11

Эта запись часто задаваемых вопросов (и сам RFC ) гласит, что предварительная аутентификация устраняет слабость в первоначальных реализациях Kerberos, что делает его уязвимым для атак в автономном режиме по словарю.

Состояние FAQ:

Самая простая форма предварительной аутентификации известна как PA-ENC-TIMESTAMP. Это просто текущая временная метка, зашифрованная ключом пользователя.

Если злоумышленнику удастся прослушать пакет, содержащий эти данные предварительной аутентификации, разве это также не уязвимо для атаки по словарю? У меня есть зашифрованный текст, я знаю исходную временную метку - чем этот сценарий отличается?

2 ответа2

15

Если вы не применяете предварительную аутентификацию, злоумышленник может напрямую отправить фиктивный запрос на аутентификацию. KDC вернет зашифрованный TGT, и злоумышленник может перевести его в автономный режим. В ваших журналах KDC вы ничего не увидите, кроме одного запроса на TGT.

Когда вы применяете предварительную аутентификацию с отметкой времени, злоумышленник не может напрямую запросить у KDC зашифрованный материал для перебора в автономном режиме. Злоумышленник должен зашифровать временную метку паролем и предложить ее KDC. Да, он может делать это снова и снова, но вы будете видеть запись в журнале KDC каждый раз, когда ему не удается выполнить предварительную проверку.

Таким образом, предварительная аутентификация с отметкой времени препятствует активному атакующему. Это не мешает пассивному злоумышленнику прослушивать зашифрованное сообщение метки времени клиента в KDC. Если злоумышленник может прослушать этот полный пакет, он может перевести его в автономный режим.

Меры по устранению этой проблемы включают использование длинных паролей и хорошую политику ротации паролей, чтобы сделать невозможным использование злоумышленников в автономном режиме, или использование PKINIT (http://www.ietf.org/rfc/rfc4556.txt)

5

Я нашел документ (Извлечение паролей Kerberos с помощью анализа типа шифрования RC4-HMAC) на IEEE Xplore, который в некоторой степени относится к этому. Кажется, они подразумевают, что если захватывается пакет предварительной аутентификации, он ничем не отличается.

Если злоумышленник может перехватить пакеты предварительной проверки подлинности и хочет получить идентификацию действительного пользователя, злоумышленнику потребуется выполнить процедуры, которые выполняет KDC. Злоумышленник должен будет использовать процедуру дешифрования в согласованном типе шифрования и попытаться запустить разные пароли для захваченных данных. В случае успеха злоумышленник имеет пароль пользователя.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .