Sarebbe possibile memorizzare i ticket Kerberos su un YubiKey?

Naviga le tue risposte
0

Kerberos supporta modi diversi (tipi ccache) di memorizzare i biglietti, ad esempio come:

  • FILE
  • MEMORIA
  • PORTACHIAVI

Mi chiedevo se sarebbe tecnicamente possibile anche archiviare il ticket di concessione del biglietto e il ticket di servizio in un YubiKey. Questi ticket possono quindi essere letti dalla chiave quando sono necessari e cancellati direttamente dalla memoria dopo essere stati inviati.

So che l'intero punto di memorizzazione di una chiave PGP privata in uno YubiKey è il fatto che può essere solo scritto e mai più letto. Tutte le operazioni necessarie sono eseguite dentro YubiKey.

I ticket Kerberos dovrebbero essere leggibili in modo che possano essere inviati al centro di distribuzione di chiavi o al servizio web.

Quindi, sarebbe possibile utilizzare un YubiKey come un altro tipo di ccache per Kerberos?

    
posta arne.z 21.06.2017 - 23:43
fonte

2 risposte

0

Accettando con @ 84104, la memorizzazione della cache delle credenziali su YubiKey non ha molto senso; staresti meglio usando una cache FILE: su una normale unità USB. Kerberos richiede l'accesso ai ticket nella cache e, se elimini i ticket dalla memoria, i programmi che richiedono i ticket richiederanno nuovamente i ticket o interromperanno.

Hai considerato il modo più semplice per usare un YubiKey? È possibile memorizzare la password Kerberos su YubiKey come password statica.

    
risposta data 21.07.2017 - 00:19
fonte
1

Questa è un'idea strana / cattiva.

Probabilmente sarebbe meglio integrare in qualche modo lo YubiKey con RFC4556 alias pkinit .

Abstract
This document describes protocol extensions (hereafter called PKINIT) to the Kerberos protocol specification. These extensions provide a method for integrating public key cryptography into the initial authentication exchange, by using asymmetric-key signature and/or encryption algorithms in pre-authentication data fields.

    
risposta data 27.06.2017 - 20:11
fonte

Leggi altre domande sui tag

Firma a doppio codice: la firma SHA-1 dovrebbe avere un timestamp SHA-1 o SHA-2? Qual è la differenza tra "Eavesdropping" e "Remote Spying" in ISO / IEC 27005?