Як попередня перевірка Kerberos підвищує безпеку?


11

У цьому записі поширених запитань (і самому RFC ) зазначено, що попередня аутентифікація усуває слабкість у початкових реалізаціях Kerberos, що зробило її вразливою для атак офлайн-словників.

Стан FAQ:

Найпростіша форма попередньої аутентифікації відома як PA-ENC-TIMESTAMP. Це просто поточна мітка часу, зашифрована ключем користувача.

Якщо зловмиснику вдалося нюхати пакет, що містить ці дані попередньої аутентифікації, чи це також не є вразливим до нападу словника? У мене шифротекст, я знаю оригінальну мітку часу - чим цей сценарій відрізняється?


Я трохи запізнююсь на вечірку :). Думаю, припущення про те, що зловмисник має оригінальну мітку часу, не відповідає дійсності в цьому питанні. Це "відомий напад на шифротекст", а не "відомий відкритий текст", інакше було б смішно. Ми не можемо припустити, що зловмисник має і простий текст, і шифротекст, тому що він також знає алгоритм, тож яка проблема тут ?? А може, мені чогось тут не вистачає ...
Ашкан

На завершення мого попереднього коментаря, переглянувши це питання, я придумав таку думку, що якщо ми вважатимемо атаку як "відомий простий текст" (тобто зловмисник знає точну мітку часу), то ви праві, крок попередньої аутентифікації робить не надавати додаткової безпеки, тому що він може спробувати можливі незахищено обрані паролі та знайти ключ, інакше це зробити. Тож мені цікаво, що це за атака?
Ашкан

Відповіді:


16

Якщо ви не застосовуєте попередню автентифікацію, зловмисник може безпосередньо надіслати фіктивний запит на аутентифікацію. KDC поверне зашифрований TGT, і зловмисник може жорстоко примусити його в автономному режимі. Ви не побачите нічого у своїх журналах KDC, окрім одного запиту для TGT.

Коли ви застосовуєте попередню автентифікацію часових позначок, зловмисник не може безпосередньо попросити КДК про зашифрований матеріал для грубої сили в режимі офлайн. Зловмисник повинен зашифрувати часову позначку паролем і запропонувати його KDC. Так, він може робити це знову і знову, але ви побачите запис журналу KDC кожного разу, коли він не відповідає дійсності.

Отже, попередня автентифікація міток часу запобігає активному зловмиснику. Це не заважає пасивному зловмисникові нюхати зашифроване повідомлення клієнта за часовою міткою на KDC. Якщо зловмисник може нюхати цей повний пакет, він може жорстоко примусити його в автономному режимі.

Пом'якшення цієї проблеми включає використання довгих паролів та правильної політики повороту пароля, щоб зробити офлайн-грубе насильство нездійсненним або використовувати PKINIT ( http://www.ietf.org/rfc/rfc4556.txt )


+1 Дякуємо, що вказали на різницю між активним нападником та пасивним нападником.
Харві Квок

Зауважте, повна стаття з цією деталлю з’являється у 2014 році тут: social.technet.microsoft.com/wiki/contents/articles/…
Мартін Серрано

5

Я знайшов документ ( Вилучення паролів Kerberos за допомогою аналізу типу шифрування RC4-HMAC ) на IEEE Xplore, який дещо відповідає цьому. Здається, вони мають на увазі, що якщо пакет попередньої аутентифікації буде захоплений, він не відрізняється.

Якщо зловмисник здатний захопити пакети попередньої аутентифікації та захоче взяти особу дійсного користувача, зловмиснику потрібно буде виконати процедури, які виконує KDC. Зловмиснику потрібно буде використовувати процедуру дешифрування за узгодженим типом шифрування та спробувати запустити різні паролі проти захоплених даних. Якщо це успішно, зловмисник має пароль користувача.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.