Как предварительная аутентификация Kerberos повышает безопасность?

11

Эта запись часто задаваемых вопросов (и сам RFC ) гласит, что предварительная аутентификация устраняет слабость в первоначальных реализациях Kerberos, что делает его уязвимым для атак в автономном словаре.

Состояние FAQ:

Самая простая форма предварительной аутентификации известна как PA-ENC-TIMESTAMP. Это просто текущая временная метка, зашифрованная ключом пользователя.

Если злоумышленнику удастся прослушать пакет, содержащий эти данные предварительной аутентификации, разве это также не уязвимо для атаки по словарю? У меня есть зашифрованный текст, я знаю исходную временную метку - чем этот сценарий отличается?

Седате Чужой
источник
Я немного опаздываю на вечеринку :). Я думаю, предположить, что у злоумышленника есть первоначальная временная метка, не соответствует действительности в этом вопросе. Это атака «известного шифротекста», а не «известного открытого текста», иначе это было бы смешно. Мы не можем предполагать, что у злоумышленника есть и открытый текст и зашифрованный текст, потому что он также знает алгоритм, так в чем же здесь проблема? Или, может быть, я что-то здесь
упускаю
В завершение моего предыдущего комментария, после повторного рассмотрения вопроса, я пришел к мысли, что если мы примем атаку как атаку «известный открытый текст» (то есть злоумышленник знает точную метку времени), то вы правы, шаг предварительной аутентификации делает не обеспечивают дополнительную безопасность, потому что он может попробовать возможные небезопасно выбранные пароли и найти ключ, в противном случае, он делает. Интересно, какой тип атаки это будет?
Ашкан

Ответы:

16

Если вы не применяете предварительную аутентификацию, злоумышленник может напрямую отправить фиктивный запрос на аутентификацию. KDC вернет зашифрованный TGT, и злоумышленник может перевести его в автономный режим. В ваших журналах KDC вы ничего не увидите, кроме одного запроса на TGT.

Когда вы применяете предварительную аутентификацию с отметкой времени, злоумышленник не может напрямую запросить у KDC зашифрованный материал для перебора в автономном режиме. Злоумышленник должен зашифровать временную метку паролем и предложить ее KDC. Да, он может делать это снова и снова, но вы будете видеть запись в журнале KDC каждый раз, когда ему не удается выполнить предварительную проверку.

Таким образом, предварительная аутентификация с отметкой времени предотвращает активного злоумышленника. Это не мешает пассивному злоумышленнику прослушивать зашифрованное сообщение метки времени клиента в KDC. Если злоумышленник может прослушать этот полный пакет, он может перевести его в автономный режим.

Меры по устранению этой проблемы включают использование длинных паролей и правильную политику ротации паролей, чтобы сделать невозможным использование зверства в автономном режиме, или использование PKINIT ( http://www.ietf.org/rfc/rfc4556.txt ).

анонимный
источник
+1 Спасибо за указание на разницу между активным и пассивным атакующим.
Харви Квок
Обратите внимание, что полная статья с этой информацией появится в 2014 году здесь: social.technet.microsoft.com/wiki/contents/articles/…
Мартин Серрано,
5

Я нашел документ ( Извлечение паролей Kerberos с помощью анализа типа шифрования RC4-HMAC ) на IEEE Xplore, который в некоторой степени относится к этому. Похоже, они подразумевают, что если захватывается пакет предварительной аутентификации, он ничем не отличается.

Если злоумышленник может перехватить пакеты предварительной проверки подлинности и хочет получить идентификацию действительного пользователя, злоумышленнику потребуется выполнить процедуры, которые выполняет KDC. Злоумышленник должен будет использовать процедуру дешифрования в согласованном типе шифрования и попытаться использовать разные пароли для захваченных данных. В случае успеха злоумышленник имеет пароль пользователя.

Седате Чужой
источник