केर्बरोस (प्रोटोकॉल)

केर्बरोस एक  संगणक संजाल |कंप्यूटर-नेटवर्क प्रमाणीकरण क्रिप्टोग्राफ़िक प्रोटोकॉल है जो गैर-सुरक्षित नेटवर्क पर संचार करने वाले नोड (नेटवर्किंग) को एक-दूसरे को सुरक्षित तरीके से अपनी पहचान साबित करने की अनुमति देने के लिए टिकटों के आधार पर काम करता है। इसके डिजाइनरों ने इसे मुख्य रूप से क्लाइंट-सर्वर मॉडल पर लक्षित किया है, और यह पारस्परिक प्रमाणीकरण प्रदान करता है - उपयोगकर्ता और सर्वर दोनों एक-दूसरे की पहचान को सत्यापित करते हैं। केर्बरोस प्रोटोकॉल संदेश कंप्यूटर असुरक्षा#ईव्सड्रॉपिंग और रीप्ले हमलों से सुरक्षित हैं।

केर्बरोस सममित-कुंजी क्रिप्टोग्राफी पर बनाता है और इसके लिए एक विश्वसनीय तृतीय पक्ष की आवश्यकता होती है, और वैकल्पिक रूप से प्रमाणीकरण के कुछ चरणों के दौरान सार्वजनिक-कुंजी क्रिप्टोग्राफी का उपयोग कर सकता है। Kerberos डिफ़ॉल्ट रूप से UDP पोर्ट 88 का उपयोग करता है।

प्रोटोकॉल का नाम ग्रीक पौराणिक कथाओं के चरित्र Cerberus (या सेर्बेरस) के नाम पर रखा गया था, जो पाताल लोक का क्रूर तीन सिर वाला रक्षक कुत्ता था।

इतिहास और विकास
मैसाचुसेट्स की तकनीकी संस्था (एमआईटी) ने प्रोजेक्ट एथेना द्वारा प्रदान की गई नेटवर्क सेवाओं की सुरक्षा के लिए 1988 में केर्बरोस विकसित किया। इसका पहला संस्करण मुख्य रूप से स्टीवन पी. मिलर (सॉफ्टवेयर डिजाइनर) और क्लिफ़ोर्ड न्यूमैन  द्वारा पहले के नीधम-श्रोएडर प्रोटोकॉल|नीधम-श्रोएडर सममित-कुंजी प्रोटोकॉल के आधार पर डिजाइन किया गया था। केर्बरोस संस्करण 1 से 3 प्रायोगिक थे और एमआईटी के बाहर जारी नहीं किए गए थे।

Kerberos संस्करण 4, पहला सार्वजनिक संस्करण, 24 जनवरी 1989 को जारी किया गया था। चूंकि Kerberos 4 को संयुक्त राज्य अमेरिका में विकसित किया गया था, और चूंकि इसमें डेटा एन्क्रिप्शन मानक (DES) एन्क्रिप्शन एल्गोरिथम एल्गोरिदम का उपयोग किया गया था, इसलिए संयुक्त राज्य अमेरिका से क्रिप्टोग्राफी का निर्यात| हम। निर्यात नियंत्रण प्रतिबंधों ने इसे अन्य देशों में निर्यात होने से रोक दिया। एमआईटी ने सभी एन्क्रिप्शन कोड हटाकर केर्बरोस 4 का एक निर्यात योग्य संस्करण बनाया, हड्डियाँ कहा जाता है। ऑस्ट्रेलिया की बॉन्ड विश्वविद्यालय  के एरिक यंग ने डीईएस को ईबोन्स नामक संस्करण में बोन्स में फिर से लागू किया, जिसे किसी भी देश में स्वतंत्र रूप से उपयोग किया जा सकता है। स्वीडन के रॉयल इंस्टीट्यूट ऑफ टेक्नोलॉजी ने KTH-KRB नामक एक और पुनः कार्यान्वयन जारी किया।

