En el protocolo Kerberos, ¿qué impide a los clientes descifrar la clave secreta de un servicio?

Navega tus respuestas
1

Estoy estudiando el protocolo Kerberos a un alto nivel de abstracción. Como lo entiendo, cuando un cliente desea solicitar un servicio, primero recibe dos mensajes del TGS.

  • A: cifrada con la clave compartida a largo plazo TGS / service. Se reenviará sin cambios al servicio.
  • B: cifrada con la clave de sesión TGS / cliente. Contiene la clave de sesión de cliente / servicio.

El cliente debe poder leer B, pero no A. Sin embargo, ambos mensajes contienen la clave de sesión cliente / servicio. Por lo tanto, el cliente sabe sustancialmente todo lo que contiene el mensaje A.

¿Qué impide que el cliente revierta el mensaje A para recuperar la clave compartida a largo plazo de TGS / service?

    
pregunta Barry Rosenberg 31.03.2017 - 00:35
fuente

1 respuesta

1

Tl; Dr. - nada, puedes romperlo. Se llama keberoasting. El secreto compartido de TGS se puede descifrar, pero hay algunos problemas que intentan hacer eso. Dado que el caso común es que el secreto compartido es la contraseña de la cuenta de la máquina, obtener esa contraseña le permite acceder a esa máquina específica (a través de tickets Silver) o en el caso de un DC a cada contraseña de dominio (a través de DCsync) (las cuentas de servicio son el caso poco común y son un objetivo principal de la kerberoasting) La contraseña se cambia automáticamente cada 30 días, se encripta con aes (normalmente) y es una contraseña generada aleatoriamente (256 opciones) de hasta 32 caracteres con md4, con una sal específica cuando se viaja como parte de una solicitud de kerberos tgs. Lo que significa que se necesita una verdadera fuerza bruta y el resultado final no es tan gratificante como las otras opciones más rápidas y fáciles.

    
respondido por el Jonathan Allon 30.04.2017 - 16:28
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo aislar ejecutables sospechosos sin borrarlos? Información del propietario del certificado