¿Sería posible almacenar boletos Kerberos en un YubiKey?

Navega tus respuestas
0

Kerberos admite diferentes maneras (tipos de ccache) de almacenar tickets, como como:

  • ARCHIVO
  • MEMORY
  • TECLADO

Me preguntaba si sería técnicamente posible también almacenar el ticket de concesión de tickets y el ticket de servicio en un YubiKey. Estos tickets se pueden leer desde la clave cuando se necesitan y se pueden borrar directamente de la memoria después de enviarlos.

Sé que el punto central de almacenar una clave PGP privada en un YubiKey es el hecho de que solo se puede escribir y nunca volver a leer. Todas las operaciones necesarias se ejecutan dentro de la YubiKey.

Los tickets Kerberos deberían ser legibles para que puedan enviarse al centro de distribución de claves o al servicio web.

Entonces, ¿sería posible usar un YubiKey como otro tipo de caché para Kerberos?

    
pregunta arne.z 21.06.2017 - 23:43
fuente

2 respuestas

0

Estar de acuerdo con @ 84104, almacenar el caché de credenciales en el YubiKey no tiene mucho sentido; sería mejor utilizar un caché FILE: en una unidad USB normal. Kerberos requiere acceso a los tickets en el caché, y si borra sus tickets de la memoria, los programas que los necesiten volverán a solicitar tickets o se interrumpirán.

¿Has considerado la forma más sencilla de usar un YubiKey? Puede almacenar su contraseña de Kerberos en el YubiKey como una contraseña estática.

    
respondido por el Jacob 21.07.2017 - 00:19
fuente
1

Esta es una idea extraña / mala.

Probablemente sea mejor que integres la YubiKey con RFC4556 aka pkinit .

  

Resumen
    Este documento describe las extensiones de protocolo (en lo sucesivo, PKINIT) a la especificación del protocolo Kerberos. Estas extensiones proporcionan un método para integrar la criptografía de clave pública en el intercambio de autenticación inicial, mediante el uso de algoritmos de cifrado y firma de clave asimétrica en los campos de datos de autenticación previa.

    
respondido por el 84104 27.06.2017 - 20:11
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la diferencia entre 'Eavesdropping' y 'Remote Spying' en ISO / IEC 27005? Cuando se conecta a una wifi pública, ¿se reenvía la información de inicio de sesión si ya inició sesión?