Perché il primo processo di autenticazione non ha bisogno di un Authenticator in KERBROS (v4)

0

Bene prima questo è un protocollo generale Kerberos v4

(1) C - > AS: IDc || IDtgs

(2) AS - > C: Ekc [Kc, tgs || TGT]

(3) C - > TGS: TGT || Authenticator

(4) TGS - > C: Ekc, tgs [Kc, v || Ticketv]

(5) C - > V: Ticketv || Authenticator'c

Notazione:

C = Client

AS = authentication server

V = server

IDc = identifier of user on C

IDv = identifier of V

Kc = secret key derived from the user’s password on C

Kv= secret encryption key shared by AS an V

TS = timestamp

|| = concatenation

TGT = Ticket Granting Ticket

TGS = Ticket Granting Server

Authenticator simply includes ID of user on client and also a timestamp.

Domanda: perché il messaggio (1) non contiene l'autenticatore? Cheers!

    
posta Shan Huang 09.01.2017 - 22:17
fonte

1 risposta

1

Il primo messaggio di Kerberos controlla solo che l'ID di accesso esista nel KDC e che l'ora sia sincronizzata con l'AS. Non esiste un autenticatore perché, un attacco di replay a (1) non ha senso.

Authenticator è creato principalmente per AS e TGS.

Come puoi vedere dal tuo (3) l'autenticatore appare a questo punto. Qui è dove viene richiesto l'accesso al server. Il ticket da (2) viene convalidato e l'autenticazione dell'utente viene convalidata.

    
risposta data 11.01.2017 - 10:34
fonte

Leggi altre domande sui tag