न्यूमैन और जॉन कोहल ने मौजूदा सीमाओं और सुरक्षा समस्याओं पर काबू पाने के इरादे से 1993 में संस्करण 5 प्रकाशित किया। संस्करण 5 RFC 1510 के रूप में सामने आया, जिसे 2005 में RFC 4120 द्वारा अप्रचलित कर दिया गया।

2005 में, इंटरनेट इंजीनियरिंग टास्क फोर्स (IETF) केर्बरोस वर्किंग ग्रुप ने विशिष्टताओं को अद्यतन किया। अपडेट शामिल हैं:
 * एन्क्रिप्शन और चेकसम विशिष्टताएँ (आरएफसी 3961)।
 * केर्बरोस 5 (आरएफसी 3962) के लिए उच्च एन्क्रिप्शन मानक (एईएस) एन्क्रिप्शन।
 * Kerberos V5 विनिर्देशन का एक नया संस्करण Kerberos नेटवर्क प्रमाणीकरण सेवा (V5) (RFC 4120)। यह संस्करण आरएफसी 1510 को अप्रचलित करता है, प्रोटोकॉल के पहलुओं और अधिक विस्तृत और स्पष्ट स्पष्टीकरण में इच्छित उपयोग को स्पष्ट करता है।
 * जेनेरिक सिक्योरिटी सर्विसेज एप्लीकेशन प्रोग्राम इंटरफेस (जीएसएस-एपीआई) विनिर्देशन का एक नया संस्करण केर्बरोस संस्करण 5 सामान्य सुरक्षा सेवाएँ अनुप्रयोग प्रोग्राम इंटरफ़ेस  (जीएसएस-एपीआई) तंत्र: संस्करण 2 (आरएफसी 4121)।

एमआईटी, बीएसडी लाइसेंस के लिए उपयोग की जाने वाली कॉपीराइट अनुमतियों के तहत, केर्बरोस के कार्यान्वयन को निःशुल्क उपलब्ध कराता है। 2007 में, एमआईटी ने निरंतर विकास को बढ़ावा देने के लिए केर्बरोस कंसोर्टियम का गठन किया। संस्थापक प्रायोजकों में Oracle Corporation, Apple Inc., Google, Microsoft, Centrify Corporation और TeamF1|TeamF1 Inc. जैसे विक्रेता और स्वीडन में रॉयल इंस्टीट्यूट ऑफ टेक्नोलॉजी, स्टैनफोर्ड यूनिवर्सिटी, MIT जैसे शैक्षणिक संस्थान और साइबरसेफ पेशकश जैसे विक्रेता शामिल हैं। व्यावसायिक रूप से समर्थित संस्करण।

विवरण
क्लाइंट स्वयं को प्रमाणीकरण सर्वर (एएस) से प्रमाणित करता है जो उपयोगकर्ता नाम को कुंजी वितरण केंद्र (केडीसी) को अग्रेषित करता है। केडीसी एक टिकट-अनुदान टिकट (टीजीटी) जारी करता है, जिस पर समय अंकित होता है और टिकट-अनुदान सेवा (टीजीएस) की गुप्त कुंजी का उपयोग करके इसे एन्क्रिप्ट करता है और एन्क्रिप्टेड परिणाम को उपयोगकर्ता के कार्य केंद्र पर लौटाता है। यह कभी-कभार ही किया जाता है, आमतौर पर उपयोगकर्ता लॉगऑन पर; टीजीटी किसी बिंदु पर समाप्त हो जाती है, हालांकि इसे उपयोगकर्ता के सत्र प्रबंधक द्वारा लॉग इन करते समय पारदर्शी रूप से नवीनीकृत किया जा सकता है।

