Как предварительная аутентификация Kerberos повышает безопасность?

12543
Sedate Alien

Эта запись часто задаваемых вопросов (и сам RFC ) гласит, что предварительная аутентификация устраняет слабость в первоначальных реализациях Kerberos, что делает его уязвимым для атак в автономном режиме по словарю.

Состояние FAQ:

Самая простая форма предварительной аутентификации известна как PA-ENC-TIMESTAMP. Это просто текущая временная метка, зашифрованная ключом пользователя.

Если злоумышленнику удастся прослушать пакет, содержащий эти данные предварительной аутентификации, разве это также не уязвимо для атаки по словарю? У меня есть зашифрованный текст, я знаю исходную временную метку - чем этот сценарий отличается?

11
Я немного опаздываю на вечеринку :). Я думаю, предположить, что у злоумышленника есть первоначальная временная метка, не соответствует действительности в этом вопросе. Это атака «известного шифротекста», а не «известного открытого текста», в противном случае это было бы смешно. Мы не можем предполагать, что у злоумышленника есть и открытый текст и зашифрованный текст, потому что он также знает алгоритм, так в чем же здесь проблема? Или, может быть, я что-то здесь упускаю ... Ashkan 7 лет назад 0
В завершение моего предыдущего комментария, после повторного рассмотрения этого вопроса, я пришел к мысли, что если мы примем атаку как атаку «известный открытый текст» (то есть злоумышленник знает точную метку времени), то вы правы, этап предварительной аутентификации делает не обеспечивают дополнительную безопасность, потому что он может попробовать возможные небезопасно выбранные пароли и найти ключ, в противном случае, он делает. Интересно, какой тип атаки это будет? Ashkan 7 лет назад 0

2 ответа на вопрос

15
anonymous

Если вы не применяете предварительную аутентификацию, злоумышленник может напрямую отправить фиктивный запрос на аутентификацию. KDC вернет зашифрованный TGT, и злоумышленник может перевести его в автономный режим. В ваших журналах KDC вы ничего не увидите, кроме одного запроса на TGT.

Когда вы применяете предварительную аутентификацию с отметкой времени, злоумышленник не может напрямую запросить у KDC зашифрованный материал для перебора в автономном режиме. Злоумышленник должен зашифровать временную метку паролем и предложить ее KDC. Да, он может делать это снова и снова, но вы будете видеть запись в журнале KDC каждый раз, когда ему не удается выполнить предварительную проверку.

Таким образом, предварительная аутентификация с отметкой времени предотвращает активного злоумышленника. Это не мешает пассивному злоумышленнику прослушивать зашифрованное сообщение метки времени клиента в KDC. Если злоумышленник может прослушать этот полный пакет, он может перевести его в автономный режим.

Меры по устранению этой проблемы включают использование длинных паролей и хорошую политику ротации паролей, чтобы сделать невозможным использование злоумышленников в автономном режиме, или использование PKINIT ( http://www.ietf.org/rfc/rfc4556.txt ).

+1 Спасибо за указание на разницу между активным и пассивным атакующим. Harvey Kwok 12 лет назад 0
Обратите внимание, что полная статья с этой информацией появится в 2014 году здесь: https://social.technet.microsoft.com/wiki/contents/articles/23559.kerberos-pre-authentication-why-it-should-not-be-disabled .aspx Martin Serrano 5 лет назад 0
5
Sedate Alien

Я нашел документ (« Извлечение паролей Kerberos с помощью анализа типов шифрования RC4-HMAC» ) на IEEE Xplore, который в некоторой степени относится к этому. Кажется, они подразумевают, что если захватывается пакет предварительной аутентификации, он ничем не отличается.

Если злоумышленник может захватить пакеты предварительной проверки подлинности и хочет получить идентификацию действительного пользователя, злоумышленнику потребуется выполнить процедуры, которые выполняет KDC. Злоумышленник должен будет использовать процедуру дешифрования в согласованном типе шифрования и попытаться запустить разные пароли для захваченных данных. В случае успеха злоумышленник имеет пароль пользователя.

Похожие вопросы