , RFC 1509 )
• 1995. május: SSPI implementáció megjelent a Windows NT 3.51 rendszerrel
• 1996. június: Megjelent a GSSAPI Kerberos mechanizmusa ( RFC 1964 )
• 1997. január: GSSAPI 2. verzió ( RFC 2078 )
• 1997. október: SASL szabvány közzététele, beleértve a GSSAPI mechanizmust ( RFC 2222 )
• 2000. január: 1. frissítés a GSSAPI 2. verziójához ( RFC 2743 , RFC 2744 )
• 2004. augusztus: KITTEN munkacsoport ülése (a CAT folytatása)
• 2006. május: A GSSAPI szabványos használata SSH-hoz ( RFC 4462 )

Lásd még

• PKCS#11

Linkek

• RFC 2743 Az általános biztonsági szolgáltatás API 2. verziójának 1. frissítése
• RFC 2744 Az általános biztonsági szolgáltatás API 2. verziója: C-Bindings
• RFC 1964 A Kerberos 5 GSS-API mechanizmusa
• RFC 4121 A Kerberos 5 GSS-API mechanizmusa: 2-es verzió
• RFC 4178 Az egyszerű és védett GSS-API tárgyalási mechanizmus (SPNEGO)
• RFC 2025 Az egyszerű nyilvános kulcsú GSS-API mechanizmus (SPKM)
• RFC 2847 LIPKEY – alacsony infrastruktúrájú nyilvános kulcsú mechanizmus SPKM használatával
• Cica munkacsoport – következő generációs GSS-API
• GSS-API programozási útmutató – Sun Solaris 9, 2002
• GSS-API-t használó alkalmazások írása – Oracle Solaris 11.4, Fejlesztői biztonsági útmutató, 2020