जब ग्राहक को किसी अन्य नोड (केर्बरोस भाषा में एक प्रिंसिपल) पर एक सेवा के साथ संचार करने की आवश्यकता होती है, तो ग्राहक टीजीटी को टीजीएस को भेजता है, जो आमतौर पर केडीसी के समान होस्ट साझा करता है। सेवा पहले से ही टीजीएस के साथ सर्विस प्रिंसिपल नेम (एसपीएन) के साथ पंजीकृत होनी चाहिए। क्लाइंट इस सेवा तक पहुंच का अनुरोध करने के लिए एसपीएन का उपयोग करता है। यह सत्यापित करने के बाद कि टीजीटी वैध है और उपयोगकर्ता को अनुरोधित सेवा तक पहुंचने की अनुमति है, टीजीएस ग्राहक को टिकट और सत्र कुंजी जारी करता है। इसके बाद क्लाइंट अपने सेवा अनुरोध के साथ टिकट को सर्विस सर्वर (एसएस) को भेजता है। प्रोटोकॉल का नीचे विस्तार से वर्णन किया गया है।

Kerberos के बिना उपयोगकर्ता क्लाइंट-आधारित लॉगिन

 * 1) एक उपयोगकर्ता क्लाइंट (कंप्यूटिंग) | क्लाइंट मशीन पर एक उपयोगकर्ता नाम और पासवर्ड दर्ज करता है। अन्य क्रेडेंशियल तंत्र जैसे pkinit (RFC 4556) पासवर्ड के स्थान पर सार्वजनिक कुंजी के उपयोग की अनुमति देते हैं। क्लाइंट पासवर्ड को एक सममित सिफर की कुंजी में बदल देता है। यह या तो अंतर्निहित कुंजी शेड्यूलिंग का उपयोग करता है, या एक-तरफ़ा हैश का उपयोग करता है, जो उपयोग किए गए  सिफर सुइट  | सिफर-सूट पर निर्भर करता है।
 * 2) सर्वर उपयोगकर्ता नाम और सममित सिफर प्राप्त करता है और डेटाबेस से डेटा के साथ इसकी तुलना करता है। यदि सिफर उपयोगकर्ता के लिए संग्रहीत सिफर से मेल खाता है तो लॉगिन सफल था।

ग्राहक प्रमाणीकरण

 * 1) क्लाइंट उपयोगकर्ता की ओर से सेवाओं का अनुरोध करते हुए एएस (प्रमाणीकरण सर्वर) को उपयोगकर्ता आईडी का एक स्पष्ट पाठ संदेश भेजता है। (नोट: एएस को न तो गुप्त कुंजी और न ही पासवर्ड भेजा जाता है।)
 * 2) AS यह देखने के लिए जांच करता है कि क्लाइंट उसके डेटाबेस में है या नहीं। यदि ऐसा है, तो एएस डेटाबेस में पाए गए उपयोगकर्ता के पासवर्ड को हैश करके गुप्त कुंजी उत्पन्न करता है (उदाहरण के लिए, विंडोज सर्वर में सक्रिय निर्देशिका) और क्लाइंट को निम्नलिखित दो संदेश वापस भेजता है:
 * 3) * संदेश ए: क्लाइंट/टीजीएस सत्र कुंजी क्लाइंट/उपयोगकर्ता की गुप्त कुंजी का उपयोग करके एन्क्रिप्ट किया गया।
 * 4) * संदेश बी: टिकट-अनुदान-टिकट (टीजीटी, जिसमें क्लाइंट आईडी, क्लाइंट नेटवर्क पता, टिकट वैधता अवधि और क्लाइंट/टीजीएस सत्र कुंजी शामिल है) टीजीएस की गुप्त कुंजी का उपयोग करके एन्क्रिप्ट किया गया है।
 * 5) एक बार जब क्लाइंट को संदेश ए और बी प्राप्त हो जाता है, तो वह उपयोगकर्ता द्वारा दर्ज किए गए पासवर्ड से उत्पन्न गुप्त कुंजी के साथ संदेश ए को डिक्रिप्ट करने का प्रयास करता है। यदि उपयोगकर्ता द्वारा दर्ज किया गया पासवर्ड एएस डेटाबेस में पासवर्ड से मेल नहीं खाता है, तो क्लाइंट की गुप्त कुंजी अलग होगी और इस प्रकार संदेश ए को डिक्रिप्ट करने में असमर्थ होगी। वैध पासवर्ड और गुप्त कुंजी के साथ क्लाइंट क्लाइंट/टीजीएस सत्र कुंजी प्राप्त करने के लिए संदेश ए को डिक्रिप्ट करता है। . इस सत्र कुंजी का उपयोग टीजीएस के साथ आगे संचार के लिए किया जाता है। (नोट: क्लाइंट संदेश बी को डिक्रिप्ट नहीं कर सकता, क्योंकि यह टीजीएस की गुप्त कुंजी का उपयोग करके एन्क्रिप्ट किया गया है।) इस बिंदु पर, क्लाइंट के पास टीजीएस को खुद को प्रमाणित करने के लिए पर्याप्त जानकारी है।

