¿Las claves públicas hacen que Kerberos sea más seguro (RFC4556)?

4

Estamos usando IPA para centralizar nuestra autenticación y encontré una opción para agregar una clave pública para cada usuario. Después de investigar un poco, descubrí que esta es una extensión de Kerberos 5, RFC4556.

Desde mi entendimiento de cómo funciona Kerberos, en realidad no envía la contraseña. Así que me pregunto: ¿Cómo se agregan las claves públicas a la seguridad de Kerberos? ¿Es algo que debería estar usando?

Como nota al margen: tenemos algunos usuarios de Mac en nuestra oficina, y lamentablemente falta pkinit. No he podido encontrar mucho sobre por qué esto es, aparte de esta publicación en la lista de correo de Apple que dice "recomendamos encarecidamente que no utilices esto para ningún propósito" . ¿Esto se debe a la seguridad de RFC4556, o la seguridad de cómo la plataforma usó ese protocolo?

    
pregunta Luke 09.10.2012 - 19:16
fuente

1 respuesta

2

De RFC4556 :

  

En el intercambio AS, la respuesta de KDC contiene la clave de sesión del ticket,   entre otros elementos, que se cifra mediante una clave (la clave de respuesta AS)   Compartido entre el cliente y el KDC. La clave de respuesta AS es típicamente   Derivado de la contraseña del cliente para usuarios humanos. Por lo tanto, para   Usuarios humanos, la fuerza de resistencia al ataque del protocolo Kerberos.   no es más fuerte que la fuerza de sus contraseñas.

Por lo tanto, se supone que la extensión PKI debe mejorar la seguridad de este intercambio inicial del Servicio de autenticación.

    
respondido por el lubas 14.10.2012 - 21:42
fuente

Lea otras preguntas en las etiquetas