Como a pré-autenticação do Kerberos aumenta a segurança?

11

Esta entrada de FAQ (e a RFC afirma que a pré-autenticação aborda uma fraqueza nas implementações iniciais do Kerberos, o que o torna vulnerável a ataques de dicionário off-line.

O estado da FAQ:

The simplest form of preauthentication is known as PA-ENC-TIMESTAMP. This is simply the current timestamp encrypted with the user's key.

Se um invasor consegue capturar um pacote contendo esses dados de pré-autenticação, isso também não é vulnerável a um ataque de dicionário? Eu tenho o texto cifrado, eu sei o timestamp original - como este cenário é diferente?

    
por Sedate Alien 16.10.2010 / 05:33

2 respostas

15

Quando você não impõe a pré-autenticação, o invasor pode enviar diretamente uma solicitação fictícia para autenticação. O KDC retornará um TGT criptografado e o invasor poderá forçá-lo off-line. Você não verá nada em seus logs do KDC, exceto uma única solicitação para um TGT.

Quando você aplica a pré-autenticação de registro de data e hora, o invasor não pode solicitar diretamente aos KDCs o material criptografado para força bruta off-line. O invasor precisa criptografar um timestamp com uma senha e oferecê-lo ao KDC. Sim, ele pode fazer isso várias vezes, mas você verá uma entrada de registro do KDC sempre que ele falhar.

Portanto, a pré-autenticação de timestamp impede um invasor ativo. Isso não impede que um invasor passivo detecte a mensagem de carimbo de data e hora criptografada do cliente no KDC. Se o atacante conseguir farejar o pacote completo, ele poderá forçá-lo a usá-lo off-line.

As atenuações para esse problema incluem o uso de senhas longas e uma boa política de rotação de senhas para tornar inviável o forçamento de brute off-line ou o uso de PKINIT ( link )

    
por 13.04.2011 / 16:07
5

Eu encontrei um documento ( Extraindo senhas do Kerberos por meio da análise do tipo de criptografia RC4-HMAC ) em IEEE Xplore que é um pouco relevante para isso. Eles parecem implicar que, se um pacote de pré-autenticação é capturado, não é diferente.

If an attacker is able to capture the preauthentication packets and wants to take the identity of a valid user, the attacker will need to perform the procedures that the KDC performs. The attacker will need to use the decryption procedure in the agreed upon encryption type and try running different passwords against the captured data. If it is successful then the attacker has the user’s password.

    
por 17.10.2010 / 07:41