ケルベロス認証

テンプレート:Redirect ケルベロス認証（ケルベロスにんしょう、Kerberos - ）は、ネットワーク認証方式の一つ^[1]。シングルサインオンシステムを提供する^[1]。ケルベロス認証は1989年から世間で使われ始めた^[1]。

インターネットなどで通信経路上の安全が保障されていないネットワークにおいて、サーバとクライアントとの間で身元の確認を行なうのに用いられる。

共通鍵暗号によって暗号化（バージョン4においては56bitDES暗号）されるので、強固なセキュリティを実現することが可能となるように設計されている。

X Window Systemの開発で知られるマサチューセッツ工科大学 (MIT)の「Athena」プロジェクトによって開発された、認証サービスや関連するプロトコル、プログラムなどの総称である。

マイクロソフトのActive Directoryでの推奨の認証機構となっている^[1]。また、Mac OS Xでも採用されている。

歴史

1980年代のマサチューセッツ工科大学 (MIT) にて研究プロジェクトとして始まった^[2]。MITのAthenaプロジェクトでは開始当初からクライアントサーバモデルを想定して設計されており、そのネットワーク認証のためにKerberosプロトコルが開発された^[3]。この認証システムは、経路上での盗聴を防ぐために、認証サーバとその他のコンピュータとの間の認証のやりとりを暗号化している^[3]。

Kerberosバージョン3まではテストのために開発され、MIT内部でのみ使われた^[4]。そして、1989年1月24日に初めてMIT外部にKerberosバージョン4として公開される^[4]。Kerberosはいくつかのベンダーに採用されることとなった^[4]。

Kerberosバージョン4はDESを用いていたため、アメリカ政府の暗号化ソフトウェアに対する輸出規制に引っかかり、アメリカ国外の組織はMITから合法的にソフトウェアをダウンロードすることはできなかった^[5]。そのため、MITの開発チームは、Kerberosのソフトウェアから暗号化のコードをすべて取り除き、骨格だけにした「Bones」を作成した^[6]。オーストラリアのエリック・ヤングがこのBonesに独自のDES実装を追加した「eBones」を開発したことで、アメリカ国外でも合法的にKerberosバージョン4を使うことができるようになった^[6]。

その後、Kerberosバージョン4に機能を追加し、セキュリティの強化を行ったバージョン5が開発される^[6]。Kerberosバージョン5のプロトコルはRFC 1510で文書化されている^[6]。