ग्राहक सेवा प्राधिकरण

 * 1) सेवाओं का अनुरोध करते समय, ग्राहक टीजीएस को निम्नलिखित संदेश भेजता है:
 * 2) * संदेश सी: संदेश बी (टीजीएस गुप्त कुंजी का उपयोग करके एन्क्रिप्टेड टीजीटी) और अनुरोधित सेवा की आईडी से बना है।
 * 3) * संदेश डी: प्रमाणक (जो क्लाइंट आईडी और टाइमस्टैम्प से बना है), क्लाइंट/टीजीएस सत्र कुंजी (संदेश ए में क्लाइंट द्वारा पाया गया) का उपयोग करके एन्क्रिप्ट किया गया है।
 * 4) संदेश सी और डी प्राप्त करने पर, टीजीएस संदेश सी से संदेश बी को पुनः प्राप्त करता है। यह टीजीएस गुप्त कुंजी का उपयोग करके संदेश बी को डिक्रिप्ट करता है। यह इसे क्लाइंट/टीजीएस सत्र कुंजी और क्लाइंट आईडी (दोनों टीजीटी में हैं) देता है। इस क्लाइंट/टीजीएस सत्र कुंजी का उपयोग करके, टीजीएस संदेश डी (प्रमाणक) को डिक्रिप्ट करता है और संदेश बी और डी से क्लाइंट आईडी की तुलना करता है; यदि वे मेल खाते हैं, तो सर्वर क्लाइंट को निम्नलिखित दो संदेश भेजता है:
 * 5) * संदेश ई: क्लाइंट-टू-सर्वर टिकट (जिसमें क्लाइंट आईडी, क्लाइंट नेटवर्क पता, वैधता अवधि और क्लाइंट/सर्वर सत्र कुंजी शामिल है) सेवा की गुप्त कुंजी का उपयोग करके एन्क्रिप्ट किया गया है।
 * 6) * संदेश एफ: क्लाइंट/सर्वर सत्र कुंजी क्लाइंट/टीजीएस सत्र कुंजी के साथ एन्क्रिप्टेड है।

