Wie erhöht die Vorauthentifizierung von Kerberos die Sicherheit?

11

In diesem FAQ-Eintrag (und im RFC selbst) wird angegeben, dass die Vorauthentifizierung eine Schwachstelle bei den ersten Implementierungen von Kerberos behebt, die es für Angriffe auf Offline-Wörterbücher anfällig machte.

Der FAQ-Status:

Die einfachste Form der Vorauthentifizierung ist als PA-ENC-TIMESTAMP bekannt. Dies ist einfach der aktuelle Zeitstempel, der mit dem Schlüssel des Benutzers verschlüsselt ist.

Wenn es einem Angreifer gelingt, ein Paket mit diesen Vorauthentifizierungsdaten zu schnüffeln, ist dies dann nicht auch anfällig für einen Wörterbuchangriff? Ich habe den Chiffretext, ich kenne den ursprünglichen Zeitstempel - wie unterscheidet sich dieses Szenario?

Beruhige Alien
quelle
Ich bin etwas spät für die Party :). Ich denke, dass die Annahme, dass der Angreifer den ursprünglichen Zeitstempel hat, in dieser Frage nicht zutrifft. Dies ist ein "bekannter Chiffretext" -Angriff, kein "bekannter Klartext" -Angriff, sonst wäre es lustig. Wir können nicht davon ausgehen, dass der Angreifer sowohl Klartext als auch Chiffretext hat, da er auch den Algorithmus kennt. Was ist hier die Herausforderung? Oder vielleicht fehlt mir hier etwas ...
Ashkan
Nach Abschluss meines vorherigen Kommentars kam ich nach erneuter Prüfung der Angelegenheit auf die Idee, dass Sie den Vorauthentifizierungsschritt ausführen, wenn wir den Angriff als "bekannten Klartext" -Angriff annehmen (dh der Angreifer kennt den genauen Zeitstempel) bieten keine zusätzliche Sicherheit, da er mögliche unsicher ausgewählte Passwörter ausprobieren und den Schlüssel finden kann, andernfalls ist dies der Fall. Ich frage mich also, welche Art von Angriff dies sein würde.
Ashkan

Antworten:

16

Wenn Sie die Vorauthentifizierung nicht erzwingen, kann der Angreifer direkt eine Dummy-Anforderung zur Authentifizierung senden. Das KDC gibt ein verschlüsseltes TGT zurück, und der Angreifer kann es brutal offline zwingen. In Ihren KDC-Protokollen wird nur eine einzelne Anforderung für eine TGT angezeigt.

Wenn Sie die Vorauthentifizierung für Zeitstempel erzwingen, kann der Angreifer die KDCs nicht direkt nach dem verschlüsselten Material fragen, um es offline brutal zu erzwingen. Der Angreifer muss einen Zeitstempel mit einem Passwort verschlüsseln und dem KDC anbieten. Ja, er kann dies immer und immer wieder tun, aber jedes Mal, wenn er die Preauth nicht besteht, wird ein KDC-Protokolleintrag angezeigt.

Die Vorauthentifizierung mit Zeitstempel verhindert also einen aktiven Angreifer. Es verhindert nicht, dass ein passiver Angreifer die verschlüsselte Zeitstempelnachricht des Clients an das KDC abruft. Wenn der Angreifer das gesamte Paket schnüffeln kann, kann er es brutal offline zwingen.

Zu den Lösungen für dieses Problem gehören die Verwendung langer Kennwörter und eine gute Richtlinie zur Kennwortrotation, um das Offline-Brute-Forcing unmöglich zu machen, oder die Verwendung von PKINIT ( http://www.ietf.org/rfc/rfc4556.txt ).

anonym
quelle
+1 Vielen Dank, dass Sie auf den Unterschied zwischen aktivem und passivem Angreifer hingewiesen haben.
Harvey Kwok
Beachten Sie, dass ein vollständiger Artikel mit diesem Detail im Jahr 2014 hier erscheint: social.technet.microsoft.com/wiki/contents/articles/…
Martin Serrano
5

Ich habe auf IEEE Xplore ein Papier gefunden ( Extrahieren von Kerberos-Passwörtern durch RC4-HMAC-Verschlüsselungstypanalyse ), das für dieses Thema etwas relevant ist. Sie scheinen zu implizieren, dass es nicht anders ist, wenn ein Vorauthentifizierungspaket erfasst wird.

Wenn ein Angreifer die Vorauthentifizierungspakete erfassen kann und die Identität eines gültigen Benutzers annehmen möchte, muss der Angreifer die vom KDC ausgeführten Prozeduren ausführen. Der Angreifer muss das Entschlüsselungsverfahren in dem vereinbarten Verschlüsselungstyp verwenden und versuchen, verschiedene Kennwörter für die erfassten Daten auszuführen. Wenn dies erfolgreich ist, hat der Angreifer das Kennwort des Benutzers.

Beruhige Alien
quelle