In diesem FAQ-Eintrag (und im RFC selbst) wird angegeben, dass die Vorauthentifizierung eine Schwachstelle bei den ersten Implementierungen von Kerberos behebt, die es für Angriffe auf Offline-Wörterbücher anfällig machte.
Der FAQ-Status:
Die einfachste Form der Vorauthentifizierung ist als PA-ENC-TIMESTAMP bekannt. Dies ist einfach der aktuelle Zeitstempel, der mit dem Schlüssel des Benutzers verschlüsselt ist.
Wenn es einem Angreifer gelingt, ein Paket mit diesen Vorauthentifizierungsdaten zu schnüffeln, ist dies dann nicht auch anfällig für einen Wörterbuchangriff? Ich habe den Chiffretext, ich kenne den ursprünglichen Zeitstempel - wie unterscheidet sich dieses Szenario?
security
kerberos
vulnerabilities
Beruhige Alien
quelle
quelle
Antworten:
Wenn Sie die Vorauthentifizierung nicht erzwingen, kann der Angreifer direkt eine Dummy-Anforderung zur Authentifizierung senden. Das KDC gibt ein verschlüsseltes TGT zurück, und der Angreifer kann es brutal offline zwingen. In Ihren KDC-Protokollen wird nur eine einzelne Anforderung für eine TGT angezeigt.
Wenn Sie die Vorauthentifizierung für Zeitstempel erzwingen, kann der Angreifer die KDCs nicht direkt nach dem verschlüsselten Material fragen, um es offline brutal zu erzwingen. Der Angreifer muss einen Zeitstempel mit einem Passwort verschlüsseln und dem KDC anbieten. Ja, er kann dies immer und immer wieder tun, aber jedes Mal, wenn er die Preauth nicht besteht, wird ein KDC-Protokolleintrag angezeigt.
Die Vorauthentifizierung mit Zeitstempel verhindert also einen aktiven Angreifer. Es verhindert nicht, dass ein passiver Angreifer die verschlüsselte Zeitstempelnachricht des Clients an das KDC abruft. Wenn der Angreifer das gesamte Paket schnüffeln kann, kann er es brutal offline zwingen.
Zu den Lösungen für dieses Problem gehören die Verwendung langer Kennwörter und eine gute Richtlinie zur Kennwortrotation, um das Offline-Brute-Forcing unmöglich zu machen, oder die Verwendung von PKINIT ( http://www.ietf.org/rfc/rfc4556.txt ).
quelle
Ich habe auf IEEE Xplore ein Papier gefunden ( Extrahieren von Kerberos-Passwörtern durch RC4-HMAC-Verschlüsselungstypanalyse ), das für dieses Thema etwas relevant ist. Sie scheinen zu implizieren, dass es nicht anders ist, wenn ein Vorauthentifizierungspaket erfasst wird.
quelle