ग्राहक सेवा अनुरोध

 * 1) टीजीएस से ई और एफ संदेश प्राप्त करने पर, ग्राहक के पास सेवा सर्वर (एसएस) पर खुद को प्रमाणित करने के लिए पर्याप्त जानकारी होती है। क्लाइंट एसएस से जुड़ता है और निम्नलिखित दो संदेश भेजता है:
 * 2) * संदेश ई: पिछले चरण से (क्लाइंट-टू-सर्वर टिकट, टीजीएस द्वारा सेवा की गुप्त कुंजी का उपयोग करके एन्क्रिप्ट किया गया)।
 * 3) * संदेश जी: एक नया प्रमाणक, जिसमें क्लाइंट आईडी, टाइमस्टैम्प शामिल है और क्लाइंट/सर्वर सत्र कुंजी का उपयोग करके एन्क्रिप्ट किया गया है।
 * 4) एसएस क्लाइंट/सर्वर सत्र कुंजी को पुनः प्राप्त करने के लिए अपनी गुप्त कुंजी का उपयोग करके टिकट (संदेश ई) को डिक्रिप्ट करता है। सत्र कुंजी का उपयोग करते हुए, एसएस प्रमाणक को डिक्रिप्ट करता है और संदेश ई और जी से क्लाइंट आईडी की तुलना करता है, यदि वे मेल खाते हैं तो सर्वर क्लाइंट को उसकी वास्तविक पहचान और ग्राहक की सेवा करने की इच्छा की पुष्टि करने के लिए निम्नलिखित संदेश भेजता है:
 * 5) * संदेश एच: क्लाइंट के प्रमाणक में पाया गया टाइमस्टैम्प (संस्करण 4 में प्लस 1, लेकिन संस्करण 5 में आवश्यक नहीं है) ), क्लाइंट/सर्वर सत्र कुंजी का उपयोग करके एन्क्रिप्ट किया गया।
 * 6) क्लाइंट क्लाइंट/सर्वर सत्र कुंजी का उपयोग करके पुष्टिकरण (संदेश एच) को डिक्रिप्ट करता है और जांचता है कि टाइमस्टैम्प सही है या नहीं। यदि ऐसा है, तो क्लाइंट सर्वर पर भरोसा कर सकता है और सर्वर को सेवा अनुरोध जारी करना शुरू कर सकता है।
 * 7) सर्वर क्लाइंट को अनुरोधित सेवाएँ प्रदान करता है।

माइक्रोसॉफ्ट विंडोज़
Windows 2000 और बाद के संस्करण अपनी डिफ़ॉल्ट प्रमाणीकरण विधि के रूप में Kerberos का उपयोग करते हैं। Kerberos प्रोटोकॉल सुइट में कुछ Microsoft परिवर्धन RFC 3244 Microsoft Windows 2000 Kerberos बदलें पासवर्ड और पासवर्ड सेट प्रोटोकॉल में प्रलेखित हैं। RFC 4757 Microsoft द्वारा RC4 सिफर के उपयोग का दस्तावेजीकरण करता है। जबकि Microsoft Kerberos प्रोटोकॉल का उपयोग और विस्तार करता है, यह MIT सॉफ़्टवेयर का उपयोग नहीं करता है।

Kerberos को पसंदीदा प्रमाणीकरण विधि के रूप में उपयोग किया जाता है: सामान्य तौर पर, किसी क्लाइंट को Windows डोमेन से जोड़ने का अर्थ है उस क्लाइंट से Windows डोमेन में सेवाओं और उस डोमेन के साथ विश्वास संबंधों वाले सभी डोमेन के प्रमाणीकरण के लिए डिफ़ॉल्ट प्रोटोकॉल के रूप में Kerberos को सक्षम करना।

इसके विपरीत, जब क्लाइंट या सर्वर या दोनों एक डोमेन से जुड़े नहीं होते हैं (या एक ही विश्वसनीय डोमेन वातावरण का हिस्सा नहीं होते हैं), तो विंडोज़ क्लाइंट और सर्वर के बीच प्रमाणीकरण के लिए एनटीएलएम का उपयोग करेगा।

इंटरनेट वेब एप्लिकेशन एसएसपीआई के तहत प्रदान किए गए एपीआई का उपयोग करके डोमेन से जुड़े ग्राहकों के लिए प्रमाणीकरण विधि के रूप में केर्बरोस को लागू कर सकते हैं।

माइक्रोसॉफ्ट विंडोज और विंडोज सर्वर शामिल हैं setspn, एक कमांड लाइन इंटरफेस|कमांड-लाइन उपयोगिता जिसका उपयोग सक्रिय निर्देशिका सेवा खाते के लिए सर्विस प्रिंसिपल नेम्स (एसपीएन) को पढ़ने, संशोधित करने या हटाने के लिए किया जा सकता है।

