Kerberos הוא פרוטוקול אימות רשת המשתמש בכרטיסים מוצפנים כדי להעביר מידע ברשתות לא מאובטחות. אימות Kerberos מציג כמה יתרונות על פני שיטות אימות רשת אחרות, כך שהצמתים המתקשרים ביניהם יכולים לסמוך על כך שהמידע שהם מקבלים הוא אותנטי ואמין, וכי הפעלות עתידיות יהיו באותה אותנטיות.
אימות הדדי
כאשר שני צמתים - כמו לקוח ושרת או שרת ושרת - מתחילים לתקשר, הם מעבירים כרטיסים מוצפנים דרך מערכת צד שלישי מהימנה הנקראת מרכז ההפצה של המפתח. ה- KDC מעביר כרטיס סודי עם מפתח פענוח לשני הצמתים. לאחר מכן הצמתים מעבירים בולי זמן מוצפנים זה לזה ומשתמשים במפתח לפענוחם. אם הם עושים זאת בהצלחה, הם מאמתים את עמיתיהם ויכולים לסמוך זה על זה כל עוד ההפעלה תישאר פתוחה.
סיסמאות
כאשר שרת מנסה לאמת מחשב לקוח באמצעות פרוטוקול Kerberos, הלקוח לא צריך לשלוח סיסמה - בזכות האימות ההדדי, ללקוח וגם לשרת יש את המידע הדרוש לצורך פענוח הכרטיסים. המשמעות היא שלכל חבילת מרחרח האזנה על התקשורת לא תהיה גישה לסיסמאות לקוח או לשרת, שלא לדבר על כל מידע אחר שהועבר במהלך הפגישה.
מושבים משולבים
כאשר צומת לקוח מאומת ברשת הנתמכת על ידי Kerberos, הוא מקבל כרטיס לקוח עם חותמת זמן תפוגה. כל עוד לא פג תוקפו של הכרטיס, הלקוח יכול להשתמש בו לגישה לכל שירות רשת אחר התומך באימות Kerberos מבלי שיצטרך לאמת את עצמו מחדש. אם הפגישה של הלקוח ברשת עדיין פעילה אך הכרטיס פג, הלקוח רשאי לבקש כרטיס חדש.
הפעלות מתחדשות
ברגע שלקוח ושרת מאמתים זה את זה, הם לעולם לא צריכים לעשות זאת שוב. כחלק מהאימות ההדדי, הלקוח מקבל אישורים מהשרת. כאשר הלקוח יוזם הפעלה עתידית, הוא שולח את אישורי השרת שלו, שמזהה אותם ומאמת את הלקוח באופן מיידי. זה מבטל את הצורך ב- KDC, כך ששני הצמתים יכולים ליצור חיבור מאובטח אפילו יותר מהר ממה שעשו במהלך הפגישה הראשונה שלהם.
