Ten wpis w FAQ (i sam RFC ) stwierdza, że wstępne uwierzytelnienie usuwa lukę we wstępnych implementacjach Kerberos, która czyni go podatnym na ataki słownikowe offline.
Stan FAQ:
Najprostsza forma wstępnego uwierzytelnienia jest znana jako PA-ENC-TIMESTAMP. Jest to po prostu aktualny znacznik czasu zaszyfrowany kluczem użytkownika.
Jeśli atakującemu uda się wąchać pakiet zawierający te dane wstępnego uwierzytelnienia, czy nie jest to również podatne na atak słownikowy? Mam zaszyfrowany tekst, znam oryginalny znacznik czasu - jak różni się ten scenariusz?
security
kerberos
vulnerabilities
Sedate Alien
źródło
źródło
Odpowiedzi:
Jeśli nie wymusisz wstępnego uwierzytelnienia, osoba atakująca może bezpośrednio wysłać fałszywe żądanie uwierzytelnienia. KDC zwróci zaszyfrowany TGT, a atakujący może brutalnie wymusić go offline. W dziennikach KDC nie zobaczysz nic oprócz pojedynczego żądania biletu TGT.
Po wymuszeniu wstępnego uwierzytelnienia znacznika czasu osoba atakująca nie może bezpośrednio poprosić KDC o zaszyfrowanie materiału w trybie offline. Atakujący musi zaszyfrować znacznik czasu hasłem i zaoferować go KDC. Tak, może to robić w kółko, ale zobaczysz wpis dziennika KDC za każdym razem, gdy zawiedzie.
Wstępne uwierzytelnianie sygnatury czasowej zapobiega więc aktywnemu atakującemu. Nie uniemożliwia pasywnemu atakującemu wąchania zaszyfrowanej wiadomości klienta znacznika czasu do KDC. Jeśli atakujący może obwąchać ten pełny pakiet, może brutalnie wymusić go offline.
Łagodzenie tego problemu polega na użyciu długich haseł i dobrych zasad rotacji haseł, aby wymuszenie brutalnego wymuszania brut w trybie offline było niemożliwe, lub użycie PKINIT ( http://www.ietf.org/rfc/rfc4556.txt )
źródło
Znalazłem artykuł ( Wyodrębnianie haseł Kerberos za pomocą analizy typu szyfrowania RC4-HMAC ) na IEEE Xplore, który jest w pewnym stopniu odpowiedni do tego. Wydaje się, że implikują to, że jeśli przechwycony zostanie pakiet wstępnego uwierzytelnienia, nie będzie inaczej.
źródło