यूनिक्स और अन्य ऑपरेटिंग सिस्टम
फ्रीबीएसडी, ओपनबीएसडी, एप्पल के मैकओएस, रेड हैट एंटरप्राइज लिनक्स, सन माइक्रोसिस्टम्स के सोलारिस (ऑपरेटिंग सिस्टम), आईबीएम के एईक्स, एचपी-यूएक्स और अन्य सहित कई यूनिक्स जैसे ऑपरेटिंग सिस्टम में उपयोगकर्ताओं या सेवाओं के केर्बरोस प्रमाणीकरण के लिए सॉफ्टवेयर शामिल हैं। विभिन्न गैर-यूनिक्स जैसे ऑपरेटिंग सिस्टम जैसे z/OS, IBM i और OpenVMS में भी Kerberos समर्थन की सुविधा है। एम्बेडेड प्लेटफ़ॉर्म पर चलने वाले क्लाइंट एजेंटों और नेटवर्क सेवाओं के लिए केर्बरोस वी प्रमाणीकरण प्रोटोकॉल का एंबेडेड कार्यान्वयन भी कंपनियों से उपलब्ध है।

कमियाँ और सीमाएँ

 * केर्बरोस में समय की सख्त आवश्यकताएं हैं, जिसका अर्थ है कि शामिल मेजबानों की घड़ियों को कॉन्फ़िगर की गई सीमाओं के भीतर सिंक्रनाइज़ किया जाना चाहिए। टिकटों की एक समय उपलब्धता अवधि होती है, और यदि होस्ट घड़ी Kerberos सर्वर घड़ी के साथ सिंक्रनाइज़ नहीं है, तो प्रमाणीकरण विफल हो जाएगा। डिफ़ॉल्ट कॉन्फ़िगरेशन प्रति MIT के लिए आवश्यक है कि घड़ी का समय पाँच मिनट से अधिक न हो अलग। व्यवहार में, नेटवर्क टाइम प्रोटोकॉल डेमॉन का उपयोग आमतौर पर होस्ट घड़ियों को सिंक्रनाइज़ रखने के लिए किया जाता है। ध्यान दें कि कुछ सर्वर (Microsoft का कार्यान्वयन उनमें से एक है) एन्क्रिप्टेड सर्वर समय वाला KRB_AP_ERR_SKEW परिणाम लौटा सकता है यदि दोनों घड़ियों में कॉन्फ़िगर किए गए अधिकतम मान से अधिक ऑफसेट है। उस स्थिति में, क्लाइंट ऑफसेट खोजने के लिए दिए गए सर्वर समय का उपयोग करके समय की गणना करके पुनः प्रयास कर सकता है। यह व्यवहार RFC 4430 में प्रलेखित है।
 * प्रशासन प्रोटोकॉल मानकीकृत नहीं है और सर्वर कार्यान्वयन के बीच भिन्न है। पासवर्ड परिवर्तन RFC 3244 में वर्णित हैं।
 * सममित क्रिप्टोग्राफी अपनाने के मामले में (केर्बरोस सममित या असममित (सार्वजनिक-कुंजी) क्रिप्टोग्राफी का उपयोग करके काम कर सकता है), क्योंकि सभी प्रमाणीकरण एक केंद्रीकृत कुंजी वितरण केंद्र (केडीसी) द्वारा नियंत्रित होते हैं, इस प्रमाणीकरण बुनियादी ढांचे से समझौता करने से हमलावर को किसी का भी प्रतिरूपण करने की अनुमति मिल जाएगी उपयोगकर्ता.
 * प्रत्येक नेटवर्क सेवा जिसे एक अलग होस्ट नाम की आवश्यकता होती है, उसे केर्बरोस कुंजियों के अपने सेट की आवश्यकता होगी। यह वर्चुअल होस्टिंग और क्लस्टर को जटिल बनाता है।
 * Kerberos को Kerberos टोकन सर्वर के साथ विश्वसनीय संबंध रखने के लिए उपयोगकर्ता खातों और सेवाओं की आवश्यकता होती है।
 * आवश्यक क्लाइंट ट्रस्ट चरणबद्ध वातावरण (उदाहरण के लिए, परीक्षण वातावरण, प्री-प्रोडक्शन वातावरण और उत्पादन वातावरण के लिए अलग डोमेन) बनाना मुश्किल बनाता है: या तो डोमेन ट्रस्ट संबंध बनाने की आवश्यकता होती है जो पर्यावरण डोमेन के सख्त अलगाव को रोकती है, या अतिरिक्त उपयोगकर्ता क्लाइंट की आवश्यकता होती है प्रत्येक पर्यावरण के लिए प्रदान किया जाना है।

