[IT-Security-1] Kerberos

Kerberos

Notes from RWTH Aachen University course
“IT security 1” Wintersemester 2019/20
professor: Meyer, Ulrike Michaela

什麼是Kerberos
- 在網路中提供authentication及key agreement的協定們
  - 使網路應用程式可以授權他們的peers
  - 基於shared secret key
- 基於Needham and Schroeder protocol (in Authentication)
流程：

Key Distribution Center (KDC)
- 包含：
  - Kerberos Authentication Server (AS)
  - Kerberos Ticket Granting Server (TGS)
- KDC提供ticket和session key
Principle Identifiers
- form: \(\{\text{name}\}:\text{instance@realm}\)
- \(\text{realm}\) 說明domain
- \(\text{instance}\) 說明裝置種類(ex. printer)
- \(\text{name}\) 是在特殊 \(\text{realm}\) 中特殊 \(\text{instance}\) 的實際名稱
protocol

Long-term keys:
- \(KDC\) 有一把自己的密鑰 \(k_{KDC}\)
- \(KDC\) 跟 user \(A\) 有一把 secret master key \(k_A\) (從 \(A\) 的密碼而來)
- \(KDC\) 跟 resource \(R\) 有一把 secret master key \(k_R\)
- \(KDC\) 用 \(k_{KDC}\) 加密這些key，並從在database
Ticket Granting Tickets:
- \(A\) 登入後，工作站向 \(KDC\) 請求session key
- \(KDC:\)
- 工作站用 \(A\) 的密碼解密，得到session key \(S_A\)
用session key而不是master key減少對password的使用
password的攻擊更困難

Ticket request: \(A\) 向 \(KDC\) 要求對 \(R\) 的權限
工作站傳送 \(\text{TGT, "R", }S_A(\text{timestamp})\)
\(KDC\) 解開 \(\text{TGT}\)，得到 \(S_A\)
\(KDC\) 產生
- session key \(k_{AR}\)
- \(\text{ticket}_R\)\(=k_{R}\{\text{"Alice"},\)\(k_{AR}\)\(\text{,timestamp, lifetime}\}\)
\(KDC\) 回傳 \(S_A\{\text{"R"},\) \(k_{AR}\) \(,\) \(\text{ticket}_R\)\(\}\)

Key Version Numbers
- 若 \(A\) 有了ticket但 \(R\) 更改了master key則會有問題
- 因此需要定義key version
- \(R\) 需要有前一個key，並在pre-defined的時間刪除
保障Encryption及Integrity:

encryption:
- \(c_0:=IV\)
  \(m_0:=0\)
- \(c_{n+1}:=E_k(m_{n+1}\oplus c_n\oplus m_{n})\)
decryption:

\(m_{n+1}=D_k(c_{n+1})\oplus c_n\oplus\)\(m_n\)
\(m_{n+1}=D_k(c_{n+1})\oplus c_n\oplus\)\(D_k(c_{n+n})\oplus c_{n-1}\oplus m_{n-1}\)
\(m_{n+1}=D_k(c_{n+1})\oplus c_n\oplus D_k(c_{n+n})\oplus c_{n-1\oplus ... \oplus D_k(c_1)\oplus c_0}\)

Network Layer Addresses in the Tickets
- \(KDC\) 應檢查 \(\text{TGT}\) 中的 IP address是否跟request時的IP address一樣
- 使攻擊更難因為需偽造IP address
Kerberos v4的限制:
- 觀念上：
  - 只能用DES in PCBC mode保障encryption和integrity
  - usable only on top of IP(!?)
  - Message byte傳送的順序是sender決定的
  - ticket lifetime太短
  - 不支援委託(ticket無法轉移)
  - principle naming的問題：無法在 \(\text{name}\) 加入 “.”
  - Ticket’s Double encryption
- 技術上：
  - PCBC mode: non-standard DES mode，沒有integrity保障
  - replay
  - Password attacks：因為密文包含 \(\text{"KDC"}\)，所以會被猜測密碼

不只用IP，還有支援其他address type
Principal naming限制更少
Encoding problems (byte ordering) solved by the use of standard encodings (ANS.1 syntax with the Basic Encoding Rules)

TGT跟ticket的改變

	Kerberos 4	Kerberos 5
TGT-Reply	\(k_A\{\text{"KDC"},\) \(S_A\) \(,\) \(\text{TGT}\)\(\}\)	\(k_A\{S_A\},\) \(\text{TGT}\)
Ticket-Reply	\(S_A\{\text{"R"},k_{AR},\text{ticket}_R\}\)	\(S_A\{\text{"R"},k_{AR}\},\) \(\text{ticket}_R\)

不會雙重加密 \(\text{TGT},\text{ticket}_R\)

New features:
- 另外的授權機制，在TGT-request中的pre-authenticated data
- 用sequence number取代timestamp
支援代理機制
- \(A\) 向 \(ADC\) 請求 \(P\) 的 ticket(有 \(P\) 的address)
- \(P\) 的行為代表 \(A\)
- \(A\) 可以控制 \(P\) 的權限
- 可以有Flag標註是 \(P\) 還是 \(A\)
  - 有Proxiable Ticket Flag和Forwardable Ticket Flag
  - 供應用程式決定要不要接受此ticket
ticket lifetime
- 時間更彈性
- 可以renew
- 可以要求之後的ticket
階層性的realm
- 可以有short-cut，減少request次數
Pre-authentication
- 送出 \(\text{TGT-request}\) 時加上 pre-authentication data
- 避免字典攻擊、denial of service攻擊(過量的request)
- 可以用public key crytographic
- KDC儲存certificate而不是password

Readings

Kaufman Chapter 13 and 14

J. Kohl, B. Neuman: “The Evolution of the Kerberos

Authentication Service”, 1994

RFC 4120: “The Kerberos Network Authentication Service (V5)“, 2005

RFC 4556: “Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)”, 2006

ITVV