सुरक्षा
डेटा एन्क्रिप्शन स्टैंडर्ड (डीईएस) सिफर का उपयोग केर्बरोस के साथ संयोजन में किया जा सकता है, लेकिन यह अब इंटरनेट मानक नहीं है क्योंकि यह कमजोर है। सुरक्षा कमजोरियाँ उन उत्पादों में मौजूद हैं जो कर्बेरोस के पुराने संस्करणों को लागू करते हैं जिनमें एईएस जैसे नए एन्क्रिप्शन सिफर के लिए समर्थन की कमी है।

यह भी देखें

 * केवल हस्ताक्षर के ऊपर
 * पहचान प्रबंधन
 * SPNEGO
 * एस/कुंजी
 * सुरक्षित रिमोट पासवर्ड प्रोटोकॉल (एसआरपी)
 * सामान्य सुरक्षा सेवा अनुप्रयोग प्रोग्राम इंटरफ़ेस (जीएसएस-एपीआई)
 * होस्ट आइडेंटिटी प्रोटोकॉल (HIP)
 * एकल साइन-ऑन कार्यान्वयन की सूची

संदर्भ

 * General




 * RFCs
 * The Kerberos Network Authentication Service (V5) [Obsolete]
 * The Kerberos Version 5 GSS-API Mechanism
 * Encryption and Checksum Specifications for Kerberos 5
 * Advanced Encryption Standard (AES) Encryption for Kerberos 5
 * The Kerberos Network Authentication Service (V5) [Current]
 * The Kerberos Version 5 Generic Security Service Application Program Interface (GSS-API) Mechanism: Version 2
 * Kerberos Cryptosystem Negotiation Extension
 * Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)
 * Online Certificate Status Protocol (OCSP) Support for Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)
 * The RC4-HMAC Kerberos Encryption Types Used by Microsoft Windows [Obsolete]
 * Extended Kerberos Version 5 Key Distribution Center (KDC) Exchanges over TCP
 * Elliptic Curve Cryptography (ECC) Support for Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)
 * Problem Statement on the Cross-Realm Operation of Kerberos
 * Generic Security Service Application Program Interface (GSS-API): Delegate if Approved by Policy
 * Additional Kerberos Naming Constraints
 * Anonymity Support for Kerberos
 * A Generalized Framework for Kerberos Pre-Authentication
 * Using Kerberos Version 5 over the Transport Layer Security (TLS) Protocol
 * The Unencrypted Form of Kerberos 5 KRB-CRED Message
 * Kerberos Version 5 Generic Security Service Application Program Interface (GSS-API) Channel Binding Hash Agility
 * One-Time Password (OTP) Pre-Authentication
 * Deprecate DES, RC4-HMAC-EXP, and Other Weak Cryptographic Algorithms in Kerberos
 * Kerberos Options for DHCPv6
 * Camellia Encryption for Kerberos 5
 * Kerberos Principal Name Canonicalization and Cross-Realm Referrals
 * An Information Model for Kerberos Version 5
 * AES Encryption with HMAC-SHA2 for Kerberos 5

बाहरी संबंध

 * Kerberos Consortium
 * Kerberos page at MIT website
 * Kerberos Working Group at IETF website
 * Kerberos Sequence Diagram
 * Heimdal/Kerberos implementation